Как остановили вирус WannaCry

15.05.17 00:01 | Goblin | 241 комментарий

Уголовщина

С мест сообщают:
Двадцатидвухлетний блогер, известный в интернете как MalwareTech, сделал свое открытие в пятницу вечером, когда анализировал код вредоносной программы.

Он заметил, что программное обеспечение пытается связаться с необычным веб-адресом — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com — но этот адрес не был связан с вебсайтом, потому что ни за кем не числился.

Всякий раз, когда вредоносная программа пыталась установить связь с загадочным вебсайтом, возникала ошибка и вирус начинал действовать, нанося ущерб.

В качестве эксперимента MalwareTech решил потратить 10 долларов 69 центов и зарегистрировал на себя указанный вебадрес. На правах владельца веб-адреса он обрел доступ к аналитическим данным и получил представление о масштабах сетевого вымогательства.

Но это открытие оказалось не единственным — вскоре он обнаружил, что после регистрации веб-адреса распространение вредоносной программы прекратилось.
Как остановили вирус WannaCry

Сейчас злодей поменяет домен, и всё снова наладится.

Подписывайся на наш канал в Telegram

Комментарии
Goblin рекомендует создать сайт в megagroup.ru


cтраницы: 1 | 2 | 3 всего: 241

Цитата
отправлено 15.05.17 00:01 # 1


Менее чем за сутки вредоносная программа WannaCry заразила десятки тысяч компьютеров по всему миру

"Отчасти это была случайность", - рассказал MalwareTech в интервью Би-би-си после продолжавшегося всю ночь расследования, за время которого он, по его словам, "глаз не сомкнул.
Что случилось?

Сначала эксперт предположил, что создатель вредоносной программы дал ей команду на самоуничтожение - это один из способов остановить распространение вируса, если что-то вдруг пошло не так. В данном случае нештатной ситуацией могла стать регистрация таинственного веб-адреса.

Но теперь MalwareTech считает, что вредоносная программа не самоуничтожилась, а "испугалась" так называемой виртуальной машины - защищенной платформы, используемой в том числе для обнаружения вирусов и считывания их программного кода.

Реальный компьютер не может получить доступ к бессмысленному адресу iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, - в отличие от виртуальной машины, которая способна имитировать подключение к нему как к подлинному вебсайту.

В последнее время создатели вредоносных программ встраивают в них специальный код проверки - не является ли машина, в которую они попали, виртуальной. Если да, то вирус не активируется, чтобы не быть уничтоженным.

"Вредоносная программа немедленно прекращает работу, чтобы предотвратить дальнейший анализ, - пишет MalwareTech в своем блоге. - Из-за моей регистрации все эти вирусы решили, что попали в виртуальную машину, и вышли из системы. [...] Таким образом, мы непреднамеренно предотвратили распространение программы-вымогателя".

Исследователя, который замедлил распространение вредоносной программы, назвали "случайным героем".

"По-моему, это правильное определение", - сказал он в разговоре с Би-би-си.

Конец ли это вымогательству?

Хотя регистрация веб-адреса, по-видимому, остановила распространение одного штамма вируса, это не значит, что с источником вымогательства покончено.

Все файлы, которые были зашифрованы с помощью WannaCry, по-прежнему остаются "в заложниках".

Эксперты также предупреждают о возможном появлении новых, более совершенных модификаций WannaCry.

"Этот вариант вируса вряд ли будет распространяться дальше, однако почти наверняка появятся его копии", - считает исследователь по кибербезопасности Трой Хант.

"Мы остановили этот вирус, но придет еще один, и так просто мы его уже не остановим", - пишет MalwareTech.

"Тут крутятся большие деньги, им [хакерам] нет причин останавливаться. Не так уж много усилий надо, чтобы изменить код и начать все заново", - добавляет "случайный герой".


Цитата
отправлено 15.05.17 00:02 # 2


https://habrahabr.ru/company/cisco/blog/328598/

В прошлую пятницу, аккурат под конец дня, когда все администраторы и специалисты по безопасности засобирались по домам и дачам, мир облетела новость о начале беспрецедентной атаке WannaCry. По истечении пары дней уже можно сказать, что не зря название этой атаки ассоциируется с песней Кита Урбана «Tonight I Wanna Cry» («Сегодня я хочу плакать»). Ее масштабы оказались достаточно зловещими — на момент написания число жертв превысило 230 тысяч и это число может вырасти, когда многие вернутся с выходных и отпусков и включат свои домашние и рабочие компьютеры. Мы, в нашем подразделении Cisco Talos, еще в пятницу опубликовало свое исследование данной вредоносной программы и сейчас хотели бы поделиться отдельными ключевыми моментами с пользователям Хабра.

WannCry

WannyCry — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков. Это значит, что для заражения вам не требуется никуда кликать, ничего нажимать и ничего открывать. Достаточно иметь просто уязвимый, непропатченный и подключенный к Интернет (в том числе и через другие компьютеры, например, в локальной сети) компьютер на базе платформы Windows, чтобы стать жертвой WannaCry. После заражения компьютера жертва видит предложение об оплате определенной суммы денег (разные вариации WannaCry требуют разные суммы — от 300 до 600 долларов) за возврат доступа к файлам. Предложение выводится на разных языках, включая и русский. Интересный момент — сообщение о выкупе является не просто текстовым файлом, картинкой или HTA-файлом, как обычно у шифровальщиков, а файлом исполняемым.

Требование выкупа в WannaCry

Обратите внимание на этот момент — от пользователя не требуется никакой реакции! За счет чего это стало возможным? Тут все просто — авторы WannaCry воспользовались утечкой из ShadowBrokers, в результате которой миру стали известны множество ранее неизвестных уязвимостей и способов проведения атак. Среди них была и уязвимость ETERNALBLUE и связанный с ней бэкдор DOUBLEPULSAR. Первая позволяла через уязвимый SMB получать удаленный доступ к компьютеру и незаметно устанавливать на него программное обеспечение. Так и устанавливается шифровальщик WannyCry. Компания Microsoft еще в марте выпустила соответствующий патч для данной уязвимости, но, как показывает опыт, многие администраторы по разным причинам не удосужились его установить на свои компьютеры. Уязвимость ETERNALBLUE присутствует на всех версиях Windows, исключая Windows 10. Учитывая наличие в мире большого числа уже неподдерживаемых компанией операционных систем семейства Windows (Windows XP, Windows 8, Windows Server 2003) и масштаб атаки, Microsoft пошла на беспрецедентный шаг и выпустила патчи и для этих ОС.

Обратите внимание, что если у вас установлен соответствующий патч или иным образом блокируется использование данной уязвимости, например, с помощью IPS), то это не значит, что вы неподвержены WannaCry. Шифровальщик и в этом случае сможет быть запущен, но для этого уже понадобится реакция пользователя, привычная для работы классических локеров-вымогателей. Установка патча Microsoft блокирует только удаленное заражение и распространение вредоносного кода.

Вредоносная программа WannaCry ищет уязвимые компьютеры, путем сканирования открытого извне TCP-порта 445 (Server Message Block/SMB). Поэтому неплохой идеей (если ваши процессы допускают это) было бы заблокировать доступ по этому порту (а также по 139-му) из Интернет на вашем межсетевом экране или маршрутизаторе. Для маршрутизаторов Cisco соответствующий ACL может выглядеть следующим образом:

access-list 110 deny tcp any any eq 445
access-list 110 deny tcp any any eq 139

Однако блокирование данных портов извне не означает полной защиты от внутреннего заражения. Если какой-либо из ваших пользователей принесет домашний ноутбук, содержащий WannaCry, и подключит его к внутренней локальной сети (а мы уже получили запросы от некоторых заказчиков, у которых генеральные директора со своими зараженными компьютерами приехали в выходные на работу, вызвав туда же «на ковер» и ИТ-персонал), то WannaCry начнет искать новые жертвы внутри организации.

Наш анализ показывает, что WannaCry не только ищет уязвимые к ETERNALBLUE уязвимости, но и пытается идентифицировать узлы с установленным бэкдором DOUBLEPULSAR из утечки ShadowBrokers. Он позволяет получать удаленный доступ и выполнять произвольный код на предварительно скомпрометированной машине. Как нам удалось выяснить WannaCry первоначально пытается найти на компьютере именно DOUBLEPULSAR и если находит его, то устанавливает шифровальщика с его помощью. И только в случае отсутствия DOUBLEPULSAR эксплуатируется уязвимость ETERNALBLUE в протоколе SMB.

Анализ WannaCry в Cisco AMP Threat Grid

Несмотря на то, что с момента начала эпидемии прошло всего пару дней и пострадало уже несколько сотен тысяч компьютеров, злоумышленники успели выпустить несколько новых версий своего вредоносного творения. В частности, первая версия WannaCry содержала функцию «kill switch», то есть проверку наличия определенного домена в Интернет, при обнаружении которого вредоносный код не устанавливался на компьютер жертвы. Этот домен — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com (в новых модификациях WannaCry возможно использование и других доменов) был идентифицирован одним из исследователей и зарегистрирован им для «перехвата» управления вредоносной программой. Как показал анализ обращений к данному домену с помощью сервиса Cisco OpenDNS Investigate, около 200 тысяч компьютеров за прошедшие два дня были спасены от заражения.

Анализ обращения к домену kill switch с помощью Cisco OpenDNS Investigate

Однако за это время вышла уже следующая версия шифровальщика WannaCry — уже без функции «kill switch», что означает, что история еще не закончилась и жертвы у данной вредоносной программы еще будут. Более того, наш анализ показывает, что архитектура у WannaCry модульная и может быть использована для доставки и использования других вредоносных модулей.

Стоит обратить внимание, что на момент написания заметки, пока не удалось найти способ расшифрования зашифрованных файлов. Это означает, что в случае заражения пользователя и отсутствия у него резервной копии своих данных, вероятность возврата доступа к своим файлам невысока (даже в случае выплаты выкупа, что не гарантирует получения ключа для расшифрования). Для шифрования используется 2048-мибитный ключ RSA, а «под раздачу» попадают файлы со следующими расширениями:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Как можно заметить, шифруются офисные файлы Excek, Word, PowerPoint, Open Office, музыкальные и видео файлы, архивы, сообщения e-mail и почтовые архивы/базы данных, файлы баз данных MS SQL, MS Access, графические файлы MS Visio, Photoshop, а также виртуальные машины и другие.

Сейчас пока рано ставить точку в истории с WannaCry и впереди нас ждет более детальный анализ этой вредоносной программы. Пока же мы можем дать ряд рекомендаций по защите от нее:
Установите, как минимум, патч MS17-010, закрывающий уязвимость ETERNALBLUE в SMB. Лучше обновить все свои компьютеры с ОС Windows. В промышленных сетях, где установка патчей имеет свои особенности, стоит уточнить у производителя своей АСУ ТП, не повлияет ли установка этого патча на функционирование системы и технологического процесса.
Заблокируйте внешние соединения из Интернет по 139-му и 445-му TCP-портам.
Задействуйте системы резервного копирования (даже копирование важных файлов на обычную флешку или внешний жесткий диск в ручном режиме уже будет нелишним).


Для тех пользователей, кто применяет решения Cisco по кибербезопасности можем сказать, что все наши решения могут бороться с данной угрозой:
Advanced Malware Protection (AMP), особенно AMP for Endpoints, идеально подходит для обнаружения и предотвращения данной вредоносной программы.
Cloud Web Security и Web Security Appliance детектируют обращение к вредоносным доменам «kill switch».
Cisco Firepower NGIPS имеет актуальные сигнатуры для обнаружения и блокирования данной угрозы.
Cisco Firepower NGFW может блокировать доступ к 139-му и 445-му TCP-портам, а также имеет регулярно обновляемый список узлов Tor для отслеживания взаимодействия с этой сетью (WannaCry использует Tor для оплаты выкупа).
AMP Threat Grid помог проанализировать вредоносное поведение WannaCry, а также может это сделать и для новых модификаций этой вредоносной программы.
OpenDNS Umbrella помогает распознавать взаимодействие с доменами, ассоциированными с данной угрозой.


