[Robot_NagNews]

Материал:

Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью.

 

Полный текст

[xakep7]

Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043

[snvoronkov]

Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя.

 

Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок.

[nuclearcat]

Да, он дроппер в основном функционале, а не вымогатель.

Вымогателем его приюзали северокорейцы.

[Ivan_83]

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

 

Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года.

Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время.

И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции)

[Sergey Gilfanov]

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?).

[Ivan_83]

Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров.

[ii_blag]

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам "

Спасибо, взял на заметку!

[Sergey Gilfanov]

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

[fhunter]

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Ещё по remote desktop себя же пробрасывал.

 

В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol

[lacost]

У нас давно уже на всех коммутаторах стоит запрет на 445 порт.

[Ivan_83]

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

[Sergey Gilfanov]

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

[andryas]

Кстати, этот вирус соседей по сети как находит?

 

https://habrahabr.ru/company/microsoft/blog/328910/

 

Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.

Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры.

[rm_]

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти.

Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

[Ivan_83]

А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Ну давай, настрой аутлук через прокси.

Потом токс.

Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы.

 

 

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

[rm_]

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён.

[Ivan_83]

135/tcp open msrpc

139/tcp open netbios-ssn

 

А вот 445 уже нет.

Поэтому в сетевом окружении его видно, а шар нет.

нетбиос в свойствах адаптера отдельно вроде был.

[Ivan_83]

139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере.

Отключение службы сервер никак не влияет на порт 135.