habrahabr.ru — Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
Более 60.000 компьютеров подверглись атаке и заражению вирусом-вымогателем Wana Decrypt0r. Авторы Wana Decrypt0r используют эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1 (MS17-010) для доставки вредоносного кода на Windows системы. Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
Группа экспертов по кибербезопасности MalwareHunterTeam утверждает, что больше всех в результате атаки пострадали серверы на территории России и Тайваня. Под ударом оказались и другие страны: Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины. [censored]
Microsoft закрыла эту уязвимость в марте. Но, видимо, не все успели обновить свои системы. Карту заражений в реальном времени можно наблюдать здесь:[censored]
Защитные меры
В качестве средств защиты рекомендуется срочно обновить Windows системы (если вы этого еще по каким-то причинам не сделали), использовать средства обнаружения и блокирования атак — firewall и т.д.
Например это можно сделать с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=«Block_TCP-135»
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445»
Если тебе так принципиально доебаться до того, что я создал тему, несмотря на то, что есть тема от RT, о том, что какой то вирус кому то навредил, то читай ту новость, я совершенно не против.
Можешь так же нажать кнопку спам, если считаешь, что это дубль.
Разницу лично я считаю довольно очевидной, а твой пост - попыткой развести какой то ненужный срач.
> Если вирус зашифровал все файлы, то как запускается операционная система, чтобы показать окошко вирусной программы?
ну, вирус писали персонажи не дурнее нас, надо полагать что либо систему то расшифровывате бесплатно либо вообще не шифрует. Много тебе радости что винда цела если документам кердык? Винду восстановить недолго.
> Авторы Wana Decrypt0r используют эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1 (MS17-010) для доставки вредоносного кода на Windows системы
Это как, достоверно известно?
Чё-та я тогда не понимаю. Их-то за яица брать будут?
Наградят. Вон какую шикарную калитку запилили - хоть на танке заезжай. А что про нее хацкеры узнали - так это молодцу не в упрек, это особистов трясти надо, секрета не уберегли.
Ну, в нынешней логике может и нормальная.
Помнится, КГБ обвиняли в том, что у него была секретная лаборатория по разработке ядов. Но он хотя бы не додумался яды в МХТИ заказывать.
А при какой ненормальная?
> Помнится, КГБ обвиняли в том, что у него была секретная лаборатория по разработке ядов. Но он хотя бы не додумался яды в МХТИ заказывать.
Речь про ПО.
Во взломе ПО как таковом, нет ничего предосудительного. Всякие эплы, майкрософты и прочие гуглы энтузиастам даже премии платят за нахождение уязвимости.
Тут одна организация, заказала другой нахождение. Заказчик выплатил денег исполнителю. Исполнитель передал результаты заказчику. Какие особисты? Нахер они тут нужны?
Давай и атомное оружие на строне заказывать. Опять-таки, зачем содержать хим- и биолаборатории?
Или кибероружие менее опасно? Ну, так это только начало.
Заказывай.
> Опять-таки, зачем содержать хим- и биолаборатории?
Можешь не содержать.
> Или кибероружие менее опасно?
Это не оружие. Это уязвимость. Информацию об уязвимости передали агентству национальной безопасности. Государственной организации. За деньги. Сами не использовали.
А вот как заражались? Про самое интересное и не сказали?
Неужели такое количество без Святого Касперского или хотябы НОДА или уж на крайняк Преподобного Есеншиал от Великого Майкрософта?
Ужасть!
А вот у меня постонный бекап всего компа каждый день.
Очень похже на акцию самого майкрософта для того чтобы начали обновляться, а после таких обновлений и начинается самая херня)))
Есть такая прога DEEPFREEZE. Система восстановление после перезагрузки. Уже 10 лет, я вообще не пользуюсь ничем, ниантивирус ни зашиты забил на все, систему не переустанавливаю, она у меня каждый раз как новая и полностью настроенная. Обновления от винды и всякая другая хрень меня вообще не волнуют. Стабильная работа каждый день.
Все важное копируется в хранилище, облако и т.д. на внешний диск ежедневно в конце дня.
Все! 80 % новостей из мира интернета про всякие там вирусы хуирусы и прочюу лабуду вызывают смех.
Однако почему же люди не сильно пользуются такой прекрасной системой зашиты, стоит всего то 40 баксов, я пользуюсь то конечно подаренной)) Есть аналоги на русском и похожие проги, но все равно большиство избегает такие программы.
Просто люди пипец как не могу жить без драмы, а вот у меня вирус, а у меня вот еще такая проблема, а я вот злоред поймал вот, а я вот тоже, пипец, ужас, антивирус бля не помог, что делать, капец и т.д.
Будет скучно и половина причин для новостей пропадает.
Команды фаерволу веселые, проще сетевой шнурок выдергнуть)) Лучше бы указал перечень уязвимых систем и какое обновление нужно ставить, а то все пишут что обновление вышло в марте, но ни одна падла не написала номер обновления. И не указаны способы заражения извне локальной сети, на сколько я понял это емайл с вредоносным вложением... В общем статей много и все одинаково бестолковые...
> Команды фаерволу веселые, проще сетевой шнурок выдергнуть)) Лучше бы указал перечень уязвимых систем и какое обновление нужно ставить, а то все пишут что обновление вышло в марте, но ни одна падла не написала номер обновления. И не указаны способы заражения извне локальной сети, на сколько я понял это емайл с вредоносным вложением... В общем статей много и все одинаково бестолковые...
> > но ни одна падла не написала номер обновления. > > Прямо в тексте указан номер бюллетеня.
Сори не заметил
> > Специально для тебя прямая ссылка > > > на сколько я понял это емайл с вредоносным вложением... > > Прямо в тексте указано что виноват блок сообщений сервера.
Это при распространении в локальной сети, а как он туда попадает? Через флеш носители, емайл, вредоносная страница или может еще какие пути.... Вотт главный вопрос, не думаете же вы, что сегодня найдется много идиотов с открытым в инет 445 и 135м портом?
ага. Апдейтом. Который не ставится, если одновременно с ним ставить превью апдейта. А на серваках обычно всё ставится не по выходу, а когда можно. Так что не всё так уж гладко
Блин, задолбали с этим вирусом.
Куча новостей с про это, и никто для простых людей не объясняет!
Нигде не пишут, какие Виндовсы заражаются? Все или не все? 7, 8.1, 10? Какие обновления? Если они включены автоматом, это всё-таки спасает или нет??
Всем пользователям винды имеет смысл периодически проверять систему Microsoft Baseline security analyzer 'ом на наличие критически важны обновлений и прочие дыры.
> Ну да, если безопасники или их руководство идиоты, то 47к компов инфицировано. Это ж зиродэй. Как его фикс можно игнорировать?
а причём тут. Я о качестве работы майкрософта. То, что зиродей фиксы надо ставить - то понятно. Я о том, как это можно сделать.
ставишь апдейты, через систему виндовс апдейт и тут внезапно выясняется, что некоторые апдейты не устанавливаются вместе, хотя майрософт типа разраешает их вместе ставить. И начинаешь танцы с бубном. Удаление блокирующего апдейта не помогает. Единственное, что нашёл,так это то, что люди из нужного апдейта вытаскивают два апдейта именно секьюрити и ставят их через каталог.
Это я ниразу не системщик, нашего нужно отмудохать, ибо на трёх серваках из 10 этот апдейт таки сфейлился, а он ни сном ни духом. Ещё и телефон выключил вчера, падла такая :(.
> Однако почему же люди не сильно пользуются такой прекрасной системой зашиты, ...
Потому что бэкап не спасает от шифровальщиков. Почему он не спасает? Потому что есть шифровальщики, которые молча втихую шифруют пользовательские файлы и блокируют доступ к ним только после того, как эти зашифрованные файлы заместят в резервных копиях незашифрованные.