Пользователям Snort стоит знать, что с данной угрозой помогают бороться правила 42329-42332, 42340 и 41978, доступные в рамках пакета обновления на Snort.org.

Дополнительно хотим указать индикаторы компрометации для WannaCry, которые мы идентифицировали в рамках проведенного нами анализа:

Имена файлов:
d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
055c7760512c98c8d51e4427227fe2a7ea3b34ee63178fe78631fa8aa6d15622 c.wnry
402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe
2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe
97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry
b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry

IP-адреса управляющих серверов (CnC):
188[.]166[.]23[.]127:443
193[.]23[.]244[.]244:443
2[.]3[.]69[.]209:9001
146[.]0[.]32[.]144:9001
50[.]7[.]161[.]218:9001
217.79.179[.]77
128.31.0[.]39
213.61.66[.]116
212.47.232[.]237
81.30.158[.]223
79.172.193[.]32
89.45.235[.]21
38.229.72[.]16
188.138.33[.]220

Список наблюдаемых в рамках деятельности WannaCry хешей:
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc
9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

Более полный анализ WannaCry (на английском языке) может быть найден в блоге Cisco Talos.


Merlin
отправлено 15.05.17 00:03 # 3


Никто ничего не остановил, уже появились варианты без проверки домена.

А всего-то надо было апдейты ставить вовремя и тупых юзеров учить не открывать аттачменты в подозрительных письмах.


nikolkas_spb
отправлено 15.05.17 00:13 # 4


Кому: Merlin, #3

> тупых юзеров учить не открывать аттачменты в подозрительных письмах.

Бесполезно. Юзеры тупые по жизни, кто-нибудь да откроет.
Вариант с уязвимостью - без вариантов, апдейты могут опоздать, антивирусник - не узнать. Это как вор по вентиляции. Одно радует,что мою помойку можно очень долго шифровать, большая слишком, я увижу это.
А так, только бэкап, только копии, три-два-один (три копии, на двух разных носителях, один - в другом месте).
Пы.сы. больше всего выиграл биткоин. О нем по телевизору два дня говорили, я устал объяснять знакомым, что это такое. У некоторых глазки загорелись.


Scald
отправлено 15.05.17 00:20 # 5


Кому: Merlin, #3

> апдейты ставить вовремя

ЦРУ и АНБ надоело, что в России до сих пор пользуются уже не обновляемыми ХР и Win7-коробками. Не хотят, понимаешь, переходить на ЦРУшный Win10. Вот и запустили вирус который вынудит его закупить и поставить. Нас не проведёшь.


COMMIE[k]
отправлено 15.05.17 00:21 # 6


Кому: Merlin, #3

> тупых юзеров учить не открывать аттачменты

Так, ведь, если тупые юзеры не будут открывать аттачменты - это же будет отрицание тупых юзеров.


AlnZ
отправлено 15.05.17 00:21 # 7


Кому: Merlin, #3

> и тупых юзеров учить не открывать аттачменты в подозрительных письмах.

Справедливости ради - этот вирус не распространяется через аттачменты.
Если система не обновлена, и в интернет пользователь выходит не через маршрутизатор - то есть шанс словить WannaCry.
И собновлениями не всё так просто. Система Windows настолько кривая, что иногда обновления просто перестаются нормально ставится. Вот у меня на ноуте как-то отвалилась установка обновления - ставит, перезагружает, и потом пишет "невозможно выполнить установку обновлений, выполняется откат изменений", и так по кругу. Не раз и не два в разных местах такое видел, что-б на лицензионной винде обновления просто не ставятся.


Merlin
отправлено 15.05.17 00:32 # 8


Кому: AlnZ, #7

> Справедливости ради - этот вирус не распространяется через аттачменты.

По локальной сети он распространяется через эксплойт, но исходно его как-то надо туда доставить.


kernigz
отправлено 15.05.17 00:33 # 9


Ох уж этот SMB.
Вспоминается SMBDie, но тот был не бюджетный, а этот от 69.000.000 до 138.000.000 теоретической капитализации. Неплохой WannaCry, некоторым игроделам такое и не снилось.

p.s. Поздравляю тупичок с переходом на https!
p.s.s Будет ли прикручена возможность сменить пароль?


SHOEI
отправлено 15.05.17 00:34 # 10


> Сейчас злодей поменяет домен, и всё снова наладится.
Facebook

Уже.

http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main

Обнаруженный ранее способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы
Хакеры, запустившие​ вирус-вымогатель WannaCry, обновили программу и обошли блокировку, с помощью которой было остановлено его распространение, сообщает издание Motherboard.

Как поясняет издание, ранее распространение удалось блокировать британскому специалисту по кибербезопасности, который ведет твиттер MalwareTechBlog. Он зарегистрировал домен с именем iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, название которого содержалось в коде вируса. ​Вирус обращался по этому бессмысленном адресу и, если не получал ответа, продолжал заражать другие компьютеры. Как только британский специалист зарегистрировал этот домен и он стал доступен в сети, вирус стал получать от него отклик, а согласно заложенному в него алгоритму, если ответ получен — распространение прекращалось.

Создатели WannaCry переписали код вредоносной программы, узнало издание Motherboard, и теперь она функционирует без обращения к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Motherboard предупредила, что теперь вирус вновь может заражать компьютеры. Пик заражений ожидается в понедельник​, 15 мая, в связи с началом рабочей недели.

Информация о глобальной вирусной атаке, которой подверглись компьютеры c операционной системой Windows в более 70 странах мира, появилась в пятницу, 12 мая. По оценкам «Лаборатории Касперского» большая часть попыток взлома пришлась на Россию.

Вирус ​блокирует доступ данным зараженных компьютеров и требует заплатить 300 или 600 долларов в биткоинах за получение доступа к ним. В противном случае, вирус обещает удалить файлы в течение трех дней.

