habrahabr.ru — Вирус зашифровывает все файлы на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма увеличивается вдвое.
> Говорят, говорят, через роутер всё прекрасно заражается.
В большинстве роутеров порты 135 и 445 для внешки на вход закрыты по-умолчанию. Если некие шибко грамотные проХфессионалы-копмпУторщики не лезут куда не нужно в настройках роутера (например, в те же правила файрвола) или винды (например, отключают обновление, контроль учётных записей и т.д.) - проблем быть не должно.
Подавляющее большинство проблем с локальными компьютерами - это результат действий их владельцев или их "прохаванных" друзей-помощников.
> Во всех роутерах все порты открыты по умолчанию. Я сисадмин со стажем, не грузи мну. Я что ли ISO OSI не знаю?
Да ну?!!
Ок берем типичный для пользователя TP-Link или Dlink. Сбрасываем на дефолт. Настраиваем Wan. Пробуем через него из внешки коннекнутся к порту 135, 445. Благо онлайн-сервисов выше крыши.
Банан - запросы из внешки закрыты. Ибо запросы с внешнего интерфейса всегда по-умолчанию закрыты. Открыты request'ы изнутри и reply'и на них.
Берем оборудование серьёзней. Например у меня сейчас есть cisco ASA 5505 и 5520. Настраиваем интерфейс провайдера, локальному инетерфейсу назначаем ИП.
Проверяем - банан, запрос из внешки не пройдёт (security level внутреннего интерфейса выше внешнего).
Опять же админ взяв голую cisco (у меня 2811, 2911, 3845) настраивая нат и access-list'ы первым делом блокирует порты 135, 137, 138, netbios-ssn, 445, telnet, netbios-ns, netbios-dgm и т.д.
Т.е. до пользователя в его локалку вся эта хрень из public не доходит. И не должна доходить.
> Первое действие после наката -- повырубать все автообновления
Я рад за твоих пользователей. Конечно, лучше потом с клиентов бабки брать за вызов, чем глупые ничего не понимающие "програмисты мелкомягких" будут вносить исправления в работу своей же ОС.
Да и зачем пользователю получать обновления и быть защищённым от разных уязвимостей - пущай годами система дырявая будет. Вотт, как сейчас - нафига мелкософтовсы ещё овер 3 месяца назад закрыли уязвимость по 135,445 порту, что использует нынешний Ransomware и выпустили обновление, закрывающее уязвимость?!
Нее, лучше отключить его нафиг - пущай у юзверя через дырку файлы пошифруются или ещё какая гадость случиться. Он ведь в ремонт понесёт - а это чей-то заработок.
> > Не должна, но доходит. Камрад Antic пишет, что он наблюдает массу открытых портов 135 и 445/tcp на машинах клиентов провайдера, в котором он работает.
Ибо он пишет не про клиентские роутеры(и хосты за ними), а про - машины клиентов без роутеров. Разницу улавливаешь?
Я писал ответ на "Говорят, говорят, через роутер всё прекрасно заражается.", а Antic пишет что видит порты клиентов, где большинство как правило без роутеров.
И да, до обновления винды, сделанного 3 месяца назад, данный шифровальщик мог проникнуть через уязвимость 135/145. С обновлением же он на компы самостоятельно (без участия пользователя) проникнуть не может.
"Участие пользователя" - это ещё одна дырка(тоже уже залатанная обновлением), когда посылался доковский rtf-файл (например электронным письмом) а пользователь данный файл открывал, активируя в сидящий в rtf-файле скрипт.
> Ты о чём сейчас? > Через NAT входящие запросы и не должны проходить. >Я писал о другом, а ты невнимательно прочитал. Ещё раз: интернет-провайдер, AS, бордер на Фряхе, за ним клиенты с белыми адресами. Внешними адресами. На бордере пропускается весь трафик, никакие порты не закрыты. И по статистике видно, что у подавляющего большинства 135-й открыт. Закрывать что-либо на бордере нельзя. Давятся только Роскомнадзорные списки.
Я писал что за клиенстким роутером ты не будешь видеть клиентские же 135/445 порты. Почитай на какой вопрос я отвечал.
Ты видишь порты хостов, подключенных напрямую. Но за них я не говорил.
> С учётом того, что ХРень более не сопровождается, смысл в сервисе автообновлений отпадает сам собой. > > Для Семёрки, Десятки -- зависит от клиента, но в основном оставляю. Лично у себя -- пристрелил. Если надо -- лазаю руками.
В таком виде, да, согласен. Но тогда зачем ты мне возражал изначально?
Хрюш у пользователей почти не осталось, в основном 7 и 10. А для них апдейты лучше оставить. Как прекратят MS поддерживать семёрку - да, оставлять включённым автообновления не будет смысла. Но это и так понятно, я просто не стал писать про частные случаи.
Сейчас, сейчас
В большинстве роутеров порты 135 и 445 для внешки на вход закрыты по-умолчанию. Если некие шибко грамотные проХфессионалы-копмпУторщики не лезут куда не нужно в настройках роутера (например, в те же правила файрвола) или винды (например, отключают обновление, контроль учётных записей и т.д.) - проблем быть не должно.
Подавляющее большинство проблем с локальными компьютерами - это результат действий их владельцев или их "прохаванных" друзей-помощников.