Jump to content
Калькуляторы

"Упс, ваши файлы закодированы" (WannaCry - и вправду хочется заплакать)

Материал:

Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью.

 

Полный текст

Share this post


Link to post
Share on other sites

Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043

Share this post


Link to post
Share on other sites

Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя.

 

Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок.

Share this post


Link to post
Share on other sites

Да, он дроппер в основном функционале, а не вымогатель.

Вымогателем его приюзали северокорейцы.

Share this post


Link to post
Share on other sites

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

 

Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года.

Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время.

И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции)

Share this post


Link to post
Share on other sites

Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно.

Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?).

Share this post


Link to post
Share on other sites

Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров.

Share this post


Link to post
Share on other sites

Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам "

Спасибо, взял на заметку!

Share this post


Link to post
Share on other sites

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Share this post


Link to post
Share on other sites

Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Ещё по remote desktop себя же пробрасывал.

 

В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol

Share this post


Link to post
Share on other sites

У нас давно уже на всех коммутаторах стоит запрет на 445 порт.

Share this post


Link to post
Share on other sites
Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Share this post


Link to post
Share on other sites
Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет.

Это не решение, это самокастрация.

Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Share this post


Link to post
Share on other sites

Кстати, этот вирус соседей по сети как находит?

 

https://habrahabr.ru/company/microsoft/blog/328910/

 

Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.

Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры.

Share this post


Link to post
Share on other sites
Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft».

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти.

Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

Share this post


Link to post
Share on other sites
А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть.

Ну давай, настрой аутлук через прокси.

Потом токс.

Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы.

 

 

Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft».

А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Share this post


Link to post
Share on other sites
А ты со всех интерфейсов снял?

А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю?

Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён.

Share this post


Link to post
Share on other sites

135/tcp open msrpc

139/tcp open netbios-ssn

 

А вот 445 уже нет.

Поэтому в сетевом окружении его видно, а шар нет.

нетбиос в свойствах адаптера отдельно вроде был.

Share this post


Link to post
Share on other sites

139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере.

Отключение службы сервер никак не влияет на порт 135.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this