"Упс, ваши файлы закодированы" (WannaCry - и вправду хочется заплакать)

Материал:

Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью.

 

Полный текст

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя.

 

Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, он дроппер в основном функционале, а не вымогатель.

Вымогателем его приюзали северокорейцы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

 

Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года.

Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время.

И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам "

Спасибо, взял на заметку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Ещё по remote desktop себя же пробрасывал.

 

В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У нас давно уже на всех коммутаторах стоит запрет на 445 порт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кстати, этот вирус соседей по сети как находит?

 

https://habrahabr.ru/company/microsoft/blog/328910/

 

Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.

Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти.

Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Ну давай, настрой аутлук через прокси.

Потом токс.

Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы.

 

 

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

135/tcp open msrpc

139/tcp open netbios-ssn

 

А вот 445 уже нет.

Поэтому в сетевом окружении его видно, а шар нет.

нетбиос в свойствах адаптера отдельно вроде был.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере.

Отключение службы сервер никак не влияет на порт 135.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0