Перейти к содержимому
Калькуляторы

"Упс, ваши файлы закодированы" (WannaCry - и вправду хочется заплакать)

Материал:

Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя.

 

Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, он дроппер в основном функционале, а не вымогатель.

Вымогателем его приюзали северокорейцы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

 

Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года.

Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время.

И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам "

Спасибо, взял на заметку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Ещё по remote desktop себя же пробрасывал.

 

В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас давно уже на всех коммутаторах стоит запрет на 445 порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, этот вирус соседей по сети как находит?

 

https://habrahabr.ru/company/microsoft/blog/328910/

 

Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.

Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти.

Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Ну давай, настрой аутлук через прокси.

Потом токс.

Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы.

 

 

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

135/tcp open msrpc

139/tcp open netbios-ssn

 

А вот 445 уже нет.

Поэтому в сетевом окружении его видно, а шар нет.

нетбиос в свойствах адаптера отдельно вроде был.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере.

Отключение службы сервер никак не влияет на порт 135.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.