Тема: Wana decrypt0r
Показать сообщение отдельно
Старый 14.05.2017, 23:55   #1
ABTOMAT
Ференька
 
Аватар для ABTOMAT
 
Регистрация: 26.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,741
Написано 5,461 полезных сообщений
(для 15,675 пользователей)
Wana decrypt0r

Ну что, господа, есть пострадавшие?

Давеча тут хайп начался, а у нас что-то пусто.
В-общем вкратце: в протоколе SMB (он же "общие папки" Винды) нашлась уязвимость. Была найдена и закрыта с месяц назад обновлениями Винды... которые, как известно, далеко не все любят ставить.

Как действует?



На порты 139 и 445 подаётся специально сформированный пакет, вызывающий переполнение буфера, а затем выполняющее код зловреда.
Зловред, получив доступ к компу, быстренько шифрует данные, а потом требует денег за расшифровку.
Если денег не получит вовремя, данные удаляются (тут проверяли — не врёт).
Одновременно с этим сканирует порты уже в локальной сети и размножается тем же методом.





Как заразиться?


Чтобы заразиться, нужно грубо нарушить сразу несколько правил информационной безопасности, а именно:

1. Не обновлять ОС (некоторые самые вумные отключают обновления Винды сразу после установки, типа, "А зачем? У меня и так же всё работает, а то ещё кряк слетит").
2. Форвардить порты 445 и 137-139 в Интернет с Виндовой не обновлённой машины. Ну или держать комп в DMZ или втыкать Интернет прямо в него.




Как проверить, что вы в безопасности?



Windows 10

C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше

Более ранние

Перейдите по ссылке и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (командную строку)
Напишите:
wmic qfe list | findstr 4012212
Нажмите Enter
Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка



Ещё почЫтать: https://geektimes.ru/post/289115/

Как видите, если не предпринимать откровенно дебильных действий (отключение обновлений винды) всё будет ОК. Сколько компов в мире пострадало? Делаем выводы относительно операторов ЭВМ.

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
2. Господа, которые будут утверждать, что у них всё нормально и без обновлений.
3. Господа, схватившие зловреда.
4. Случайные зрители.

Вперёд!
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**

* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена

(Offline)
 
Ответить с цитированием
Эти 5 пользователя(ей) сказали Спасибо ABTOMAT за это полезное сообщение:
DarkInside (15.05.2017), Gector (22.05.2017), Phantom (15.05.2017), Randomize (28.05.2017), St_AnGer (15.05.2017)