На мен толкова вероятно ми звучи и идеята, че става дума за "маймуна с базука" - някакви хлапета, които не са разбрали точно какво са направили. Не, че не се е случвало. Атаката към Dyn беше дело на хакерчета, които искали да тролнат геймъри.

 

А кой е виновен... ами най-спекулативната теория - тази за Майкрософт, еми, май-май, баш те ще си се окажат:

https://www.theregister.co.uk/2017/05/16/microsoft_stockpiling_flaws_too/

Микромеките издали пач за засегнатите версии още през февруари. С едно маааааненко уточнение - към системите с платена удължена поръчка.

Цитат

 

If you pay Microsoft a wedge of cash, and you're important enough, you can continue to get security fixes for unsupported versions of Windows under a custom support license. It appears enterprises and other organizations with these agreements got the legacy fixes months ago, but us plebs got the free updates when the house was already on fire.

 

Тея заслужават такава глоба да им пльоснат, че да ги закрият!

А Гугъл да не ми се ослушват, ми да се възползват и да почнат да разпространяват безплатна десктоп Андроид система. Особено, ако е свързана и с телефона, това ще е край на Уиндоус.

 

Браво на The Register!

Редактирано 16 май 20179 г. от Мальчик Бананан (преглед на промените)

преди 27 минути, Мальчик Бананан написа:

А Гугъл да не ми се ослушват, ми да се възползват и да почнат да разпространяват безплатна десктоп Андроид система.

Тцъ, те се отказват от Андроида - разработват нова ОС.

преди 8 минути, ExaFlop написа:

 

Тцъ, те се отказват от Андроида - разработват нова ОС.

Дано направят така наречената конвергенция, а Уиндоус да отива в забвение. ;(

https://www.theverge.com/2016/8/15/12480566/google-fuchsia-new-operating-system
https://www.recode.net/2016/10/3/13149670/google-new-os-andromeda-operating-system-chrome-android

А, познай обаче коя ще е

Редактирано 16 май 20179 г. от ExaFlop (преглед на промените)

преди 57 минути, Мальчик Бананан написа:

...Микромеките издали пач за засегнатите версии още през февруари. С едно маааааненко уточнение - към системите с платена удължена поръчка....

Кой производител на каквото и да е не действа така? Но само Майкрософт са ви в устата, защото са на върха.

п.п. а дано не се разпространи ОС от гугъл, че те правят нечовешкото събиране на лична информация.

Редактирано 16 май 20179 г. от badsector (преглед на промените)

Това ми е трудно да определя, къде да го сложа, хем е новина, че има нов вирус.... хем е смешна.... Да видим дали ще забележите ?!

Этот вирус очень напоминает акцию маркетингового отдела MS ))

— У вас пиратская винда и отключены обновления? Тогда WannaCry идет к вам.

Мисля че и без превод е ясно . . . 

И още един анализ: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

Редактирано 16 май 20179 г. от Филипов (преглед на промените)

Крипто защита помага ли? Няма как да знам дали ми е обновен напълно уиндоуса смисъл кои са последните важни ъпдейти и дали ги имам.

То не всички обновления са успешни!

Хакерите са пуснали в интернет и втори вирус, откраднат от американските разузнавателни служби, който може да бъде използван за атаки срещу компютри, работещи с операционната система „Уиндоус” (Windows), съобщава в. „Файненшъл таймс” (Financial Times).

„Инструментът за хакерски операции, разработен от Агенцията за национална сигурност на САЩ, и наречен „Естиймодит” (EsteemAudit), е бил модифициран и сега може да се използва за престъпни цели”, пише вестникът като се позовава на анализатори по сигурността.

.....

Хакерите използвали софтуер, разпространен от група с псевдоним „Шедоу брокърс” (Shadow Brokers), за която се предполага, че е базирана в Русия.

_____________

Последното дaли е вярно или резонно се нaмесвa Рaшa?

на 13.05.2017 г. в 22:01, goodly написа:

Дали mircosoft са ни подготвили капанче с този ъпдейт, говоря за тези които са с не оригинален windows.

 

преди 4 часа, Филипов написа:

Этот вирус очень напоминает акцию маркетингового отдела MS ))

— У вас пиратская винда и отключены обновления? Тогда WannaCry идет к вам.

Мисля че и без превод е ясно . . . 

Този вирус напомня за маркетингов отдел MS. 

Имате пиратски виндос и пускате ъпдейти? Тогава WannaCry ще дойде и у вас.

Съмнявах се в това, но не намирам логиката как ще разберат че примерно един потребител е с пиратски виндос след като го е активирал като оригинален? Мойте ъпдейти също са пуснати и не съм ги спирал.

 

Бе, щото пикаете та виновна ви е Русия! Смешници! Аз пък си мисля, че са коорпоративни интереси, които  казват! Видяхте ли кво ви се склучи, та сега трябва да си купите това , онова за да сте защитени и сигурни! Бе яяя!

Редактирано 16 май 20179 г. от Кумчо вълчооо (преглед на промените)

преди 19 часа, ZeroG написа:

...Има вариант и да са Русия, пак имат мотив...

Разбира се, както американците си направиха 9-ти септември.

преди 10 часа, Кумчо вълчооо написа:

...Аз пък си мисля, че са коорпоративни интереси, които  казват! Видяхте ли кво ви се склучи, та сега трябва да си купите това , онова за да сте защитени и сигурни!...

Което лично аз го оправдавам на 100%. Сегашният вирус се предава през версия 1 на SMB протокола, която е разработена 1991-ва. Уиндоус ХР поддържа единствено тази версия на този протокол. Тъй като този протокол е нужен, за да работят file and printer sharing, неговото изключване ще премахне възможността да се използва тази функция, която е една от основните. При по-високите версии на Уиндоус, от Vista нагоре, вече се поддържа версия 2 на SMB протокола, затова изключването на версия 1 на тези компютри не пречи на пълната им функционалност. Тоест засегнати са само потребителите на уиндоус ХР. Все пак от Майкрософт са пуснали кръпка за въпросното ХР, въпреки че официално поддръжката му е спряна отдавна. Възможно e да имат пръст в цялата работа и да се опитват да накарат корпоративните потебители най-сетне да минат на по-нова ОС. На мен не ми се вярва особено, че ще хвърлят усилия да се занимават с някакви, които очевидно не искат да дават пари за ИТ. И в двата случая е без значение. Лошото е, че самите компании не осъзнават нуждата от инвестиране в ИТ. Технологиите в тази сфера се развиват изключително бързо, затова се изискват постоянни финансови постъпления. Да, възможно е уин ХР да върши достатъчно работа и да няма нужда от по-нова ОС, но хакерите това не ги интересува. Съответно производителят на тази ОС не е длъжен да я обновява до края на света, да не говорим, че в някой случаи не е възможно да се обновява. Така че за този тип атаки са си виновни единствено компаниите и е смешно да се обвиняват Майкрософт за това, че се ползва 15-годишна ОС, в която има 26-годишен протокол. За благото на компаниите е да развиват ИТ инфраструктурата си, както е за благото на домашните потребители да развиват знанията си в сферата поне до елементарно ниво. Впрочем в конкретния случай домашните потребители са най-малко засегнати. По-голямата част са зад рутер, който има поне елементарен firewall.

п.п. Майкрософт грам не ги интересува дали домашните потребители са с платени уиндоуси или не.

Интересно показва картата на вируса WannaCry цък За България има само една точка някъде около София. Но ако горе в дясно се променят критериите и се зададе примерно 1 час и после се зуумне графиката, се появяват още зарази около Пазарджик и Силистра. Графиката е твърде тежка за компютъра ми и дава прекалено много точки на 24H, но не мога да увелича достатъчно за да видя къде.

Видин, София, Сандански, Пазарджик, Шумен и Силистра... За сега.
п.с. И още стават: (от последните 15 мин.)

https://www.kaldata.com/it-новини/the-shadow-brokers-предложиха-абонамент-за-експлойт-247793.html

Ай, честито.

https://news.drweb.ru/show/?i=11294&c=5&lng=ru&p=0

«Доктор Веб» публикует предварительное описание троянца WannaCry
17 мая 2017 года

В пятницу 12 мая множество компьютеров по всему миру оказались заражены опасным червем, известным под именем WannaCry. Специалисты компании «Доктор Веб» тщательно изучают эту вредоносную программу, но уже сейчас готовы поделиться некоторыми результатами своего исследования.

Вредоносная программа, известная под названием WannaCry, представляет собой сетевого червя, способного заражать компьютеры под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует все компоненты червя под именем Trojan.Encoder.11432. Его распространение началось примерно в 10 утра 12 мая 2017 года. Червь атакует все компьютеры в локальной сети, а также удаленные интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445. Обосновавшись на инфицированном компьютере, червь самостоятельно пытается заразить другие доступные машины — этим и объясняется массовость эпидемии. Сама вредоносная программа имеет несколько компонентов, троянец-энкодер — лишь один из них.

Сетевой червь

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, червь завершает свою работу. Некоторые СМИ сообщали, что эпидемию WannaCry удалось остановить, зарегистрировав этот домен: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к Интернету. Поэтому об остановке эпидемии говорить пока преждевременно.

После запуска троянец регистрирует себя в качестве системной службы с именем mssecsvc2.0. При этом червь чувствителен к параметрам командной строки: если указан какой-либо аргумент, он пытается настроить автоматический перезапуск службы в случае возникновения ошибки. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Успешно стартовав на инфицированной машине, червь начинает опрашивать узлы, доступные в локальной сети зараженной машины, а также компьютеры в Интернете со случайными IP-адресами. Он пытается соединиться с портом 445. Если ему удалось установить соединение, червь предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткойнов, а также архив с программами для работы в сети Tor. Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сохраняются сведения о длине зашифрованного ключа, сам зашифрованный ключ, информация о типе шифрования и размере исходного файла. В процессе шифрования создается файл f.wnry — в нем сохраняется список файлов, которые троянец может расшифровать в тестовом режиме.

Троянец содержит в себе авторский декодер, который удаляет на зараженном компьютере теневые копии и отключает функцию восстановления системы. Он меняет обои Рабочего стола Windows на графический файл следующего содержания:

Затем он распаковывает приложения для работы с сетью Tor (или скачивает их из сети) и соединяется с onion-серверами, адреса которых указаны в конфигурации троянца. Оттуда он получает имя кошелька для приема криптовалюты Bitcoin и записывает его в конфигурацию. Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол.

Декодер позволяет расшифровать несколько тестовых файлов, список которых хранится в файле f.wnry. Приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. Поэтому их можно расшифровать даже без использования самого троянца. Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления поврежденных шифровальщиком данных даже в случае оплаты выкупа не существует.

К сожалению, в настоящее время расшифровка поврежденных Trojan.Encoder.11432 файлов не представляется возможной.

Признаки заражения

Признаками заражения червем WannaCry являются:

наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
наличие файла троянца-энкодера C:\WINDOWS\tasksche.exe, предыдущий экземпляр вредоносной программы хранится в файле C:\WINDOWS\qeriuwjhrf.
Что делать в случае заражения

во избежание распространения инфекции изолировать зараженные машины и ПК с ценными данными от компьютерных сетей;
сохранить резервную копию информации на отдельные носители, которые после этого должны храниться отключенными от любых компьютеров.

.https://vms.drweb.ru/virus/?i=15306951&lng=ru

Trojan.Encoder.11432

Добавлен в вирусную базу Dr.Web:    2017-05-12
Описание добавлено:    2017-05-16
SHA1:

Сетевой червь e889544aff85ffaf8b0d0da705105dee7c97fe26
Дроппер энкодера: 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467
Энкодер: 7d36a6aa8cb6b504ee9213c200c831eb8d4ef26b
Авторский декодер: 45356a9dd616ed7161a3b9192e2f318d0ab5ad10
Многокомпонентный сетевой червь, известный под именем WannaCry. Написан на языке C/C++, собран в среде разработки MS Visual Studio, не упакован. Содержит в собственном теле две динамические библиотеки. При запуске пытается отправить GET-запрос на удаленный сервер iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com без кэширования результатов. Если получает ответ от сервера, завершает работу.

Запускается как системная служба Windows с именем "mssecsvc2.0" (видимое имя – "Microsoft Security Center (2.0) Service"). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис "mssecsvc2.0" и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения червь инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Дроппер

Значительная часть дроппера представляет собой защищенный паролем ZIP-архив, в котором хранятся следующие файлы:

b.wnry - файл с обоями Рабочего стола Windows;
c.wnry - файл содержит адреса onion-серверов и адрес BTC-кошелька;
t.wnry - зашифрованный файл, содержащий троянца-энкодера. Ключ для расшифровки хранится в самом файле;
s.wnry – архив, содержащий ПО для работы с сетью Tor.
После запуска пытается установить себя в следующие папки:

%SYSDRIVE%\ProgramData (если папка существует)
%SYSDRIVE%\Intel
%SYSDRIVE%
%TEMP%
При установке создает соответствующую папку, а в ней – вложенную папку со случайным именем, затем создает в этой папке собственную копию с именем tasksche.exe.

Пытается запустить свою копию в виде системной службы со случайным именем. Если попытка не удается, создает системную службу, регистрирует в ней запуск собственной копии с использованием вызова командного интерпретатора ("cmd.exe /c path") и запускает эту службу. В случае неудачи запускается как обычное приложение.

При запуске в режиме приложения дроппер пытается записать в ветви системного реестра HKLM\Software\WanaCrypt0r или HKCU\Software\WanaCrypt0r путь и имя своей текущей директории. Распаковывает содержимое архива в свою текущую папку, сохраняет в файл c.wncry один из трех возможных адресов BTC-кошельков. Открывает доступ к рабочему каталогу всем пользователем системы и устанавливает для него атрибут «скрытый». Затем извлекает из файла t.wnry троянца-энкодера, расшифровывает его и запускает на выполнение.

Троянец-шифровальщик

Энкодер хранится в отдельной динамической библиотеке. Он шифрует файлы с использованием алгоритма AES-128. С помощью функции CryptGenKey энкодер создает RSA-пару, публичная часть сохраняется в файле 00000000.pky, приватная – шифруется авторским публичным ключом и сохраняется в файле 00000000.eky. Ключ генерируется для каждого шифруемого файла с использованием функции CryptGenRandom.

В зашифрованном файле сохраняется:

маркер (8 байт): WANACRY!;
длина зашифрованного ключа (4 байта);
зашифрованный ключ (256 байт);
информация о типе шифрования (4 байта);
исходный размер файла (8 байт);
зашифрованные данные.
В процессе шифрования создается список файлов, которые могут быть расшифрованы в тестовом режиме. Он сохраняется в файле f.wnry. Сессионный AES-ключ для расшифровки тестовых файлов шифруется вторым RSA-ключом, приватная часть которого хранится в теле троянца.

Шифровальщик содержит авторский декодер, который выполняет следующие функции:

установка обоев рабочего стола из файла b.wnry;
удаление теневых копий;
отключение функции восстановления системы;
распаковка ПО для работы с Tor из файла s.wnry или скачивание его с сайта, адрес которого хранится в файле, зашитом в c.wnry.
Декодер способен воспринимать следующие параметры командной строки (без аргументов):

fi — извлекает ПО для работы с Tor, устанавливает соединение с портом 80 onion-серверов, указанных в конфигурации. Получает от них адрес кошелька BTC и сохраняет его в конфигурации;
co — читает из res-файла данные о начале шифрования и, предположительно, отправляет их на onion-сервер;
vs — удаляет теневые копии и отключает восстановление системы.
Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол. К сожалению, в настоящее время расшифровка поврежденных троянцем файлов не представляется возможной.

Като гледам разшифровка няма да има. Не са известни случаи някой да е платил и да е получил нещо за разшифроване. Вероятно ще добавят и описание на други езици. За второто: https://vms.drweb.com/virus/?i=15306951&lng=en

Редактирано 17 май 20179 г. от Филипов (преглед на промените)

Безсмислено е да се копират такива големи статии на чужд език ако не смятате да го преведете. Един линк е достатъчен. Аз лично го предпочитам на английски.

А иначе не знам какво толкова се раздуха около "ИскамПлача" (уникален превод) като то ransomware-a го има и в БГ от доста годинки вече и този съвсем не е нещо революционно. Ок, използва нови начини за проникване, но като цяло не виждам какво по-различно прави от всички ransomware-и към момента. Да не говорим, че методите за превенция срещу другите (поне повечето) биха свършили работа и срещу този. А програми за защита бол (коя добра, коя не чак толкова, коя става за всички варианти и коя е за защита от определени варианти са въпрос на лично тестване и преценка), но не е като да няма варианти за защита. А да не говорим, че повечето от предложените настройки за затягане на ОС се правят при първоначална инсталация (аз лично съм ги направил още при инсталацията на моята ОС през януари на 2015-та) и по подразбиране не са само за този вариант, а срещу повечето гадини (както и имунизацията на CryptoPrevent не е само срещу ransomware-a а правилата биха помогнали и срещу редица други zero-day атаки).

Разбира се, не всеки е длъжен да е наясно с темата за защита на информацията, но от обща култура и при правилно (а не немърливо отношение) към системата си и влагането на усилие да се настрои и поддържа (както човек прави с колата си и с другите си вещи) това ще му се отплати в последствие.

Може би просто журналистите не са имали с какво друго да напълнят новините си този път и затова се получи повече гласност. Докато има хора, които наричат мониторите си компютри или пък са против обновяването на ОС (и това е първото нещо, което спират при инсталацията на ОС и са горди с това) такива теми и случаи ще има по форумите и по новините.

преди 3 часа, B-boy/StyLe/ написа:

... А иначе не знам какво толкова се раздуха около "ИскамПлача" (уникален превод) като то ransomware-a го има и в БГ от доста годинки вече и този съвсем не е нещо революционно. Ок, използва нови начини за проникване, но като цяло не виждам какво по-различно прави от всички ransomware-и към момента. Да не говорим, че методите за превенция срещу другите (поне повечето) биха свършили работа и срещу този....

Разбира се, не всеки е длъжен да е наясно с темата за защита на информацията, но от обща култура и при правилно (а не немърливо отношение) към системата си и влагането на усилие да се настрои и поддържа (както човек прави с колата си и с другите си вещи) това ще му се отплати в последствие.

Може би просто журналистите не са имали с какво друго да напълнят новините си този път и затова се получи повече гласност. Докато има хора, които наричат мониторите си компютри или пък са против обновяването на ОС (и това е първото нещо, което спират при инсталацията на ОС и са горди с това) такива теми и случаи ще има по форумите и по новините.

Напълно съм съгласен с теб и казаното, но проблема този път не беше в незнанието, глупостта или неумението на потребителите да боравят с ОС или да се подлъгват да кликат на заразени линкове и e-mail, а беше в тези, на който им се плаща уж да са наясно с опасностите. Именно визирам начина му на разпространение и защо кръпките по сигурността не са инсталирани още месец март. Сега друг е въпроса, че много компании и организации оперират с бюджети и навсякъде където може се режат разходите за нов софтуер. Сам знаеш, че има приложения, които не са съвместими с по-нови версии на Windows и има много организации, които карат още на XP, защото, за да се ъпдейтнат това означава, че трябва да се пренаписва и софтуера, с който работят, а това струва много време и пари + обучение на персонала. Не са толкова прости нещата на корпоративно ниво. Аз лично примерно съм виждал в клоновете на БГ пощите, че още карат с XP, не знам какъв им е случая, но е факт. Инак гласността не е лошо нещо и е в полза дори според мен. Разбира се, новините поднесени в журналистически стил само прокарват истерия и параноя безсмислено, защото в крайна сметка не се случи нищо кой знае какво, но това е сериозна индикация, че сме много уязвими и обществото трябва да окаже натиск в някаква степен в/у тази индустрия, защото ние ставаме все по зависими от технологиите и ако не се вземат мерки съм убеден, че един ден няма просто да се затрият няколко бази данни и файлове, които вероятно в корпоративна среда си имат бекъпи и лесно се възстановяват. Примерно обаче съществуват механизми, с които да се въздейства в/у глобалната мрежа и свързаността, а това вече е огромен проблем. Представи си с няколко хиляди зомбирани машини да речем какво може да се случи и тогава няма да говорим за пари, а за човешки животи. Също така съм на мнение, че ние като някакъв вид ИТ хора, трябва да имаме активна позиция и да показваме на обикновените потребители, какво се случва и какви са опасностите, защото сам знаеш, че огромната маса от над 90% от хората нямат ни най-малка представа за какво става дума, те просто са в неведение и чинно подминават дори подобен тип информации. Тези пък, които проявят някакъв интерес искат да видя, да се запознаят, а това трябва да го правим ние. Точно по този повод последните няколко дни доста народ ме пита какво става, какво е това и какво прави на компютъра, те не са наясно с опасността. Дори се принудих да направя едно демо видео какво се случва при заразата с Wannacry, за да им го покажа нагледно въпреки, че нямах никакво време.   

Редактирано 17 май 20179 г. от exwol (преглед на промените)

@exwol, бутни линка на демото - не се отваря (xn--%20-dtbeccdt3asf)

преди 37 минути, ExaFlop написа:

@exwol, бутни линка на демото - не се отваря (xn--%20-dtbeccdt3asf)

Да видях, че съм го копнал грешно линка и го оправих, но то не е нищо интересно, просто да покажа именно на такива хора дето не зная какво става. Интересното беше друго, че в събнета на виртуалната където снимах имаше една лаптопче, с Win 8.1 без всякакви кръпки и дори без антивирус, което бях подготвил да преинсталирам. След като пуснах заразата двете машини седяха  повече от час и половина включени в една мрежа и Win8.1 не се зарази. Дали причината е в killswitch-а на пробата или нещо друго, просто нямах никакво време да тествам, но то вече няма и много смисъл от такива тестове, защото тая офанзива отмина, дупките са закърпени и АВ го ловят.

Редактирано 17 май 20179 г. от exwol (преглед на промените)

Онова руското ще го преведат вече е преведено - има възможност за избор на десетина езика.

Акцента е че ако е влезнало в локала ако няма интернет ще си действа, защото killswich няма как да го провери. Червеят, който заразява е предвидено да го прави 24 часа.

Неприятното е че за всеки файл има отделен случаен ключ и разкодиране НЯМА И НЯМА ДА ИМА. Никой от платилите не си е възстановил нищо. Евентуално може да има надежда за десетината демо файла.

Редактирано 17 май 20179 г. от Филипов (преглед на промените)

Тъй като повечето удари са в Руссия защо да не са американците? Те поне обичат да са на всяка манджа мерудия, и като някои им откаже или попречи в нещо, почват с номерата като някоя претенциозна дама на която мъжа и е отказал кеш за шопинг. Нали се сещате коя държава краква игрите безплатно за да може целия всят да ги играе без да плаща. А русия е една държава от всичките които не обичат да си плащат като нас българите за нещо което го виждаме на картинка или на монитор. Вярно е всичко си има цена тъка е. Но има хора има и хора. В момента можем да гадаем само и само да си чешем езиците, но аз мисля че това е затишие пред буря, и някъде там нещо друго се случва или ще се случи. Като му метнеш на кучето пръчка той отива да я гони, и до като я вземе и се върне, през това време можеш да му гепиш кокала. Може и политически интереси да са замесени, заради случелото се спречкване между Руссия и Америка когато Руссия отказа да се подчени на Америка заради нещата които се случиха в Украйна Кръм.

преди 5 часа, B-boy/StyLe/ написа:

 

А иначе не знам какво толкова се раздуха около "ИскамПлача" (уникален превод) като то ransomware-a го има и в БГ от доста годинки вече и този съвсем не е нещо революционно. Ок, използва нови начини за проникване, но като цяло не виждам какво по-различно прави от всички ransomware-и към момента. Да не говорим, че методите за превенция срещу другите (поне повечето) биха свършили работа и срещу този. А програми за защита бол (коя добра, коя не чак толкова, коя става за всички варианти и коя е за защита от определени варианти са въпрос на лично тестване и преценка), но не е като да няма варианти за защита. А да не говорим, че повечето от предложените настройки за затягане на ОС се правят при първоначална инсталация (аз лично съм ги направил още при инсталацията на моята ОС през януари на 2015-та) и по подразбиране не са само за този вариант, а срещу повечето гадини (както и имунизацията на CryptoPrevent не е само срещу ransomware-a а правилата биха помогнали и срещу редица други zero-day атаки).

Разбира се, не всеки е длъжен да е наясно с темата за защита на информацията, но от обща култура и при правилно (а не немърливо отношение) към системата си и влагането на усилие да се настрои и поддържа (както човек прави с колата си и с другите си вещи) това ще му се отплати в последствие.

Може би просто журналистите не са имали с какво друго да напълнят новините си този път и затова се получи повече гласност. Докато има хора, които наричат мониторите си компютри или пък са против обновяването на ОС (и това е първото нещо, което спират при инсталацията на ОС и са горди с това) такива теми и случаи ще има по форумите и по новините.

Мислех нещо подобно да напиша, но повечето мои писания се трият в този раздел! Та , атака като многото знайни и незнайни подобни! Какво толкова, а е и написано доста за това как да си направим превенцията и какво друго за да се чувстваме в безопасност! Писано - тъпкано!

преди 3 часа, exwol написа:

Напълно съм съгласен с теб и казаното, но проблема този път не беше в незнанието, глупостта или неумението на потребителите да боравят с ОС или да се подлъгват да кликат на заразени линкове и e-mail, а беше в тези, на който им се плаща уж да са наясно с опасностите. Именно визирам начина му на разпространение и защо кръпките по сигурността не са инсталирани още месец март. Сега друг е въпроса, че много компании и организации оперират с бюджети и навсякъде където може се режат разходите за нов софтуер. Сам знаеш, че има приложения, които не са съвместими с по-нови версии на Windows и има много организации, които карат още на XP, защото, за да се ъпдейтнат това означава, че трябва да се пренаписва и софтуера, с който работят, а това струва много време и пари + обучение на персонала. Не са толкова прости нещата на корпоративно ниво. Аз лично примерно съм виждал в клоновете на БГ пощите, че още карат с XP, не знам какъв им е случая, но е факт. Инак гласността не е лошо нещо и е в полза дори според мен. Разбира се, новините поднесени в журналистически стил само прокарват истерия и параноя безсмислено, защото в крайна сметка не се случи нищо кой знае какво, но това е сериозна индикация, че сме много уязвими и обществото трябва да окаже натиск в някаква степен в/у тази индустрия, защото ние ставаме все по зависими от технологиите и ако не се вземат мерки съм убеден, че един ден няма просто да се затрият няколко бази данни и файлове, които вероятно в корпоративна среда си имат бекъпи и лесно се възстановяват. Примерно обаче съществуват механизми, с които да се въздейства в/у глобалната мрежа и свързаността, а това вече е огромен проблем. Представи си с няколко хиляди зомбирани машини да речем какво може да се случи и тогава няма да говорим за пари, а за човешки животи. Също така съм на мнение, че ние като някакъв вид ИТ хора, трябва да имаме активна позиция и да показваме на обикновените потребители, какво се случва и какви са опасностите, защото сам знаеш, че огромната маса от над 90% от хората нямат ни най-малка представа за какво става дума, те просто са в неведение и чинно подминават дори подобен тип информации. Тези пък, които проявят някакъв интерес искат да видя, да се запознаят, а това трябва да го правим ние. Точно по този повод последните няколко дни доста народ ме пита какво става, какво е това и какво прави на компютъра, те не са наясно с опасността. Дори се принудих да направя едно демо видео какво се случва при заразата с Wannacry, за да им го покажа нагледно въпреки, че нямах никакво време.   

Всъщност на корпоративно ниво може дори да е по-лесно, защото това са машини, на които не се тества всеки ден нов софтуер. Там след инсталацията на това, което им трябва, след създаването на Image се слага default-deny и всичко заспива. Дали с възможностите на ОС (като Applocker, SRP, ограничен акаунт с парола) и прочие дали със софтуер от сорта на (Appguard, VoodooShield, SecureAplus, NovirusThanks ExeRadar) и т.н. Така системата е защитена без дефиниции, а всяка програма на която не е указано да стартира бива блокирана (без значение дали е опасна или не). В последно време именно тези решения са по-удачни за фирми отколкото използване на (sandbox, behaviour blocker, hips, virtualization, антивирусни програми и прочие). Има и някакви Next-Gen AV, но като чета за тях съм малко със смесени чувства. Така че тук не се налага пренаписване на софтуер, обучение на персонал и прочие, но се изисква предподготовка и след това става "инсталирай и забрави".

Иначе за гласността не съм против, но се чудя, защо сега? Защо не обсъждаха всеки един вариант (или поне по-разпространените), който е излязъл към момента (имаше доста намели и от тях). Освен малко за CryptoLocker в началото и за някой друг като TeslaCrypt или Petya май не съм чувал да се говорят за другите.

Иначе е добре да се разяснява на потребителите, но някои просто не желаят да им бъде обяснено. Те си знаят своето и имат своята позиция относно инсталирането на актуализациите и т.н. Е насила хубост не става. Компютрите са си техни и последствията от решения също. Нямам намерение да убеждавам някой в нещо след като те игнорират опасността. С екипа щяхме и тема да създадем, но вариантите станаха толкова много, че това е непосилна задача. Евентуално може да се създаде такава за превенция (поне по-общите методи макар че не всички са еднакво ефективни за всички варианти), но в последно време се пръкнаха и толкова много програми за защита, че нямам време да ги тествам всичките. А за да започна да препоръчвам дадена програма трябва да съм убеден, че същата работи добре.

Към момента (не съм и търсил де) съм попадал на 2 клипа за справянето на програми срещу "ИскамПлача"... Едната е пясъчника на Comodo (беше публикувана от Nikishark в друга тема) и другата е платената версия на CryptoPrevent с опцията си HoneyPot:

А иначе ето и тест на едно от тези корпоративни (Next-Gen) решения в лицето на Cylance:

и т.н. Примери много.

преди 2 часа, exwol написа:

Да видях, че съм го копнал грешно линка и го оправих, но то не е нищо интересно, просто да покажа именно на такива хора дето не зная какво става. Интересното беше друго, че в събнета на виртуалната където снимах имаше една лаптопче, с Win 8.1 без всякакви кръпки и дори без антивирус, което бях подготвил да преинсталирам. След като пуснах заразата двете машини седяха  повече от час и половина включени в една мрежа и Win8.1 не се зарази. Дали причината е в killswitch-а на пробата или нещо друго, просто нямах никакво време да тествам, но то вече няма и много смисъл от такива тестове, защото тая офанзива отмина, дупките са закърпени и АВ го ловят.

Като цяло бях чел, че специално 10 имал проактивни технологии за защита от този вариант и без кръпка. За 8 май не би трябвало, но е горе-долу все още съвременна ОС. Иначе при 10 добрата новина е, че освен, че засилиха WD с ATP, вече вкарват лека по-лека и EMET технологиите в WD. Скоро се очаква WD да стане доста мощна система за защита за домашния и корпоративния сектор.

преди 7 минути, B-boy/StyLe/ написа:

 

Перфектен,както винаги!

Поздрави и респект!