Wana decrypt0r 2.0 / Wcry 2.0 — крупнейшая вирусная атака

 
1 2 3
+
-
edit
 

imaex

опытный

Balancer> Банкоматы же, например, вообще реальный IP могут иметь. И с виндой. Например:

Реальный IP там может быть нужен исключительно из соображений удобства сопровождения/обслуживания.
Рабочий трафик все равно через VPN идет. Т.ч. держать привязку сетевизмов MS к интерфейсу с реальным IP нет никакой необходимости. По крайней мере я так себе ситуацию представляю. У самого пара десятков подсетей по VPN, без винды, правда.

Balancer> Люди — существа очень плохо обучаемые в таких вопросах :)

Согласен. Хотя, если взять сравнить скорости распространения nimda и этого зловреда - кой-какие выводы все же сделаны. Не все так плохо. Просто новый заточен исключительно на деструктивную деятельность, потому такой и шум. Nimda - червь с человеческим лицом был, так сказать. Насколько я помню, ничем деструктивным, кроме собственного воспроизводства, он не занимался. Там, НЯП, просто какая-то ошибка в коде была, что и вызвало такое взрывное распространение.
 58.0.3029.11058.0.3029.110
RU Alexandrc #18.05.2017 14:41  @Balancer#18.05.2017 07:10
+
-
edit
 

Alexandrc

аксакал

imaex>> Но не в компаниях же уровня того же МФ или СБ?
Balancer> Банкоматы же, например, вообще реальный IP могут иметь. И с виндой. Например:

Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду, потом всплыла заставка "банкомат на техобслуживании" и все закрыла.
Но вы там держитесь!  58.0.3029.11058.0.3029.110
+
-
edit
 

imaex

опытный

Alexandrc> Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду

Дык, после смерти кривой полуоси так оно и есть. Не скажу за 100%, но, где-то около того.
 58.0.3029.11058.0.3029.110
LT Bredonosec #19.05.2017 02:10  @Alexandrc#18.05.2017 14:41
+
-
edit
 
Alexandrc> Только сегодня видел сберовский банкомат, на который, судя по всему по удаленке, накатывали патчи. Обычная WinXP по внешнему виду, потом всплыла заставка "банкомат на техобслуживании" и все закрыла.
так ага )) мягкие вон спецапдейт под ХР сделали через 3 года прекращения обслуживания оси. Как раз на днях выйти должен был - вероятно его и ставили
 26.026.0
+
-
edit
 

imaex

опытный

Bredonosec> так ага )) мягкие вон спецапдейт под ХР сделали через 3 года прекращения обслуживания оси.

Под XP Embedded апдейты выходят до сих пор. Есть сборки для просто XP.

Наборы - UpdatePack-XPSP3-Rus Live 17.5.15

Наборы - UpdatePack-XPSP3-Rus Live 17.5.15 //  forum.oszone.net
 
 58.0.3029.11058.0.3029.110
+
-
edit
 
imaex> Под XP Embedded апдейты выходят до сих пор. Есть сборки для просто XP.
imaex> Наборы - UpdatePack-XPSP3-Rus Live 17.5.15

я бываю на осзоне, в курсе, что там пилят сборки )
Но разве банкоматы - это эмбеддед?

А я об этом событии

Microsoft выпустила обновление для Windows XP

Microsoft выпустила обновление для Windows XP //  www.oszone.net
 
Microsoft больше трёх лет назад прекратила поддержку операционной системы Windows XP, однако в этом мае она получит обновление. В блоге Windows Security сообщается об этом необычном шаге после начала столь же необычно массовой атаки приложения-вымогателя WannaCrypt. В поддерживаемых версиях системы Windows уязвимость была закрыта в мартовских обновлениях, а теперь выпущены патчи для неподдерживаемых Windows XP, Windows 8 и Windows Server 2003.
 

И в теме сборок уже вон указано, что в сборке от 17 мая оно включено.
 53.053.0
+
-
edit
 

imaex

опытный

Bredonosec> Но разве банкоматы - это эмбеддед?

Вполне себе может быть.

Bredonosec> А я об этом событии

Я читал.

Bredonosec> И в теме сборок уже вон указано, что в сборке от 17 мая оно включено.

Да я на пару ноутов накатил ужо. ;)
 58.0.3029.11058.0.3029.110
+
-
edit
 
imaex> Да я на пару ноутов накатил ужо. ;)

а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?
 53.053.0
+
-
edit
 

imaex

опытный

Bredonosec> а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?

Один домашний, другой - рабочий. Еще мафинка рабочая есть, го эт уже на след. неделе, пока в отпуске.
 58.0.3029.11058.0.3029.110
RU Alexandrc #19.05.2017 15:10  @Bredonosec#19.05.2017 14:33
+
-
edit
 

Alexandrc

аксакал

imaex>> Да я на пару ноутов накатил ужо. ;)
Bredonosec> а зачем тебе пара ноутов на хрюше? ) Я б понял, если б один старый, который жалко, но пара?

Мне вот тоже на тройку таких машинок с XP, нужны из-за оборудования которое в 10-ке, как и в 7-ке, не поддерживается, пришлось накатывать.
Вышла "забавная" хохма - одна из этих машинок перестала видеться с одного из ноутов. Все друг друга видят, только эта парочка выделывается. Попытаюсь под это дело все таки железо и софт обновить.

И получил сегодня в "новостях", в порядке прочтения:

360 Total Security Россия | ВКонтакте

Компания Qihoo 360(Нью-Йоркская фондовая биржа NYSE:QIHU)создана в сентябре 2005 года, является самым большим поставщиком безопасных продуктов и услуг для интернета и мобильного телефона в Китае, и бесплатные услуги для около 500 миллионов пользователей ПК интернета и более 640 миллионов пользователей //  vk.com
 

или в блоге 360TS:

Самая большая атака вирусов-вымогателей WannaCry, советы о защиты от этой атаки.

Атака вируса-вымогателя WannaCry охватила более 150 стран,и вызвал огромный ущерб.Вот советы по безопасности,чтобы защитить себя от этой атаки. //  blog.360totalsecurity.com
 

Потом в Хакере увидел:

Найден способ расшифровки файлов после атаки WannaCry - «Хакер»

Исследователи сообщают, что некоторые пользователи Windows XP могут спасти свои данные, не выплачивая выкуп злоумышленникам //  xakep.ru
 
Но вы там держитесь!  58.0.3029.11058.0.3029.110
RU Alexandrc #19.05.2017 15:54
+
-
edit
 

Alexandrc

аксакал

Об атаке вируса Wannacry | Банк России

ФинЦЕРТ Банка России в апреле 2017 года разослал участникам информационного обмена информацию о методах выявления рассылаемого по почте вредоносного программного обеспечения типа «шифровальщик» и противодействия ему. Злоумышленники используют его для шифрования файлов с целью вымогательства денег за восстановление зашифрованных данных. В частности, были направлены рекомендации по установке пакета обновлений безопасности для Windows, в том числе обновление безопасности для Windows KB4013389 от 14 марта 2017 года, которое способно противостоять вредоносному программному обеспечению Wannacry. //  Дальше — www.cbr.ru
 
По итогам рассылки вредоносного программного обеспечения Wannacry зафиксированы единичные факты компрометации ресурсов кредитных организаций. Последствия этих инцидентов были устранены в кратчайшие сроки.
 
Но вы там держитесь!  58.0.3029.11058.0.3029.110
LT Bredonosec #19.05.2017 20:24  @Alexandrc#19.05.2017 15:10
+
-
edit
 
Alexandrc> Потом в Хакере увидел:
Alexandrc> Найден способ расшифровки файлов после атаки WannaCry - «Хакер»

ключ остаётся только в оперативке? Но как к нему поиметь доступ? Пытаться сливать полный дамп памяти на некий носитель, и потом этот дамп крутить?
 26.026.0
RU Alexandrc #21.05.2017 18:16  @Bredonosec#19.05.2017 20:24
+
-
edit
 

Alexandrc

аксакал

Bredonosec> ключ остаётся только в оперативке? Но как к нему поиметь доступ? Пытаться сливать полный дамп памяти на некий носитель, и потом этот дамп крутить?

Ну да, указатель переинициализировали, а тот кусок памяти, что был выделен, не перезаписали.
Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Это надо код глянуть :F
Но вы там держитесь!  45.945.9

Monya

опытный

imaex> Но не в компаниях же уровня того же МФ или СБ?
Легко. Ты слишком хорошего мнения о таких громоздких структурах.
 49.0.2623.11249.0.2623.112
LT Bredonosec #22.05.2017 15:33  @Alexandrc#21.05.2017 18:16
+
-
edit
 
Alexandrc> Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Alexandrc> Это надо код глянуть :F
А как под самой виндой, да еще и зараженной, задампить кусок памяти, выделенный приложению?
 53.053.0
RU Sandro #23.05.2017 00:26  @Bredonosec#22.05.2017 15:33
+
+2
-
edit
 

Sandro
AXT

инженер вольнодумец
★☆
Alexandrc>> Можно конечно слить дамп всей памяти, главное успеть пока ключ в памяти не затерся, но обцчно достаточно искать в той, что выделена приложению. Я так когда-то игрушки ломал.
Alexandrc>> Это надо код глянуть :F
Bredonosec> А как под самой виндой, да еще и зараженной, задампить кусок памяти, выделенный приложению?

Через отладчик, фигле. Присоединившийся к приложению отладчик может свободно читать/писать его память. Самый удобный способ для программиста, поскольку отладчик есть в комплекте нативных средств разработки. Умные зловреды проверяют при старте. Особо умные проверяют регулярно.

Ну далее, можно ЗАРАНЕЕ запастись утилитками, умеющими прицепляться к памяти приложения разными способами.

Через хуки или RPC (так обычно действуют краки для SafeDisc и прочих защит программ от законного пользователя).

Для везунчиков — сдублировать своп (в настоящее время хрен поможет).

Для истинных джедаев — через kernel debugging. Приложение не в теме, что за ним шпионят через системнsе функции.

Для джедаев-мракобесов — просто внедрение в ядро установкой драйвера.

Но всё фигня по сравнению с захватом управления ОС через сломанную таблицу секций PE. Это мега-чит, для истинных Мастеров Силы.

Вроде бы в семёрке и далее всё почти что выпилили, но ...

PS: Новая Artmoney вроде умееет дампить память.
 37.037.0
LT Bredonosec #23.05.2017 18:04  @Sandro#23.05.2017 00:26
+
-
edit
 
Sandro> Через отладчик, фигле. Присоединившийся к приложению отладчик может свободно читать/писать его память. Умные зловреды проверяют при старте. Особо умные проверяют регулярно.
То есть, только заранее поимев его там, а не постфактум на зараженной?

Sandro> Ну далее, можно ЗАРАНЕЕ запастись утилитками, умеющими прицепляться к памяти приложения разными способами.
Огласите весь список © )))
И разве зловреды не заразят также и этот утиль? Среди последнего, что попадалось, подменило банально исполнителя ехе, и при попытке открыть что угодно, в память лезло злое, попутно пытаясь инфицировать вызванный файл..

Sandro> Но всё фигня по сравнению с захватом управления ОС через сломанную таблицу секций PE. Это мега-чит, для истинных Мастеров Силы.
ээ... я даже не понял, как это?

