Wana decrypt0r 2.0 / Wcry 2.0 — крупнейшая вирусная атака

Balancer> Банкоматы же, например, вообще реальный IP могут иметь. И с виндой. Например:

Реальный IP там может быть нужен исключительно из соображений удобства сопровождения/обслуживания.
Рабочий трафик все равно через VPN идет. Т.ч. держать привязку сетевизмов MS к интерфейсу с реальным IP нет никакой необходимости. По крайней мере я так себе ситуацию представляю. У самого пара десятков подсетей по VPN, без винды, правда.

Balancer> Люди — существа очень плохо обучаемые в таких вопросах

Согласен. Хотя, если взять сравнить скорости распространения nimda и этого зловреда - кой-какие выводы все же сделаны. Не все так плохо. Просто новый заточен исключительно на деструктивную деятельность, потому такой и шум. Nimda - червь с человеческим лицом был, так сказать. Насколько я помню, ничем деструктивным, кроме собственного воспроизводства, он не занимался. Там, НЯП, просто какая-то ошибка в коде была, что и вызвало такое взрывное распространение.

imaex>> Но не в компаниях же уровня того же МФ или СБ?
Balancer> Банкоматы же, например, вообще реальный IP могут иметь. И с виндой. Например:

Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду, потом всплыла заставка "банкомат на техобслуживании" и все закрыла.

Alexandrc> Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду

Дык, после смерти кривой полуоси так оно и есть. Не скажу за 100%, но, где-то около того.

Alexandrc> Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду, потом всплыла заставка "банкомат на техобслуживании" и все закрыла.
так ага )) мягкие вон спецапдейт под ХР сделали через 3 года прекращения обслуживания оси. Как раз на днях выйти должен был - вероятно его и ставили

Bredonosec> так ага )) мягкие вон спецапдейт под ХР сделали через 3 года прекращения обслуживания оси.

Под XP Embedded апдейты выходят до сих пор. Есть сборки для просто XP.

imaex> Под XP Embedded апдейты выходят до сих пор. Есть сборки для просто XP.
imaex> Наборы - UpdatePack-XPSP3-Rus Live 17.5.15

я бываю на осзоне, в курсе, что там пилят сборки )
Но разве банкоматы - это эмбеддед?

А я об этом событии

Microsoft больше трёх лет назад прекратила поддержку операционной системы Windows XP, однако в этом мае она получит обновление. В блоге Windows Security сообщается об этом необычном шаге после начала столь же необычно массовой атаки приложения-вымогателя WannaCrypt. В поддерживаемых версиях системы Windows уязвимость была закрыта в мартовских обновлениях, а теперь выпущены патчи для неподдерживаемых Windows XP, Windows 8 и Windows Server 2003.

 

И в теме сборок уже вон указано, что в сборке от 17 мая оно включено.

Bredonosec> Но разве банкоматы - это эмбеддед?

Вполне себе может быть.

Bredonosec> А я об этом событии

Я читал.

Bredonosec> И в теме сборок уже вон указано, что в сборке от 17 мая оно включено.

Да я на пару ноутов накатил ужо.

imaex> Да я на пару ноутов накатил ужо.

а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?

Bredonosec> а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?

Один домашний, другой - рабочий. Еще мафинка рабочая есть, го эт уже на след. неделе, пока в отпуске.

imaex>> Да я на пару ноутов накатил ужо.
Bredonosec> а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?

Мне вот тоже на тройку таких машинок с XP, нужны из-за оборудования которое в 10-ке, как и в 7-ке, не поддерживается, пришлось накатывать.
Вышла "забавная" хохма - одна из этих машинок перестала видеться с одного из ноутов. Все друг друга видят, только эта парочка выделывается. Попытаюсь под это дело все таки железо и софт обновить.

И получил сегодня в "новостях", в порядке прочтения:

или в блоге 360TS:

Потом в Хакере увидел:

Alexandrc> Потом в Хакере увидел:
Alexandrc> Найден способ расшифровки файлов после атаки WannaCry - «Хакер»

ключ остаётся только в оперативке? Но как к нему поиметь доступ? Пытаться сливать полный дамп памяти на некий носитель, и потом этот дамп крутить?

Bredonosec> ключ остаётся только в оперативке? Но как к нему поиметь доступ? Пытаться сливать полный дамп памяти на некий носитель, и потом этот дамп крутить?

Ну да, указатель переинициализировали, а тот кусок памяти, что был выделен, не перезаписали.
Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Это надо код глянуть

imaex> Но не в компаниях же уровня того же МФ или СБ?
Легко. Ты слишком хорошего мнения о таких громоздких структурах.

Alexandrc> Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Alexandrc> Это надо код глянуть
А как под самой виндой, да еще и зараженной, задампить кусок памяти, выделенный приложению?

Alexandrc>> Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Alexandrc>> Это надо код глянуть
Bredonosec> А как под самой виндой, да еще и зараженной, задампить кусок памяти, выделенный приложению?

Через отладчик, фигле. Присоединившийся к приложению отладчик может свободно читать/писать его память. Самый удобный способ для программиста, поскольку отладчик есть в комплекте нативных средств разработки. Умные зловреды проверяют при старте. Особо умные проверяют регулярно.

Ну далее, можно ЗАРАНЕЕ запастись утилитками, умеющими прицепляться к памяти приложения разными способами.

Через хуки или RPC (так обычно действуют краки для SafeDisc и прочих защит программ от законного пользователя).

Для везунчиков — сдублировать своп (в настоящее время хрен поможет).

Для истинных джедаев — через kernel debugging. Приложение не в теме, что за ним шпионят через системнsе функции.

Для джедаев-мракобесов — просто внедрение в ядро установкой драйвера.

Но всё фигня по сравнению с захватом управления ОС через сломанную таблицу секций PE. Это мега-чит, для истинных Мастеров Силы.

Вроде бы в семёрке и далее всё почти что выпилили, но ...

PS: Новая Artmoney вроде умееет дампить память.

Sandro> Через отладчик, фигле. Присоединившийся к приложению отладчик может свободно читать/писать его память. Умные зловреды проверяют при старте. Особо умные проверяют регулярно.
То есть, только заранее поимев его там, а не постфактум на зараженной?

Sandro> Ну далее, можно ЗАРАНЕЕ запастись утилитками, умеющими прицепляться к памяти приложения разными способами.
Огласите весь список © )))
И разве зловреды не заразят также и этот утиль? Среди последнего, что попадалось, подменило банально исполнителя ехе, и при попытке открыть что угодно, в память лезло злое, попутно пытаясь инфицировать вызванный файл..

Sandro> Но всё фигня по сравнению с захватом управления ОС через сломанную таблицу секций PE. Это мега-чит, для истинных Мастеров Силы.
ээ... я даже не понял, как это?

Sandro> Вроде бы в семёрке и далее всё почти что выпилили, но ...
то есть, утиль работает только на старых осях? Ну, кроме этой артмани.

Bredonosec> ээ... я даже не понял, как это?
Это примерно как в виртуалке.

А.8.> Обнаружил в рабочей почте

Народ соломку подстелил
И не одной виндой дело может ограничиться:

Alexandrc> Возможны китайские корни:
Alexandrc> Лингвистический анализ WannaCry показал, что малварь написали китайцы - «Хакер»

не факт.

(почему-то не нахожу этого на абазе, хоть точно было)

Bredonosec> не факт.

Написан китайцем(ами) не значит автоматом, что написан в Китае по заказу соответствующих китайских органов
В принципе, теоретически, нигерийским хакерам ничто не мешает в интернете найти живых носителей нужного им для перевода заставки языка

Alexandrc> Написан китайцем(ами) не значит автоматом, что написан в Китае по заказу соответствующих китайских органов
не, я о том, что наличие там заставки или кусков комментов на якобы "китайском" не означает ровным счетом ничего, учитывая работающую систему обфускации.
Более того, учитывая, что работа была сделана, а викиликс обнародовал, оставалось или слить в унитаз, или кинуть в дело, подставив хотя бы русских или китайцев, пока дыру не закрыли. Вот, собсно, кинули. Со сдохшей овцы хоть шерсти клок.