Вы Гость ( Вход | Регистрация ) политика конфиденциальности

"Упс, ваши файлы закодированы" (WannaCry - и вправду хочется заплакать) Оценка: ----- Страница 1 из 1 опции темы

Пользователь офлайн Robot_NagNews
17 мая 2017 - 15:31
Сообщение #1

Звание: Профессор
Группа: VIP
Сообщений: 4 012
Регистрация: 11 февраля 10
Материал:
Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью.

Полный текст
 
Пользователь офлайн xakep7
17 мая 2017 - 15:31
Сообщение #2

Звание: Абитуриент
Группа: Пользователи
Сообщений: 11
Регистрация: 16 декабря 11
Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines...ad.php?t=963043
 
Пользователь офлайн snvoronkov
17 мая 2017 - 15:40
Сообщение #3

Звание: Академик
Группа: VIP
Сообщений: 5 311
Регистрация: 08 ноября 12
Город: Тюмень
Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя.

Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок.
 
Пользователь офлайн nuclearcat
17 мая 2017 - 15:51
Сообщение #4

Звание: Академик
Группа: VIP
Сообщений: 9 093
Регистрация: 31 января 04
Да, он дроппер в основном функционале, а не вымогатель.
Вымогателем его приюзали северокорейцы.
 
Пользователь офлайн Ivan_83
18 мая 2017 - 20:03
Сообщение #5

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk
Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».
Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года.
Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время.
И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции)
 
Пользователь офлайн Sergey Gilfanov
18 мая 2017 - 20:19
Сообщение #6

Звание: Академик
Группа: VIP
Сообщений: 10 876
Регистрация: 01 ноября 02

Просмотр сообщенияIvan_83 (18 мая 2017 - 20:03) писал:

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?).
 
Пользователь офлайн Ivan_83
18 мая 2017 - 20:32
Сообщение #7

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk
Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров.
 
Пользователь офлайн ii_blag
19 мая 2017 - 14:59
Сообщение #8

Звание: Студент
Группа: Активный участник
Сообщений: 114
Регистрация: 28 июля 11

Просмотр сообщенияIvan_83 (18 мая 2017 - 20:03) писал:

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам "

Спасибо, взял на заметку!
 
Пользователь офлайн Sergey Gilfanov
19 мая 2017 - 15:14
Сообщение #9

Звание: Академик
Группа: VIP
Сообщений: 10 876
Регистрация: 01 ноября 02
Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.
 
Пользователь офлайн fhunter
19 мая 2017 - 18:48
Сообщение #10

Звание: Студент
Группа: Активный участник
Сообщений: 191
Регистрация: 10 июля 14

Просмотр сообщенияSergey Gilfanov (19 мая 2017 - 15:14) писал:

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Ещё по remote desktop себя же пробрасывал.

В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia...covery_Protocol
 
Пользователь офлайн lacost
20 мая 2017 - 11:24
Сообщение #11

Звание: Студент
Группа: Активный участник
Сообщений: 142
Регистрация: 27 декабря 05
У нас давно уже на всех коммутаторах стоит запрет на 445 порт.
 
Пользователь офлайн Ivan_83
21 мая 2017 - 07:25
Сообщение #12

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk

Просмотр сообщенияSergey Gilfanov (19 мая 2017 - 15:14) писал:

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.
 
Пользователь офлайн Sergey Gilfanov
21 мая 2017 - 11:57
Сообщение #13

Звание: Академик
Группа: VIP
Сообщений: 10 876
Регистрация: 01 ноября 02

Просмотр сообщенияIvan_83 (21 мая 2017 - 07:25) писал:

Просмотр сообщенияSergey Gilfanov (19 мая 2017 - 15:14) писал:

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.
 
Пользователь офлайн andryas
21 мая 2017 - 12:34
Сообщение #14

Звание: Скрипач
Группа: VIP
Сообщений: 6 138
Регистрация: 05 ноября 05
Город: Хануд

Просмотр сообщенияSergey Gilfanov (19 мая 2017 - 15:14) писал:

Кстати, этот вирус соседей по сети как находит?


https://habrahabr.ru...ft/blog/328910/

Цитата

Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.
Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры.
 
Пользователь офлайн rm_
21 мая 2017 - 17:00
Сообщение #15

Звание: Аспирант
Группа: Активный участник
Сообщений: 882
Регистрация: 04 мая 09
Город: Тюмень

Цитата

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти.
Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».
 
Пользователь офлайн Ivan_83
22 мая 2017 - 05:49
Сообщение #16

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk

Просмотр сообщенияSergey Gilfanov (21 мая 2017 - 11:57) писал:

А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Ну давай, настрой аутлук через прокси.
Потом токс.
Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы.


Просмотр сообщенияrm_ (21 мая 2017 - 17:00) писал:

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

А ты со всех интерфейсов снял?
А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?
 
Пользователь офлайн rm_
22 мая 2017 - 09:58
Сообщение #17

Звание: Аспирант
Группа: Активный участник
Сообщений: 882
Регистрация: 04 мая 09
Город: Тюмень

Цитата

А ты со всех интерфейсов снял?
А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён.
 
Пользователь офлайн Ivan_83
22 мая 2017 - 15:05
Сообщение #18

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk
135/tcp open msrpc
139/tcp open netbios-ssn

А вот 445 уже нет.
Поэтому в сетевом окружении его видно, а шар нет.
нетбиос в свойствах адаптера отдельно вроде был.
 
Пользователь офлайн Ivan_83
23 мая 2017 - 00:06
Сообщение #19

Звание: Мой статус
Группа: VIP
Сообщений: 10 462
Регистрация: 18 октября 08
Город: Msk
139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере.
Отключение службы сервер никак не влияет на порт 135.
 
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей