Анализ шифровальщика Wana Decrypt0r 2.0


     
    Специалисты компаний T&T Security и Pentestit произвели анализ шифровальщика Wana Decrypt0r 2.0 для выявления функционала, анализа поведения и способов распространения вредоноса.


    Wanna Decrypt0r, распространяемый через SMB — это вторая версия Wanna Cry, который распространялся более классическими способами (фишинг), поэтому он имеет индекс 2.0. В данный момент существуют минимум три ветки шифровальщика: фишинговая (первая), киллсвитч (первая волна), без киллсвитчера (выпущенная буквально несколько часов назад). По состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.


    Статистика


    Заражения:


    В настоящий момент (19:00 GMT+3) заражено 236,648 машин (вероятнее всего завтра эта цифра значительно увеличится). Хотя управляющий (вернее, отвечающий за распространение) домен удалось засинкхолить, судить о количестве заражений по "отстуку" на этот домен — неверно. Часть зараженных машин может находиться за NAT или отключена от глобальной сети.
     



     


    Выплаты:


    Выкуп за расшифровку перечисляются на три биткоин кошелька:


    • 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn: 4.33279223 BTC — $7799
    • 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94: 6.00472753 BTC — $10808
    • 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw: 8.78127705 BTC — $15806

    Командные центры:


    • gx7ekbenv2riucmf.onion
    • 57g7spgrzlojinas.onion
    • xxlvbrloxvriy2c5.onion
    • 76jdd2ir2embyv47.onion
    • cwwnhwhlz52maqm7.onion

    Поддерживаемые языки:


    m_bulgarian, m_chinese (simplified), m_chinese (traditional), m_croatian, m_czech, m_danish, m_dutch, m_english, m_filipino, m_finnish, m_french, m_german, m_greek, m_indonesian, m_italian, m_japanese, m_korean, m_latvian, m_norwegian, m_polish, m_portuguese, m_romanian, m_russian, m_slovak, m_spanish, m_swedish, m_turkish, m_vietnamese

    Атрибуция:


    Создать вредонос мог кто угодно, явных признаков, способных выявить авторов, пока не обнаружено, за исключением следующей информации:


    00:34 < nulldot> 0x1000ef48, 24, BAYEGANSRV\administrator
    00:34 < nulldot> 0x1000ef7a, 13, Smile465666SA
    00:34 < nulldot> 0x1000efc0, 19, wanna18@hotmail.com
    00:34 < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
    00:34 < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
    00:34 < nulldot> 0x1000f088, 52, https://www.dropbox.com/s/deh8s52zazlyy94/t.zip?dl=1
    00:34 < nulldot> 0x1000f0ec, 67, https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip
    00:34 < nulldot> 0x1000f150, 52, https://www.dropbox.com/s/c1gn29iy8erh1ks/m.rar?dl=1
    00:34 < nulldot> 0x1000f1b4, 12, 00000000.eky
    00:34 < nulldot> 0x1000f270, 12, 00000000.pky
    00:34 < nulldot> 0x1000f2a4, 12, 00000000.res

    Killswitch домен:


    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Уже существуют версии шифровальщика без этой функции.


    Шифрует файлы следующих расширений:


    .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

    Шифрование:


    Для шифрования используется 2048-битный ключ RSA. На данный момент утилиты расшифровки не существует.


    Распространение:


    Для распространения шифровальщика злоумышленниками используется критическая уязвимость MS17-010 в протоколе SMBv1. Хотя, согласно официальному бюллетеню безопасности, данной уязвимости подвержены версии Windows, начиная с Vista, последствия атаки оказались настолько серьезными, что компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.
     
    image
     


    Злоумышленники использовали эксплоит ETERNALBLUE из архива АНБ, "слитого" группировкой ShadowBrokers. Сам комплекс представляет собой автоматизированную систему: сканер DoublePulsar для организации доступа и установки шифровальщика на уже забэкдоренные машины, либо эксплоит ETERNALBLUE.
     


    image

     
    После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.
     


    image

     
    Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты:


    image

     


    Анализ


    Автоматизированный анализ вредоносного кода производился в специализированной системе tLab, которая представляет собой профессиональный инструмент для удаленного и безопасного анализа подозрительных объектов. Система позволяет автоматизировать процедуру анализа поведения исполняемых объектов и выявлять в них признаки вредоносных функций, далее система автоматически выдает полный интерактивный отчет. При этом используется уникальная технология глубокого анализа функциональности программ, основанная на полиморфных иерархических сетях Петри. Эта система — авторская разработка, реализованная в Казахстане компанией T&T Security.


    Компания T&T Security была основана в 2013 году в Казахстане, Астана. Основатель компании в течение последних 10 лет проводил исследования в области кибербезопасности в США. Целью создания компании является борьба с кибер-угрозами нового поколения.


    В 2017 году T&T Security выпустила свой первый инновационный продукт систему tLab , которая представляет собой профессиональную поведенческую песочницу основанной на уникальной патентованной технологии обнаружения вредоносной активности. tLab может использоваться в качестве как профессионального инструмента для оперативного и глубокого анализа вредоносных объектов при SOC-центре, так и эффективной серверной песочницы для обнаружения и блокирования вредоносных объектов на периметре организации.


    Анализ проводился над двумя объектами:


    Объект №1
    SHA256: 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
    и
    Объект №2
    SHA256: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa


    tLab представляет уровень угрозы в мета-процентах (может быть более 100%), если выше предела опасности (85% по умолчанию) — считается вредоносным (выделяется красным). Предел опасности выставляется администратором tLab. Уровень угрозы вычисляется для отдельных индикаторов вредоносного/подозрительного поведения таких как шпионская активность, закрепление в ОС, эксплоит, прокси-активность и т.д. Для каждого индикатора уровень угрозы рассчитывается на основе определенных действий и комбинации действий в контексте цепочки активности.


    В результате были обнаружены несколько индикаторов потенциальных угроз (функциональностей), таких как закрепление в ОС, нетипичная сетевая активность, модификация ОС и данных пользователя и прокси-активность. При этом первый объект продемонстрировал в полтора раза больший уровень угрозы. Это связано с тем, что данный объект имеет дополнительные функциональности, в том числе механизм само-распространения в виде сетевого червя.


    image

     


    image

     
    Почти все индикаторы динамического анализа имеют угрозу, начиная от 100 мета-процентов. Особенно выделяется индикатор массовой активности, указывающие на огромное число повторяющихся системных событий, что является аномальным для легитимных приложений. В данном случае происходит перебор тысяч IP-адресов из возможного диапазона. Закрепление в ОС набрал уровень 90 благодаря установке сервиса и автозапуска извлеченных объектов. Прокси-активность обуславливается попыткой вредоносного объекта достижения системных действий через чужие легитимные средства (чужими руками), например с целью обхода детекта. В данном случае вредонос устанавливает на автозапуск свой извлеченной компонент через системную утилиту.


    На основе обнаруженных индикаторов система автоматически выставила экспертный вердикт — Опасно.
     


    image

     


    Полезная нагрузка


    На поведенческом уровне оба объекта схожи и шифруют файлы пользователя. Первый объект имеет функции сетевого червя и пытается распространяться в сети через уязвимость в SMBv1, для чего он перебирает множество IP-адресов случайным образом и пытается соединиться на порт 445 (SMB). За 20 минут динамического анализа в песочнице вирус успел перебрать более 60 000 IP-адресов из различных диапазонов. Таким образом, вирус обладает способностью к самораспространению не только по локальной сети, но и возможность атаковать другие компьютеры в мировом масштабе.
     


    image

     
    Командные сервера вымогателя находятся в сети Tor. Во время работы вируса происходит соединение на порты 443, 9101, 9102 на ряд IP-адресов, являющихся входными нодами сети Tor. Во время очередного динамического анализа были зафиксированы попытки соединения на следующие адреса:


    • 85.248.227.164:9002
    • 194.109.206.212:443
    • 217.79.190.25:9090
    • 204.11.50.131:9001
    • 95.183.48.12:443
    • 171.25.193.9:80
    • 195.154.164.243:443
    • 131.188.40.189:443
    • 5.9.159.14:9001
    • 199.254.238.52:443
    • 178.16.208.57:443
    • 128.31.0.39:9101
    • 154.35.175.225:443
    • 163.172.35.247:443

    При каждом новом динамическом анализе данный набор адресов меняется, но всегда является входной нодой Tor. Скорее всего, образец случайным образом выбирает "адрес: порт" из заранее заложенного в него списка адресов. На момент написания статьи количество входных нод в сеть Tor составляло более 7 000.


    Инсталляция и закрепление в ОС


    Динамический анализ показал, что объекты закрепляются в ОС либо напрямую, либо через извлеченный исполняемый файл “tasksche.exe”, который является инсталлятором группы компонентов шифровальщика. Как видно из снимков экрана, вредоносы используют легитимную системную утилиту (“reg.exe”) для добавления своего объекта в автозапуск, используя следующую командную строку:


    cmd.exe /c reg add hklm\software\microsoft\windows\currentversion\run /v "abzyckxcqecwnu394" /t reg_sz /d "\"c:\intel\abzyckxcqecwnu394\tasksche.exe\""

    Такой подход классифицирован как прокси-активность, которая обычно используется для обхода обнаружения со стороны антивируса.
     
    image
     
    Объект №1 дополнительно устанавливает сервисы для обеспечения "выживаемости" его следующих компонентов:


    c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin
    c:\intel\abzyckxcqecwnu394\tasksche.exe

    Особенностью вредоноса является установка своего извлеченного объекта как сервис, который и порождает всю последующую активность.
     
    image
     
    В процессе инсталляции процесс “tasksche.exe” или сам вирус извлекает из себя и запускает файл “@wanadecryptor@.exe” множество раз в различные пользовательские папки и другие директории, содержащие файлы для зашифровывания, видимо для того, чтобы избежать единой точки отказа или обнаружения. Для извлечения используется пароль WNcry@2ol7.


    Извлечение @wanadecryptor@.exe


    c:\intel\abzyckxcqecwnu394\@wanadecryptor@.exe
    c:\@wanadecryptor@.exe
    c:\docs\@wanadecryptor@.exe
    c:\docs\docs\@wanadecryptor@.exe
    c:\documents and settings\default user\(01;=k\@wanadecryptor@.exe
    c:\documents and settings\48=8ab@0b@\cookies\@wanadecryptor@.exe
    c:\documents and settings\48=8ab@0b@\(01;=k\@wanadecryptor@.exe
    c:\documents and settings\;l720b5;l\(01;=k\@wanadecryptor@.exe
    c:\programms\@wanadecryptor@.exe
    c:\programms\totalcmd\@wanadecryptor@.exe
    c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\@wanadecryptor@.exe
    c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp1\@wanadecryptor@.exe
    c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp2\@wanadecryptor@.exe
    c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp3\@wanadecryptor@.exe
    c:\system volume information\_restore{1a1e1895-7822-43e9-a55a-8d2dc8b2dc2d}\rp4\@wanadecryptor@.exe
    c:\temp\screener\@wanadecryptor@.exe
    c:\documents and settings\all users\ 01g89 ab;\@wanadecryptor@.exe
    c:\documents and settings\48=8ab@0b@\ 01g89 ab;\@wanadecryptor@.exe
    c:\documents and settings\;l720b5;l\ 01g89 ab;\@wanadecryptor@.exe

    Далее происходит запуск большинства извлеченных компонентов.
     
    image
     
    Процесс “@wanadecryptor@.exe” в свою очередь извлекает компоненты Tor-клиента и запускает его приложение “c:\intel\abzyckxcqecwnu394\taskdata\tor\taskhsvc.exe”.


    c:\intel\abzyckxcqecwnu394\taskdata\tor\libeay32.dll                    
    c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent-2-0-5.dll                  
    c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_core-2-0-5.dll             
    c:\intel\abzyckxcqecwnu394\taskdata\tor\libevent_extra-2-0-5.dll                
    c:\intel\abzyckxcqecwnu394\taskdata\tor\libgcc_s_sjlj-1.dll                 
    c:\intel\abzyckxcqecwnu394\taskdata\tor\libssp-0.dll                        
    c:\intel\abzyckxcqecwnu394\taskdata\tor\ssleay32.dll                    
    c:\intel\abzyckxcqecwnu394\taskdata\tor\tor.exe                     
    c:\intel\abzyckxcqecwnu394\taskdata\tor\zlib1.dll                       
    c:\intel\abzyckxcqecwnu394\\taskdata\tor\taskhsvc.exe                   
    c:\temp\screener\newwindows\@wanadecryptor@.exe                                 

    Кроме того, данный процесс производит ряд системных действий с использованием следующих команд Windows:


    cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

    Данные команды отключают сервис теневого копирования, удаляют существующие копии и отключают запуск по умолчанию средств восстановления при загрузке ОС.


    Особенности работы вредоноса


    По результатам анализа, данный вредонос имеет сложную структуру активности, которая выражается в использовании множества независимых компонентов, резервировании объектов и методов прокси-деятельности. Как видно из цепочки активности, вирус-родитель извлекает ряд объектов и через них закрепляется в системе (автозапуск), перебирает входные узлы TOR сети, модифицирует настройку ОС и запускает компоненты шифрования пользовательских файлов. Более полная цепочка активности демонстрирует факт многократного запуска извлеченных компонентов шифровальщика, что, в свою, очередь было зафиксировано как аномальная массовая активность с высоким уровнем угрозы.
     
    image
     
    При всем объеме заложенной функциональности данный вредонос не обладает приемами сокрытия своего присутствия. Попытка скрыть свое присутствие или идентифицировать среду исполнения сегодня классифицируется как критичный IOC (index of compromise, индикатор компрометации).


    Соответственно, мы наблюдаем тренд, когда вредоносные программы стараются не выделяться из общего потока легитимной активности таких программ, как инсталляторы, архиваторы, менеджеры файлов.


    Итог


    Вредоносный комплекс представляет из себя совокупность общедоступных компонентов и не требует высокой квалификации злоумышленников. Есть очень большая вероятность, что эти системы могли быть захвачены злоумышленниками ранее, шифровальщик лишь вскрыл проблему. Характер заражения, скорость и затронутые системы показывают, что на сегодняшний день многие системы не могут и не готовы противостоять современным кибергурозам.




    На Pentestit Secuirty Conference будут представлены уникальные доклады по анализу вредоносного кода, компьютерной криминалистике и противодействию современным кибератакам.

    Pentestit 324,20
    Информационная безопасность
    Поделиться публикацией
    Похожие публикации
    Комментарии 351
    • +3
      познавательно
      • +5
        email wanna18@hotmail.com привязан к аккаунту facebook WaanJeab Theinsuwan
        • +1
          Так, скорее всего, имейл просто хакнут и к нему злоумышленики имеют доступ.
          • 0
            Зачем взламывать чей-то email, от которого, теоретически, владелец может восстановить доступ, если проще регнуть новый? Да и название ящика тематическое.
            • 0
              Я не знаю, зачем — не я это делал. Но если бы делал я, воспользовался бы каким-нибудь левым ящиком, к которому у меня есть доступ, сменил бы пароль и избавился от возможности пользователю вернуть его обратно себе, нежели чем сам бы регистрировал какой-то там ящик, да еще и привязывал его к аккаунту фейсбука, ну их нафиг, эти корпорации.
              • 0
                Менее палевно выглядит регистрация ящика из под условного Tor c активацией на левый номер (желательно бесплатный, типа как тут), потому что если акк ломать, то надо вместе с сим-картой, иначе владелец доступ быстро восстановит, а если покупать, то это уязвимость в плане «вычислить по покупке».

                Привязка к FB несомненно странно выглядит, но злоумышленники часто так тупо и прокалываются.
        • –4
          Подождем когда Linux системы под этих людей прогнутся. вопрос времени. когда поймают неприятных людей?
          • +5
            На линуксе тоже есть шеллшоки и хартблиды.
            • –6
              Те кто использует Linux, mac как правило делают бэкапы так что им такие проблемы не очень страшны.
              • +5
                Как правило любой более-менее прошаренный юзер делает бэкапы независимо от системы
                • –3
                  Честно не знаю ни одного человека который на Windows делает бэкапы(из своего окружения).
                  • 0
                    Системы нет, но ценной информации делают многие
                    • +2
                      Теперь знаете))
                      • +2
                        Бэкапы делает каждый, кто хоть раз терял информацию с жесткого диска. (неважно, по какой причине — шифровальщик, или отказ железа). А если терял и не делает бэкапы — то такой человек просто идиот.
                        (Сисадмины делятся на тех, кто не делает бэкапы и тех кто уже делает — народная мудрость)
                        • +1
                          … И тех кто их проверяет ;)
                          • +3
                            Это уже третий уровень админского дзена.
                          • 0

                            Честно говоря, я не делаю бэкапы по одной простой причине — у меня уже очень давно на компьютерах физически не живет никакой важной информации. Все мои фотографии в Google Photos, все нужные файлы — в Google Drive / Dropbox (как правило, и там и там), музыка вся в Google Music / Spotify. Я искренне не могу понять, что еще мне реально нужно бэкапить из того, что мне реально жалко будет потерять. Ну коллекцию фильмов может быть? Она лежит на NASе с RAID'ом — один диск недавно накрылся, я его поменял, снова все хорошо, но если даже я их потеряю, не случится ровным счетом ничего страшного.

                            • 0
                              А если утечка, или атак на сервера гугл? Или блокировка доступа из России? случится может все что угодно, вопрос только когда, понятно что никто не просит бэкапить все, но всегда лучше иметь под рукой бэкап того что нужно на каком-нибудь физ.носителе, просто потому что доступа в облако может и не быть, или произойдет утеря аккаунта, либо просто забудите доступы, можно много чего придумать, но вот с 1 единственным бэкапом на независимом физ. носителе это не страшно, ну если конечно Вы его не уничтожите сами.
                              • –1
                                Все облака и акаунты Google можно привязать к номеру телефона и тогда точно не потеряете доступ!
                        • 0
                          Бэкап на сервер с Linux, где всё хранится в облаке, в котором вся инфа снапшотится…
                    • 0
                      Объясните для нубов про домен этот. Зачем он?
                      • 0
                        Такие домены используют как триггеры: вредонос стучит по определенному адресу и, к примеру, получает там новые инструкции. В данном случае при получении ответа от домена, вредонос, согласно заложенной инструкции, прекращал сканирование и выявление новых жертв для распространения.
                        • 0
                          Это механизм управления вредоносами/ботнетом. Можно провести анализ вредоноса и выявить эти домены или алгоритм генерации таких доменов, после чего зарегистрировав такие домены можно использовать их для перехвата и нейтрализации ботнета. Такая операция называется sinkholing.
                          • +4
                            Все равно немного не понятно, если вредонос итак лезет в тор через входные ноды, то почему не разместить «сервис валидности окружения» там? Все-таки судя по некоторой сложности вредоноса, до такого додуматься и сделать не сильно сложно. Или есть какие-то неочевидные неудобства?
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • 0
                                Поднять такой кипиш ради ~$40к сложно назвать головокружительным успехом
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  • 0
                                    не всё измеряется деньгами. скажем, то что «компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP.» — вполне можно считать именно головокружительным успехом.
                                    • 0
                                      Кому и кобыла невеста (с)
                                      • –1
                                        XP негласно на поддержке до 2019го года.
                                        • 0
                                          Кто то может сказать что то против?
                                          https://blogs.msdn.microsoft.com/windows-embedded/2014/02/17/what-does-the-end-of-support-of-windows-xp-mean-for-windows-embedded/
                                  • 0
                                    Такой домен можно легко определить в локальной системе используя, например, hosts файл. Таким образом обезопасив себя и свою сеть. А попав во внешнее окружение вирус уже не находит такого стоп сигнала и начинает распространение.
                                • –3
                                  Способ остановить эпидемию.
                                • +2
                                  Где то читал, что таким образом разработчики вируса пытаются затруднить анализ поведения вируса в искусственно созданной песочнице. В реальном мире маловероятно что такой домен будет кем-то зарегистрирован, а песочница скорее всего вернет ответ на любое сетевое обращение.
                                  • 0
                                    Этот домен вроде как использовался для обнаружения песочницы. Видимо некоторые песочницы отвечают кодом 200 на запросы в надежде перехватить что-нибудь.
                                  • 0
                                    Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

                                    http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main
                                    • +1
                                      Есть в топике: по состоянию 22:00 14.05.2017 обнаружены второй и третий варианты вредоноса, в том числе без киллсвитчера.
                                      • +2
                                        где можно скачать это обновление на свой компьютер чтобы не пользоваться устаревшей версией? :)
                                        • 0
                                          ссылки на все заплатки всех виндоус — http://artkiev.com/blog/windows-virus-wana-decrypt0r.htm
                                          • 0
                                            Пол дня упорно искал патч под 2003 R2, потом вспомнил, что такой нет :D
                                    • +1
                                      Интересно, а что происходит при оплате? Расшифровка выполняется, или это просто развод? Если да, то как криптор определяет факт оплаты и нельзя ли его обмануть, симулировав процесс оплаты?
                                      • 0
                                        Ничего не происходит. Файлы криптуются ключем, который генерится в процессе работы, а потом уничтожается. Пока ещё не проверил, но вероятно, если сделать дамп памяти процесса непосредственно после завершения шифрования, то можно попробовать вытянуть приватный ключ и восстановить файлы. Но это пока просто теория
                                        • +2
                                          Не очень разбираюсь в шифровании, но разве для зашифровки недостаточно просто публичного ключа? Зачем где-то хранить приватный?
                                          • +5
                                            Публичный и приватный ключ математически связаны. На самом деле, когда говорят «сгенерировать пару ключей» генерируется вовсе не пара ключей. Генерируется приватный ключ и на его основе и создаётся публичный. Т.е. публичный ключ не генерируется, а лишь является результатом некоей функции над приватным ключом. Другой вопрос, что этот криптор мог и не генерировать вовсе никаких легетимных ключей — а тупо забить рандомом и всё.
                                            • +5
                                              Под «зашифровано RSA» обычно имеется ввиду следующее:

                                              1. Есть публичный RSA-ключ.
                                              2. Генерируется (к примеру) AES ключ.
                                              3. AES ключ шифруется публичным RSA-ключом.
                                              4. Файлы шифруются AES ключом.
                                              5. AES ключ уничтожается, остается только его зашифрованная RSA копия.

                                              как видно, приватный RSA-ключ на клиенте не генерируется.
                                              • +2
                                                Ага и получить не простое случайное число, чем насмешить пол мира и войти в историю, как самая наивная авантюра с RSA…
                                                • –1
                                                  Ну тогда уж наоборот по стандартному алгоритму из публичной пары ключей {e,n} получается приватная {d,n}:
                                                  image
                                                  Поправьте, если ошибаюсь.
                                              • 0

                                                Пока не закрыт CSP handle все keysetы валидны. Зная имя провайдера и тип алгоритма можно достать ключи

                                              • +1
                                                Удивительно, что по этой теме нет никакой информации.
                                                • 0
                                                  Никто не хочет признаваться, что заплатил)
                                                  • +1
                                                    Информация по кошелькам общедоступна, на данный момент поступило на них меньше двухсот платежей. Что на фоне сотен тысяч заражений очень мало.
                                                    • +1
                                                      Вот тут человек пишет, что заплатил ещё в пятницу — ждёт до сих пор.
                                                      • +3
                                                        На самом деле даже хорошо, что никакой расшифровки нет. Ещё несколько таких шифровальщиков-кидал, и данный вид программ просто вымрет, т.к. перестанет окупаться.
                                                        • 0

                                                          То есть очень нескоро, так как для этого должны вымереть идиоты, которые платят.

                                                • 0
                                                  Какие антивирусные продукты сейчас могут эту хрень обнаружить и предотвратить запуск?
                                                  • +2
                                                    Судя по Customer Guidance for WannaCrypt attacks:
                                                    For customers using Windows Defender, we released an update earlier today which detects this threat as Ransom:Win32/WannaCrypt. As an additional “defense-in-depth” measure, keep up-to-date anti-malware software installed on your machines.
                                                    • 0
                                                      Comodo мне хвалился вчера, что может. Даже без сигнатуры что угодно с HIPS (тот же Comodo) наверняка помогут, если режим включен и правильно настроен. Правильно настроенный фаерволл поможет. Еще есть всяческие бессигнатурные способы типа CryptoPrevent или FixSecurity . Можно то же настроить руками, если сомнения есть.
                                                    • +16
                                                      c:\documents and settings\48=8ab@0b@\desktop\mapkep.bin — меня одного этот «маркер.бин» смущает?
                                                      • 0
                                                        Меня тоже смутило это название, хотя это может быть и map keep, ну в качестве бреда :-)
                                                        • 0
                                                          Нет, я думаю, что тут русские хакеры опять постарались. Всякие «пети» и «миши» уже не в моде. Этакий кривоватый транслит, в моде у любителей cs1.6.
                                                          Кстати, странно, что тут documents and settings используется, а в другом месте vssadmin да bcdedit — оно не детектирует ОС чтоли?
                                                      • 0
                                                        Вирус в реальном времени перестраивает сам себя. Это только разминка! Стоит ожидать вторую более крупную волну вредоноса.
                                                        • 0
                                                          Ну вот и настал судный день!
                                                          • 0
                                                            Согласен, всё будет по стандартному сценарию
                                                            • 0
                                                              Нет доступа к сети — нет проблем)
                                                              • 0
                                                                Человеческий фактор никто не отменял, как и безрукость админа ¯\_(ツ)_/¯
                                                            • +1
                                                              Хотелось бы увидеть подробный разбор механизма оплаты и расшифровки.

                                                              1. Расшифровывает программа файлы после оплаты?
                                                              2. Если да, то как она удостоверяет факты оплаты?
                                                              3. Что делает кнопка Decrypt?
                                                              • +1
                                                                По поводу кнопки Decrypt информация уже есть. Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
                                                                При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
                                                                Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.
                                                                А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки.
                                                                • 0
                                                                  О, спасибо. Думаю, что в намерения авторов расшифровка после оплаты не входит. Наверное, тяжело это сделать, не спалившись. Если бы они расшифровывали файлы, то была бы инструкция, что делать после оплаты.
                                                                  • +1
                                                                    Если для приема денег злоумышленник использует один или очень маленькое количество адресов для приема, значит он изначально не собирался идентифицировать оплативших клиентов (это было бы возможно только для тех, кто оплатил со своего кошелька, подтвердив владение адресом подписанием текстового сообщения, что явно не подходит для массового пользователя), т.е. у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил чтобы ему можно было выслать ключ расшифровки.

                                                                    для того чтобы это было возможно, каждый клиент должен получить свой адрес пополнения
                                                                    • 0
                                                                      у злоумышленника тупо нет механизмов, как определить, какой клиент оплатил

                                                                      Есть механизмы. Можно, например, выставлять каждой жертве разную сумму в BTC. Не знаю, до какого знака после запятой можно делить биткоин, но неплохую квазиуникальность это даст в любом случае.
                                                                      • 0
                                                                        в принципе да, она будет разной, потому что курс обменный не константа.
                                                                        т.е. можно попросить клиента о точной сумме, которую он перевел и точное время перевода.
                                                                      • 0

                                                                        Не обязательно каждому клиенту свой адрес пополнения.
                                                                        Можно как с краудсорсингом — когда наберется нужная сумма, открыть ключ расшифровки всему миру ))

                                                                • +18
                                                                  Назовите хоть один антивирус, который умеет делать: «новый файл в системе — вызывает криптофункцию — обращается более чем к 5 файлам — запретить» С момента зарождения криптолокеров прошло больше 5 лет и ни один антивирь не умеет детектить стандартные паттерны. Зато бабла хотят.
                                                                  • +17
                                                                    Забавно, что бабла хотят и те и те, при этом и те и те обещают сохранность файлов если заплатить.
                                                                    • 0
                                                                      DeviceGuard и AppLocker :D
                                                                      • +14
                                                                        Да тут не только криптофункция. Ну вот как антивирусы вообще могли пропустить объект, который:
                                                                        — прописывает себя в автозапуск
                                                                        — отключает теневое копирование и тут же удаляет уже созданные теневые копии
                                                                        — регистрирует свежесозданные exe как системные службы
                                                                        — создаёт кучу exe по разным директориям
                                                                        Уже этого должно было бы хватить, чтобы насторожиться и как минимум проверить подпись данного exe — что это вообще такое и подписано ли вообще.
                                                                        • 0
                                                                          А вот кстати если нет достаточных прав у учетки из под которой он работает, всякие reg add
                                                                          не должны прокатить…
                                                                          • +5
                                                                            Пишут, что после атаки на Самбу он начинает работу с правами Самбы, а это уровень драйверов.
                                                                            • 0
                                                                              Помогут ли права NTFS? Например, если отобрать права у SYSTEM? Ведь штатно, даже если ты админ, и у тебя нет прав на какую-то папку, то их всё равно можно выдать себе, назначив себя владельцем (или просто выставив права, если уже в группе владельцев). Умеет ли вирус отлавливать ошибки доступа, и выставлять нужные права на файлы?
                                                                              упс… не дочитал https://habrahabr.ru/company/pentestit/blog/328606/#comment_10216334
                                                                        • +7
                                                                          А что такое «вызывает криптофункцию»? Приложение может использовать собственную реализацию криптоалгоритмов. Тут вообще хороших эвристик нет на поведение, только параноидальные разной степени тяжести, которые будут мешать обычному пользователю во многих ситуациях. Иначе бы уже была какая-нибудь защита от вымогальщиков.
                                                                          • 0

                                                                            Если программа удаляет больше 10 файлов в минуту, то надо спросить пользователя.

                                                                            • 0

                                                                              Как тогда настраивать автоматическую очистку админам?

                                                                              • 0

                                                                                Сделать список с хэшами доверенных программ.
                                                                                И админ добавляет туда свою очистку.

                                                                                • +1

                                                                                  Тогда малварь (не забываем, она ведь с рутовым доступом) добавит хеши всех нужных программ в "хэши доверенных", а потом будет делать все то же самое. Стало сильно лучше?

                                                                                  • 0

                                                                                    Если доступ рутовый, то защищаться нет смысла, т.к. некому.
                                                                                    А иначе она не сможет в эти списки попасть.

                                                                                    • 0

                                                                                      Ну так изначально же сказано было, что заражение идет через драйвер и доступ к системе полный. Таким образом как раз и получается, что предложенным образом не защититься.

                                                                          • 0
                                                                            SentinelOne. Умеет и 0деи и рансом.
                                                                            • +1
                                                                              Используете его? Если да, то что скажете?
                                                                              • 0
                                                                                Скажу что ловит пока что все существующие рансомы.
                                                                            • 0
                                                                              Вирус работает с привилегиями SYSTEM, такими-же как у самбы и вероятно из её-же адресного пространства, так что все антивирусы — мимо.
                                                                              • 0
                                                                                Kaspersky, но обнаружит, что «программа однозначно ведет себя как вредоносная» и предложит лечение уже после запуска. Так что что-то успеет зашифроваться.
                                                                              • 0
                                                                                Вот никак не могу найти ответ на один вопрос. Вся выше перечисленная деятельность шифровальщика требует прав админа. Куча статей уже на эту тему, но ни одна не раскрывает темы «прав» шифровальщика. Он все эти админ права имеет так как заражает пользователя работающего как обычно под правами админа или шифровальщик умеет повышать свои права сам. Т.е поймав его под правами обычного пользователя я теоретически не лишусь теневых копий тома, а он судя по действиям удаляет их. В сухом остатке уязвимость SMBv1 позволяет просто проникнуть на компьютер или она же задействована в повышении прав?
                                                                                • +6
                                                                                  Он пролазит через драйвер SMBv1 используя уязвимость класса remote code execution и, следовательно, работает с его (драйвера) привилегиями.
                                                                                  • 0
                                                                                    Ехх, печаль. Значит соблюдение всех строгих правил с разграничением прав доступа и своевременными бэкапами оказались до лампочки. Особенно я уповал на теневое копирование тома, думал уж не вжизнь они не доберутся до них. А они оказывается это легко крутят. Но спасибо за ответ, хоть буду знать чего ждать.
                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                      • 0
                                                                                        И все же эпизодически стоит делать криптоконтейнер хотя бы чтоб потом сказать, что сделал все что смог, никто же не обязует криптовать фильмы с картинками, а вот ключевые файлы стоит иногда обезопасить, ведь лучше иметь устаревшие версии файлов, чем не иметь их вовсе. \

                                                                                        Это конечно мое мнение и никому я его не навязываю, но один жесткий отделил именно под это дело, выдернул его в случае чего и живи спокойно…
                                                                                        НО еще раз повторюсь, это лично мое
                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          • +1
                                                                                            Это само собой, но у меня не внешний у меня просто стоит еще один хард, на котором контейнер, в случае чего его выдергиваешь хард, и все данные мало того что целы, так еще и запаролены. Благо конструкция моего компа позволяет? (у меня все расположено в столе под оргстеклом)
                                                                                            • 0
                                                                                              А если вы подключили свой бэкап, к уже зараженной, но еще не шантажирующей надписью системе? Вирус вам же и на внешнем диске зашифрует файлы.
                                                                                              • 0
                                                                                                На все воля облака…

                                                                                                Ну а если серьезно, носители с бэкапами подключаются обычно как раз в тот момент когда ты полностью уверен, что машина чиста аки помыслы админа, ну или на край есть еще бэкап.
                                                                                        • 0
                                                                                          Установите пароль на теневое копирование тома. Правда я не знаю, есть ли такая функция
                                                                                    • –19
                                                                                      Ну что, в очередной раз «мегакарпарация» обкакалась по полной. И еще раз мы увидели стойкость SMB-сервера от мелкомягких. И насколько нужно быть нубом, что бы выставлять в сеть с белым IP интерфейс с поднятой SMB. Насчет лавинной атаки, это по моему ооочень крупное преувеличение. По данным касперов 45000, по данным авастов 36000. А теперь давайте очень грубо посчитаем, 32 бита это 4 294 967 295 компьютеров, именно столько может адресовать ipv4, а как известно он на сегодня кончился. Не будем вдаваться в динамические пулы и т.д. Значит примерно такое количество компьютеров торчит в сети с белыми IP. Ну конечно не все из них имеют недооперационку, и еще меньше нубов которые выставляют в интернет SMB. Ну очень грубо примерно это так.
                                                                                      И даже по данным автора о 236000 зараженных, это составляет 0,0055098906% от общего числа. Те 0.006% не рановато для паники?

                                                                                      На мой взгляд, этот ажиотаж вызван для преследования каких то других целей.
                                                                                      • +8
                                                                                        А можно узнать причем тут MS? :D SMB1 Deprecated. Рекомендовали сносить/выносить/съезжать с 15 года. Писали в TechNet'ах. Просили ставить апдэйты. Даже сделали исключение и дали патч на XP/2003. используйте SMBv3 с Kerberos и другими ништяками.
                                                                                        • –9
                                                                                          Это вы у googl-ы спросите по какой причине они от ms-серверов отказались.:)
                                                                                          • +7
                                                                                            Кто отказался? Google тут как раз активно в свой ComputeEngine их добавляют :D
                                                                                            Проблема тут не в MS. Продукты MS не требуют SMBv1 около 10 лет. Но. Огромное жирное НО: Дофигища вендоров NAS и других железок активно используют только 1 версию… Тут уже в Твиттере проскакивало — последние продукты Sonos используют SMBv1 и в v3 не могут, а в следующей версии 10 v1 вырубают по дефолту. И опять начнется shitshtorm по этому поводу.

                                                                                            • –1
                                                                                              Да ну? А как вам такая новость https://www.gazeta.ru/business/2010/06/01/3378380.shtml
                                                                                              • +1
                                                                                                6.5 лет назад. Ну ругаются компании — бывает. Они уже успели опять подружиться. И исследователи гугла активно помогают MS сейчас. И MS очень юодро отвечает на все проблемы.


                                                                                                Рекомендую почаще следить за Google Zero project. Например почитать natashenka и taviso.

                                                                                                Заодно узнаете много интересного и про дургие OS и их уязвимости.

                                                                                          • –2

                                                                                            Ну возможно MS при том. Что частенько обновы от MS ломают компутер. И даже если не ломают включают какую нибудь телеметрию за твои деньги.
                                                                                            В общем вина MS в том, что не исправляют ситуацию со своей "плохой репутацией".

                                                                                          • –4
                                                                                            я искренне не понял, почему решили вас big-town заминусовать… Все сказано по делу и в самую точку: если ты выпустил Win сервер через белый IP и при этом элементарно его даже не «апдейтишь» — жди соответствующего результата((( в противном случае не будет этой заразы — придет другая или другой хацкер и через другую уязвимость грохнет ваш дедик — дело времени
                                                                                            • +4

                                                                                              если ты не обновляешь линукс-сервер, то тебя ждёт Shellshock, Heartbleed и что там ещё было.

                                                                                              • –1
                                                                                                Shellshock? А вы сами представляете о чем пишите? Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки. Достточно просто проверять строку перед передачей шелу и чистить её от всяких регулярок. Эти уязвимости ооочень раздуты. Ну в чем то вы правы, если ты нуб, то без разницы что использовать, все равно вляпаешься;).
                                                                                                • +4
                                                                                                  1.5 миллионов нубов на IoT девайсах собрали примечательный ботнет.
                                                                                                  • +1
                                                                                                    Таким же, каким надо быть, чтобы, сидя на Win, выставить порты в интернет, не ставить Security Updates, и многкратно игнорировать призыв вендора не использовать smbv1?
                                                                                                    • –1
                                                                                                      Это уязвимость в bash, каким надо быть нубом что бы дать доступ из интернета к командному шелу, без проверки строки.
                                                                                                      Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов.

                                                                                                      А также SSH-серверы, DHCP-клиенты и многое другое.
                                                                                                    • 0
                                                                                                      Dirty COW ещё был
                                                                                                      • 0

                                                                                                        Давайте RCE от root, не меньше.

                                                                                                    • +1
                                                                                                      Не обращайте внимания, я например давно так делаю :). Это сказывается стадный инстинкт на хабре, «детей» от инстограма и контакта. Стоит одному поставить минус и понеслась. Меня это ни как не трогает.
                                                                                                      • +3
                                                                                                        Плюсанул вам карму. То же не люблю когда обсуждения минусуют. Но хотелось бы в более конструктивном ключе, нежели все говно :)
                                                                                                        • –1
                                                                                                          Тут я с вами полностью согласен, люди высказывают свое мнение и любое мнение имеет право быть!

                                                                                                          По поводу конструктивного ключа. я не буду лицемерить и говорить что я не предвзято отношусь к MS, предвзято и еще как. И собственно почему? Это коммерческая операционная система которая стоит немалых денег. Сервера получаются мегадорогие. За все дай! За терминальные лицензии дай, за SQL дай, за офис и т.д. И при всем при этом потребитель по сути является бэта-тестером. Я не против комерческой ОС, но уж если делаете такую, то она должна быть на порядок выше опенсорсной! Иначе за что платить деньги?! А так как делает МС — это подло, подсадить всех на свой продукт, заставить людей написать кучу софта и только потому что вам не куда деться, эксплуатировать вас. Люди очень не любят перемен. На деле получается что любой путный вирус вас может оставить без данных и положить вам всю структуру.

                                                                                                          Я помню 2000-ые года когда гуляли в интернете msblast-клоны и что бы заразится, нужно просто было выйти в интернет без стороннего файрвола. Дыры в MS не закрываются годами, да и кто знает что еще в их закрытом коде. Ели уж гоночки в офис защили :)(см. пасхальные яйца).

                                                                                                          От себя еще добавлю в далекие времена я был, как и наверное все, win-админом, Novell угасала, Linux был еще маленьким, и собственно альтернатив не было. Строил сети на PDC 2000 а затем 2003. И вот когда уже LInux подрос я переборол свою лень и стал углубленно изучать новую для себя ОС. Затем потихоньку стал переводить на неё свои организации. И уверяю вас что проблем стало значительно меньше. У меня еще живет и здравствует сервер с ASP12+wine@etersoft+1cv7+NX+samba, который не разу не упал и когда я его поставил уже даже не помню.

                                                                                                          И как вывод, MS не обеспечивает должного качества своей продукции как коммерческой ОСи, а потому я не желаю ею пользоваться, когда есть на порядок лучший опенсорс. Поэтому на каждое обкакивание MS я просто смотрю с улыбкой.
                                                                                                          • +5
                                                                                                            По поводу стоимости не соглашусь. В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft. И уж цены мама не горюй. MS там бедный родственник :D

                                                                                                            Вы не видели еще людей подсаженных на Oracle…

                                                                                                            Никсы то же обкакиваются с завидной регулярностью… Но никто не вспоминает что на роутерах Linux, что на телевизорах, устраивающих ддос — Linux и тд и тп.

                                                                                                            Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.
                                                                                                            • +1
                                                                                                              Я придерживаюсь политики что есть места где Windows лучше себя проявляет, а есть где Linux. И все окружения достаточно гетерогенные.

                                                                                                              Не могу с этим поспорить.
                                                                                                              В моей сфере выбор обычно между IBM, Oracle, RedHat и Microsoft.

                                                                                                              Если не секрет, то какие задачи решаете? Почему выбор именно в таком наборе? Можно в личку.
                                                                                                  • +4
                                                                                                    компания Microsoft пошла на беспрецедентный шаг — был выпущен патч даже на снятую с поддержки Windows XP

                                                                                                    Они просто выложили патч для клиентов с Custom Support Agreement, собранный ещё в феврале.
                                                                                                    • –1
                                                                                                      Ни чего они не выкладывали для XP. Патч что скачивается по ссылке для embeded версии и на обычную XP не ставится windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df
                                                                                                      • +1
                                                                                                        В каталоге есть патчи для нормальной XP/2003, но он тормозит и не работает переключение языков.

                                                                                                        Лучше качать из центра загрузки: Windows XP, Windows XP x64, Windows Server 2003,
                                                                                                        Windows Server 2003 x64.
                                                                                                        • –3
                                                                                                          Нету ни чего для XP, только что скачал WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe
                                                                                                          Этот патч для терминалов по выньхп.
                                                                                                          • 0
                                                                                                            http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


                                                                                                            http://www.catalog.update.microsoft.com/DownloadDialog.aspx

                                                                                                            • 0
                                                                                                              Да, спасибо, вы правы патч действительно есть. Недавно качал отсюда, видимо пропустил.
                                                                                                              • 0
                                                                                                                Его выложили ближе к полуночи 12-го мая, я тоже вначале скачал для Embedded и хотел негодовать про решето.
                                                                                                                • 0
                                                                                                                  Апдейт для Embedded можно использовать после небольшого твика.
                                                                                                            • 0
                                                                                                              Похоже ошиблись и в центр загрузки (вчера их там не было) два раза закачали файл для Embedded, вот ссылка на патч для нормальной XP.
                                                                                                      • 0
                                                                                                        Возможно это нубский вопрос, но объясните мне. Почему, когда находятся уязвимость, да еще такая как «SMBv1 используя уязвимость класса remote code execution», никогда нет информации, кто собственно закомитил такой код? Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.
                                                                                                        • +11
                                                                                                          Потому что глобальные уязвимости такого уровня как авиакатастрофы — это сочетание многих факторов. В софтверных гигантах вроде MS никто не может просто так взять и закоммитить код в основную версию винды — есть и code review, и тесты, и нанятые хакеры, которые пытаются сломать и много еще чего. В таком баге виноват в последнюю очередь программист — ответственность на других людях обычно.

                                                                                                          Ну а кроме того — ну допустим обвините вы программиста, который 10 лет назад написал некачественый код (который прошел много стадий проверки), и что дальше? Что делать с этой информацией? Повесить его на витой паре? :)
                                                                                                          • +4
                                                                                                            Складывается ощущение, что все эти дыры в безопасности — не плод плохого программного кода, а запланированный ход.


                                                                                                            В данном случае, это очень вряд ли «закладка». Протокол SMBv1 был дырявым с самого начала, но, не по злому умыслу, а тупо потому, что, когда его разрабатывали (а это, на минуточку, самое начало 90х), Интернета в современном понимании ещё не было, и авторы вполне справедливо предполагали изолированную от внешнего мира локальную сеть, работающую по собственным протоколам MS. Прикручивание SMBv1 к TCP происходило позже, и, видимо, в спешке, в погоне за Sun с их WebNFS.
                                                                                                            • –1
                                                                                                              Ну а как вы сами думаете? Не ужели америкосы не оставят бэкдор в системе с закрытым исходным кодом, ну так на всякий случай :). По моему ни кто и не отнекевается что в АНБ был «разработан» эксплоит EternalBlue. А по моему скромному мнению этот код был туда просто предоставлен.
                                                                                                              Вот вам еще один пример наш ГОСТ-овский алгоритм шифрования, который основан на элептических кривых. И который как оказалось не такой уж «случайный». Почему К-9 циски были запрещены в России? Да в конце концов почему всех операторов заставляют ставить СОРМы, а АТС без СОРМа сейчас вообще не купишь. Спец службы желают знать все :).
                                                                                                            • +1
                                                                                                              Спасибо за статью. Вдохновился!

                                                                                                              Понаблюдать за состоянием кошельков в прямом эфире можно тут: https://whitesunset.github.io/wannacrypt_balance/
                                                                                                              • +1
                                                                                                                В конце был бы уместен мануал по отключению SMB v1
                                                                                                              • –7
                                                                                                                давно стоит дисятка и нет никаких праблем
                                                                                                                • 0
                                                                                                                  Вчера с опаской запустил ноут на десятке (ноут включается достаточно редко) — сразу со старта увидел сообщение о применяемых обновлениях. А на стационарную 8.1 обновления так и не дождался — качал вручную.
                                                                                                                • 0
                                                                                                                  Я вообще понять не могу, MS же выпустили обнову, которая затыкает эту дыру или она нифига не затыкает?
                                                                                                                  • +6
                                                                                                                    Понять все просто — апдейт дыру затыкает, люди апдейты не ставят :).
                                                                                                                    • 0

                                                                                                                      Не все умеют в обновления...

                                                                                                                      • +3
                                                                                                                        У многих обновления выключены, потому что на пиратках они полностью ломали систему, а на лицензионных машинах внедряли вредоносный код (рекламу, например). Часть пользователей раздражает сам механизм обновлений, когда самообновляющаяся система не даёт им продолжить работу, требуя перезагрузки или устанавливая обновления неопределенно долго. Фактически, проблема в том, что MS довольно скверно организовала систему обновлений и, к тому же, сама её скомпрометировала в глазах пользователей, распространяя рекламу и телеметрию под видом обновлений безопасности.
                                                                                                                        • +2
                                                                                                                          Обновление, призывающее обновиться до Windows 10, было рекомендуемым. Microsoft рекомендовала обновиться до Windows 10. Обновления телеметрии также в рекомендуемом. Достаточно было снять галочку с автоматической установки рекомендуемых обновлений вместе с важными обновлениями — и «проблема» решена. Всё что действительно важно будет обновлено.

                                                                                                                          image

                                                                                                                          Что касается проблем с обновлением пираток — не Microsoft виновата в том, что люди ставят кривые активаторы, которые лезут напрямую в память ядра и патчат его. Всегда были более аккуратные способы активации. Впрочем, лучше конечно же приобрести легальную копию.
                                                                                                                      • 0
                                                                                                                        пока эту хрень кто-то не запустит изнутри сети.
                                                                                                                        • 0
                                                                                                                          Выпустила еще в марте. Все «затыкает».
                                                                                                                        • 0
                                                                                                                          Кто нибудь посмотрел полученное количество btc?
                                                                                                                          • +1
                                                                                                                            Пока очень скромно — что-то до $35K.
                                                                                                                            • +3
                                                                                                                              Полюбому пацаны из МВД заплатили
                                                                                                                              • 0
                                                                                                                                Рабочая неделя только началась.
                                                                                                                                • 0
                                                                                                                                  уже 50 :)
                                                                                                                              • 0

                                                                                                                                У меня сразу несколько вопросов:


                                                                                                                                1. Сейчас почти нет стационарных компов которые смотрят напрямую в инет — почти все за NAT-ом, пускай даже от копеечного длинка -то есть получается заражение было возможно только у компов сидящих через мобильные "свистки" ?


                                                                                                                                2. Как такое возможно в нашем МВД ( хотя я догадываюсь как — денег платить нормальным админам не любят, сами умные — купили свисток, и в инет — вот и результат) ?


                                                                                                                                3. Про файловые сервера и бэкапы в МВД тоже не слышали ?
                                                                                                                                • 0
                                                                                                                                  то есть получается заражение было возможно только у компов сидящих через мобильные «свистки» ?


                                                                                                                                  Первичное заражение — да. Но, достаточно заразить один такой компьютер, и, если у него есть второй сетевой интерфейс, «смотрящий» в локалку — то зараза быстро полезет по всей сети.
                                                                                                                                  • +1

                                                                                                                                    именно поэтому свистки и запрещены в корпоративной сети ( хотя и не только) — но это называется "дыра" ...

                                                                                                                                    • +1

                                                                                                                                      я бы даже сказал "дырища"