Wana decrypt0r

[ABTOMAT]

Ну что, господа, есть пострадавшие?

Давеча тут хайп начался, а у нас что-то пусто.
В-общем вкратце: в протоколе SMB (он же "общие папки" Винды) нашлась уязвимость. Была найдена и закрыта с месяц назад обновлениями Винды... которые, как известно, далеко не все любят ставить.

Как действует?

На порты 139 и 445 подаётся специально сформированный пакет, вызывающий переполнение буфера, а затем выполняющее код зловреда.
Зловред, получив доступ к компу, быстренько шифрует данные, а потом требует денег за расшифровку.
Если денег не получит вовремя, данные удаляются (тут проверяли — не врёт).
Одновременно с этим сканирует порты уже в локальной сети и размножается тем же методом.

Как заразиться?

Чтобы заразиться, нужно грубо нарушить сразу несколько правил информационной безопасности, а именно:

1. Не обновлять ОС (некоторые самые вумные отключают обновления Винды сразу после установки, типа, "А зачем? У меня и так же всё работает, а то ещё кряк слетит").
2. Форвардить порты 445 и 137-139 в Интернет с Виндовой не обновлённой машины. Ну или держать комп в DMZ или втыкать Интернет прямо в него.

Как проверить, что вы в безопасности?

Windows 10

C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше

Более ранние

Перейдите по ссылке и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (командную строку)
Напишите:
wmic qfe list | findstr 4012212
Нажмите Enter
Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка

Ещё почЫтать: https://geektimes.ru/post/289115/

Как видите, если не предпринимать откровенно дебильных действий (отключение обновлений винды) всё будет ОК. Сколько компов в мире пострадало? Делаем выводы относительно операторов ЭВМ.

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
2. Господа, которые будут утверждать, что у них всё нормально и без обновлений.
3. Господа, схватившие зловреда.
4. Случайные зрители.

Вперёд!

[Andvrok]

Читал где-то, что десяткобоги не подвержены.
В любом случае я за роутером и обновления не отключал, смеюсь над неудачниками.
Ну що, сынку, допомогло тоби твое «работает — не трогай»?

[ant0N]

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.

ох тыж, сразу защиту поставил )

Давеча тут хайп начался, а у нас что-то пусто.

потому что все уже сыты

[DarkInside]

У нас казанский ГИБДД накрыло, приостановили работу.

Читал на хабре, типа там зловред проверяет незарегистрированный домен и условие в коде: если этот домен зарегистрировали, то зловред отключается. При этом паренёк распиарился благодаря тому, что первый зарегистрировал этот домен и остановил вирусню. При этом спецыалисты по ИБ говорят, что это вполне расространенная практика регистрировать домен на себя, если зловред как-то обращается к незарегистрированному домену. И таких доменов спецыалисты регистрируют тыщи в год.

Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.

Возможно такое, что этот паренёк как-то связан с вирусней и специально сделали этот стоп-кран, чтобы паренёк пропиарился, типа остановил глобальный апокалипсис?

Стоп-кран свою работу сделал, паренек на пьедестале, а теперь пошла вторая версия зловреда (настоящая) без стоп-крана и по другой уязвимости.

Вроде авторы неделю дают на оплату, значит уверены, что неделю никто не взломает их зловреда.

PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.

[Phantom]

Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.

[Arton]

Сообщение от DarkInside

PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.

Я про его существование, в прошлую пятницу узнал.
Хакерскими мануалами как-то не интересовался, и сомневаюсь что ими многие интересуются, ну так, всерьёз по крайней мере.

Сообщение от DarkInside

Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.

Сообщение от Phantom

Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.

Про незарегистрированный домен, предполагается что это защита от запуска в виртуальной среде (отмечается что топорная защита), мол в первую очередь не покупать домен пойдут, а сэмулируют ответ. Для наблюдения за поведением криптографа. Изучить «вирус» проще за его работой.

[Gector]

Не пострадал. И на работе как то тихо. Обновления стабильно ставят.

[ABTOMAT]

Сомневаюсь, что фичу с доменом для себя сделали. Уж явно автор испытывал своё творчество на виртуальной машине/изолированной группе компов.

Говорят, кстати, были кулибины, что изловили зловреда, в HEX-редакторе в нём отключили рубильник по домену да перебили номер биткойн-кошелька на свой (самое главное-то!) и отправили путешествовать дальше.

[h1dd3n]

Фича с доменом для обхода песочниц антивирусов. Очевидно же...

[DarkInside]

Сообщение от h1dd3n

Фича с доменом для обхода песочниц антивирусов. Очевидно же...

Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.

[Phantom]

Wannacry — икс-команда, на выезд

[h1dd3n]

Сообщение от DarkInside

Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.

Ну поведуй о надежных способах определения песочниц современных антивирусов

[DarkInside]

Сообщение от h1dd3n

Ну поведуй о надежных способах определения песочниц современных антивирусов

1) Через WinAPI опросом конфигурации ОС и прочей системной информации
2) Низкоуровневые трюки

[h1dd3n]

Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?

[DarkInside]

Сообщение от h1dd3n

Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?

Как конкретно детектировать виртуальную машину, могу по пунктам рассказать. А именно с песочницей антивируса не разбирался и сейчас пока нет времени разбираться, чтобы конкретно ответить. Но я уверен, что обращение к домену - это не лучший способ и есть другие способы, более приемлемые. Как доведется разобраться с песочницами антивирусов, так обязательно расскажу. В посте выше просто выделил направления, куда нужно копать, на мой взгляд.