Как ранее писал РБК, атаке подверглись компьютеры телекоммуникационных компаний («МегаФон», «ВымпелКом»), а также компьютеры МВД и Следственного комитета, МЧС, Минздрава, РЖД, и ряда российских банков. Официальный представитель СК опровергла эту информацию.

Как пояснили в «Лаборатории Касперского», атака происходила через «известную сетевую уязвимость Microsoft Security Bulletin MS17-010». После этого «на зараженную систему» устанавливался «руткит», используя который. злоумышленники «запускали программу-шифровальщик», отмечали в компании.


kernigz
отправлено 15.05.17 00:45 # 11


Кому: AlnZ, #7

> Вот у меня на ноуте как-то отвалилась установка обновления - ставит, перезагружает, и потом пишет "невозможно выполнить установку обновлений, выполняется откат изменений", и так по кругу.

Камрад, смотри код ошибки в самом updater(при ручном запуске) или в eventlog и по нему ищи решение, обычно оно есть в виде какого-нибудь KBXXXXXX


JetWing
отправлено 15.05.17 00:45 # 12


Кому: Merlin, #8

> По локальной сети он распространяется через эксплойт, но исходно его как-то надо туда доставить.

Вот этот момент както не освещается.
Хотя могли просто купить загрузки на уже затрояненные компы.


Nzer
отправлено 15.05.17 00:49 # 13


Если этот вирус такой хитрый, то вопрос такой. А как разблокировать комп после того, как он уже его подхватил, дабы произвести все описанные действия для нейтрализации?
Я раза три подхватывал вымогателями. Но они были простыми. Я просто или откатывал систему на пару месяцев назад или переустанавливал систему с диска. Других способов не было. А этот как нейтрализовать после заражения?


russo marinero
отправлено 15.05.17 01:26 # 14


Кому: Merlin, #3

> тупых юзеров учить не открывать аттачменты в подозрительных письмах.

Я подозрительные сразу нах удаляю. Надо будет, пришлют ещё. Нет?, туда и дорога.


russo marinero
отправлено 15.05.17 01:28 # 15


Кому: nikolkas_spb, #4

> Пы.сы. больше всего выиграл биткоин. О нем по телевизору два дня говорили, я устал объяснять знакомым, что это такое. У некоторых глазки загорелись.

Инвесторы МММ?


AlnZ
отправлено 15.05.17 01:52 # 16


Кому: Merlin, #8

> По локальной сети он распространяется через эксплойт, но исходно его как-то надо туда доставить.

Точно так-же, через эксплоит. Поэтому, если ты сидишь через роутер, или твой интернет перекрыт NAT у провайдера - ты не заразишься. А вот если твой IP белый, пусть и через виндовый PPPoE - шанс заразиться есть.


AlnZ
отправлено 15.05.17 01:52 # 17


Кому: kernigz, #11

> Камрад, смотри код ошибки в самом updater(при ручном запуске) или в eventlog и по нему ищи решение, обычно оно есть в виде какого-нибудь KBXXXXXX

Ну так я то свою проблему решил (через "DISM.exe /Online /Cleanup-image /Restorehealth"). И тут именно система обновлений Windows проушилась. Но большинству домашних пользователей подобную проблему не решат, и обновления у них ставится не будут. Вот их компьютеры и заражаются подобными вирусами.


ВоДелаТо
отправлено 15.05.17 01:52 # 18


Неплохой удар по биткоинам. Появился повод конкретно предъявить им за соучастие в отмывании незаконно полученных средств.


ВоДелаТо
отправлено 15.05.17 01:52 # 19


Кому: Nzer, #13

> А этот как нейтрализовать после заражения?

Никак. Все равно проще все переустановить с форматированием. Если он вымогает - значит уже все зашифровал.


Сергей Лис
отправлено 15.05.17 01:52 # 20


А был бы у пострадавших Mac, всё сложилось бы иначе.


Merlin
отправлено 15.05.17 01:53 # 21


Кому: AlnZ, #16

> Точно так-же, через эксплоит. Поэтому, если ты сидишь через роутер, или твой интернет перекрыт NAT у провайдера - ты не заразишься.

[смотрит в изумлении]

Ну да, ну да. МВД России, испанские телекомы, британские госпитали - все как один сидят в интернете не через рутеры.


Антон5
отправлено 15.05.17 02:10 # 22


Кому: Scald, #5

> в России до сих пор пользуются уже не обновляемыми ХР и Win7-коробками

Ну да У меня до сир пор стоит XP сборка Зверь - были такие ребята в свое время, Виндовс-Зверь лепили
Другое дело, что все важное я копирую, поэтому если на меня реально нападут всякие там вирусы заморские, я просто все снесу нафиг и поставлю заново


Silver Dragon
отправлено 15.05.17 02:24 # 23


Насколько мне известно, в РФ дофига контор где работают старенькие компы с Windows XP с отключённой службой обновления.


Merlin
отправлено 15.05.17 02:25 # 24


Кому: Silver Dragon, #23

> старенькие компы с Windows XP с отключённой службой обновления.

Для ХР и так уже два года не делают обновлений.


AlnZ
отправлено 15.05.17 02:26 # 25


Кому: Merlin, #21

> > Ну да, ну да. МВД России, испанские телекомы, британские госпитали - все как один сидят в интернете не через рутеры.

Вполне возможно, что и сидят. Может, биллинговый сервер организации на винде крутится. Такое и сейчас встречается.
Вот, помню, лет 10 назад была эпидемия виря Сonficker, который по способу заражения очень похож на этот WannaCry. Перывые версии этого виря только через локалку и интернет заражали, но потом и возможность размножения через USB носитель авторы прикрутили. Замечу - заражался он точно так-же через службу файлового сервера, и если в интернет были открыты порты 139 и 445 - был шанс заразится. Люди заражались, иногда это приводило к аварийной остановки службы DPC, система выдавала окно с обратным отсчетом, отсчитвала минуту и перезагружала компьютер.
Так вот - в организации интернет раздавал компютер с Windows и программой Kerio WinRoute Firewall. И он заразился червем Conficker. Повторю - по способу заражения это очень похожий вирус. Так что и сейчас могло случится так-же.


JetWing
отправлено 15.05.17 02:38 # 26


Кому: Антон5, #22

> Другое дело, что все важное я копирую, поэтому если на меня реально нападут всякие там вирусы заморские, я просто все снесу нафиг и поставлю заново

Одно время в рядах негодяев активно обсуждалась тема подобного криптора, который бы детектил резервное копирование и предварительно шифровал копии.
Так что не забывайте о верификации копий. :)


DeepOne
отправлено 15.05.17 03:09 # 27


Кому: JetWing, #26

> Так что не забывайте о верификации копий.

Перестраховался пока так: Одна из ежедневных копий - на запароленный FTP в локалке (на NAS-е). Имя-пароль хранятся где-то в недрах программы, выполняющей бэкап. То есть, (в отличие от сетевых дисков) криптор просто не найдёт эту копию.


Gost
отправлено 15.05.17 04:35 # 28


Кому: Merlin, #21

> Ну да, ну да. МВД России,- все как один сидят в интернете не через рутеры.

местами да, белые ипы, прям на петровке 38, лично сам видел 7 штук прямо в компы.


MEXAHu3ATOP
отправлено 15.05.17 04:35 # 29


Все достаточно просто, это как помыть руки перед едой. Не читайте письма от незнакомцев, не переходите по незнакомым ссылкам. Ибо тупость и любопытство приводят к подтверждению теории Дарвина.


dremota
отправлено 15.05.17 05:16 # 30


Товарищи, кто шарит, а как насчет linux'овых ОС? Я давно уж не интересовался. Раньше, насколько я знаю, они практически полным иммунитетом обладали. Как сейчас с этим? Избавляет ли установка какого-нибудь Mint'а или Убунты от необходимости заиметь антивирус?


vice_versa
отправлено 15.05.17 05:16 # 31


> местами да, белые ипы, прям на петровке 38, лично сам видел 7 штук прямо в компы.

Это для меня программиста жесть уже какая то, а что скажет Админ сюда писать нельзя.


Merlin
отправлено 15.05.17 05:18 # 32


Кому: dremota, #30

> Товарищи, кто шарит, а как насчет linux'овых ОС?

Конкретно для данного эксплойта они, разумеется, неуязвимы.
Но вообще, для Линукса тоже существует Ransomware, хотя, конечно, немного - затраты на разработку не окупаются.


vice_versa
отправлено 15.05.17 05:22 # 33


> Избавляет ли установка какого-нибудь Mint'а или Убунты от необходимости заиметь антивирус?
Практически, вирус написать можно только никто этого делать не будет, затраты будут, профита 0.


vav
отправлено 15.05.17 05:55 # 34


Кому: Merlin, #8

> По локальной сети он распространяется через эксплойт, но исходно его как-то надо туда доставить.

Компилируем каку, перекидываем на голую винду, выставляем винду в инторнет, и огонь.
Хотя да, на гиктаймсе читал, что кто-то там на почту грешил, но это был какой-то уж совсем юзер, судя по терминологии.


7-40
отправлено 15.05.17 06:23 # 35


А если бы регистрация домена являлась бы командой на форматирование дисков?
Рисковый парень этот двадцатидвухлетний блоггер.


yozhin
отправлено 15.05.17 08:00 # 36


Кому: Scald, #5

> ЦРУ и АНБ надоело, что в России до сих пор пользуются уже не обновляемыми ХР и Win7-коробками. Не хотят, понимаешь, переходить на ЦРУшный Win10. Вот и запустили вирус который вынудит его закупить и поставить. Нас не проведёшь.

Всякая шняга, что шпионит за пользователем и отсылает данные куда надо, обновлениями уже давно установились в Win7. Запаришься обновления отлавливать, которые это с собой тянут. Ну и для того, чтобы народ это не делал, похоже, этот вирус и слепили. Такая грубая стимуляция. Про то, как спецслужбы "русские" и прочие следы оставляют, недавно утечка была. Т.ч. полезно было бы авторство официально закрепить - либо АНБ, либо Майкрософт.


papaha
отправлено 15.05.17 08:43 # 37


Какой-то кибер-терроризм. Пугают и непонятно: что делать? Ну, кроме бэкапа очередного..


Иосиф Борода
отправлено 15.05.17 08:43 # 38


Компьютеры с открытым наружу SMB, RDP, и вообще, с чем-то не используемым, но открытым наружу, это прекрасно, конечно.

7z архивы не шифрует, судя по списку расширений !

Ну а классика с почтовыми вложениями юзеров - это всегда печаль. Корпоративный антивирус способен помочь, конечно, но не на 100%.

Кому: yozhin, #36

>либо АНБ, либо Майкрософт.

А почему не Эпл, чтоб их компы покупали ?!!


Фёдор Рюмин
отправлено 15.05.17 08:43 # 39


Кому: dremota, #30

> Товарищи, кто шарит, а как насчет linux'овых ОС? Я давно уж не интересовался. Раньше, насколько я знаю, они практически полным иммунитетом обладали.

да тоже все хорошо. Недавно был небольшой бажок в ядре. При засылании спецального удп пакета получаешь возможность выполнения произвольного кода


OldKnight
отправлено 15.05.17 08:43 # 40


Давно уже ни разу не админ, но до сих пор не очень понимаю для чего ставить на сервак, смотрящий в Сеть, форточку, хоть какую.

Кому: 7-40, #35

>А если бы регистрация домена являлась бы командой на форматирование дисков?
Рисковый парень этот двадцатидвухлетний блоггер.

Вирус этот, вроде бы, для вымогательства бабла, а не чтобы кому-то поднасрать.


stone master
отправлено 15.05.17 09:53 # 41


Кому: ВоДелаТо, #18

> Неплохой удар по биткоинам. Появился повод конкретно предъявить им за соучастие в отмывании незаконно полученных средств.

Кому "им", друг? Ты вообще понимаешь как это работает?


Хе-хе
отправлено 15.05.17 09:54 # 42


Таки в интернетах говорят - злодеи домен уже поменяли, и вредный вирус снова зашагал по планете!


Fungiver
отправлено 15.05.17 09:54 # 43


Аж волосы на голове встали дыбом, у меня ж вся работа на компе.

[убегает делать копии]


Завал
отправлено 15.05.17 09:54 # 44


Файлы 7zip и txt не шифрует, также как и многие другие вымогатели. Поэтому копию важной информации можно хранить в них.


nikolkas_spb
отправлено 15.05.17 09:55 # 45


Кому: russo marinero, #15

> Кому: nikolkas_spb, #4
>
> > Пы.сы. больше всего выиграл биткоин. О нем по телевизору два дня говорили, я устал объяснять знакомым, что это такое. У некоторых глазки загорелись.
>
> Инвесторы МММ?

Нет, просто хорошие люди, которые увидели новые возможности.


hmur
отправлено 15.05.17 09:58 # 46


Кому: Merlin, #24

> Для ХР и так уже два года не делают обновлений.

Под эту дрянь даже под XP выпустили обновление.


Завал
отправлено 15.05.17 09:58 # 47


Хотя нет, с txt ошибся. И еще смотрю имиджи gho не шифрует.


Forgotten
отправлено 15.05.17 09:58 # 48


Кому: MEXAHu3ATOP, #29

>Все достаточно просто, это как помыть руки перед едой. Не читайте письма от незнакомцев, не переходите по незнакомым ссылкам. Ибо тупость и любопытство приводят к подтверждению теории Дарвина.

У меня рабочая машина (не имеющая выхода в Интернет) подхватила тупо при будничном обращении к регииональному серваку по локалке. Можно сказать "без активации пользователем".

Спасибо, бл...ь, огромное одному известному фанату банано-технологий и прочим @банатам, онанирующим на СЭД.

P.S. Кстати с внедрением СЭДа документооборот не упростился, а наоборот, в два раза вырос - теперь одна и таже бумажка по конторе в двух выриантах ходит - в электронном и в бумажном оригинале.


Кому: Scald, #5

>ЦРУ и АНБ надоело, что в России до сих пор пользуются уже не обновляемыми ХР и Win7-коробками. Не хотят, понимаешь, переходить на ЦРУшный Win10. Вот и запустили вирус который вынудит его закупить и поставить. Нас не проведёшь.

Тоже заметил, что вирусяка в первую очередь бьет по компам с нелицензионной ОС Виновс. Как говорится, уши фотографа прям торчат!


Кому: yozhin, #36

>Ну и для того, чтобы народ это не делал, похоже, этот вирус и слепили.

Ага, в марте прошло обновление, а в мае все кто не обновился получили вирус.

Была у братвы в 90-х такая штука как "двоечка". Это когда к отказавшемуся платить "за охрану" коммерсу внезапно заглядывали в гости какие-нибудь беспредельщики со стороны. Имхо весьма похоже!


Фёдор Рюмин
отправлено 15.05.17 09:58 # 49


Кому: OldKnight, #40

> Давно уже ни разу не админ, но до сих пор не очень понимаю для чего ставить на сервак, смотрящий в Сеть, форточку, хоть какую.

как же с эксченджем?


Иосиф Борода
отправлено 15.05.17 09:59 # 50


Кому: OldKnight, #40

> Давно уже ни разу не админ, но до сих пор не очень понимаю для чего ставить на сервак, смотрящий в Сеть, форточку, хоть какую.
>

Например ПО для твоего производства - только под винду. Или используешь терминальный сервер, на котором работают N пользователей. Другое дело, что для таких дел нормальная практика - это подключение через VPN, а не напрямую. Но тут уже писали, что оно работает и через локалку, используя эксплоит. То бишь твой сервер может быть и не открыт наружу, а его заразит кто-то из юеров, открывших аттач, после чего оно начёнт трудиться, сканировать соседние компы и заражая их через дыру, если апдейт не поставлен ещё.

"Неплохой" вирус. Управляющие серверы, системы обновления, отключения (была), размножение через эксплоит. Не на коленке написано.


dime
отправлено 15.05.17 09:59 # 51


Кому: Merlin, #24

> Для ХР и так уже два года не делают обновлений.

От именно этой заразы обновление M$, таки, выпустили (ссылки под спойлером)
https://forum.kasperskyclub.ru/index.php?showtopic=55543


warmount
отправлено 15.05.17 10:07 # 52


Кому: Merlin, #3

Конечно, конечно. А что ж они wsus-ом не подтягивались?
И ничего что там даже атач открывать не надо?


nikolkas_spb
отправлено 15.05.17 10:14 # 53


Кому: Forgotten, #48

> P.S. Кстати с внедрением СЭДа документооборот не упростился, а наоборот, в два раза вырос - теперь одна и таже бумажка по конторе в двух выриантах ходит - в электронном и в бумажном оригинале.

А уж с ЭЦП сколько секаса!
Работает только в очень вменяемых коллективах, при наличии сканеров и крайне толковых делопроизводителей.

Кому: Иосиф Борода, #50

> Не на коленке написано.

А сколько еще в загашниках осталось!


7-40
отправлено 15.05.17 10:20 # 54


Кому: OldKnight, #40

> Вирус этот, вроде бы, для вымогательства бабла, а не чтобы кому-то поднасрать.

Одно от другого не страхует же.


Scald
отправлено 15.05.17 10:20 # 55


Кому: Forgotten, #48

> Тоже заметил, что вирусяка в первую очередь бьет по компам с нелицензионной ОС Виновс. Как говорится, уши фотографа прям торчат!

Почему обязательно с нелицензионной? Многих людей вполне устраивают более чем лицензионные коробки с XP и Win7. То чем они пользуются в своей деятельности и так работает и менять это всё на хер пойми что с телефонным интерфейсом с наркоманской кислотной, выедающей глаза и психику, расцветкой, многие не хотят. Тем более ещё за это и платить.


JetWing
отправлено 15.05.17 10:33 # 56


Кому: DeepOne, #27

> Перестраховался пока так: Одна из ежедневных копий - на запароленный FTP в локалке (на NAS-е). Имя-пароль хранятся где-то в недрах программы, выполняющей бэкап. То есть, (в отличие от сетевых дисков) криптор просто не найдёт эту копию.

Там речь шла о детекте процеса делающего копии и прозрачной шифрации копируемых файлов при следующем бекапе.


JetWing
отправлено 15.05.17 10:36 # 57


Кому: vice_versa, #31

> местами да, белые ипы, прям на петровке 38, лично сам видел 7 штук прямо в компы.
>
> Это для меня программиста жесть уже какая то, а что скажет Админ сюда писать нельзя.

админ скажет, что там до этих "белых" айпи может файрвол с ips стоят. :)


lema
отправлено 15.05.17 10:46 # 58


Чё-то ни фига не понятно, вот страница на упомянутое обновление мелкософта:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
А там кучи вариантов для каждой оси, если выбираешь какой либо, то попадаешь на страницу где ещё куча вариантов. Что именно ставить так и не ясно.


Фёдор Рюмин
отправлено 15.05.17 10:49 # 59


Кому: warmount, #52

> И ничего что там даже атач открывать не надо?

как по твоему вирусня попадет на первый комп в сети?


NT45
отправлено 15.05.17 10:49 # 60


> Сейчас злодей поменяет домен, и всё снова наладится

Один из злодеев, если быть точным. Потому что злодеи, в случае с этим вирусом-шифровальщиком, находятся в трёх разных местах.

1. АНБ, создавшее вирус и позволившее его у себя похитить.

2. Майкрософт со своими мутными обновлениями, которые многие юзеры вынуждены держать отключенными, чтобы не пускать в систему ненужный шлак вроде телеметрии.

3. И собственно сам злодей, решивший срубить деньжат на дырявых Windows.

Без косяков у первых двух не было бы и третьего.


JetWing
отправлено 15.05.17 11:11 # 61


Кому: lema, #58

> Чё-то ни фига не понятно, вот страница на упомянутое обновление мелкософта:
> https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
> А там кучи вариантов для каждой оси, если выбираешь какой либо, то попадаешь на страницу где ещё куча вариантов. Что именно ставить так и не ясно.

Выбирай и там и там свою версию. Если у тебя не экзотика какаянибудь, то после версии выбор сводится к 32-х и 64-х битным вариантам.


лёхаДВ
отправлено 15.05.17 11:14 # 62


Кому: Merlin, #3

> тупых юзеров учить не открывать аттачменты в подозрительных письмах.

Когда у меня на фирме бухгалтер запустила файл из приаттаченнго двойного архива в письме где были только англ буквы и адрес отправителя ей не знаком, я спросил её : зачем?. Она ответила: ну интересно же что там!


NT45
отправлено 15.05.17 11:14 # 63


Кому: Фёдор Рюмин, #59

> как по твоему вирусня попадет на первый комп в сети?
>

Шифровальщики обычно проникают в компы при помощи социальной инженерии.
Самому время от времени приходят письма с вложениями, сопровождаемые комментариями, типа "из налоговой", "суда" и т.п.
Но если мне не надо долго думать, что делать с такими письмами, то, например, бухгалтеру в какой-то конторе будет трудно удержаться, чтобы не открыть прицепленный файл.
Кроме того, на кону у организации, компьютеры которой оказываются заблокированными, будет куда больше, чем у такого, как я, который давно сохранил всё ценное для себя в облаке и/или на внешних носителях, поэтому может спокойно удалить зашифрованные файлы, продолжив полёт.

Вот поэтому пострадавшие организации обычно платят выкуп, долго не думая.

P.S.
Недавно был Разведопрос с создателем "Акрониса". И там он (забыл фамилию) упомянул, что появились даже сайты, где всем желающим срубить по-лёгкому денег даются разъяснения, как создавать вирусы-шифровальщики, как их рассылать и т.п.

Ну а в данном случае невольным консультантом выступило АНБ, отсюда и размер последствий.


JetWing
отправлено 15.05.17 11:23 # 64


Проникать может и через неизвестные дырки в браузерах. То, что при всей шумихе пока не нашли ни одного "письма счастья" говорит в пользу этой версии. И это гораздо хуже.


lema
отправлено 15.05.17 11:24 # 65


Кому: JetWing, #61

> Выбирай и там и там свою версию. Если у тебя не экзотика какаянибудь, то после версии выбор сводится к 32-х и 64-х битным вариантам.
>

Выбор свёлся к двум обновлениям kb4012212 и kb4012215 оба для win7 64bit - вот оба ставится или какое-то одно?
по описаниям будто бы одна и та же хрень
https://support.microsoft.com/ru-ru/help/4009975/windows-7-sp1-windows-server-2008-r2-sp1-update-kb4...
https://support.microsoft.com/ru-ru/help/4011466/windows-7-sp1-windows-server-2008-r2-sp1-update-kb4...


Фёдор Рюмин
отправлено 15.05.17 11:26 # 66


Кому: NT45, #63

я то понимаю как


JetWing
отправлено 15.05.17 11:32 # 67


Кому: lema, #65

Там дальше по описаниям следует, что в 4012215 дополнительно включено обновление MS17-006 Security update for Internet Explorer.


Бешеный Белок
отправлено 15.05.17 12:00 # 68


Кому: lema, #65

Я ставил все.


Nikolaevna
отправлено 15.05.17 12:02 # 69


Был или есть вирус Пенетратор. Заразил редакционные компьютеры. Обидно заразил. Заместитель с краснеющем от смущения лицом, сообщила, что все тексты написаны матом в абзац а фотки стали белым фоном с красным крестиком. Было дело в девятом году, поставили на машинки Линукс и возрадовались скоростью и без переустановки (винду приходилось каждые два месяца переустанавливать). В типографиях когда слышали, что верстаем в линукс отворачивались и принимали файлы молча, печатали без проблем, возможно были единственными собирающие газету в альтернативе. Согласна с вышесказанным, что и на/для линуксов вирусы пишут, но пока не рентабельно будем в этой среде. В десятом году или раньше Путин подписал указ о переходе на отечественную операционную систему, которую должны были чиновники поставить до 13-15 года. Альтлинукс получил на разработку 110 мл. И казалось бы и указ есть и разработчики а чиновники не торопятся.


