преди 9 минути, BMW Маниак написа:

Големи икони.

дай ги на малки, а можеш и така

Я провери тези опции дали ги виждаш. Ако искаш да правиш нещо по темата за последния криптовирус, просто си ъпдейтвай 10-ката. Нямам идея защо@ExaFlop те кара да влизаш там. Явно си му цитирал пост от друга тема [emoji4]

Enviado desde mi iPhone utilizando Tapatalk

Цитат

Отпишусь и я о плачевном результате: в пятницу брат подхватил эту заразу, итог - год работы скрылся за расширением WNCRY. Работы было много сделано, в следствии чего было принято решение о переводе 300$ в виде биткоинов этим тварям. Со всеми % при переводах и пересчетах сумма составила 20000 рублей. Прошло 3е суток, никакого дешифровщика прислано не было. Сегодня окно вируса пропало, сообщение на рабочем столе тоже пропало, но файлы как были зашифрованы, так и остались!

колкото до експлойта http://www.spy-soft.net/empire-fuzzbunch-eternalblue/

И кодирането: https://modexp.wordpress.com/2017/05/15/wanacryptor/

Шифрира:
 doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der 
Други извън тези ги подминава.

И един по-сериозен анализ: https://habrahabr.ru/company/pentestit/blog/328606/

Редактирано 15 май 20179 г. от Филипов (преглед на промените)

@BMW Маниак, стартирай cmd като админ и пусни тази команда вътре:
dism /online /Disable-Feature /FeatureName:SMB1Protocol

и натисни Enter.
Като завърши, рестартирай системата.

Още по темата за SMB:
http://www.nsaneforums.com/topic/293447-wannacry-disabling-smb/

Блокиране със стената:
http://www.nsaneforums.com/topic/293449-wannacry-block-using-firewall/

Изключване на NetBIOS:
https://geekflare.com/netbios-disable-windows-8/
или от конзола:
https://social.technet.microsoft.com/Forums/en-US/4658180d-f4c0-4c7b-ab5d-13db08703252/how-to-set-netbios-over-tcpip-enabled-or-disabled-from-command-line-?forum=winserverDS

Редактирано 15 май 20179 г. от ExaFlop (преглед на промените)

[mention=64790]BMW Маниак[/mention], стартирай cmd като админ и пусни тази команда вътре:

dism /online /Disable-Feature /FeatureName:SMB1Protocol

Получи се.

 

 

Блокиране със стената:

Аве на кашперски стената се уби да ми дава съобщения точно през интервал от 5 минути ама от петък се кротна.

И ми пише че IP на разширителя ми за wi-fi ми атакува pc-то !

Ама сега уж е добре. Но няколко дена не се спря. Дали може да има нещо общо с това?

Днес отидох по-рано на работа. Направих архив на 4-те служебни пс-та с различни MS Windows и сложих пачовете от Microsoft (носих ги на флашка). Пуснах Интернета, ъпдейтнах KIS и направих Quick scan. Активни зарази нямаше. После под Win 8.1 pro даже изключих ръчно SMB 1.0/CIFS File Sharing Support, но се оказа изненада. Компютър с XP не иска да отвори споделен файл от Win 8.1 Pro и обратното. Win 8.1 Pro не иска да "види" и принтира на мрежовият принтер на XP. След разрешаването на портокола отново, всичко си дойде на мястото. Останалите 7-ци без проблем при изключена опция отваряха файла от Win 8.1. И сега какво се получава? Microsoft препоъчват тази опция да се премахне, но се спира естеството на работа. Аз от начало помислих че с инсталирането на пача под Win 8.1 Pro той ще премахне опцията, но тя си бе включена.

Като запецна работата си викам къде изчезна този File Sharing? Отидох в Control Panel да видя включена ли е още споделянето, но там имаше съобщение че тази функция се управлява от KIS 2017. Погледнах в опциите й, wifi мрежата бе на Trusted (на всички компютри), но въпреки това комуникацията между Win 8.1 Pro и XP се възъобнови, чак след като върнах ръчно SMB 1.0/CIFS File Sharing Support.

ЕДИТ: Извинявам се, този пост навярно е за друга тема. Моля модератора да я премести. Благодаря.

Редактирано 15 май 20179 г. от svetliof (преглед на промените)

Computer Browser
Server
Workstation
Виж си услугите пуснати ли са.
Edit: Сега глкедах на една машина с NAS - няма достъп до устройството.
Пуснах SMB,  спрях NetBIOS over TCP/IP

Редактирано 15 май 20179 г. от ExaFlop (преглед на промените)

Някой от вас за спорта успя ли да тества тая гнус след издаването на пачовете и дали декларираните мерки са ефективни или си трябва по-сериозно подхождане в рестрикциите?

Още не съм срещал публичнодостъпен образец.

преди 3 часа, ExaFlop написа:

Още не съм срещал публичнодостъпен образец.

Аз проба имам някаква, обаче никакво време не ми остана да го видя дали е вярното ( според VirusTotal е това ) пък и трябва да пачна някой Win или нещо на виртуална машина, че нямам под ръка готов - може би утре ще стане това. Ако ти го искаш или някой друг, който не си го е намерил, мога да го дам, но само на определени хора, за които знам, че са на ясно какво правят и само на ЛС поне докато не стане ясно, че тази масова вълна на разпространение е отминала и е закърпена на 100%. Казвам това във връзка с някои неща, които не зависят от мен, просто аз трябва да се съобразя.

п.п. М/у другото гледам появили са се и някои модификации за жалост.

Редактирано 15 май 20179 г. от exwol
дал съм грешен линк за VT (преглед на промените)

Между другото казат, че са се появили по-устойчиви щамове. И се очаква нов бум и видово размножаване.

преди 22 часа, Филипов написа:

3. Някои са си купили въпросното "хакче" и са му закачили криптошитня за да изкарат кинти

Кви покупки бе човече?!?!
Shadow Brokers пуснаха дъмпа....
ПС:Въобще наясно ли си кви ги плещиш?

Редактирано 15 май 20179 г. от Гост (преглед на промените)

Ами да още 2 версии до момента, до колкото разбрах. Ако след пачовете наистина се спира, явно ще се търси и друг канал за разпространения. Аз лично очаквам да се появи и в края си по e-mail както беше до сега.

На практика кръпките са излезли март месец. Т.е. не се пишат сега. Просо сега напомнят за тях, заради ситуацията.
Е, на тези, които са си спрели актуализациите, няма как да им дойде.
Всъщност на някои им е дошло...под формата на покана за плащане на едни пари.

Редактирано 16 май 20179 г. от ExaFlop (преглед на промените)

преди 4 минути, exwol написа:

Ами да още 2 версии до момента, до колкото разбрах. Ако след пачовете наистина се спира, явно ще се търси и друг канал за разпространения. Аз лично очаквам да се появи и в края си по e-mail както беше до сега.

Ето ти го:

Пачовете за Win спират свободното разпространение през експлойта на ония трибуквените. С активното съдействие на микромеките дупката SMB1 дупката е оставена до последно да си шпионират на воля. След като изтича от службите и попада при хакерите микромеките се сепват дотолкова, че в средата на март пускат кръпка за всички версии на Win, дори и срарите неподдържани като Win XP.

Едни други си купиха хака и решиха да изкарат нещо като му лепнат криптошитня. Която беше спяна почти веднага чрез регистрация на "безсмисления" домейн. Нататък ТНТМ и свободни същинения - някои толкова бъгави, та чак не могат да шифрират и да поискат откуп.

В първия момент шифровалната част я няма в дефинициите на антивирусните и има малко поразени компютри. Такива разграден двор - директно в мрежата без грам защита. С отворени портове и специално 445 - онова сканира мрежата и такива се намират. Лошото е след като са били няккъде ги бучнат на работното място в корпоративната мрежа и тя "пламне"

преди 34 минути, Филипов написа:

Пачовете за Win спират свободното разпространение през експлойта на ония трибуквените. С активното съдействие на микромеките дупката SMB1 дупката е оставена до последно да си шпионират на воля. След като изтича от службите и попада при хакерите микромеките се сепват дотолкова, че в средата на март пускат кръпка за всички версии на Win, дори и срарите неподдържани като Win XP.

Едни други си купиха хака и решиха да изкарат нещо като му лепнат криптошитня. Която беше спяна почти веднага чрез регистрация на "безсмисления" домейн. Нататък ТНТМ и свободни същинения - някои толкова бъгави, та чак не могат да шифрират и да поискат откуп.

В първия момент шифровалната част я няма в дефинициите на антивирусните и има малко поразени компютри. Такива разграден двор - директно в мрежата без грам защита. С отворени портове и специално 445 - онова сканира мрежата и такива се намират. Лошото е след като са били няккъде ги бучнат на работното място в корпоративната мрежа и тя "пламне"

Събуди се,или заспи бре-егати безмислиците дето пишеш....

 

Цитат

ShadowBrokers shocked the security world again today by releasing another cache of exploits, files, and operational documents purportedly stolen from Equation Group last summer.  As you may recall from our earlier publications, Equation Group is reportedly a clandestine hacking group that has been linked with NSA hacking tools.

The dump of information released today contains a number of exploits and Windows binary files that were not seen with the previous collection of information.  While the ‘Auction’ file may have contained obsolete exploits and information, this new release appears to contain much more recent and current data including 0-Day exploits.  While we haven’t had time to fully review the information, Twitter user HackerFantastic has already reported a successful 0-day exploit on Windows 2008 Server.

https://blog.malwarebytes.com/cybercrime/2017/04/shadowbrokers-releases-more-stolen-information/

преди 9 часа, exwol написа:

Някой от вас за спорта успя ли да тества тая гнус след издаването на пачовете и дали декларираните мерки са ефективни или си трябва по-сериозно подхождане в рестрикциите?

Цитат

It’s important to understand that while unpatched Windows computers exposing their SMB services can be remotely attacked with the “EternalBlue” exploit and infected by the WannaCry ransomware, the lack of existence of this vulnerability doesn’t really prevent the ransomware component from working.

Пачната система и затворени портове би трябвало да спира опитите за атака и за разпространение в локалната мрежа. Самият рансъмуер вече би трябвало да се спира от антивирусите. Не от самата система. Дупката само го доставя. Явно и RDP не е зле да се деактивира...

Цитат

Initial reports indicate the hacker or hacking group behind the WannaCry campaign is gaining access to enterprise servers either through Remote Desktop Protocol (RDP) compromise or through the exploitation of a critical Windows SMB vulnerability.

https://www.us-cert.gov/ncas/alerts/TA17-132A

 

Всъщност експлойтите на АНС са не един, а два:

Цитат

WannaCry appears to primarily utilize the ETERNALBLUE modules and the DOUBLEPULSAR backdoor. The malware uses ETERNALBLUE for the initial exploitation of the SMB vulnerability. If successful it will then implant the DOUBLEPULSAR backdoor and utilize it to install the malware. If the exploit fails and the DOUBLEPULSAR backdoor is already installed the malware will still leverage this to install the ransomware payload. This is the cause of the worm-like activity that has been widely observed across the internet

На колко компютри може да е инсталиран тоя DOUBLEPULSAR... Ама че работа.

Цитат

DoublePulsar, as the NSA implant is code-named, was detected on more than 107,000 computers in one Internet scan. That scan was performed over the past few days by researchers from Binary Edge, a security firm headquartered in Switzerland. Binary Edge has more here.

https://arstechnica.com/security/2017/04/10000-windows-computers-may-be-infected-by-advanced-nsa-backdoor/

Цитат

Once installed, DoublePulsar waits for certain types of data to be sent over port 445. When DoublePulsar arrives, the implant provides a distinctive response. While security practices almost always dictate the port shouldn't be exposed to the open Internet, Tentler said that advice is routinely overridden.

Py скрипт за засичане на DoublePulsar: https://github.com/countercept/doublepulsar-detection-script

Редактирано 16 май 20179 г. от Мальчик Бананан (преглед на промените)

Току-що слушах лаишко бяснение по нова на двама експерти по сигурността, които твърдят, че машина зад рутър не е изложена на опасност от директна атака. 
Остава рикът от зараза при отваряне на имейл или отваряне на имейл и прикачен файл.
Казват, че актуализирани ОС и AV пазят.
Поддържане на актуален бакъп.

Вместо да приказват глупости това е важното. Ако рутърът е настроен правилно или има дори Firewall със затворен порт 445 - това се спира. Това е спряно още в петък. И една от следващите версии, които имат механизъм за спиране чрез "безсмислен" домейн. Най-много една от следващите бъгави, на която от бързане са объркали шифрирането.

Има платили откупа, но на никого не са възстановени файловете. Поне от това. Така че по тИВИлизора да не наблягат че можело да си върнеш информацията като платиш.

Бейкъпа на информацията е задължителен, и да е на отделен несвързан носител. Защото облаци в режим на синхронизация се засягат..

И има период до няколко дни, докато се анализира зловредния код и се вкара в базите на антивирусните.

Редактирано 16 май 20179 г. от Филипов (преглед на промените)

преди 1 час, Мальчик Бананан написа:

Пачната система и затворени портове би трябвало да спира опитите за атака и за разпространение в локалната мрежа. Самият рансъмуер вече би трябвало да се спира от антивирусите. Не от самата система. Дупката само го доставя. Явно и RDP не е зле да се деактивира...

Да, аз това питах дали с пача със сигурност се закърпва експлойта в SMB, защото м/у би трябвало и спира има една оскубана коса разлика и много излишен извънреден труд за възстановяване. Изпълнимия файл ясно, че вече се засича от АВ. Просто да си затворя всички SMB портове изобщо не е оферта и това е куцо решение, защото този протокол да речем ми трябва. 

 

преди 1 час, ExaFlop написа:

Току-що слушах лаишко бяснение по нова на двама експерти по сигурността, които твърдят, че машина зад рутър не е изложена на опасност от директна атака. 
Остава рикът от зараза при отваряне на имейл или отваряне на имейл и прикачен файл.
Казват, че актуализирани ОС и AV пазят.
Поддържане на актуален бакъп.

Ми да на практика са прави. Ако машината се намира зад NAT и портове са затворени, няма опасност от директно атакуване, но проблем остават внесена "болна" машина от вън или зараза от сайт/мейл соц. мрежа и т.н.

п.п. Като цяло според анализите тази гадина е модулно разработвана и почти е сигурно, че ще излизат различни модификации на бацила, които лесно могат да бъдат опаковани с други критични уязвимости. Именно и за това доста народ се "спекоха".

ОФТОПИК

За тези няма WannaCry:

 

И сега сериозно по въпроса:
Анализ на WannaCry 2.0

Редактирано 16 май 20179 г. от ExaFlop (преглед на промените)

преди 29 минути, exwol написа:

Да, аз това питах дали с пача със сигурност се закърпва експлойта в SMB, защото м/у би трябвало и спира има една оскубана коса разлика и много излишен извънреден труд за възстановяване. Изпълнимия файл ясно, че вече се засича от АВ. Просто да си затворя всички SMB портове изобщо не е оферта и това е куцо решение, защото този протокол да речем ми трябва.

Цитат

This means that workstations should have inbound ports 135, 137, 138, and 445 blocked from everything but sources that are supposed to use those services for maintenance purposes. And servers obviously need to have those ports open for which they need for providing service, but even as inbound traffic is allowed outbound should be blocked.With this kind of configuration, even if there would be a host infected with a network worm, it is unable to infect other workstations, and even as it would be able to infect a server, this server cannot pass the infection back to other workstations. This configuration also makes it difficult for an APT attacker to do lateral movement, especially if you block Windows Remote management ports 5985 and 5986 from anything but administration workstations.

https://labsblog.f-secure.com/2017/05/15/wannacry-party-like-its-2003/

Това намерих, като съвет...

Проблемът е че нито една антивирусна не намира за нередно поведението на крипрогадините вече толкова години:

1. Записва се в AutoRun
2. Изключва Shadow Copy и премахва наличните копия.
3. Регистрира новосъздадени .exe като системни.
4. Създава купчина нови .exe из директориите
5. Създава масово еднотипни файлове по шаблон @[email protected]"
6, Масово се криптират файлове и им се сменя разширението на еднотипно.
И въпреки че това лесно се дефинира никоя антивирусна не задава елементарния въпрос на потребителя - Аджеба ти пуснал ли си някоя програма да прави всичко това или не? И да спре навреме.

И другото - въпреки че по теория потребителите трябва да работят от ограничен акаунт как някакво външно .exe си ги вдига правата до System или поне до правата на системни драйвери че да направи толкова поразии?

преди 33 минути, ZeroG написа:

Не е лишено от логика зад такава мощна и умела атака да стои цяло правителство, Северна Корея са нарочените...

Ооо гаранция стои цяло правителство. Както и зад атентата в Русия преди месец-два. Само че не е Северна Корея, ами САЩ. Неслучайно над 90% от заразите са в Русия.