Robot_NagNews Posted May 17, 2017 Posted May 17, 2017 Материал: Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью. Полный текст Вставить ник Quote
xakep7 Posted May 17, 2017 Posted May 17, 2017 Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043 Вставить ник Quote
snvoronkov Posted May 17, 2017 Posted May 17, 2017 Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя. Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок. Вставить ник Quote
nuclearcat Posted May 17, 2017 Posted May 17, 2017 Да, он дроппер в основном функционале, а не вымогатель. Вымогателем его приюзали северокорейцы. Вставить ник Quote
Ivan_83 Posted May 18, 2017 Posted May 18, 2017 Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft». Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно. Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года. Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время. И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции) Вставить ник Quote
Sergey Gilfanov Posted May 18, 2017 Posted May 18, 2017 Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно. Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?). Вставить ник Quote
Ivan_83 Posted May 18, 2017 Posted May 18, 2017 Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров. Вставить ник Quote
ii_blag Posted May 19, 2017 Posted May 19, 2017 Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам " Спасибо, взял на заметку! Вставить ник Quote
Sergey Gilfanov Posted May 19, 2017 Posted May 19, 2017 Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Вставить ник Quote
fhunter Posted May 19, 2017 Posted May 19, 2017 Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Ещё по remote desktop себя же пробрасывал. В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol Вставить ник Quote
lacost Posted May 20, 2017 Posted May 20, 2017 У нас давно уже на всех коммутаторах стоит запрет на 445 порт. Вставить ник Quote
Ivan_83 Posted May 21, 2017 Posted May 21, 2017 Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Это не решение, это самокастрация. Вставить ник Quote
Sergey Gilfanov Posted May 21, 2017 Posted May 21, 2017 Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Это не решение, это самокастрация. Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть. Вставить ник Quote
andryas Posted May 21, 2017 Posted May 21, 2017 Кстати, этот вирус соседей по сети как находит? https://habrahabr.ru/company/microsoft/blog/328910/ Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры. Вставить ник Quote
rm_ Posted May 21, 2017 Posted May 21, 2017 Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft». Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft». Вставить ник Quote
Ivan_83 Posted May 22, 2017 Posted May 22, 2017 А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть. Ну давай, настрой аутлук через прокси. Потом токс. Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы. Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft». А ты со всех интерфейсов снял? А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю? Вставить ник Quote
rm_ Posted May 22, 2017 Posted May 22, 2017 А ты со всех интерфейсов снял?А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю? Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён. Вставить ник Quote
Ivan_83 Posted May 22, 2017 Posted May 22, 2017 135/tcp open msrpc 139/tcp open netbios-ssn А вот 445 уже нет. Поэтому в сетевом окружении его видно, а шар нет. нетбиос в свойствах адаптера отдельно вроде был. Вставить ник Quote
Ivan_83 Posted May 22, 2017 Posted May 22, 2017 139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере. Отключение службы сервер никак не влияет на порт 135. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.