14 мая в 20:50

Анализ шифровальщика Wana Decrypt0r 2.0


 
Специалисты компаний T&T Security и Pentestit произвели анализ шифровальщика Wana Decrypt0r 2.0 для выявления функционала, анализа поведения и способов распространения вредоноса.


Wanna Decrypt0r, распространяемый через SMB — это вторая версия Wanna Cry, который распространялся более классическими способами (фишинг), поэтому он имеет индекс 2.0. В данный момент существуют минимум три ветки шифровальщика: фишинговая (первая), киллсвитч (первая волна), без киллсвитчера (выпущенная буквально несколько часов назад). По состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.


Статистика


Заражения:


В настоящий момент (19:00 GMT+3) заражено 236,648 машин (вероятнее всего завтра эта цифра значительно увеличится). Хотя управляющий (вернее, отвечающий за распространение) домен удалось засинкхолить, судить о количестве заражений по "отстуку" на этот домен — неверно. Часть зараженных машин может находиться за NAT или отключена от глобальной сети.
 



 


Выплаты:


Выкуп за расшифровку перечисляются на три биткоин кошелька:


  • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn: 4.33279223 BTC — $7799
  • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94: 6.00472753 BTC — $10808
  • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw: 8.78127705 BTC — $15806

Командные центры:


  • gx7ekbenv2riucmf.onion
  • 57g7spgrzlojinas.onion
  • xxlvbrloxvriy2c5.onion
  • 76jdd2ir2embyv47.onion
  • cwwnhwhlz52maqm7.onion

Поддерживаемые языки:


m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

Атрибуция:


Создать вредонос мог кто угодно, явных признаков, способных выявить авторов, пока не обнаружено, за исключением следующей информации:


00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
00:34 < nulldot> 0x1000f270, 12, 00000000.pky
00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

Killswitch домен:


iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Уже существуют версии шифровальщика без этой функции.


Шифрует файлы следующих расширений:


.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Шифрование:


Для шифрования используется 2048-битный ключ RSA. На данный момент утилиты расшифровки не существует.


Распространение:


Для распространения шифровальщика злоумышленниками используется критическая уязвимость MS17-010 в протоколе SMBv1. Хотя, согласно официальному бюллетеню безопасности, данной уязвимости подвержены версии Windows, начиная с Vista, последствия атаки оказались настолько серьезными, что компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.
 
image
 


Злоумышленники использовали эксплоит ETERNALBLUE из архива АНБ, "слитого" группировкой ShadowBrokers. Сам комплекс представляет собой автоматизированную систему: сканер DoublePulsar для организации доступа и установки шифровальщика на уже забэкдоренные машины, либо эксплоит ETERNALBLUE.
 


image

 
После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.
 


image

 
Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты:


image

 


Анализ


Автоматизированный анализ вредоносного кода производился в специализированной системе tLab, которая представляет собой профессиональный инструмент для удаленного и безопасного анализа подозрительных объектов. Система позволяет автоматизировать процедуру анализа поведения исполняемых объектов и выявлять в них признаки вредоносных функций, далее система автоматически выдает полный интерактивный отчет. При этом используется уникальная технология глубокого анализа функциональности программ, основанная на полиморфных иерархических сетях Петри. Эта система — авторская разработка, реализованная в Казахстане компанией T&T Security.


Компания T&T Security была основана в 2013 году в Казахстане, Астана. Основатель компании в течение последних 10 лет проводил исследования в области кибербезопасности в США. Целью создания компании является борьба с кибер-угрозами нового поколения.


В 2017 году T&T Security выпустила свой первый инновационный продукт систему tLab , которая представляет собой профессиональную поведенческую песочницу основанной на уникальной патентованной технологии обнаружения вредоносной активности. tLab может использоваться в качестве как профессионального инструмента для оперативного и глубокого анализа вредоносных объектов при SOC-центре, так и эффективной серверной песочницы для обнаружения и блокирования вредоносных объектов на периметре организации.


Анализ проводился над двумя объектами:


Объект №1
SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
и
Объект №2
SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa


tLab представляет уровень угрозы в мета-процентах (может быть более 100%), если выше предела опасности (85% по умолчанию) — считается вредоносным (выделяется красным). Предел опасности выставляется администратором tLab. Уровень угрозы вычисляется для отдельных индикаторов вредоносного/подозрительного поведения таких как шпионская активность, закрепление в ОС, эксплоит, прокси-активность и т.д. Для каждого индикатора уровень угрозы рассчитывается на основе определенных действий и комбинации действий в контексте цепочки активности.


В результате были обнаружены несколько индикаторов потенциальных угроз (функциональностей), таких как закрепление в ОС, нетипичная сетевая активность, модификация ОС и данных пользователя и прокси-активность. При этом первый объект продемонстрировал в полтора раза больший уровень угрозы. Это связано с тем, что данный объект имеет дополнительные функциональности, в том числе механизм само-распространения в виде сетевого червя.


image

 


image

 
Почти все индикаторы динамического анализа имеют угрозу, начиная от 100 мета-процентов. Особенно выделяется индикатор массовой активности, указывающие на огромное число повторяющихся системных событий, что является аномальным для легитимных приложений. В данном случае происходит перебор тысяч IP-адресов из возможного диапазона. Закрепление в ОС набрал уровень 90 благодаря установке сервиса и автозапуска извлеченных объектов. Прокси-активность обуславливается попыткой вредоносного объекта достижения системных действий через чужие легитимные средства (чужими руками), например с целью обхода детекта. В данном случае вредонос устанавливает на автозапуск свой извлеченной компонент через системную утилиту.


На основе обнаруженных индикаторов система автоматически выставила экспертный вердикт — Опасно.
 


image

 


Полезная нагрузка


На поведенческом уровне оба объекта схожи и шифруют файлы пользователя. Первый объект имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1, для чего он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети, но и возможность атаковать другие компьютеры в мировом масштабе.
 


image

 
Командные сервера вымогателя находятся в сети Tor. Во время работы вируса происходит соединение на порты 443, 9101, 9102 на ряд IP-адресов, являющихся входными нодами сети Tor. Во время очередного динамического анализа были зафиксированы попытки соединения на следующие адреса:


  • 85.248.227.164:9002
  • 194.109.206.212:443
  • 217.79.190.25:9090
  • 204.11.50.131:9001
  • 95.183.48.12:443
  • 171.25.193.9:80
  • 195.154.164.243:443
  • 131.188.40.189:443
  • 5.9.159.14:9001
  • 199.254.238.52:443
  • 178.16.208.57:443
  • 128.31.0.39:9101
  • 154.35.175.225:443
  • 163.172.35.247:443

При каждом новом динамическом анализе данный набор адресов меняется, но всегда является входной нодой Tor. Скорее всего, образец случайным образом выбирает "адрес: порт" из заранее заложенного в него списка адресов. На момент написания статьи количество входных нод в сеть Tor составляло более 7 000.


Инсталляция и закрепление в ОС


Динамический анализ показал, что объекты закрепляются в ОС либо напрямую, либо через извлеченный исполняемый файл “tasksche.exe”, который является инсталлятором группы компонентов шифровальщика. Как видно из снимков экрана, вредоносы используют легитимную системную утилиту (“reg.exe”) для добавления своего объекта в автозапуск, используя следующую командную строку:


cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v "abzyckxcqecwnu394" /t reg_sz /d "\"c:\intel\abzyckxcqecwnu394\tasksche.exe\""

Такой подход классифицирован как прокси-активность, которая обычно используется для обхода обнаружения со стороны антивируса.
 
image
 
Объект №1 дополнительно устанавливает сервисы для обеспечения "выживаемости" его следующих компонентов:


c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin
c:\intel\abzyckxcqecwnu394\tasksche.exe

Особенностью вредоноса является установка своего извлеченного объекта как сервис, который и порождает всю последующую активность.
 
image
 
В процессе инсталляции процесс “tasksche.exe” или сам вирус извлекает из себя и запускает файл “@wanadecryptor@.exe” множество раз в различные пользовательские папки и другие директории, содержащие файлы для зашифровывания, видимо для того, чтобы избежать единой точки отказа или обнаружения. Для извлечения используется пароль WNcry@2ol7.


Извлечение @wanadecryptor@.exe


c:\intel\abzyckxcqecwnu394\@wanadecryptor@.exe
c:\@wanadecryptor@.exe
c:\docs\@wanadecryptor@.exe
c:\docs\docs\@wanadecryptor@.exe
c:\documents and settings\default user\(01;=k\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\cookies\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\(01;=k\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\(01;=k\@wanadecryptor@.exe
c:\programms\@wanadecryptor@.exe
c:\programms\totalcmd\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp1\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp2\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp3\@wanadecryptor@.exe
c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp4\@wanadecryptor@.exe
c:\temp\screener\@wanadecryptor@.exe
c:\documents and settings\all users\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\48=8ab@0b@\ 01g89 ab;\@wanadecryptor@.exe
c:\documents and settings\;l720b5;l\ 01g89 ab;\@wanadecryptor@.exe

Далее происходит запуск большинства извлеченных компонентов.
 
image
 
Процесс “@wanadecryptor@.exe” в свою очередь извлекает компоненты Tor-клиента и запускает его приложение “c:\intel\abzyckxcqecwnu394\taskdata\tor\taskhsvc.exe”.


c:\intel\abzyckxcqecwnu394\taskdata\tor\libeay32.dll                    
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent-2-0-5.dll                  
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_core-2-0-5.dll             
c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_extra-2-0-5.dll                
c:\intel\abzyckxcqecwnu394\taskdata\tor\libgcc_s_sjlj-1.dll                 
c:\intel\abzyckxcqecwnu394\taskdata\tor\libssp-0.dll                        
c:\intel\abzyckxcqecwnu394\taskdata\tor\ssleay32.dll                    
c:\intel\abzyckxcqecwnu394\taskdata\tor\tor.exe                     
c:\intel\abzyckxcqecwnu394\taskdata\tor\zlib1.dll                       
c:\intel\abzyckxcqecwnu394\\taskdata\tor\taskhsvc.exe                   
c:\temp\screener\newwindows\@wanadecryptor@.exe                                 

Кроме того, данный процесс производит ряд системных действий с использованием следующих команд Windows:


cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Данные команды отключают сервис теневого копирования, удаляют существующие копии и отключают запуск по умолчанию средств восстановления при загрузке ОС.


Особенности работы вредоноса


По результатам анализа, данный вредонос имеет сложную структуру активности, которая выражается в использовании множества независимых компонентов, резервировании объектов и методов прокси-деятельности. Как видно из цепочки активности, вирус-родитель извлекает ряд объектов и через них закрепляется в системе (автозапуск), перебирает входные узлы TOR сети, модифицирует настройку ОС и запускает компоненты шифрования пользовательских файлов. Более полная цепочка активности демонстрирует факт многократного запуска извлеченных компонентов шифровальщика, что, в свою, очередь было зафиксировано как аномальная массовая активность с высоким уровнем угрозы.
 
image
 
При всем объеме заложенной функциональности данный вредонос не обладает приемами сокрытия своего присутствия. Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IOC (index of compromise, индикатор компрометации).


Соответственно, мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов.


Итог


Вредоносный комплекс представляет из себя совокупность общедоступных компонентов и не требует высокой квалификации злоумышленников. Есть очень большая вероятность, что эти системы могли быть захвачены злоумышленниками ранее, шифровальщик лишь вскрыл проблему. Характер заражения, скорость и затронутые системы показывают, что на сегодняшний день многие системы не могут и не готовы противостоять современным кибергурозам.




На Pentestit Secuirty Conference будут представлены уникальные доклады по анализу вредоносного кода, компьютерной криминалистике и противодействию современным кибератакам.

Автор: @LukaSafonov
Pentestit
рейтинг 131,46
Информационная безопасность
Похожие публикации

Комментарии (351)

  • +3
    познавательно
  • +5
    email wanna18@hotmail.com привязан к аккаунту facebook WaanJeab Theinsuwan
    • +1
      Так, скорее всего, имейл просто хакнут и к нему злоумышленики имеют доступ.
      • 0
        Зачем взламывать чей-то email, от которого, теоретически, владелец может восстановить доступ, если проще регнуть новый? Да и название ящика тематическое.
        • 0
          Я не знаю, зачем — не я это делал. Но если бы делал я, воспользовался бы каким-нибудь левым ящиком, к которому у меня есть доступ, сменил бы пароль и избавился от возможности пользователю вернуть его обратно себе, нежели чем сам бы регистрировал какой-то там ящик, да еще и привязывал его к аккаунту фейсбука, ну их нафиг, эти корпорации.
          • 0
            Менее палевно выглядит регистрация ящика из под условного Tor c активацией на левый номер (желательно бесплатный, типа как тут), потому что если акк ломать, то надо вместе с сим-картой, иначе владелец доступ быстро восстановит, а если покупать, то это уязвимость в плане «вычислить по покупке».

            Привязка к FB несомненно странно выглядит, но злоумышленники часто так тупо и прокалываются.
  • –4
    Подождем когда Linux системы под этих людей прогнутся. вопрос времени. когда поймают неприятных людей?
    • +5
      На линуксе тоже есть шеллшоки и хартблиды.
    • –6
      Те кто использует Linux, mac как правило делают бэкапы так что им такие проблемы не очень страшны.
      • +5
        Как правило любой более-менее прошаренный юзер делает бэкапы независимо от системы
        • –3
          Честно не знаю ни одного человека который на Windows делает бэкапы(из своего окружения).
          • 0
            Системы нет, но ценной информации делают многие
          • +2
            Теперь знаете))
          • +2
            Бэкапы делает каждый, кто хоть раз терял информацию с жесткого диска. (неважно, по какой причине — шифровальщик, или отказ железа). А если терял и не делает бэкапы — то такой человек просто идиот.
            (Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает — народная мудрость)
            • +1
              … И тех кто их проверяет ;)
              • +3
                Это уже третий уровень админского дзена.
            • 0

              Честно говоря, я не делаю бэкапы по одной простой причине — у меня уже очень давно на компьютерах физически не живет никакой важной информации. Все мои фотографии в Google Photos, все нужные файлы — в Google Drive / Dropbox (как правило, и там и там), музыка вся в Google Music / Spotify. Я искренне не могу понять, что еще мне реально нужно бэкапить из того, что мне реально жалко будет потерять. Ну коллекцию фильмов может быть? Она лежит на NASе с RAID'ом — один диск недавно накрылся, я его поменял, снова все хорошо, но если даже я их потеряю, не случится ровным счетом ничего страшного.

              • 0
                А если утечка, или атак на сервера гугл? Или блокировка доступа из России? случится может все что угодно, вопрос только когда, понятно что никто не просит бэкапить все, но всегда лучше иметь под рукой бэкап того что нужно на каком-нибудь физ.носителе, просто потому что доступа в облако может и не быть, или произойдет утеря аккаунта, либо просто забудите доступы, можно много чего придумать, но вот с 1 единственным бэкапом на независимом физ. носителе это не страшно, ну если конечно Вы его не уничтожите сами.
                • –1
                  Все облака и акаунты Google можно привязать к номеру телефона и тогда точно не потеряете доступ!
        • 0
          Бэкап на сервер с Linux, где всё хранится в облаке, в котором вся инфа снапшотится…
  • 0
    Объясните для нубов про домен этот. Зачем он?
    • 0
      Такие домены используют как триггеры: вредонос стучит по определенному адресу и, к примеру, получает там новые инструкции. В данном случае при получении ответа от домена, вредонос, согласно заложенной инструкции, прекращал сканирование и выявление новых жертв для распространения.
    • 0
      Это механизм управления вредоносами/ботнетом. Можно провести анализ вредоноса и выявить эти домены или алгоритм генерации таких доменов, после чего зарегистрировав такие домены можно использовать их для перехвата и нейтрализации ботнета. Такая операция называется sinkholing.
      • +4
        Все равно немного не понятно, если вредонос итак лезет в тор через входные ноды, то почему не разместить «сервис валидности окружения» там? Все-таки судя по некоторой сложности вредоноса, до такого додуматься и сделать не сильно сложно. Или есть какие-то неочевидные неудобства?
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Поднять такой кипиш ради ~$40к сложно назвать головокружительным успехом
            • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              не всё измеряется деньгами. скажем, то что «компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.» — вполне можно считать именно головокружительным успехом.
              • 0
                Кому и кобыла невеста (с)
              • –1
                XP негласно на поддержке до 2019го года.
                • 0
                  Кто то может сказать что то против?
                  https://blogs.msdn.microsoft.com/windows-embedded/2014/02/17/what-does-the-end-of-support-of-windows-xp-mean-for-windows-embedded/
        • 0
          Такой домен можно легко определить в локальной системе используя, например, hosts файл. Таким образом обезопасив себя и свою сеть. А попав во внешнее окружение вирус уже не находит такого стоп сигнала и начинает распространение.
    • –3
      Способ остановить эпидемию.
      • 0
        Спасибо!
    • +2
      Где то читал, что таким образом разработчики вируса пытаются затруднить анализ поведения вируса в искусственно созданной песочнице. В реальном мире маловероятно что такой домен будет кем-то зарегистрирован, а песочница скорее всего вернет ответ на любое сетевое обращение.
    • 0
      Этот домен вроде как использовался для обнаружения песочницы. Видимо некоторые песочницы отвечают кодом 200 на запросы в надежде перехватить что-нибудь.
  • 0
    Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

    http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
    • +1
      Есть в топике: по состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.
    • +2
      где можно скачать это обновление на свой компьютер чтобы не пользоваться устаревшей версией? :)
      • 0
        ссылки на все заплатки всех виндоус — http://artkiev.com/blog/windows-virus-wana-decrypt0r.htm
        • 0
          Пол дня упорно искал патч под 2003 R2, потом вспомнил, что такой нет :D
          • 0
            с SP2 спутал )
  • +1
    Интересно, а что происходит при оплате? Расшифровка выполняется, или это просто развод? Если да, то как криптор определяет факт оплаты и нельзя ли его обмануть, симулировав процесс оплаты?
    • 0
      Ничего не происходит. Файлы криптуются ключем, который генерится в процессе работы, а потом уничтожается. Пока ещё не проверил, но вероятно, если сделать дамп памяти процесса непосредственно после завершения шифрования, то можно попробовать вытянуть приватный ключ и восстановить файлы. Но это пока просто теория
      • +2
        Не очень разбираюсь в шифровании, но разве для зашифровки недостаточно просто публичного ключа? Зачем где-то хранить приватный?
        • +5
          Публичный и приватный ключ математически связаны. На самом деле, когда говорят «сгенерировать пару ключей» генерируется вовсе не пара ключей. Генерируется приватный ключ и на его основе и создаётся публичный. Т.е. публичный ключ не генерируется, а лишь является результатом некоей функции над приватным ключом. Другой вопрос, что этот криптор мог и не генерировать вовсе никаких легетимных ключей — а тупо забить рандомом и всё.
          • +5
            Под «зашифровано RSA» обычно имеется ввиду следующее:

            1. Есть публичный RSA-ключ.
            2. Генерируется (к примеру) AES ключ.
            3. AES ключ шифруется публичным RSA-ключом.
            4. Файлы шифруются AES ключом.
            5. AES ключ уничтожается, остается только его зашифрованная RSA копия.

            как видно, приватный RSA-ключ на клиенте не генерируется.
          • +2
            Ага и получить не простое случайное число, чем насмешить пол мира и войти в историю, как самая наивная авантюра с RSA…
          • –1
            Ну тогда уж наоборот по стандартному алгоритму из публичной пары ключей {e,n} получается приватная {d,n}:
            image
            Поправьте, если ошибаюсь.
      • 0

        Пока не закрыт CSP handle все keysetы валидны. Зная имя провайдера и тип алгоритма можно достать ключи

    • +1
      Удивительно, что по этой теме нет никакой информации.
      • 0
        Никто не хочет признаваться, что заплатил)
        • +1
          Информация по кошелькам общедоступна, на данный момент поступило на них меньше двухсот платежей. Что на фоне сотен тысяч заражений очень мало.
        • +1
          Вот тут человек пишет, что заплатил ещё в пятницу — ждёт до сих пор.
          • +3
            На самом деле даже хорошо, что никакой расшифровки нет. Ещё несколько таких шифровальщиков-кидал, и данный вид программ просто вымрет, т.к. перестанет окупаться.
            • 0

              То есть очень нескоро, так как для этого должны вымереть идиоты, которые платят.

  • 0
    Какие антивирусные продукты сейчас могут эту хрень обнаружить и предотвратить запуск?
    • +2
      Судя по Customer Guidance for WannaCrypt attacks:
      For customers using Windows Defender, we released an update earlier today which detects this threat as Ransom:Win32/WannaCrypt. As an additional “defense-in-depth” measure, keep up-to-date anti-malware software installed on your machines.
    • 0
      Comodo мне хвалился вчера, что может. Даже без сигнатуры что угодно с HIPS (тот же Comodo) наверняка помогут, если режим включен и правильно настроен. Правильно настроенный фаерволл поможет. Еще есть всяческие бессигнатурные способы типа CryptoPrevent или FixSecurity . Можно то же настроить руками, если сомнения есть.
  • +16
    c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin — меня одного этот «маркер.бин» смущает?
    • 0
      Меня тоже смутило это название, хотя это может быть и map keep, ну в качестве бреда :-)
      • 0
        Нет, я думаю, что тут русские хакеры опять постарались. Всякие «пети» и «миши» уже не в моде. Этакий кривоватый транслит, в моде у любителей cs1.6.
        Кстати, странно, что тут documents and settings используется, а в другом месте vssadmin да bcdedit — оно не детектирует ОС чтоли?
  • 0
    Вирус в реальном времени перестраивает сам себя. Это только разминка! Стоит ожидать вторую более крупную волну вредоноса.
    • 0
      Ну вот и настал судный день!
    • 0
      Согласен, всё будет по стандартному сценарию
    • 0
      Нет доступа к сети — нет проблем)
      • 0
        Человеческий фактор никто не отменял, как и безрукость админа ¯\_(ツ)_/¯
  • +1
    Хотелось бы увидеть подробный разбор механизма оплаты и расшифровки.

    1. Расшифровывает программа файлы после оплаты?
    2. Если да, то как она удостоверяет факты оплаты?
    3. Что делает кнопка Decrypt?
    • +1
      По поводу кнопки Decrypt информация уже есть. Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
      При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
      Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
      А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.
      • 0
        О, спасибо. Думаю, что в намерения авторов расшифровка после оплаты не входит. Наверное, тяжело это сделать, не спалившись. Если бы они расшифровывали файлы, то была бы инструкция, что делать после оплаты.
        • +1
          Если для приема денег злоумышленник использует один или очень маленькое количество адресов для приема, значит он изначально не собирался идентифицировать оплативших клиентов (это было бы возможно только для тех, кто оплатил со своего кошелька, подтвердив владение адресом подписанием текстового сообщения, что явно не подходит для массового пользователя), т.е. у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил чтобы ему можно было выслать ключ расшифровки.

          для того чтобы это было возможно, каждый клиент должен получить свой адрес пополнения
          • 0
            у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил

            Есть механизмы. Можно, например, выставлять каждой жертве разную сумму в BTC. Не знаю, до какого знака после запятой можно делить биткоин, но неплохую квазиуникальность это даст в любом случае.
            • 0
              в принципе да, она будет разной, потому что курс обменный не константа.
              т.е. можно попросить клиента о точной сумме, которую он перевел и точное время перевода.
          • 0

            Не обязательно каждому клиенту свой адрес пополнения.
            Можно как с краудсорсингом — когда наберется нужная сумма, открыть ключ расшифровки всему миру ))

  • +18
    Назовите хоть один антивирус, который умеет делать: «новый файл в системе — вызывает криптофункцию — обращается более чем к 5 файлам — запретить» С момента зарождения криптолокеров прошло больше 5 лет и ни один антивирь не умеет детектить стандартные паттерны. Зато бабла хотят.
    • +17
      Забавно, что бабла хотят и те и те, при этом и те и те обещают сохранность файлов если заплатить.
    • 0
      DeviceGuard и AppLocker :D
    • +14
      Да тут не только криптофункция. Ну вот как антивирусы вообще могли пропустить объект, который:
      — прописывает себя в автозапуск
      — отключает теневое копирование и тут же удаляет уже созданные теневые копии
      — регистрирует свежесозданные exe как системные службы
      — создаёт кучу exe по разным директориям
      Уже этого должно было бы хватить, чтобы насторожиться и как минимум проверить подпись данного exe — что это вообще такое и подписано ли вообще.
      • 0
        А вот кстати если нет достаточных прав у учетки из под которой он работает, всякие reg add
        не должны прокатить…
        • +5
          Пишут, что после атаки на Самбу он начинает работу с правами Самбы, а это уровень драйверов.
          • 0
            Помогут ли права NTFS? Например, если отобрать права у SYSTEM? Ведь штатно, даже если ты админ, и у тебя нет прав на какую-то папку, то их всё равно можно выдать себе, назначив себя владельцем (или просто выставив права, если уже в группе владельцев). Умеет ли вирус отлавливать ошибки доступа, и выставлять нужные права на файлы?
            упс… не дочитал https://habrahabr.ru/company/pentestit/blog/328606/#comment_10216334
    • +7
      А что такое «вызывает криптофункцию»? Приложение может использовать собственную реализацию криптоалгоритмов. Тут вообще хороших эвристик нет на поведение, только параноидальные разной степени тяжести, которые будут мешать обычному пользователю во многих ситуациях. Иначе бы уже была какая-нибудь защита от вымогальщиков.
      • 0

        Если программа удаляет больше 10 файлов в минуту, то надо спросить пользователя.

        • 0

          Как тогда настраивать автоматическую очистку админам?

          • 0

            Сделать список с хэшами доверенных программ.
            И админ добавляет туда свою очистку.

            • +1

              Тогда малварь (не забываем, она ведь с рутовым доступом) добавит хеши всех нужных программ в "хэши доверенных", а потом будет делать все то же самое. Стало сильно лучше?

              • 0

                Если доступ рутовый, то защищаться нет смысла, т.к. некому.
                А иначе она не сможет в эти списки попасть.

                • 0

                  Ну так изначально же сказано было, что заражение идет через драйвер и доступ к системе полный. Таким образом как раз и получается, что предложенным образом не защититься.

    • 0
      SentinelOne. Умеет и 0деи и рансом.
      • +1
        Используете его? Если да, то что скажете?
        • 0
          Скажу что ловит пока что все существующие рансомы.
    • 0
      Вирус работает с привилегиями SYSTEM, такими-же как у самбы и вероятно из её-же адресного пространства, так что все антивирусы — мимо.
    • 0
      Kaspersky, но обнаружит, что «программа однозначно ведет себя как вредоносная» и предложит лечение уже после запуска. Так что что-то успеет зашифроваться.
  • 0
    Вот никак не могу найти ответ на один вопрос. Вся выше перечисленная деятельность шифровальщика требует прав админа. Куча статей уже на эту тему, но ни одна не раскрывает темы «прав» шифровальщика. Он все эти админ права имеет так как заражает пользователя работающего как обычно под правами админа или шифровальщик умеет повышать свои права сам. Т.е поймав его под правами обычного пользователя я теоретически не лишусь теневых копий тома, а он судя по действиям удаляет их. В сухом остатке уязвимость SMBv1 позволяет просто проникнуть на компьютер или она же задействована в повышении прав?
    • +6
      Он пролазит через драйвер SMBv1 используя уязвимость класса remote code execution и, следовательно, работает с его (драйвера) привилегиями.
      • 0
        Ехх, печаль. Значит соблюдение всех строгих правил с разграничением прав доступа и своевременными бэкапами оказались до лампочки. Особенно я уповал на теневое копирование тома, думал уж не вжизнь они не доберутся до них. А они оказывается это легко крутят. Но спасибо за ответ, хоть буду знать чего ждать.
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            И все же эпизодически стоит делать криптоконтейнер хотя бы чтоб потом сказать, что сделал все что смог, никто же не обязует криптовать фильмы с картинками, а вот ключевые файлы стоит иногда обезопасить, ведь лучше иметь устаревшие версии файлов, чем не иметь их вовсе. \

            Это конечно мое мнение и никому я его не навязываю, но один жесткий отделил именно под это дело, выдернул его в случае чего и живи спокойно…
            НО еще раз повторюсь, это лично мое
            • НЛО прилетело и опубликовало эту надпись здесь
              • +1
                Это само собой, но у меня не внешний у меня просто стоит еще один хард, на котором контейнер, в случае чего его выдергиваешь хард, и все данные мало того что целы, так еще и запаролены. Благо конструкция моего компа позволяет? (у меня все расположено в столе под оргстеклом)
              • 0
                А если вы подключили свой бэкап, к уже зараженной, но еще не шантажирующей надписью системе? Вирус вам же и на внешнем диске зашифрует файлы.
                • 0
                  На все воля облака…

                  Ну а если серьезно, носители с бэкапами подключаются обычно как раз в тот момент когда ты полностью уверен, что машина чиста аки помыслы админа, ну или на край есть еще бэкап.
        • 0
          Установите пароль на теневое копирование тома. Правда я не знаю, есть ли такая функция
  • –19
    Ну что, в очередной раз «мегакарпарация» обкакалась по полной. И еще раз мы увидели стойкость SMB-сервера от мелкомягких. И насколько нужно быть нубом, что бы выставлять в сеть с белым IP интерфейс с поднятой SMB. Насчет лавинной атаки, это по моему ооочень крупное преувеличение. По данным касперов 45000, по данным авастов 36000. А теперь давайте очень грубо посчитаем, 32 бита это 4 294 967 295 компьютеров, именно столько может адресовать ipv4, а как известно он на сегодня кончился. Не будем вдаваться в динамические пулы и т.д. Значит примерно такое количество компьютеров торчит в сети с белыми IP. Ну конечно не все из них имеют недооперационку, и еще меньше нубов которые выставляют в интернет SMB. Ну очень грубо примерно это так.
    И даже по данным автора о 236000 зараженных, это составляет 0,0055098906% от общего числа. Те 0.006% не рановато для паники?

    На мой взгляд, этот ажиотаж вызван для преследования каких то других целей.
    • +8
      А можно узнать причем тут MS? :D SMB1 Deprecated. Рекомендовали сносить/выносить/съезжать с 15 года. Писали в TechNet'ах. Просили ставить апдэйты. Даже сделали исключение и дали патч на XP/2003. используйте SMBv3 с Kerberos и другими ништяками.
      • –9
        Это вы у googl-ы спросите по какой причине они от ms-серверов отказались.:)
        • +7
          Кто отказался? Google тут как раз активно в свой ComputeEngine их добавляют :D
          Проблема тут не в MS. Продукты MS не требуют SMBv1 около 10 лет. Но. Огромное жирное НО: Дофигища вендоров NAS и других железок активно используют только 1 версию… Тут уже в Твиттере проскакивало — последние продукты Sonos используют SMBv1 и в v3 не могут, а в следующей версии 10 v1 вырубают по дефолту. И опять начнется shitshtorm по этому поводу.

          • –1
            Да ну? А как вам такая новость https://www.gazeta.ru/business/2010/06/01/3378380.shtml
            • +1
              6.5 лет назад. Ну ругаются компании — бывает. Они уже успели опять подружиться. И исследователи гугла активно помогают MS сейчас. И MS очень юодро отвечает на все проблемы.


              Рекомендую почаще следить за Google Zero project. Например почитать natashenka и taviso.

              Заодно узнаете много интересного и про дургие OS и их уязвимости.

      • –2

        Ну возможно MS при том. Что частенько обновы от MS ломают компутер. И даже если не ломают включают какую нибудь телеметрию за твои деньги.
        В общем вина MS в том, что не исправляют ситуацию со своей "плохой репутацией".

    • –4
      я искренне не понял, почему решили вас big-town заминусовать… Все сказано по делу и в самую точку: если ты выпустил Win сервер через белый IP и при этом элементарно его даже не «апдейтишь» — жди соответствующего результата((( в противном случае не будет этой заразы — придет другая или другой хацкер и через другую уязвимость грохнет ваш дедик — дело времени
      • +4

        если ты не обновляешь линукс-сервер, то тебя ждёт Shellshock, Heartbleed и что там ещё было.

        • –1
          Shellshock? А вы сами представляете о чем пишите? Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки. Достточно просто проверять строку перед передачей шелу и чистить её от всяких регулярок. Эти уязвимости ооочень раздуты. Ну в чем то вы правы, если ты нуб, то без разницы что использовать, все равно вляпаешься;).
          • +4
            1.5 миллионов нубов на IoT девайсах собрали примечательный ботнет.
          • +1
            Таким же, каким надо быть, чтобы, сидя на Win, выставить порты в интернет, не ставить Security Updates, и многкратно игнорировать призыв вендора не использовать smbv1?
          • –1
            Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки.
            Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов.

            А также SSH-серверы, DHCP-клиенты и многое другое.
        • 0
          Dirty COW ещё был
          • 0

            Давайте RCE от root, не меньше.

      • +1
        Не обращайте внимания, я например давно так делаю :). Это сказывается стадный инстинкт на хабре, «детей» от инстограма и контакта. Стоит одному поставить минус и понеслась. Меня это ни как не трогает.
        • +3
          Плюсанул вам карму. То же не люблю когда обсуждения минусуют. Но хотелось бы в более конструктивном ключе, нежели все говно :)
          • –1
            Тут я с вами полностью согласен, люди высказывают свое мнение и любое мнение имеет право быть!

            По поводу конструктивного ключа. я не буду лицемерить и говорить что я не предвзято отношусь к MS, предвзято и еще как. И собственно почему? Это коммерческая операционная система которая стоит немалых денег. Сервера получаются мегадорогие. За все дай! За терминальные лицензии дай, за SQL дай, за офис и т.д. И при всем при этом потребитель по сути является бэта-тестером. Я не против комерческой ОС, но уж если делаете такую, то она должна быть на порядок выше опенсорсной! Иначе за что платить деньги?! А так как делает МС — это подло, подсадить всех на свой продукт, заставить людей написать кучу софта и только потому что вам не куда деться, эксплуатировать вас. Люди очень не любят перемен. На деле получается что любой путный вирус вас может оставить без данных и положить вам всю структуру.

            Я помню 2000-ые года когда гуляли в интернете msblast-клоны и что бы заразится, нужно просто было выйти в интернет без стороннего файрвола. Дыры в MS не закрываются годами, да и кто знает что еще в их закрытом коде. Ели уж гоночки в офис защили :)(см. пасхальные яйца).

            От себя еще добавлю в далекие времена я был, как и наверное все, win-админом, Novell угасала, Linux был еще маленьким, и собственно альтернатив не было. Строил сети на PDC 2000 а затем 2003. И вот когда уже LInux подрос я переборол свою лень и стал углубленно изучать новую для себя ОС. Затем потихоньку стал переводить на неё свои организации. И уверяю вас что проблем стало значительно меньше. У меня еще живет и здравствует сервер с ASP12+wine@etersoft+1cv7+NX+samba, который не разу не упал и когда я его поставил уже даже не помню.

            И как вывод, MS не обеспечивает должного качества своей продукции как коммерческой ОСи, а потому я не желаю ею пользоваться, когда есть на порядок лучший опенсорс. Поэтому на каждое обкакивание MS я просто смотрю с улыбкой.
            • +5
              По поводу стоимости не соглашусь. В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft. И уж цены мама не горюй. MS там бедный родственник :D

              Вы не видели еще людей подсаженных на Oracle…

              Никсы то же обкакиваются с завидной регулярностью… Но никто не вспоминает что на роутерах Linux, что на телевизорах, устраивающих ддос — Linux и тд и тп.

              Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.
              • +1
                Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.

                Не могу с этим поспорить.
                В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft.

                Если не секрет, то какие задачи решаете? Почему выбор именно в таком наборе? Можно в личку.
  • +4
    компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP

    Они просто выложили патч для клиентов с Custom Support Agreement, собранный ещё в феврале.
    • –1
      Ни чего они не выкладывали для XP. Патч что скачивается по ссылке для embeded версии и на обычную XP не ставится windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df
      • +1
        В каталоге есть патчи для нормальной XP/2003, но он тормозит и не работает переключение языков.

        Лучше качать из центра загрузки: Windows XP, Windows XP x64, Windows Server 2003,
        Windows Server 2003 x64.
        • –3
          Нету ни чего для XP, только что скачал WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe
          Этот патч для терминалов по выньхп.
          • 0
            http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


            http://www.catalog.update.microsoft.com/DownloadDialog.aspx

            • 0
              Да, спасибо, вы правы патч действительно есть. Недавно качал отсюда, видимо пропустил.
              • 0
                Его выложили ближе к полуночи 12-го мая, я тоже вначале скачал для Embedded и хотел негодовать про решето.
                • 0
                  Апдейт для Embedded можно использовать после небольшого твика.
          • 0
            Похоже ошиблись и в центр загрузки (вчера их там не было) два раза закачали файл для Embedded, вот ссылка на патч для нормальной XP.
  • 0
    Возможно это нубский вопрос, но объясните мне. Почему, когда находятся уязвимость, да еще такая как «SMBv1 используя уязвимость класса remote code execution», никогда нет информации, кто собственно закомитил такой код? Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.
    • +11
      Потому что глобальные уязвимости такого уровня как авиакатастрофы — это сочетание многих факторов. В софтверных гигантах вроде MS никто не может просто так взять и закоммитить код в основную версию винды — есть и code review, и тесты, и нанятые хакеры, которые пытаются сломать и много еще чего. В таком баге виноват в последнюю очередь программист — ответственность на других людях обычно.

      Ну а кроме того — ну допустим обвините вы программиста, который 10 лет назад написал некачественый код (который прошел много стадий проверки), и что дальше? Что делать с этой информацией? Повесить его на витой паре? :)
    • +4
      Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.


      В данном случае, это очень вряд ли «закладка». Протокол SMBv1 был дырявым с самого начала, но, не по злому умыслу, а тупо потому, что, когда его разрабатывали (а это, на минуточку, самое начало 90х), Интернета в современном понимании ещё не было, и авторы вполне справедливо предполагали изолированную от внешнего мира локальную сеть, работающую по собственным протоколам MS. Прикручивание SMBv1 к TCP происходило позже, и, видимо, в спешке, в погоне за Sun с их WebNFS.
    • –1
      Ну а как вы сами думаете? Не ужели америкосы не оставят бэкдор в системе с закрытым исходным кодом, ну так на всякий случай :). По моему ни кто и не отнекевается что в АНБ был «разработан» эксплоит EternalBlue. А по моему скромному мнению этот код был туда просто предоставлен.
      Вот вам еще один пример наш ГОСТ-овский алгоритм шифрования, который основан на элептических кривых. И который как оказалось не такой уж «случайный». Почему К-9 циски были запрещены в России? Да в конце концов почему всех операторов заставляют ставить СОРМы, а АТС без СОРМа сейчас вообще не купишь. Спец службы желают знать все :).
  • +1
    Спасибо за статью. Вдохновился!

    Понаблюдать за состоянием кошельков в прямом эфире можно тут: https://whitesunset.github.io/wannacrypt_balance/
  • +1
    В конце был бы уместен мануал по отключению SMB v1
  • –7
    давно стоит дисятка и нет никаких праблем
    • 0
      Вчера с опаской запустил ноут на десятке (ноут включается достаточно редко) — сразу со старта увидел сообщение о применяемых обновлениях. А на стационарную 8.1 обновления так и не дождался — качал вручную.
  • 0
    Я вообще понять не могу, MS же выпустили обнову, которая затыкает эту дыру или она нифига не затыкает?
    • +6
      Понять все просто — апдейт дыру затыкает, люди апдейты не ставят :).
    • 0

      Не все умеют в обновления...

      • +3
        У многих обновления выключены, потому что на пиратках они полностью ломали систему, а на лицензионных машинах внедряли вредоносный код (рекламу, например). Часть пользователей раздражает сам механизм обновлений, когда самообновляющаяся система не даёт им продолжить работу, требуя перезагрузки или устанавливая обновления неопределенно долго. Фактически, проблема в том, что MS довольно скверно организовала систему обновлений и, к тому же, сама её скомпрометировала в глазах пользователей, распространяя рекламу и телеметрию под видом обновлений безопасности.
        • +2
          Обновление, призывающее обновиться до Windows 10, было рекомендуемым. Microsoft рекомендовала обновиться до Windows 10. Обновления телеметрии также в рекомендуемом. Достаточно было снять галочку с автоматической установки рекомендуемых обновлений вместе с важными обновлениями — и «проблема» решена. Всё что действительно важно будет обновлено.

          image

          Что касается проблем с обновлением пираток — не Microsoft виновата в том, что люди ставят кривые активаторы, которые лезут напрямую в память ядра и патчат его. Всегда были более аккуратные способы активации. Впрочем, лучше конечно же приобрести легальную копию.
    • 0
      пока эту хрень кто-то не запустит изнутри сети.
    • 0
      Выпустила еще в марте. Все «затыкает».
  • 0
    Кто нибудь посмотрел полученное количество btc?
    • +1
      Пока очень скромно — что-то до $35K.
      • +3
        Полюбому пацаны из МВД заплатили
      • 0
        Рабочая неделя только началась.
      • 0
        уже 50 :)
  • 0

    У меня сразу несколько вопросов:


    1. Сейчас почти нет стационарных компов которые смотрят напрямую в инет — почти все за NAT-ом, пускай даже от копеечного длинка -то есть получается заражение было возможно только у компов сидящих через мобильные "свистки" ?


    2. Как такое возможно в нашем МВД ( хотя я догадываюсь как — денег платить нормальным админам не любят, сами умные — купили свисток, и в инет — вот и результат) ?


    3. Про файловые сервера и бэкапы в МВД тоже не слышали ?
    • 0
      то есть получается заражение было возможно только у компов сидящих через мобильные «свистки» ?


      Первичное заражение — да. Но, достаточно заразить один такой компьютер, и, если у него есть второй сетевой интерфейс, «смотрящий» в локалку — то зараза быстро полезет по всей сети.
      • +1

        именно поэтому свистки и запрещены в корпоративной сети ( хотя и не только) — но это называется "дыра" ...

        • +1

          я бы даже сказал "дырища"

      • +1
        Все «свистки» что мне попадались — имели NAT и вирус бы не смог пролезть через них.
    • 0
      1, 2 — а вы не рассматриваете вариант, что вредонос мог просто по почте прийти в виде «приказ.doc.exe»?
      Достаточно, чтобы вложение запустил один пользователь из десяти тысяч находящихся во внутренней сети предприятия.
      • 0

        ну тогда это означает отсутствие антивиря ( и даже нормального почтового сервера) как класса :) — подобные дыры уже лет 20 как закрыты ...

        • 0
          Интересно, как вы закроете, скажем, возможность пересылки RAR-архивов с паролями.
          Если только метод Гугла использовать (никаких архивов с паролями вообще) — но к такому мало кто готов.
          • 0

            очень просто — закройте архив паролем но не делайте его исполняемым, а если экзешник внутри архива — то его сразу ловит антивирь, опять же технологии 10 летней давности...

            • 0
              Хорошо, но вот только просмотреть список файлов и их расширения в ZIP-архивах можно, а вот в RAR нельзя, например.
              Как быть?
              • 0

                да никак — пользователь сам введет пароль и расшифрует архив — а на это срабатывает антивирь практически любой

                • 0
                  Антивирь на новые образцы вирусов, увы, не отрабатывает. :-(
                  • 0

                    антивирь отрабатывает на экзешник, в момент расшифровки архива, а далее как админ настроит — так и будет ( можно в карантин, удалить нафиг, и т.д.)

                    • 0
                      А в каких продуктах вы видели подобный функционал? Мне, честно говоря, навскидку такого не попадалось.
                      • 0

                        да любой антивирь, каспера например вообще вырубать напрочь надо чтобы он позволил тупо из архива екзешник взять

                        • 0
                          Любопытно. Я как-то просматривал настройки McAfee, к примеру — и там опции «Блокировать исполняемые файлы при распаковке архива» не видел.
                          • –1

                            Есть такая штука — программирование :)

                            • +1

                              Есть такая штука — стандартная функциональность антивируса, почтового клиента и архиватора, про неё и был вопрос. И есть такие люди как админы, им программирование не очень упёрлось.

                              • 0

                                Программирование на скриптах — это хлеб админа :)


                                А что касается McAfee — то прямо в best_practices_guide английским по белому все расписано...

                          • 0
                            Обычно это называется как то типо контроль активности программ
                  • 0

                    и уж червя в параноидальном режиме поймает на раз — какой бы новый он не был ( тем паче что уязвимость SMB например известна аж с 1997 :) )

            • 0

              а если более грамотно — то по приходу письма с шифрованным архивом отрабатывает скрипт который поднимает на данной машине уровень антивиря до параноидального на определенный срок ( если это Вип — то еще и письмо админу шлет)

              • 0
                С поправкой на то, что письмо должно в таком случае не доставляться пользователю, а задерживаться до проверки (иначе пользователь раньше откроет, чем админ/безопасник).
                Ну и все должны согласиться, что их почту может просматривать сотрудник СБ.
                В таком виде — да, более-менее работоспособно.
                С архивами разобрались.
                Остались, правда, документы MS Office с макросами и эксплоитами.
                • 0

                  почему — пусть открывает… — антивирь работать должен...


                  А с каких это пор сотрудник СБ стал спецом по вирусняку? Да ни один человек с такой работой не справиться :) — это антивирь делать должен.
                  А макрос это еще более простая вещь для антивиря (опенсорс так сказать), тем более что макросы в половине случаев вообще отрубить можно.
                  А эксплоит — это тот же екзешник ;)

                  • 0
                    Увы, но антивирусы *не детектируют* новые образцы.

                    К сожалению, у VirusTotal нет возможности показать историю проверок. Но вот, к примеру, статистика детектов на момент выхода одного из предыдущих шифровальщиков:
                    https://hsto.org/files/caa/187/97b/caa18797b4f249c497abe03ae9b5adfa.png
                    https://hsto.org/files/a80/336/f11/a80336f119c6490e83adf6313aee38eb.png

                    А вот, кстати, данные по самому образцу из статьи (кликабельно):
                    • 0

                      Вы по-моему не понимаете разницы между "поиском по известным сигнатурам" и "эвристическим анализом" — понятно что если вирус новый — то его сигнатура еще не известна — но поведение всех вирусов в целом одинаково и именно это "эвристика" и отлавливает.
                      Другое дело что процент ложных срабатываний в этом режиме огромный — но то что отловит это 99,999%

                      • 0
                        Насколько я понимаю, при сканировании образца на VirusTotal используются оба движка антивируса, в том числе и эвристический.
                        Но не помогает.
                        • 0

                          отнюдь, эвристика жутко чуствительна и будет реагировать даже на обычный и невинный zip

                          • 0
                            И насколько реально использовать в корпоративной сети такую эвристику?
                            • 0

                              С хорошим админом — более чем реально :)

                        • 0

                          Мы уже по кругу пошли, способ я вам рассказал — если уж так не верите в интеллект антивиря — его можно вообще настроить удалять любые исполняемые файлы при расшифровке архива...


                          Грамотный админ вам поможет ;)

                          • 0
                            Интеллект антивиря? Это что-то новое. Эвристика тоже далеко не всегда срабатывает. Были случаи, гонял с эвристикой на зараженных машинах, файлики вирусни подозрений не вызывали. Зачастую эвристика тоже упирается на известные базы и поведение.
                            • 0
                              Зачастую эвристика тоже упирается на известные базы и поведение.

                              С этого момента поподробнее ;)

                              • 0

                                Походу иной раз эвристика для выявления чего-то нового использует критерии угроз весовые критерии, включая схожесть с известными вирусами из базы. В результате иной раз голая эвристика не добирает "балов угроз". Я не знаю внутреннюю кухню, но из наблюдений получается, что известные базы эвристика используется у некоторых антивирусов. нет в базе чего-то схожего — ниже оцениваемая угроза.

                                • 0

                                  "схожесть с известными вирусами из базы" ничего не даст, ибо 1 бит изменился- это уже совсем другая команда, в эвристике анализируется именно поведение, но никак не сигнатуры кода

                                  • 0

                                    Я говорю с чем встречался. После обновления баз срабатывает эвристика, до обновлений нет (именно базы обновлялись, а не модули). Вполне возможно, что в базах весовые коэффициенты разного поведения к примеру или условия на что вообще смотреть. В целом эвристика далеко не гарантия. не уверен, что эвристика отличит дедупликацию/сжатие/архивирование от шифрования если это будет от имени системного процесса.

                                    • 0

                                      Так никто и не утверждает что это замена базам сигнатур — просто в параноидальном режиме эвристика точно отработает ( другое дело что она может отработать даже на невинный текстовый файл), но она отработает и не даст запуститься вирусу...