Sandro> Вроде бы в семёрке и далее всё почти что выпилили, но ...
то есть, утиль работает только на старых осях? Ну, кроме этой артмани.
 53.053.0
RU VVSFalcon #24.05.2017 15:58  @Bredonosec#23.05.2017 18:04
+
-
edit
 

VVSFalcon

аксакал

Bredonosec> ээ... я даже не понял, как это?
Это примерно как в виртуалке.
Ба, да это же жопа! Интересно, как выглядели ее создатели? (c)  57.0.2987.13357.0.2987.133
RU Анархист 86 #24.05.2017 18:42
+
-
edit
 
Обнаружил в рабочей почте
Прикреплённые файлы:
20170524_203601.jpg (скачать) [2560x1440, 1,7 МБ, 0 загрузок]
 
 
 58.0.3029.8358.0.3029.83
RU Alexandrc #25.05.2017 18:00  @Анархист 86#24.05.2017 18:42
+
-
edit
 

Alexandrc

аксакал

А.8.> Обнаружил в рабочей почте

Народ соломку подстелил ;)
И не одной виндой дело может ограничиться:

Внимание! Linux-версия эксплойта EternalBlue

В сетевом программном обеспечении Samba обнаружена критическая уязвимость 7-летней давности, обеспечивающая возможность удалённого выполнение кода. Эта брешь... //  habrahabr.ru
 
Но вы там держитесь!  44
RU Alexandrc #26.05.2017 17:12
+
-
edit
 

Alexandrc

аксакал

Возможны китайские корни:

Лингвистический анализ WannaCry показал, что малварь написали китайцы - «Хакер»

Эксперты продолжают изучать вымогателя WannaCry и пытаются разобраться в том, кто стоял за массовыми вымогательскими атаками. //  xakep.ru
 
Но вы там держитесь!  58.0.3029.11058.0.3029.110
LT Bredonosec #27.05.2017 08:52  @Alexandrc#26.05.2017 17:12
+
-
edit
 
Alexandrc> Возможны китайские корни:
Alexandrc> Лингвистический анализ WannaCry показал, что малварь написали китайцы - «Хакер»

не факт.

Запутанные сети: WikiLeaks раскрыл программу ЦРУ для маскировки взломов

Центральное разведывательное управление США имеет в своём активе программу, с помощью которой может маскировать свои действия в интернете. Информацию о специальном коде под названием Marble и zip-архив, который содержит 676 файлов программы, опубликовал сайт WikiLeaks. На портале отмечается, что ЦРУ обладает возможностью скрывать происхождение создателей вредоносных программ, выдавая их за россиян, китайцев или граждан других стран. //  russian.rt.com
 

(почему-то не нахожу этого на абазе, хоть точно было)
 26.026.0

Bod

координатор
★★★★☆

Вирус–вымогатель «WаnnаСrу» атаковал Израиль... И, таки, остался должен.
 
 45.945.9
RU Alexandrc #27.05.2017 20:47  @Bredonosec#27.05.2017 08:52
+
-
edit
 

Alexandrc

аксакал

Bredonosec> не факт.

Написан китайцем(ами) не значит автоматом, что написан в Китае по заказу соответствующих китайских органов ;)
В принципе, теоретически, нигерийским хакерам ничто не мешает в интернете найти живых носителей нужного им для перевода заставки языка :D
Но вы там держитесь!  45.945.9
LT Bredonosec #27.05.2017 23:05  @Alexandrc#27.05.2017 20:47
+
-
edit
 
Alexandrc> Написан китайцем(ами) не значит автоматом, что написан в Китае по заказу соответствующих китайских органов ;)
не, я о том, что наличие там заставки или кусков комментов на якобы "китайском" не означает ровным счетом ничего, учитывая работающую систему обфускации.
Более того, учитывая, что работа была сделана, а викиликс обнародовал, оставалось или слить в унитаз, или кинуть в дело, подставив хотя бы русских или китайцев, пока дыру не закрыли. Вот, собсно, кинули. Со сдохшей овцы хоть шерсти клок.
 26.026.0
Последние действия над темой
1 2 3

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru