Массовое заражение Wana Decrypt0r

А кто подскажет, где в этом чудесном бюллетене MS17-010 кнопка "скачать обновление для Win7"?

> А кто подскажет, где в этом чудесном бюллетене MS17-010 кнопка "скачать обновление для Win7"?

Открываешь его, скроллишь вниз до таблички, выбираешь свою ось и кликаешь по нужному тебе апдейту
[censored]

или замечаешь его номер, заходишь в свой виндовс апдейт и смотришь в истории - установлен он или нет. Если нет, то он у тебя должен быть на установке, тянешь и обновляешься

> Если файлы уже зашифрованы

Так я ж поняла, в том и прикол: ты такой умный, делаешь бэкап - незараженных, вроде как - файлов, твои потом оказываются зараженными, ты бежишь к бэкапу на съемном диске - а там та же херь. Т.е., копируя бэкап, ты не можешь точно знать, заражен он или нет.

> Если твоя машина подключена к интернету через домашний роутер

Да.

> конкретно этот шифровальщик до твоей машины не добрался.

Ну, ттт, сейчас полет нормальный. Просто у меня уже такой случай был, причем заблокировали файлы выборочно, видимо, с точки зрения какого-то анализатора, максимально важные. Выручил меня по чистой случайности за несколько месяцев до сделанный бэкап и привычка называть рабочие файлы абы как, вот в папке "Диссертация", "аспирантура" (слава богу, несколько лет как защищено и закончено, да и копии в других местях были - просто показательный выбор файлов "на съедение"). Так что я теперь и бэкап стараюсь не забывать, а ты тут такое говоришь.

ЗЫ Кстати, спасибо за доходчивое пояснение простыми словами. А то тут все такие умные собрались, а мы с мужем сидим, как бараны, муж чего то вроде запустил, но непонятно.

> у меня первая мысль была - бэкапнуть все важное

Это правильная мысль

> Выручил меня по чистой случайности за несколько месяцев до сделанный бэкап и привычка называть рабочие файлы абы как, вот в папке "Диссертация", "аспирантура" (слава богу, несколько лет как защищено и закончено, да и копии в других местях были - просто показательный выбор файлов "на съедение").

В общем, чего-то непонятно я тут написала. Смысл в том, что файлы типа "пьвпкугуо" или "файл1" или "Как нам видно из статьи" - не пострадали (хотя, может, временно - оно, вроде, распространялось по мере задействования файлов), а вот папки с говорящими названиями "аспирантура", "диссертация" - вышибло полностью. Из чего я сделала вывод, что "это неспроста жжжж" :)

> Если твоя машина подключена к интернету через домашний роутер или её подключение к интернету имеет тип "Подключение к общественной сети", возможно, конкретно этот шифровальщик до твоей машины не добрался.

Говорят, говорят, через роутер всё прекрасно заражается.

Наличие бэкапов не поможет избавиться ни от утечки персональных данных, ни
от истекающего из этого гемороя.
MBSA как раз помогает выявить некоторые основные дыры, в том числе указывает на отсутствие критически важных обновлений.

> говорят, через роутер всё прекрасно заражается

Блджад...

Ну, когда уже всем станет доступна 7-уровневая модель ЭМВОС, она же ISO OSI? При чём тут роутер? Это элемент 3-го, сетевого, уровня, не его это дело -- отбрыкиваться от вирусов.

Вирусятина -- это 6-7-й уровни.

> Во взломе ПО как таковом, нет ничего предосудительного.

А УК так не думает.

> В большинстве роутеров порты 135 и 445 для внешки на вход закрыты по-умолчанию.

ШТА???

Во всех роутерах все порты открыты по умолчанию. Я сисадмин со стажем, не грузи мну. Я что ли ISO OSI не знаю?

См. выше: я сейчас сетевой админ в провайдере, но я вижу клиентский трафик.

> проХфессионалы-копмпУторщики не лезут куда не нужно в настройках роутера (например, в те же правила файрвола) или винды (например, отключают обновление, контроль учётных записей и т.д.)