                • 0
                  С поправкой на то, что письмо должно в таком случае не доставляться пользователю, а задерживаться до проверки (иначе пользователь раньше откроет, чем админ/безопасник).

                  Письмо админу пишется не для "перлюстрации переписки", а чтобы обратить внимание на возможную проблему у Вип-пользователя.
                  Ибо после поднятия "уровня антивиря до параноидального" проблемы будут наверняка и админ должен быть готов к этому...

            • 0
              Антивирь не ловит т.к. сигнатура новая и его в базе нет. Вот и заражение.
    • 0
      Бэкапы были на диске D:
      • 0

        хорошая шутка :)

        • 0
          Это, к сожалению, суровая реальность — большинству рядовых пользователей не под силу организовать резервное копирование, устойчивое к шифровальщикам. Обычно создание резервных копий в исполнении пользователя выглядит как внешний диск, подключенный по USB. И заканчивается это тем, что бэкап, когда он нужен, тоже оказывается закрпитованным.
          • 0

            бэкап — это вообще не дело рядового пользователя в корпоративной сети, за это админу деньги платят

            • 0
              домашних юзеров вы лесом посылаете сразу?
              • 0

                ключевая фраза "в корпоративной сети" !


                А домашний юзер сам себе админ — на любом облаке может забэкапиться...

                • 0
                  не в любом, только там где поддерживается доступ к истории версий, так как шифрованные файлы весело уедут в этот бакап в процессе их шифрования.
    • 0
      2.Как такое возможно в нашем МВД

      Элементарно, там регулярно (в разных ведомствах МВД и Внутренней службы с Прокуратурой) что-то вкусное гуляет. Бекапы делаются хорошо если на другой диск, продвинутые пишут на DVD (оно r/o — хоть укриптовымогайся) или ленту — она тоже в шкафу, ожившие компьютеры не доберутся; непродвинутые — "у меня RAID, мне не нужны бекапы"(Ц) реальное заявление одного персонажа "оттуда". Факапы уже случались, но шифровальщиков в те времена ещё не было (по крайней мере массово), а сейчас есть, ситуация же не думаю что улучшилась.

      • 0

        Если это файловый сервер, то в "бэкапах на другом диске" нет ничего криминального при условии что эти диски пользователям недоступны. И в данном случае даже шифрация инфы пользователей лечиться тупо восстановлением из бэкапа ( даже если случилось чудо и вирусняк как-то прорвался — теряется только инфа после последнего бэкапа — а у меня например бэкапилось 3 раза в день).


        Лично я вижу только одну причину — отсутствие нормального администрирования...

        • 0

          и еще одно замечание — в случае любого криптора админ моментом это заметит по лавинообразному увеличению объема инкрементального бэкапа ( чего в обычной жизни не бывает)

          • 0

            а если это файлы одного пользователя — то вот вам и виновник торжества без всяких антивирей ;)

        • 0
          Если это файловый сервер

          Если, обычно — это "диск D:", т.е. логический раздел этого же физического диска. Или E:, если "C — система, D — данные, E — дистрибутивы и бекапы". Такова суровая реальность.


          отсутствие нормального администрирования...

          … причина чего — отсутствие нормального финансирования и кадров.

          • 0

            тады ой :)

          • 0
            кадры — это следствие финансирования. плюс не самые приятные места для работы разные там госскомпании и подобные ведомства, там нужно ходить строем и выживать в обстановке маразма. Хотя финансирование у подобных структур неплохое, вопрос в приоритетах. IT-безопасность там устроена дешево — все запретить, чтобы невозможно было работать юзеру, плюс издать миллион приказов под подпись сотрудников, в которых юзер заранее берет на себя ответственность «если чё случиться».
            • 0

              Финансирование — где как, одно очень крупное и очень страшное заведение получало хорошее финансирование, но реальных денег до подразделения федерального уровня не доходило и сдохшую технику (типа сервера) реально нечем было заменить, а в одном регионе таймстампы вводимых данных хотели вводить вручную (даже ТЗ сделали), поскольку денег на батарейки не было и время на компах сбрасывалось. Техника — не золотые унитазы, на ней и экономить можно. Потому словившее вирус МВД и всякие [около]госкорпорации не удивляют.

              • 0
                Было бы конечно радостно узнать, что по итогам последуют кадровые выводы в руководствах этих контор. Но скорее всего, пострадают обычные админы, которые сверхурочно все будут восстанавливать, а начальство, наоборот еще и похвалят, мол «не допустили последствий», «вовремя остановили» и совершили прочие геройства. А виноватым объявят «Барака Обаму», Путин вон уже заявил это, вслед за майкрософт.
                • 0

                  кадровых выводов в таких конторах не бывает ( что в МВД, что в Пентагоне) — ибо набирают там по лояльности, и лишь потом по мозгам...

    • 0
      Хочу заметить, что стоимость серого IP для «свистка» у МТС 100 рублей в месяц http://www.mts.ru/mobil_inet_and_tv/tarifu/internet_dly_odnogo/additionally_services_comp/real_ip/
      А по умолчанию все «свистки» за операторским NAT-ом, по крайней мере у четырех известных мне операторов.
      «Белый» IP вообще не получить.
      • 0

        по идее да, но тогда не понятно каким образом вообще использовалась SMB уязвимость...

        • 0
          хм… а Вы представьте себе масштаб сети за NATом — там же тысячи компов!
          Достаточно заразить несколько — и готово. А уж как они заразились — другой вопрос.
          • 0
            А кто сказал, что компы за провайдерским NAT'ом друг друга видят? Даже в дешевом домашнем роутере есть галочка «clients isolation».
            Есть отдельная услуга для юриков «Защищенная передача данных», тоже за бапки. А-ля VPN, где шифрование обеспечивается самой GSM сетью — вот там видят.
        • 0
          не понятно каким образом вообще использовалась SMB уязвимость

          В статье написано 230 тысяч машин, мне кажется это мало, разве нет? Из сотен миллионов это как раз те, кто торчал белым IP наружу без апдейтов + те, которые были с ними в одной LAN.
          «Один мой знакомый» ради эксперимента написал несколько лет назад скрипт, который сканил IP по диапазонам и пытался подключиться с ~10 разными паролями, типа admin:123456. Получилось насканить удивительно много, по несколько тысяч компов в сутки на слабой VPS.
          • 0
            Что уж там автоматизировано, если даже вручную можно «насканить» неплохо. Как-то попался мне на глаза внешний IP одной конторы — nmap нашёл много интересного (на уязвимости не стал сканировать) — и БД, и сайт, и веб-интерфейсы всякого разного (видеонаблюдение, и т.п.). Ну да ладно. Так я просто стал брать +1 от последней цифры IP-адреса, и вручную проверять: и каждый следующий адрес был статическим, белым, и с открытыми портами. Да, снова какая-то организация (другая), и наружу торчал веб-интерфейс маршрутизатора (логин-пароль дефолтные). Какая организация — не смог выяснить, чтобы хоть позвонить или написать. Да и смотрел я один вечер, дальше просто лень стало, и просто забил. Но попадись сканеру хакеров или вирусу такое — жди беды…
            Видимо, мне попался целый диапазон адресов, выделенный под статику, и большинство из которых уже занято разными организациями. Чаще же попадаются динамические, рядовых юзеров. Но многие сидят без маршрутизаторов — тупо кабель в сетевушку, и все порты наружу. Обновлениями и вовсе никто не заморачивается, иногда ещё и специально отключают.
      • 0
        Еще и:
        Стоимость 1Мб переданной информации в рамках услуги Real IP в домашней сети и роуминге по России составляет:
        9,90 руб. на всех тарифных планах, кроме тарифа «МТС Конект-4».
        3,00 руб. на тарифе «МТС Коннект-4»
    • 0
      А давно мобильные операторы дают белый ip не за натом? Я такого никогда не видел, такую услугу и подключить за деньги далеко не всегда возможно.
      А вот wired соединение вполне может смотреть напрямую, без роутера, корпоративным клиентам обычно дают несколько белых ip (частные как раз за провайдерским натом).
  • +1
    А могли бы сначала «по-тихому» заразить миллионы компов, а потом с «командного центра» дать инструкцию шифровать файлы…
    • 0
      Тогда ему пришлось бы периодически отстукиваться на командный сервер и спрашивать эту команду. Что нерационально, так как: (а) не все ПК имеют выход в Инернет; (б) периодическая сетевая активность довольно легко отслеживается.
      • +2
        Поставить счётчик на 7 дней.

        image
        • 0
          Да, вот это уже интереснее.
          Но 7 дней — непростительно много. Скорее всего, за это время уже выйдут сигнатуры, и антивирусы всё почистят.
          Можно максимум 48 часов, не больше. А ради такого, видимо, решили не заморачиваться.
          • +2

            Или выпустить "какую получится", почитать Хабр, усовершенствовать по багрепорту.

            • +3
              Выложить исходники на github и отслеживать пулл-реквесты. Можно даже ежедневную сборку настроить.
  • +1
    В пятницу поддался общей истерии. побежал ставить патч на свою старенькую семерку. Патч поставился, комп перезагрузился и больше не загрузился. Вылезает синий экран смерти с текстом для простого окошка с ошибкой «Приложение бла бла бла и будет закрыто». Выходит у этих официальных патчей нет вообще никакого контроля версий. Моя вера в человечество слабеет с каждый днем… Хорошо что это был не основной комп.

    Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты
    Я правильно понимаю, что если я просидел за компом все выходные и ничего не схватил, то порт у меня закрыт?
    • +1
      Винда пиратская?
    • +1
      Официальные патчи не тестируются на совместимость с варварскими активаторами, которые подменяют актуальное ядро системы устаревшей копией. Это реально ужасный способ, который оставляет пользователя без обновлений ядра (а количество закрытых дыр в ядре достаточно велико).
      • –2
        Ну да, ну да, давайте как всегда все валить на пиратов, а не на свои кривые руки или ленивые задницы. Что мешало патчу проверить версию ядра? Или пираты прямо на моем компе эту версию постоянно правят на подходящую?
        • 0
          Версия может быть старой, но отображать, что она новая. В итоге получаете привет. Такие активаторы — зло. Веселые модификации grub4dos куда лучше.
  • –4

    Подобные атаки есть пропаганда OpenSource. Был бы код винды открыт, эту уязвимость заметили бы раньше и закрыли бы. А так можно наедятся что некто не узнает.

    • +8
      Вы наверное уже забыли про ShellShock и HeartBleed. Open Source не даёт никаких гарантий.
    • +6
      Её и так закрыли довольно давно. Просто внезапно выяснилось, что пользователи винды боятся обновлений и ставят их только когда уже совсем припекло.

      На открытом Android творится примерно то же самое, потому как его за редкими исключениями можно обновить только вместе с девайсом.
      • 0
        Я ставлю. Но ни у меня, ни у других в обязательных обновлениях мартовское не значится https://social.technet.microsoft.com/Forums/en-US/8b072af3-42b0-46b2-84e9-742c1a2fb099/ransomware-wannacry-kb4012212-or-kb4012215-is-not-installed-?forum=w7itprosecurity
      • 0
        Картинка про Мак безнадёжно устарела.
      • 0
        Этот вирус очень напоминает акцию маркетингового отдела MS ))

        — У вас пиратская винда и отключены обновления? Тогда WannaCry идет к вам.
      • 0
        > пользователи винды боятся обновлений
        тут, подозреваю, причина в том, что винды пиратские
        • +1
          не обязательно, я например нервничаю, так как после обновления windows с большим шансом нужно будет перезагружать машину.
          не говоря что каждый пакет в неделю кушает гигабайт трафика, тоже об этом надо всегда помнить.
          • +1
            А ещё обновление — процесс не очень безопасный сам по себе. Может опрокинуть операционку в BSOD. Вот, например, вчера попросили глянуть компьютер, который начал выпадать в BSOD при загрузке после того как ось с перепугу полностью обновили. Оказалось обновился в том числе и видеодрайвер, который и привёл к синему экрану.
    • +4
      Открытые исходники вообще никак не кореллируют с безопасностью. Для справки — openssl мэинтэйнил один человек без адекватного аудита. После того как нашли уязвимость собирали деньги, что бы оплатить аудит. Благо спонсоры Linux Foundation выделили средства(MS кстати в их числе). Не совсем вяжется с мантрой — «миллионы глаз постоянно проверяют код».

      Так же еще многие упускают самую болезненную часть вопроса — opensource вам не поможет в сфере медицинских устройств и систем например. Все должно быть сертифицировано, каждый патч апрувнут вендором и куча других приколов. Вы же не думаете что вам разрешать пересобрать ядро на аппарате МРТ за 15 лямов долларов?
      • +2
        Ну не то чтобы совсем «никак» не коррелируют с безопасностью. Разумеется никто не гарантирует. что хоть кто-то проверяет код в open source проекте, куда уж там миллионы.

        Но зато это можно сделать в любой момент. Вот все заинтересованные лица взяли и провели полный публичный аудит.

        А в случае SMB1 от Microsoft как? Они там что-то на скорую руку залатали, но может быть даже сама уязвимость не закрыта, а просто изменились условия ее эксплуатации пока опять их кто-то не обнаружит.А заинтересованное сообщество, возможно, могло бы предложить лучшее решение.

        Разумеется гарантировать ничего нельзя, но открытость немного улучшает ситуацию, некоторая корреляция в наличии.
        • +1
          Согласен. Но ключевое слово — немного. Скажем так — сам по себе опенсорс не панацея. Допустим тот же аппарат для МРТ. Поставили на него никсы году так в 2000, сертифицировали набор компонентов. В 2017 году выходит уязвимость и что будем делать? :) Вендор мог уже обанкротиться, тоесть фикса нет. Сторонним разработчикам туда вообще фиг допуск дадут. Просто обновить набор пакетов? — тем более нет. И даже если они будут сидеть и смотреть на кусок кода с дырой — по факту ничего не смогут сделать. Вот тут самая большая печаль-беда :(

          У вас немного поверхностное мнение о разработчиках в MS :)
          • 0
            Так если поставить туда Windows (в двухтысячном году это было бы в лучшем случае Windows 2000, в худшем — NT 4.0), то сейчас бы тоже ничего с дырой сделать не получилось, для Windows 2000 и уж тем более NT 4.0 патчей не выходило.
            • 0
              Ну XP ставили куда только можно. FYI На британских подлодках Trident бортовые системы на XP :D
              Тут только изолировать нафиг все. Хотя и тут есть подводные камни — мрт аппараты и аппараты для лучевой терапии соединяются с системами планирования лечения пациентов, в которых ведутся расчеты необходимой дозировки и тд. Ну и облачные решения подоспели…
          • 0
            С МРТ всё печально в любом случае: если вендор не сказал что это обновление совместимо, то и ставить его нельзя. А уж открытое или закрытое ПО — вообще не важно (ну, с открытым, чисто теоретически, ты способен собрать всё, протестировать, и заново пройти сертификацию — не знаю какая больница способна на такое).
      • –3
        Вы же не думаете что вам разрешать пересобрать ядро на аппарате МРТ за 15 лямов долларов

        Админу местной больницы/университета — дадут, довольно легко. 15 млн. $ для западной организации часто не является такой уж большой суммой. Обычно этого (ненужных обновлений) не происходит, потому что люди адекватные, но если у админа будет желание — особых препятствий не будет.
        • +3
          Вы шутите? Никто даже близко не подпустит — это потенциальная уголовщина. Вы видимо никогда не сталкивались с регуляторами и требованиемяи строжайшего соответствия нормативным актам, протоколам обновления и реакции на инциденты. Я уж не буду говорить, что медицинские системы проходят такое тестирование, что большинство разработчиков в жизни не видели такого количества документации и тестов.
          15 лямов это гигантская сумма для того же NHS. И даже если чудом не превратите его в тыкву, то нет никаких гарантий, что все будет работать корректно, а это опасно для жизни пациентов.
          • –1
            Вы видимо никогда не сталкивались с регуляторами и требованиемяи строжайшего соответствия нормативным актам
            Я знаю, о чём говорю. Напрямую, лично, с мед. приборами не сталкивался, но с регуляторами и правилами — да. И был свидетелем того, как на Западе на это забивают, отмахиваясь как от назойливых формальностей. И регуляторы тоже часто не слишком буквоедством занимаются и нередко стараются по сути действовать, а не просто наказывать за невыполнение формальных предписаний, если видят что намерения «нарушителей» адекватные.
            Никто даже близко не подпустит

            15 лямов это гигантская сумма

            Я на прошлой неделе «live» правил код прибора за более 2 млн $ просто что бы показать коллеге, как это делать, прям на работающем приборе. Это является ежедневной нормой. Приборы за 10-15 млн тоже никто не боится. Во многих случаях не существует физических механизмов «недопускания». Всякие «страшные» вещи происходят очень редко потому, что люди осознают ответственность и просто стараются не совершать глупостей, даже если имеют доступ. Ну и уголовная ответсвенность тоже останавливает, но не физический механизмы «никто не подпустит». Как вы себе это представляете? Кто или что может не подпустить к прибору технический персонал больницы/мед центра/research facility?

            Вот в этом видео описываются примеры, как к вещам, воспринимаемым (и являющимися) чрезвычайно опасными относятся их операторы. Видео тоже не без глупых выводов, но кое-что интересное есть.
            • +1
              Уточните страну вашего проживания.
              Не подпустить? Система контроля доступа. Проверить целостность — то же есть способы.
              Вы понимаете, что для всего этого есть серьезные последствия? Что будет если человек погибнет? Подобной безответственностью не надо хвалиться. Попадете на нормальный аудит и гудбай.

              • –1

                Я и не хвалился, просто описываю реальную ситуацию. Вероятно есть места где строгий контроль и будут последствия неавторизованных действий, но обычно ответственность наступает только в случае когда дело доходит до аварии, и то не всегда. В моем случае прибор безобидный и мог угрожать лишь жизни бактерий, ну и выходом из строя, хотя это крайне маловероятно. Но от этого застраховаться нельзя — дешевле починить.

                • 0

                  Опять же, если это мед прибор, то сам оператор это осознает и работает/модифицирует его осторожно, но не потому, что ему не разрешат тяп ляп, или не допустят, а потому что он ответственный человек и работает добросовестно. Обычно.

                  • 0

                    Ну и уголовная ответственность тоже никуда не денется, если серьезно напортачить.

                • 0
                  А теперь сравните безобидный прибор с аппаратурой для диагностики и лечения рака. Я когда впервые увидел как рассчитываются параметры курса терапии на основе периодических анализов и сканирований офигел. Точнее ОФИГЕЛ. Тем более что-то там модифицировать не стал бы.
                  • 0
                    Конечно не стал бы, я бы тоже не стал, но не потому, что «не подпустят», а потому, что это было бы глупо и безответственно. То есть «не подпустят» там просто при приёме на работу: персонал, который работает с такими приборами (админы, программисты) — это чаще образованные адекватные люди, которым объясняют (они и сами понимают) возможные последствия их работы.
        • +3
          У вас очень странные представления как об админах и security процедурах в медицинском IT, так и о бюджетах госпиталей (впрочем, безотносительно к бюджетам, $15 «лимонов» это просто огромная сумма).
          В общем, вы неправы буквально в каждом слове.
          • –1
            $15 «лимонов» это просто огромная сумма

            Смотря для чего или для кого. Для какого-то госпиталя может и огромная, а для другой организации — нет. Бюджет NIH, к примеру ~ 33 bil. $. Бюджеты на оборудование в некоторых организациях тратятся по принципу «если не потратим до конца года, то бабки пропадут». Если есть возможность — их пытаются перевести в фонд ЗП, но часто этого сделать нельзя и покупают приборы за сотни тысяч и миллионы просто потому, что могут.

            15 млн — это годовые расходы на фонд ЗП отдела в 5-10 человек в какой-нить фарм. компании. Только ЗП.
            • 0
              Бюджет на покупку аппаратов £500 в год. На всю страну. Или врачам платить не надо например?
              • –1

                Вы о каком бюджете и каких аппаратах? Один день лечения ракового больного стоит в разы дороже чем пятьсот британских фунтов.

                • 0
                  500 mln GBP. Извиняюсь. Это сумма выделяемая из бюджета NHS на покупку новой аппаратуры.
            • +1
              15 млн — это годовые расходы на фонд ЗП отдела в 5-10 человек в какой-нить фарм. компании. Только ЗП.

              Откуда вы взяли, что в «фарм компании» рядовые сотрудники получают от $1.5M до $3M годовой зарплаты?! Честно говоря, после таких «заявлений» продолжать разговор с вами отпала охота… До вас самого идиотизм ваших заявлений не доходит? И в гугле вас, очевидно, забанили?
              • –1

                Отвечаю не вам, а тем кто возможно будет это читать. Во-первых с зарплатой я по ночи несколько просчитался. По моему опыту сотрудник исследовательского отдела, не считая тех персонала может получать от 100000 до 2000000 в год в зависимости от должности и т.п. компания при этом потратит сумму в полтора раза больше из-за налогов примерно. То есть реально получится скорее не 15 млн., А 5 млн. $

                • –2

                  В прочем, для некоторых передовых направлений может получится и больше. Один только​ начальник отдела может 5$млн получать.

                  • +1
                    Хватит писать ерунду! Да еще подтверждать свой бред «минусованием» кармы — так делают только злобные невоспитанные детки. Ошибся, наговорил глупостей — ну, признайся, с кем не бывает. Так поступит взрослый человек. Инфантильный «подросток» (притом любого возраста — по интеллектуальному и моральному уровню) будет тупо доказывать свою «правоту»…

                    По интересному совпадению, один из моих близких друзей — IT администратор в большом бостонском госпитале, а другой — химик-синтетик, долгие годы работающий на фармацевтические компании. Все, что было вами написано — не имеет ни малейшего отношения к реальности, по крайней мере, в США (но не думаю, что существуют места, где компьютерных администраторов пускают ковыряться в firmware MRI сканнеров, а бюджеты маленьких исследовательских групп составляют даже $5 миллионов долларов в год на зарплату — я же привел уровень зарплат в индустрии выше!).

                    В какой стране вы живете, откуда «высосаны» данные идиотские утверждения? Я пишу о реальности, о том, о чем знаю! О чем пишете вы — могу только догадываться.
                    • –1
                      Хватит писать ерунду! Да еще подтверждать свой бред
                      Хватит бездоказательно меня обвинять и хамить.
                      «минусованием» кармы

                      Я действительно минусанул Вам карму, т.к. Вы мне нахамили и в грубой форме и без доказательств написали какое-то нечто.
                      Ошибся, наговорил глупостей — ну, признайся, с кем не бывает.
                      Единственная ошибка была с точной цифрой зарплатного бюджета, нужно было написать 5$ млн, я написал 15, это я признал сразу и без Ваших советов. Однако это один порядок и не это был основной аргумент. От уменьшения суммы в три раза суть ситуации не меняется. Остальное — мои личные наблюдения, если у Вас другие наблюдения — поделитесь, а переходить на личности и учить меня жить не нужно.
                      не думаю, что существуют места, где компьютерных администраторов пускают ковыряться в firmware MRI сканнеров

                      Что значит «пускают»? Кто им помешает, кроме профессиональной (и уголовной, в случае последствий) ответственности. Я не слишком хорошо знаком непосредственно с госпиталями в целом, но я видел, как в разных странах доступ к дорогим приборам (в т.ч. и медицинским раз видел) ни административно ни технически не ограничен для обслуживающего персонала.
                      я же привел уровень зарплат в индустрии выше

                      Ваша ссылка была ни о чём, по ней вообще никаких выводов нельзя сделать. Всего десять примеров не пойми чьих зарплат. Мои личные (не друга) наблюдения (буквально в феврале последний раз общался с исследователями из одной крупной калифорнийской фармацевтической компании) говорят о том, что молодой специалист (~28 лет) там получает примерно от 100 тыс, на должности без подчинённых. Когда запускают важный для компании проект, то руководителей привлекают где найдут посредством семизначных зарплат.
                      • +2
                        НИКТО в здравом уме не полезет ставить перекомпилированные модули в МТ, так как схлопочут иск от производителя, а потом еще и пациентов на суммы, большие чем покупка нового томографа.
                        • –1
                          Согласен, но что бы дошло до иска нужна авария или хотя бы что бы стало известно, что кто-то вообще вмешивался, а этого делать не нужно было. Люди не вмешиваются в приборы не потому, что им «не дают», а потому, что в этом не заинтересованы. Если же какой-то администратор из каких-то неизвестных побуждений захочет модифицировать прошивку прибора — кто ему помешает и смогут ли этот факт вообще обнаружить? Далеко не всегда.
                      • +1
                        Бездоказательно как раз пишете свои выдумки и измышления вы! Я привел ссылку на медианные зарплаты по отрасли, при минимальном желании, можете найти хоть «стопятсот» тысяч таких ссылок, притом ВСЕ будут подтверждать мои слова!

                        Еще раз повторю: я живу в США (и довольно долго), и в близких друзьях у меня профессиональный IT администратор из бостонского госпиталя, и профессиональный химик с большим стажем, работающий на фармацевтические компании. Вдобавок, я работал по контрактам с госпиталями, и прекрасно знаю, о чем говорю.

                        Все, что вы «высасываете» непонятно откуда — неправда, глупая выдумка, навеянная дешевыми голливудскими фильмами.

                        Думаю, что, скорее всего, вы живете в России, и не имеете ни малейшего представления о том, как обстоят дела в реальности западного мира. Также думаю, что сумма в $15 миллионов долларов лично для вас так же фантастична, как и $150 тысяч (да, пожалуй, и $15 тысяч ;) ), потому-то вы и не осознаете, почему $15 миллионов долларов являются действительно очень большими деньгами.

                        P.S. Да и сама сумма в $15 миллионов возникла только от вашего невежества — эти сканеры стоят гораздо дешевле, но тоже очень дорого (но, конечно, по нашим, американским меркам, а не Васи из Задрищенска).
                        • 0
                          Я привел ссылку на медианные зарплаты

                          Вы привели ссылку на зарплаты каких-то работников фармацевтической отрасли не связанных напрямую с исследованиями, к тому же взяли медиану, а я говорил об исследовательской группе, к тому же в Калифорнии, да и компании бывают разные и даже подразделение может сильно отличаться от соседнего. В вашем списке нет руководящих должностей.
                          можете найти хоть «стопятсот» тысяч таких ссылок
                          Но мне не нужно их искать, я знаю ситуацию из первых уст. Поделился ею с Вами. Вы не верите — пожалуйста.
                          Все, что вы «высасываете» непонятно откуда — неправда, глупая выдумка, навеянная дешевыми голливудскими фильмами.
                          Думаю, что, скорее всего, вы живете в России, и не имеете ни малейшего представления о том, как обстоят дела в реальности западного мира. Также думаю, что сумма в $15 миллионов долларов лично для вас так же фантастична, как и $150 тысяч (да, пожалуй, и $15 тысяч ;) ), потому-то вы и не осознаете, почему $15 миллионов долларов являются действительно очень большими деньгами.

                          Это Ваши догадки. Будете ли Вы готовы посыпать голову пеплом? Если мои наблюдения не совпадают с Вашими — это ещё не повод для хамства.
                          Я уже писал, что свои данные взял из деловых разговоров с сотрудниками калифорнийской фарм. компании, а также из общения с коллегами на профильных конференциях и просто в командировках. Некоторые вещи, которые я описывал, я лично наблюдал во Франции, США и Германии.
                          Ваше впечатление лишь говорит о том, что независимо от того, где человек проживает — от невежества и хамства это не излечивает.
                          А по поводу голивудских фильмов — то это как раз по ним можно подумать, что до приборов не допустят т.к. от админа их будут охранять титановые стены, автоматчики и охранная система со сканером сетчатки глаза, которые «не допустят» админа до изменения прошивки прибора.

                          P.S. Да и сама сумма в $15 миллионов возникла только от вашего невежества — эти сканеры стоят гораздо дешевле,

                          сумма возникла из поста Razaz. Я нигде не писал о конкретном приборе, а говорил о спокойном отношении к ценной технике с семизначным ценником в некоторых (довольно многих) организациях на Западе.
                          но тоже очень дорого (но, конечно, по нашим, американским меркам, а не Васи из Задрищенска).

                          Вы считаете, что это делает Вас на фоне Васи лучше и достойнее? :)
                          • +1
                            Вы пишете ерунду, притом, не подтвержденную никакими фактами, от слова совсем!

                            Ни один IT администратор в госпитале, в здравом уме и рассудке, не пойдет «перекомпилять ядро» медицинского дивайса: этим занимаются (за весьма круглые деньги) специалисты от manufacturer-а или vendor-а, госпитальному персоналу напрочь запрещено лезть во внутренности, а обслуживание специализированных медицинских приборов, естественно, не входит в круг обязанностей госпитального IT! Это — факт, не мои домыслы, вне зависимости, с кем вы там беседовали…

                            Уровень зарплат в фармацевтике я вам привел; специально спросил друга-химика, много ли у них народу в его группе получают сильно больше $150K, он в ответ только грустно усмехнулся.

                            Бюджет зарплаты исследовательской группы из 10 человек — вовсе не $15 миллионов, и не $5 миллионов, а гораздо меньше. И «начальники отдела» (кстати, «начальников отдела» на Западе нет! А есть team leads и project managers) НЕ МОЖЕТ "$5млн получить", просто напросто нет таких зарплат, от слова СОВСЕМ!

                            Многомиллионные зарплаты и бонусы — это удел топ-менеджмента и chairman-ов (правда, в качестве исключения, в некоторых финансовых организациях очень талантливые ведущие разработчики делают больше «лимона» в год, но, повторю, это, скорее редкое исключение).

                            P.S. Смеха, а не пруфа ради, кинул линк на эти комментарии своим друзьям (благо, они доступны сразу и прямо сейчас, хоть по IM, хоть по телефону). Они — сильно занятые люди (особенно администратор, в связи с WannaCry), чтобы доказывать неправоту анонимусу из интернета, но то, что они мне посоветовали ответить, я опущу по соображениям приличия… :D
                            • 0
                              Ни один IT администратор в госпитале, в здравом уме и рассудке, не пойдет «перекомпилять ядро» медицинского дивайса
                              А где я с этим спорил? Я говорил про админа как раз в не здравом уме и говорил, что если админу ударит что-то в голову и он захочет куда-то влезть — вряд ли что-то ему помешает.
                              Уровень зарплат в фармацевтике я вам привел; специально спросил друга-химика, много ли у них народу в его группе получают сильно больше $150K, он в ответ только грустно усмехнулся.
                              Я и не говорил, что у меня репрезентативная выборка для медианного фармацевта. Я могу лишь уточнить что для исследователей с опытом 15-25 лет в медицине/фармацевтике на руководящей (но не высшего звена даже) зарплата ~1 млн — это не исключение.
                              И «начальники отдела» (кстати, «начальников отдела» на Западе нет! А есть team leads и project managers
                              Да как хотите их называйте. Я по-русски писал.
                              team leads и project managers) НЕ МОЖЕТ "$5млн получить", просто напросто нет таких зарплат, от слова СОВСЕМ!
                              Есть, я одного знаю конкретно, о других слышал от коллег, Вы видимо не встречали. Когда большая компания видит, что открывается новый рынок по новой болезни/терапии и им надо в него войти, — они пытаются на него нанять самого топового специалиста, который на этой теме уже собаку съел, еще до того как она стала «трендом», а таких людей в мире единицы. Под таких людей создается отдел, и им дают семизначную зарплату. Я не говорил, что это все начальники отделов такие, я сказал что такое бывает.
                              • 0
                                Я на прошлой неделе «live» правил код прибора за более 2 млн $ просто что бы показать коллеге, как это делать, прям на работающем приборе. Это является ежедневной нормой. Приборы за 10-15 млн тоже никто не боится. Во многих случаях не существует физических механизмов «недопускания».


                                Я говорил про админа как раз в не здравом уме и говорил, что если админу ударит что-то в голову и он захочет куда-то влезть — вряд ли что-то ему помешает.


                                «На этой юмористической ноте, дорогие радиослушатели, мы заканчиваем нашу увлекательную программу!» :)

                                P.S. На этот раз это действительно мой последний пост в этом треде, ибо становится уже не смешно…
                                • 0
                                  Вы вырываете из контекста.
                                  Первая цитата относится к просто ценному прибору, работа с которым — обычное дело для меня и лишь хотел показать на личном примере, что никаких барьеров для «ломания» такого прибора не существует. Я не один имею доступ к этому и еще нескольким таким приборам и не припоминаю, что бы за последние 5 лет кто-то нанес серьезный ущерб им. При этом что-то правится едва ли не каждую неделю. Тут я показываю отсутствие пиетета перед ценными железяками среди их операторов.

                                  Вторая цитата относится к приборам, которые обычно не трогают, даже если и могут.
  • 0
    Пожадничали ребята с 300 долларами, брали бы 50 или 10 даже, так озолотились бы. В российских условиях среднему домашнему пользователю да и даже простому офисному сотруднику дешевле винт отформатировать или даже новый купить. Ну что может у отдельного представителя планктона пропасть на компе, стоимостью >300 баксов? Какой-то срочный отчет или проект даже, возможно из головы восстановить, пусть даже героическими усилиями работы по ночам и выходным. Да и сроки начальство сдвинет, в рамках борьбы с кознями АНБ:)
    • +1
      Ну что может у отдельного представителя планктона пропасть на компе, стоимостью >300 баксов?

      Например, архив фотографий и видео детей за nn-цать лет (учитывая то, что OneDrive/GoogleDrive довольно быстро «подтянут» зашифрованные фотки); у владельцев малых бизнесов — документация и бухгалтерия за nn-лет (грозит серьезными потенциальными проблемами).
      А с другой стороны, разве $300 — это настолько большая сумма для современной России? Я встречал неоднократные утверждения, что нынешние россияне живут, благодаря «стабильности», хорошо и богато, и даже в «замкаде» зарплаты в $1000/month давным-давно уже устоявшаяся реальность (а для Москвы так это вообще зарплата дворника).
      • 0
        Конечно, 300 баксов не так и много, только почему-то многие предпочитают использовать пиратскую винду, антивирусы и прочее ПО, лишь бы только немного этих долларей сэкономить.
        Про бухгалтерию соглашусь, может быть что-то ценное потеряно. Не знаю, как в этих 1С-ах все устроено, но думаю, где с ней ежедневно и серьезно работают, там есть и админы и бэкапы. А мелкому ИПшнику, который изредка только отчеты сдает в налоговую, проще будет заново из первички все документы руками в систему забить, да этот способ и для относительно больших доже подойдет, все бумаги хранятся, бухгалтерия все может повторно внести.
        Архивы фото- видео- вряд ли настолько ценны. Все интересное люди заливают в соцсети, а остальное хранят забивая винты, думая, что когда-то пригодится. Обычно это «когда-то» никогда не наступает. Я лет 7 назад потерял часть фото-архива (кое-что именно в соцсетях сохранилось), когда умер винт, Земля не остановилась от этого, баксов 10 отдал бы, чтобы вернуть, но никак не 300.
        • 0
          А вот это уже идея поинтереснее: грохнуть всю бухгалтерию, свалить всё на вирус, сказать, что бэкапы тоже пошифровались и т. д. А там глядишь и правительство какой указ издаст типа «О мерах по поддержанию пострадавших от WannaCry» — понять, простить и налог посчитать по минимуму.
          • 0
            Бумажные версии должны были остаться, компьютерный вирус до них пока не может добраться. А раз так, вот тебе штраф, сиди восстанавливай.
        • 0
          К примеру я очень редко что-то выкладываю в соц сети и потеряв семейный альбом за НН лет… Ну я бы отдал 300 $
          Что касается мелкого ИП. Потеря базы данных мне бы сильно помешала. Честно

          Благо, что все хранится в облаке, которое с компом синхронизируется только руками и все важные данные отправляются туда скриптами. Настроить такое в принципе не так и сложо.
      • +1
        в «замкаде» зарплаты в $1000/month давным-давно уже устоявшаяся реальность

        Реальность для кого? Для мэра города? $350 — уже неплохо, и вряд ли кто-то станет отдавать почти всю месячную зарплату даже за очень важный архив фото.
        • 0
          Говорю честно: знаю о достатке россиян только по форумам и сайтам. Поскольку для довольно многих, судя по их постам на некоторых форумах, например, покупка нового смартфона за $800-1000 выглядит достаточно рядовой, я и думал, что все не так уж и плохо…

          Месячную зарплату я бы отдавать не стал (но она и не $300), а вот $300, наверное, отдал бы , если бы был самонадеянным «лохом» и невеждой, рассчитывающим на «авось не подхвачу»
          • 0
            Вот у нас 21350 руб средняя (сейчас может 22к руб), а медианная, естественно, и того ниже. Как раз на вымогателя и на 70% коммуналки. А посты — это 1% или типа того, но у них, наверное, и бэкапы есть\апдейты стоят.
  • +1
    Добавлю по поводу особенностей шифровальщика, о чем не написали:
    taskshe.exe инжектит длл непосредственно из зашифрованного файла t.wnry, код шифрования, открытые ключи RSA в этой библиотеке. Кстати, авторы вредоноса просмотрели один таймстамп и не потерли. AES реализован в библиотеке, а для RSA и генерации сессионных ключей используется CryptoAPI.
    Зашифрованные файлы содержат сигнатуру, зашифрованный ключ AES и собственно зашифрованные данные файла
  • +1
    Интересно, а просто использовать зараженные компьютеры для майнинга не было бы «выгоднее»? Сотни тысяч машин по всему миру — это довольно серьезная вычислительная мощность. Да и не было бы столько воплей по этому поводу, многие годами могли бы не догадываться о заражении.
    • 0
      Уже через несколько дней вирус попал бы в сигнатурные базы всех антивирусников и тихо сдох, не успев намайнить сколь-нибудь существенные суммы. Криптор позволяет собрать «урожай» до того, как антивирусы начинают его детектить.
      • +1
        Это полуправда.
        Чтобы получить с 200к компьютеров те же 40 тысяч долларов за день, каждая из машин должна «выдввать» по 2 мегахеша. Что в реальности будет существенно выше за счет GPU и отсутствия затрат на электричество. В реальном мире примерно за 8 часов можно было бы получить сопоставимую сумму.
        Спустя месяцы после волны десятки тысяч компьютеров, не оснащенных антивирусами, продалжали бы выдавать ту же сумму еженедельно.
      • 0
        Что мешает скомбинировать майнер и шифровальшик? Что-то вроде «не расшифруем Ваши файлы, пока на вашем компьютере не намайнится определенная сумма».
    • 0
      Где гарантия что у вас УЖЕ не сидят майнеры, которые проникли тем же путем? :)
      • 0
        Я слежу за нагрузкой CPU/GPU и выделением памяти. Но подавляющему большинству пользователей это не свойственно.
        • 0

          И на сколько у вас CPU нагружается во время запуска браузера? или сколько памяти выделяется на это.

          • 0
            Если говорить о «голом» chrome с холодного старта, то при запуске нагрузка плавает +5/10% (падая почти до нуля после завершения инициализации всех расширений), а памяти выделяется около 200Мб. По мере работы, в зависимости от количества окрытых вкладок, может уходить до гигабайта памяти, а нагрузка на CPU «плавать» в пределах до +10%.
            Но меня такие вещи интересуют как Web-разработчика (в частности, игр). Моя жена, например, спокойно открывает 40+ вкладок «просто чтобы не потерялось» а на завывания системы охлаждения и тормоза реагирует просьбами поменять вентилятор или компьютер.
            • 0

              так вот в ваших пределах до +10% вполне может жить и работать зловред.

              • 0
                То есть, идея работоспособна? Можно ограничить ресурсоемкость, при этом сохранив на достаточный срок работоспособность червя на большОй части ботнета.
                Можно попробовать на вскидку проанализировать производительность на чистом CPU или с подключением GPU при его наличии. Возможно включение только в периоды простоя.
        • 0
          чем вы отслеживаете нагрузку на GPU?
          если запустить майнер, например не на 100% ресурсов, например не 32 воркера а 8, вы ничем это не отследите, по крайней мере process explorer не покажет ничего такого, памяти много не будет затрачено
          • 0
            У меня ноут. В обычном режиме работает встроенная видеокарта, нагрузка на которую видна в CPU. При включении GPU nvidia загорается иконка в трее. На стационарном компьютере наверное не так просто будет отследить, да и не было пока необходимости.
            С другой стороны, я изначально говорил о теоретической возможности использования уязвимости именно для майнинга, вместо шифрования. А не о том, что я профессионально умею что-то детектить. Так что я бы от оффтопа переключился на что-то более тематическое, вроде оценки производительности различных компьютеров в мегахешах. ;-)
            • +1
              На моём стационарном ПК резкое увеличение нагрузки на GPU можно «отследить» даже из другой комнаты по характерному шуму.
  • 0
    другой детальный анализ https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
  • 0
    Действительно, очень познавательно. Да и вопросов возникает уйма.
  • 0
    Что будет, если на виртуалке намеренно сделать заражение?
    • 0
      получишь благодарность и «печеньки» от антивирусных компаний. само собой :)
      также стоит понимать, не будешь первопроходцем, т.к. за этим делом сидят круглосуточно ведущие антивирусные аналитики.
      От меня спасибо за информацию, какие ещё метода проникновения, кроме SMB v1
    • 0
      Если виртуалка включена в сетку, то следом получите заражение всех виндовых машин с открытым портом 445 и без установленного обновления в этой сетке.
  • 0
    Вот это мы во время живем, ребята! ) Самая массовая кибератака в истории, а я то думал, что у меня винда (семерка) обновлялась все выходные, новости в пятницу не читал, был не в курсе
    • 0

      Больше шума подняли СМИ.

  • 0

    Интересно, а как автор (или авторы) этого вируса собираются без палева обналичить "заработанные" средства или вообще хоть как-то ими воспользоваться? Физический товар не купишь, на карточку не выведешь… или все-таки можно?

    • 0
      Вам слово «биткоин» совсем незнакомо? Ну, так на хабре статей про биткоин даже больше, чем нужно…
      • 0

        Я знаю, что такое биткоин и слышал, что его анонимность сильно преувеличена и в ряде случаев личность владельца можно узнать. Или все это не правда?

        • 0
          Не те слухи вы слышали. Можно проследить цепочку, узнать, сколько перечислили биткоинов (на данный момент, вроде, $57282.23 в USD по текущему курсу), но вот деанонимизировать владельца кошелька, AFAIK, практически невозможно (ну, разве что классическими средствами полиции и спецслужб).
          Собственно, на этом и базируется bitcoin и его популярность в определенных кругах.
          • 0
            ну, разве что классическими средствами полиции и спецслужб

            Ну именно эти службы и должны заинтересоваться автором вируса, написание вредоносного ПО и вымогательство это ведь преступление.


            Но дело даже не в этом. Просто деанонимизировать владельца кошелька пусть условно невозможно. Следовательно переводы между кошельками внутри биткоин сети тоже условно безопасны (анонимны). Но биткоины ведь на хлеб не намажешь! Покупка в интернет магазине, вывод на карту, обмен на эл. деньги и так далее — это все палево. Разве нет? Владелец любого интернет магазина, если его возьмут за одно место, сдаст всю информацию о клиенте.

            • 0
              Есть сервисы для отмывания, которые делят сумму на множество мелких частей и смешивают с биткоинами других пользователей.
            • +1
              Точно я не знаю, поскольку я не criminal, а «битками» интересуюсь только в порядке общей информированности (для моих покупок и транзакций вполне подходят и обычные кредитные карты и банковские счета), но, опять-таки по слухам (за достоверность не ручаюсь) и по прочитанному, существует весьма обширный «чёрный» рынок «битков», где можно купить за bitcoins абсолютно все, от наркотиков и оружия, до ворованного антиквариата, «левого» золотишка (оборот коего, AFAIK, запрещен в большинстве государств) и не ограненных алмазов.

              Касательно же «стандартных» полицейских и «спецслужбовских» методов, то они (опять-таки,AFAIK) в основном базируются на сексотах и агентах под прикрытием. Если в случае орг. преступности примерно понятно, где искать и куда внедрять, то, IMHO, в случае с хакерами все намного сложнее. Нет сомнений, что определенные сообщества и преступные группы мониторятся соответствующими органами, но в случае не хвастливых, умных и осторожных злодеев вне «сцены» данный сценарий, очевидно, не сработает.

              Опять-таки, с технической стороны чрезвычайно сложно хоть как-то напасть на след: ныне даже script kiddie, подчитавший пару-тройку мануалов, и потративший пару $10-20 (через сатоши, «мелкую монету» биткоина), может организовать себе практически невыявляемую и неузявимую цепочку прокси (особенно, если входная точка — это public internet access в каком-нибудь Starbucks-е или ресторанчике).

              Атака Wanna Cry явно продумывалась и готовилась длительное время; вряд-ли люди, подготовившие и осуществившие ее, являются полным «ламерьем», поднахватавшимся верхов (по анализу червя непохоже).

              Так что вряд-ли стоит рассчитывать на выявление и наказание преступников; ни ФСБ, ни FBI вовсе не всесильны и всезнающи, как бы им не хотелось такими казаться…
    • 0
      Существуют сервисы, которые за часть суммы делают миксинг средств и таким образом делают её отслеживание довольно проблематичным. Опять же, можно завести деньги на биржу, конвертнуть, к примеру, в ETH, и их потом уже обналичить. Схем куча.
    • 0
      Через биржу на карточки всё спокойно выводится, уже давно… Да с самого начала, наверное :)

      В блокчейне не будет указано что все деньги переведены на кошелек биржи. Биржа конечно, навряд ли, генерит кошельки для каждой транзакции, но у неё их очень много. Далее, битки разлетятся по пользователям. А чревописатель получит sms уведомление, о зачислении деньзнаков на карту :)

      А пострадавшие выгрузят цать гигов зашифрованых фоток на внешний винт или в облако… Мало ли… Вдруг дешифратор подойдет… Вместе с квантовыми компами…

      • 0
        Малость спутал, не кошельки btc, а новый адрес в кошельке.
      • +1

        То, что вывести можно это понятно. Просто мне кажется, что это палево. Разве не останется данных, что с такого-то кошелька (который на карандаше у соответствующих органов) на такую-то карточку был перевод. Даже если она оформлена на какого-то бомжа, ее, как минимум, можно просто заблокировать, чтобы злоумышленник не мог снять деньги.

        • 0
          Чтобы всё понять, проще провести самостоятельно куплю продажу и обратную продажу на 100р.

          Злоумышленик создает аккаунт на бирже. Нажимает «пополнить счет btc», ему биржа выдает его персональный адрес, такого же типа как и на который потерпевшие отправляли битки.

          Завтра или послезавтра мы увидим что битки ушли на какой-то адрес. Но что это за адрес? Другой кошелек? Электронный автоматический обменник? Другой кошелек? Биржа? Но какая именно.

          И все адреса уникальны. Потому что первое правило биткойна — Сгенерируй новый адрес, для новой транзакции! Это многократно повторяется и тиражируется. И этого придерживаются пользователи.

          Блокчейн видит транзакцию, а кошелек может быть создан на блокчейне, а может на компе злоумышленика Bitcoin core с полным набором блоков и он же кошельком и является…

          Тут интересно другое… Текущая цена на биток в почти 100к руб. О_о. Я на btc-e последний раз заходил, когда он 18к стоил… Может битки сейчас только держатели бирж и обменников продают, а остальные только покупают…
  • 0
    Поймал себя на мысли, что ну о-очень давно нигде не видел Fixedsys…
  • 0
    Уважаемые подскажите пожалуйста, это я такой везучий, и эта гадость пытается пробраться на комп? или это не этот вирус а что-то другое?
    скрин
    https://yadi.sk/i/H4y3pLtw3JBNKF

    порты 139, 445 закрыты + установлен патч с обновой для хр, но фаервол сегодня словно взбесился из за этой гадости, каждую секунду с новых ip долбятся и что-то блокируется х_х
    Если это из за этого вируса, то подскажите как избавиться? не очень хочется чтобы он пролез на комп и угробил все файлы, а после радостно денег требывал :((
    • 0
      Похоже на компе запущен торрент-клиент, сидящий на порту 6881. Проверьте — если это так, то откройте в фаерволе этот порт на вход.
      • 0
        Нет торрент не запущен, я сначала тоже думал что из за него, и удалил, все равно каждую секунду идут запросы с новых IP и блокируются, к тому же большая часть IP с того же провайдера какой и у меня + из того же города.
        • 0
          Ваш IP-адрес запомнился сетью DHT и другими торрент-клиентами: вот они и пытаются до Вашего торрент-клиента достучаться. Не парьтесь.
          • 0
            Так в том то и дело, смена IP адреса не помогает (он меняется каждый раз как подключаюсь к интернету) а запросы все равно идут каждую секунду.
            А сегодня и вовсе вот такое появилось пока еще интернет не был подключен