> не думаете же вы, что сегодня найдется много идиотов с открытым в инет 445 и 135м портом?
Работаю в пром.провайдере (AS 43726), мы никакие порты закрывать в принципе не имеем права, это дело клиентов. Но трафик пасём (это наши денюжки). Атакуют всё подряд, до смешного. 135-й, как ни странно, открыт у подавляющего большинства. То есть, там (у клиента) нет нормального специалиста. Мне, как сотруднику провайдера, на это глубоко поуху. Трафик есть -- бабло в карман :)
Нас регулярно ДДоСят на бордере (БЗДя), на этот случай взведена отдельная защита. Ну, и Фряху (грамотно настроенную) не так-то просто заДДоСить. Я лично когда-то настраивал и даже здесь какие-то отчёты выкладывал о такой конфигурации (в Баре, скорей всего). Но тогда -- как клиент.
Если ДДоСят наших клиентов, бордер пытается отбиваться, но это не его задача, вообще-то. Хотя большинство ДДоС-атак он таки берёт на себя и мужественно их разруливает. Главная фишка отбоя ДДоСов -- отключить TCP SYN/FIN. (Это для тех, кто в теме, но вдруг не в курсе).
> ставишь апдейты, через систему виндовс апдейт и тут внезапно выясняется, что некоторые апдейты не устанавливаются вместе, хотя майрософт типа разраешает их вместе ставить. И начинаешь танцы с бубном. Удаление блокирующего апдейта не помогает. Единственное, что нашёл,так это то, что люди из нужного апдейта вытаскивают два апдейта именно секьюрити и ставят их через каталог.
[Лыбится и радостно хрюкает] Узнаю родной микрософт! Даёшь линукс в бэкофис и продакшн вместо виндовых серверов!!!
> Это я ниразу не системщик, нашего нужно отмудохать, ибо на трёх серваках из 10 этот апдейт таки сфейлился, а он ни сном ни духом. Ещё и телефон выключил вчера, падла такая :(.
Да ещё и нажрался на выходных по своему обыкновению, поди!!!
Вообще, надо отметить, время для атаки было выбрано продуманно, в пятницу вечером. Админы - тоже люди, и в пятницу вечером большинство из них уже плотно отдыхает.
> Если ДДоСят наших клиентов, бордер пытается отбиваться, но это не его задача, вообще-то. Хотя большинство ДДоС-атак он таки берёт на себя и мужественно их разруливает. Главная фишка отбоя ДДоСов -- отключить TCP SYN/FIN. (Это для тех, кто в теме, но вдруг не в курсе).
Так ты видел, или нет, подъём трафика в сторону клиентов на 135/tcp и 445/tcp в последние два месяца? Его же, скорее всего, было настолько мало, что он на фоне общего сетевого шума был просто незаметен. Чтобы давить трафик этого эксплоита, IPS нужен, да и то, если SMB-шифрование у вашего клиента включено, IPS окажется бесполезной.
Сейчас, сейчас
Более 60.000 компьютеров подверглись атаке и заражению вирусом-вымогателем Wana Decrypt0r. Авторы Wana Decrypt0r используют эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1 (MS17-010) для доставки вредоносного кода на Windows системы. Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
Группа экспертов по кибербезопасности MalwareHunterTeam утверждает, что больше всех в результате атаки пострадали серверы на территории России и Тайваня. Под ударом оказались и другие страны: Великобритания, Испания, Италия, Германия, Португалия, Турция, Украина, Казахстан, Индонезия, Вьетнам, Япония и Филиппины.
[censored]
Microsoft закрыла эту уязвимость в марте. Но, видимо, не все успели обновить свои системы. Карту заражений в реальном времени можно наблюдать здесь:[censored]
Защитные меры
В качестве средств защиты рекомендуется срочно обновить Windows системы (если вы этого еще по каким-то причинам не сделали), использовать средства обнаружения и блокирования атак — firewall и т.д.
Например это можно сделать с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=«Block_TCP-135»
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445»
[censored]