Я тебя огорчу. Я -- профессиональный виндузятник. Любимейшая из ОСей этой линейки -- ХРюша (а ведь я когда-то ея ненавидел).

Первое действие после наката -- повырубать все автообновления. Потому что натащит лишнего мусора. На флешке/диске есть набор строго необходимых апдейтов, и батничек, который их аккуратно запускает в строго нужном порядке.

Из залеченных клиентов ещё никто повторно не обращался. Минус деньги, плюс репутация. Второе дороже, потому что тоже стоит денег :)

> 273 же.

Надо ж тебе, АНБ не соблюдает УК РФ. Гугл объявляя премию за взлом хромого бука призывает нарушать УК РФ за деньги.

Ах да, там же за создание, использование и распространение ПО карают.

Которое:
заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.

Т.е. и гугл и АНБ соблюдают УК РФ и ни к чему плохому не призывают даже по законам нашей страны.

> Это не резервная копия, а хуйня какая-то. Не восстановилась текущая копия - восстанови предыдущую

1. Резервный диск - не резиновый. В связи с этим у резервных копий есть определённый срок хранения, по истечении которого они удаляются.
2. Даже если резервный диск - резиновый, шифровальщик может затаиться и тихо шифровать все файлы в течение, скажем, нескольких месяцев, и только потом грохнуть ключи шифрования и предъявить чек к оплате. Устроит ли тебя, скажем резервная копия трёхмесячной давности, если очень важные и нужные изменения ты внёс в документ буквально вчера?

> Говорят, говорят, через роутер всё прекрасно заражается.

Я чётко написал: "домашний роутер". Домашний роутер - это такая мелкая херня, которую специально ставят дома для раздачи интернета через NAT, когда провайдер выдаёт тебе только один IP-адрес, маршрутизируемый в интернет. А теперь, давай, подключись из интернета к машине с адресом скажем 10.11.11.33, чтобы вкорячить ей в порты 135,445/tcp обсуждаемый эксплоит для SMB. Пока домашний пользователь не пробросит на своём домашнем роутере порты 135,445/tcp на соответствующие порты своей домашней машины, трафик на эти порты упрётся в его домашний маршрутизатор и до его домашней машины не дойдёт. Нет, ну есть, наверно, граждане, которые покупают у своего домашнего провайдера для своей домашней квартирной сети блок маршрутизируемых адресов, чтобы не использовать NAT, но, полагаю, узок их круг, бесконечно далеки они от народа (с).

> > ты такой умный, делаешь бэкап - незараженных, вроде как - файлов, твои потом оказываются зараженными, ты бежишь к бэкапу на съемном диске - а там та же херь.

> Делай бэкапы предназначенными для этого средствами. Тот же windows backup не просто файлы копирует, а хранит несколько их версий.

Если файл уже зашифрован, то уже не важно, каким средством сделан бэкап -- в бэкап лягут уже зашифрованные файлы. Единственный способ, как мне представляется, это открыть зашифрованный файл, пока шифрующий вирус позволяет его расшифровывать, и отправить через сокет на другую машину в надежде, что шифровальщик перехватывает только запись/чтение с диска. Отправить можно по ftp или http, подняв на заражённой машине IIS или апач.

> Т.е. до пользователя в его локалку вся эта хрень из public не доходит. И не должна доходить.

Не должна, но доходит. Камрад Antic пишет, что он наблюдает массу открытых портов 135 и 445/tcp на машинах клиентов провайдера, в котором он работает. Видать, не все админы следуют рекомендациям по защите вычислительных сетей при подключении к интернету.

> Если файл уже зашифрован, то уже не важно, каким средством сделан бэкап -- в бэкап лягут уже зашифрованные файлы

Логично. Берём файл из предыдущей версии.

> Единственный способ, как мне представляется, это открыть зашифрованный файл, пока шифрующий вирус позволяет его расшифровывать

Это чисто теоретические рассуждения, или в природе существуют крипторы, которые умеют перехватывать обращения к файлам?

> Это чисто теоретические рассуждения, или в природе существуют крипторы, которые умеют перехватывать обращения к файлам?

Да был, вроде, такой шифровальшик, который пользовался встроенным шифрованием винды, после чего, вроде, экспортировал в файл и удалял из хранилища закрытые ключи пользователя и агента восстановления.

> Да, и что? В любом случае, бэкап, в котором лежит только одна версия файла - плохой бэкап

Само собой. Но, как правило, срок хранения резервных копий составляет не более двух недель, с еженедельным полным резервным копированием и ежедневным инкрементальным или дифференциальным. То есть, не менее двух копий. Больше просто не позволяют финансы. Ну, это если говорить про централизованный бэкап пользовательских каталогов и сетевых профилей в мелких и средних организациях.

> Это уже из области фантастики. В реальности криптор стремится работать как можно быстрее, пока пользователь не опомнился

Опыт показывает, что иногда резервные копии даже трехчасовой давности уже бывают бесполезны. Всё зависит от конкретного бизнес-процесса.

> "Участие пользователя" - это ещё одна дырка(тоже уже залатанная обновлением), когда посылался доковский rtf-файл (например электронным письмом) а пользователь данный файл открывал, активируя в сидящий в rtf-файле скрипт.

Ага, ну вот, оказывается, путей заражения уже несколько.

> Т.е. и гугл и АНБ соблюдают УК РФ и ни к чему плохому не призывают даже по законам нашей страны.

Гугл нет, АНБ - да.

И снова опять ты невнимательно читаешь то, что я написал.

Все необходимые (!) апдейты я уже заранее стащил и приколотил к установочному диску. После наката системы запускаю накат обновлений. Но не всех подряд, а только тех, которые реально нужны. А автообновление идёт лесом, потому что всякого мусора натаскивает.

С учётом того, что ХРень более не сопровождается, смысл в сервисе автообновлений отпадает сам собой.

Для Семёрки, Десятки -- зависит от клиента, но в основном оставляю. Лично у себя -- пристрелил. Если надо -- лазаю руками.

> как правило, срок хранения резервных копий составляет не более двух недель

Как правило, этого достаточно

> Опыт показывает, что иногда резервные копии даже трехчасовой давности уже бывают бесполезны

Это уже более другой случай, слишком редкое событие, для авторов крипторов не интересное

> Вся проблема в том, что нет явного разделения на категории фиксов. Нельзя включить автоматическую установку только обновлений безопасности

Именно.

Я как раз именно строго апдейты безопасности и натащил. И ставлю отдельно. А сервис пристреливаю.

> Ты о чём сейчас?
> Через NAT входящие запросы и не должны проходить.
>Я писал о другом, а ты невнимательно прочитал. Ещё раз: интернет-провайдер, AS, бордер на Фряхе, за ним клиенты с белыми адресами. Внешними адресами. На бордере пропускается весь трафик, никакие порты не закрыты. И по статистике видно, что у подавляющего большинства 135-й открыт. Закрывать что-либо на бордере нельзя. Давятся только Роскомнадзорные списки.

Я писал что за клиенстким роутером ты не будешь видеть клиентские же 135/445 порты. Почитай на какой вопрос я отвечал.
Ты видишь порты хостов, подключенных напрямую. Но за них я не говорил.

> С учётом того, что ХРень более не сопровождается, смысл в сервисе автообновлений отпадает сам собой.
>
> Для Семёрки, Десятки -- зависит от клиента, но в основном оставляю. Лично у себя -- пристрелил. Если надо -- лазаю руками.

В таком виде, да, согласен. Но тогда зачем ты мне возражал изначально?
Хрюш у пользователей почти не осталось, в основном 7 и 10. А для них апдейты лучше оставить. Как прекратят MS поддерживать семёрку - да, оставлять включённым автообновления не будет смысла. Но это и так понятно, я просто не стал писать про частные случаи.