Извините, ничего не найдено.

Не расстраивайся! Лучше выпей чайку!
Регистрация
Справка
Календарь

Вернуться   www.boolean.name > Общие темы > Программное обеспечение / Software

Программное обеспечение / Software Программное обеспечение, софт, software а также всё, что с этим связано. Обсуждение, впечатления, рекомендации.

Ответ
 
Опции темы
Старый 14.05.2017, 20:55   #1
ABTOMAT
Ференька
 
Аватар для ABTOMAT
 
Регистрация: 25.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,270
Написано 5,134 полезных сообщений
(для 14,842 пользователей)
Wana decrypt0r

Ну что, господа, есть пострадавшие?

Давеча тут хайп начался, а у нас что-то пусто.
В-общем вкратце: в протоколе SMB (он же "общие папки" Винды) нашлась уязвимость. Была найдена и закрыта с месяц назад обновлениями Винды... которые, как известно, далеко не все любят ставить.

Как действует?



На порты 139 и 445 подаётся специально сформированный пакет, вызывающий переполнение буфера, а затем выполняющее код зловреда.
Зловред, получив доступ к компу, быстренько шифрует данные, а потом требует денег за расшифровку.
Если денег не получит вовремя, данные удаляются (тут проверяли — не врёт).
Одновременно с этим сканирует порты уже в локальной сети и размножается тем же методом.





Как заразиться?


Чтобы заразиться, нужно грубо нарушить сразу несколько правил информационной безопасности, а именно:

1. Не обновлять ОС (некоторые самые вумные отключают обновления Винды сразу после установки, типа, "А зачем? У меня и так же всё работает, а то ещё кряк слетит").
2. Форвардить порты 445 и 137-139 в Интернет с Виндовой не обновлённой машины. Ну или держать комп в DMZ или втыкать Интернет прямо в него.




Как проверить, что вы в безопасности?



Windows 10

C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше

Более ранние

Перейдите по ссылке и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (командную строку)
Напишите:
wmic qfe list | findstr 4012212
Нажмите Enter
Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка



Ещё почЫтать: https://geektimes.ru/post/289115/

Как видите, если не предпринимать откровенно дебильных действий (отключение обновлений винды) всё будет ОК. Сколько компов в мире пострадало? Делаем выводы относительно операторов ЭВМ.

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
2. Господа, которые будут утверждать, что у них всё нормально и без обновлений.
3. Господа, схватившие зловреда.
4. Случайные зрители.

Вперёд!
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**

* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена

(Offline)
 
Ответить с цитированием
Эти 5 пользователя(ей) сказали Спасибо ABTOMAT за это полезное сообщение:
DarkInside (15.05.2017), Gector (22.05.2017), Phantom (14.05.2017), Randomize (28.05.2017), St_AnGer (15.05.2017)
Старый 14.05.2017, 21:45   #2
Andvrok
Бывалый
 
Регистрация: 26.07.2009
Сообщений: 742
Написано 339 полезных сообщений
(для 948 пользователей)
Ответ: Wana decrypt0r

Читал где-то, что десяткобоги не подвержены.
В любом случае я за роутером и обновления не отключал, смеюсь над неудачниками.
Ну що, сынку, допомогло тоби твое «работает — не трогай»?
__________________
(Online)
 
Ответить с цитированием
Эти 4 пользователя(ей) сказали Спасибо Andvrok за это полезное сообщение:
ABTOMAT (14.05.2017), Gector (22.05.2017), Randomize (15.05.2017), St_AnGer (15.05.2017)
Старый 15.05.2017, 02:04   #3
ant0N
Бывалый
 
Аватар для ant0N
 
Регистрация: 10.06.2011
Адрес: В горах
Сообщений: 690
Написано 253 полезных сообщений
(для 653 пользователей)
Ответ: Wana decrypt0r

В этом треде обязательно появятся:
1. Господа, у которых Linux/MacOS и которые порадуются неудачам виндузятников.
ох тыж, сразу защиту поставил )

Давеча тут хайп начался, а у нас что-то пусто.
потому что все уже сыты



__________________
Абсолютли!
(Offline)
 
Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо ant0N за это полезное сообщение:
DarkInside (15.05.2017), St_AnGer (15.05.2017)
Старый 15.05.2017, 11:06   #4
DarkInside
Разработчик
 
Аватар для DarkInside
 
Регистрация: 07.08.2011
Сообщений: 504
Написано 190 полезных сообщений
(для 367 пользователей)
Ответ: Wana decrypt0r

У нас казанский ГИБДД накрыло, приостановили работу.

Читал на хабре, типа там зловред проверяет незарегистрированный домен и условие в коде: если этот домен зарегистрировали, то зловред отключается. При этом паренёк распиарился благодаря тому, что первый зарегистрировал этот домен и остановил вирусню. При этом спецыалисты по ИБ говорят, что это вполне расространенная практика регистрировать домен на себя, если зловред как-то обращается к незарегистрированному домену. И таких доменов спецыалисты регистрируют тыщи в год.

Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.

Возможно такое, что этот паренёк как-то связан с вирусней и специально сделали этот стоп-кран, чтобы паренёк пропиарился, типа остановил глобальный апокалипсис?

Стоп-кран свою работу сделал, паренек на пьедестале, а теперь пошла вторая версия зловреда (настоящая) без стоп-крана и по другой уязвимости.

Вроде авторы неделю дают на оплату, значит уверены, что неделю никто не взломает их зловреда.

PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.
(Offline)
 
Ответить с цитированием
Эти 3 пользователя(ей) сказали Спасибо DarkInside за это полезное сообщение:
Gector (22.05.2017), Randomize (16.05.2017), St_AnGer (15.05.2017)
Старый 15.05.2017, 13:58   #5
Phantom
Элита
 
Аватар для Phantom
 
Регистрация: 14.06.2008
Адрес: Украина, Киев
Сообщений: 2,075
Написано 666 полезных сообщений
(для 1,661 пользователей)
Ответ: Wana decrypt0r

Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.
(Offline)
 
Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Phantom за это полезное сообщение:
Gector (22.05.2017), Randomize (16.05.2017)
Старый 15.05.2017, 23:07   #6
Arton
Быдлокодер
 
Аватар для Arton
 
Регистрация: 05.07.2009
Адрес: Проспит
Сообщений: 4,355
Написано 1,871 полезных сообщений
(для 4,528 пользователей)
Ответ: Wana decrypt0r

Сообщение от DarkInside Посмотреть сообщение
PS. Кто-то в 2017 еще держит 445 порт открытым? еще с начала 2000х все мануалы по хакерству начинаются со взлома 445 порта.
Я про его существование, в прошлую пятницу узнал.
Хакерскими мануалами как-то не интересовался, и сомневаюсь что ими многие интересуются, ну так, всерьёз по крайней мере.

Сообщение от DarkInside Посмотреть сообщение
Тогда как-то глупо получается, зачем делать такой стоп-кран в вирусне, если первый же попавшийся спецыалист по ИБ зарегает этот домен (если все так делают - регают домены) и вирусня отключится.
Сообщение от Phantom Посмотреть сообщение
Фича с доменом - это по ходу простецкая защита от себя-дурака. Загоняешь этот домен себе в hosts и можешь быть уверен, что твоя же вирусня твой компьютер не нагнёт.
Про незарегистрированный домен, предполагается что это защита от запуска в виртуальной среде (отмечается что топорная защита), мол в первую очередь не покупать домен пойдут, а сэмулируют ответ. Для наблюдения за поведением криптографа. Изучить «вирус» проще за его работой.
__________________
Detected instability. Reload? Yes/No

Настоятельно рекомендую пользоваться кнопкой «Новые Сообщения». Она наверху, по середине.
Если вам кажется что форум пустует, просто нажмите «Новые Сообщения». Вы будете удивлены.
(Offline)
 
Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Arton за это полезное сообщение:
Andvrok (16.05.2017), Gector (22.05.2017)
Старый 23.05.2017, 16:34   #7
Gector
Легенда
 
Аватар для Gector
 
Регистрация: 13.10.2007
Сообщений: 3,854
Написано 1,991 полезных сообщений
(для 5,037 пользователей)
Ответ: Wana decrypt0r

Не пострадал. И на работе как то тихо. Обновления стабильно ставят.
__________________
Ибо как сказал Бгдн:
(Offline)
 
Ответить с цитированием
Старый 23.05.2017, 17:09   #8
ABTOMAT
Ференька
 
Аватар для ABTOMAT
 
Регистрация: 25.01.2007
Адрес: улица Пушкина дом Колотушкина
Сообщений: 10,270
Написано 5,134 полезных сообщений
(для 14,842 пользователей)
Ответ: Wana decrypt0r

Сомневаюсь, что фичу с доменом для себя сделали. Уж явно автор испытывал своё творчество на виртуальной машине/изолированной группе компов.

Говорят, кстати, были кулибины, что изловили зловреда, в HEX-редакторе в нём отключили рубильник по домену да перебили номер биткойн-кошелька на свой (самое главное-то!) и отправили путешествовать дальше.
__________________
Мои проекты:
Анальное Рабство
Зелёный Слоник
Дмитрий Маслов*
Различие**
Клюква**

* — в стадии разработки
** — в стадии проектирования
Для проектов в стадии проектирования приведены кодовые имена

(Offline)
 
Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо ABTOMAT за это полезное сообщение:
DarkInside (24.05.2017), St_AnGer (24.05.2017)
Старый 24.05.2017, 17:40   #9
h1dd3n
Бывалый
 
Аватар для h1dd3n
 
Регистрация: 19.06.2008
Сообщений: 675
Написано 263 полезных сообщений
(для 448 пользователей)
Ответ: Wana decrypt0r

Фича с доменом для обхода песочниц антивирусов. Очевидно же...
__________________
(Offline)
 
Ответить с цитированием
Старый 24.05.2017, 23:02   #10
DarkInside
Разработчик
 
Аватар для DarkInside
 
Регистрация: 07.08.2011
Сообщений: 504
Написано 190 полезных сообщений
(для 367 пользователей)
Ответ: Wana decrypt0r

Сообщение от h1dd3n Посмотреть сообщение
Фича с доменом для обхода песочниц антивирусов. Очевидно же...
Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.
(Offline)
 
Ответить с цитированием
Эти 3 пользователя(ей) сказали Спасибо DarkInside за это полезное сообщение:
ABTOMAT (25.05.2017), Phantom (25.05.2017), St_AnGer (25.05.2017)
Старый 25.05.2017, 18:15   #11
Phantom
Элита
 
Аватар для Phantom
 
Регистрация: 14.06.2008
Адрес: Украина, Киев
Сообщений: 2,075
Написано 666 полезных сообщений
(для 1,661 пользователей)
Ответ: Wana decrypt0r

Wannacry — икс-команда, на выезд
(Offline)
 
Ответить с цитированием
Эти 2 пользователя(ей) сказали Спасибо Phantom за это полезное сообщение:
Arton (25.05.2017), St_AnGer (25.05.2017)
Старый 27.05.2017, 23:03   #12
h1dd3n
Бывалый
 
Аватар для h1dd3n
 
Регистрация: 19.06.2008
Сообщений: 675
Написано 263 полезных сообщений
(для 448 пользователей)
Ответ: Wana decrypt0r

Сообщение от DarkInside Посмотреть сообщение
Ну это понятно, это официальная версия. Но насколько оправдано это использовать, если первый попавшийся зарегает домен? Куча же других способов идентификации, что прога запущена в песочнице (виртуальной машине). И эти способы более оправданы в данном контексте.
Ну поведуй о надежных способах определения песочниц современных антивирусов
__________________
(Offline)
 
Ответить с цитированием
Старый 28.05.2017, 17:52   #13
DarkInside
Разработчик
 
Аватар для DarkInside
 
Регистрация: 07.08.2011
Сообщений: 504
Написано 190 полезных сообщений
(для 367 пользователей)
Ответ: Wana decrypt0r

Сообщение от h1dd3n Посмотреть сообщение
Ну поведуй о надежных способах определения песочниц современных антивирусов
1) Через WinAPI опросом конфигурации ОС и прочей системной информации
2) Низкоуровневые трюки
(Offline)
 
Ответить с цитированием
Старый 29.05.2017, 18:23   #14
h1dd3n
Бывалый
 
Аватар для h1dd3n
 
Регистрация: 19.06.2008
Сообщений: 675
Написано 263 полезных сообщений
(для 448 пользователей)
Ответ: Wana decrypt0r

Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?
__________________
(Offline)
 
Ответить с цитированием
Сообщение было полезно следующим пользователям:
Andvrok (30.05.2017)
Старый 30.05.2017, 05:33   #15
DarkInside
Разработчик
 
Аватар для DarkInside
 
Регистрация: 07.08.2011
Сообщений: 504
Написано 190 полезных сообщений
(для 367 пользователей)
Ответ: Wana decrypt0r

Сообщение от h1dd3n Посмотреть сообщение
Ну конкретнее. Кто сказал что опрос конфигурации ос что-то даст вообще?

Ты по сути ничего не сказал.

Какие именно низкоуровневые трюки (помним что у нас тут не уровень ядра, да?)?
Как конкретно детектировать виртуальную машину, могу по пунктам рассказать. А именно с песочницей антивируса не разбирался и сейчас пока нет времени разбираться, чтобы конкретно ответить. Но я уверен, что обращение к домену - это не лучший способ и есть другие способы, более приемлемые. Как доведется разобраться с песочницами антивирусов, так обязательно расскажу. В посте выше просто выделил направления, куда нужно копать, на мой взгляд.
(Offline)
 
Ответить с цитированием
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +1, время: 07:53.


vBulletin® Version 3.6.5.
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Перевод: zCarot
Style crйe par Allan - vBulletin-Ressources.com