Secr
отправлено 15.05.17 12:02 # 70


Кому: Forgotten, #48

> P.S. Кстати с внедрением СЭДа документооборот не упростился, а наоборот, в два раза вырос - теперь одна и таже бумажка по конторе в двух выриантах ходит - в электронном и в бумажном оригинале.

Да, дурости на местах полным полно. Мой опыт показывает, что за бумагу цепляются в тех организациях, где есть упорное не желание пользоваться всеми возможностями СЭД.

Кому: NT45, #63

> амому время от времени приходят письма с вложениями, сопровождаемые комментариями, типа "из налоговой", "суда" и т.п.
> Но если мне не надо долго думать, что делать с такими письмами, то, например, бухгалтеру в какой-то конторе будет трудно удержаться, чтобы не открыть прицепленный файл.

Ну, ваапче-то, по электронке из подобных госструктур приходят письма крайне редко, особенно архивные файлы. Но увы, есть узкий круг ограниченных людей, которые открывают все письма и все вложения.


gnober
отправлено 15.05.17 12:15 # 71


Говорят мошенники не поменяли домен, а просто убрали
"заход" на него из кода вируса.

Ну как так, госструктуры не обновляют ОС...безобразие.
Я каждый второй вторник месяца "как штык" обновляюсь.


ZebraTLP
отправлено 15.05.17 12:17 # 72


Кому: Forgotten, #48

> Тоже заметил, что вирусяка в первую очередь бьет по компам с нелицензионной ОС Виновс. Как говорится, уши фотографа прям торчат!

После ряда обнов доставлявших много неприятностей владельцам нелицензионной винды, почти на всех пиратках службу автообновления сразу отключают. Да и процесс обновления местами ужасно кривой. Некоторым знакомым прозе один раз отключить, чем постоянно .Net FW руками устанавливать.


Sweet Death
отправлено 15.05.17 12:30 # 73


Кому: hmur, #46

> Под эту дрянь даже под XP выпустили обновление.

А вот что-то не видно. Поискал - не вижу.
Под висту - есть.
Линк не покажешь?


NT45
отправлено 15.05.17 12:52 # 74


Кому: hmur, #46

> Под эту дрянь даже под XP выпустили обновление.
>

Интересно, эти апдейты становятся на все оси или только на лицензионные? Если на пиратки они не становятся, то впору задуматься, а не месть ли это со стороны мелких всем тем, кто не хочет им платить? ))


Walet
отправлено 15.05.17 12:52 # 75


Кому: AlnZ, #7

> от у меня на ноуте как-то отвалилась установка обновления - ставит, перезагружает, и потом пишет "невозможно выполнить установку обновлений, выполняется откат изменений"

У меня также. Компания производитель ноута не выпустила для него дрова под десятку, поэтому та поставиться не может.


JetWing
отправлено 15.05.17 13:16 # 76


Все патчи

https://www.microsoft.com/en-us/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Wan...

и [What to do now]

ставятся и на нелицензионные.


Иосиф Борода
отправлено 15.05.17 13:40 # 77


Кому: nikolkas_spb, #53

> А сколько еще в загашниках осталось!

Ну тут хз. Настолько крупные незакрытые эксплоиты не так часто встречаются.

Для меня тут сильно интереснее другое. Вот у АНБ (говорят) - хранилась инфа об этих дырах. А они об ней почему-то в Майкрософт не писали. А потом ещё и прощёлкали.

Вот интересно, в демократических США нельзя ли майкрософтам подать в суд на АНБ...


NT45
отправлено 15.05.17 13:40 # 78


Кому: Nikolaevna, #69

> В десятом году или раньше Путин подписал указ о переходе на отечественную операционную систему, которую должны были чиновники поставить до 13-15 года. Альтлинукс получил на разработку 110 мл. И казалось бы и указ есть и разработчики а чиновники не торопятся.

Чиновникам незачем торопиться, представительство Майкрософт в России в первую очередь для того и присутствует, чтобы чиновники саботировали подобные указы, а уж потом для поддержки пользователей своей продукции; уж не знаю, в чём эта поддержка выражается, наверное, в преследовании директоров российских школ, которые из-за нехватки средств установили на школьных компах ПО Майкрософта, на поверку оказавшееся пиратским.


NT45
отправлено 15.05.17 13:40 # 79


Кому: Secr, #70

> Ну, ваапче-то, по электронке из подобных госструктур приходят письма крайне редко, особенно архивные файлы. Но увы, есть узкий круг ограниченных людей, которые открывают все письма и все вложения.

Узкий ли этот круг? Судя по тому, сколько встречаю криков о помощи на некоторых ресурсах, а также по высокому уровню популярности такого... хм... ремесла, таких любопытных полно.

Каждому такому потенциально любопытному и одновременно безответственному, нужно приводить сравнение, которое я много лет назад прочёл в одном компьютерном журнале и оно меня тогда убедило:

"Если открыв ваш обычный почтовый ящик в подъезде, вы увидите, что кто-то бросил туда конфету в обёртке, вы станете её разворачивать и есть или выбросите? Вот так же вы должны относиться к подобным мэйлам с вложениями."

То есть, такой довод должен действовать даже на блондинок, не говоря уже про шатенок и рыженьких. ))


gnober
отправлено 15.05.17 13:40 # 80


Кому: Sweet Death, #73

> Кому: hmur, #46
>
> > Под эту дрянь даже под XP выпустили обновление.
>
> А вот что-то не видно. Поискал - не вижу.
> Под висту - есть.
> Линк не покажешь?

Выложил коротенький текстовый файл с линками для разных ОС (XP там тоже есть)

http://www117.zippyshare.com/v/1HB25Z6c/file.html


NT45
отправлено 15.05.17 13:40 # 81




hmur
отправлено 15.05.17 13:40 # 82


Кому: Sweet Death, #73

> А вот что-то не видно. Поискал - не вижу.
> Под висту - есть.
> Линк не покажешь?

http://www.catalog.update.microsoft.com/search.aspx?q=4012598


BSM
отправлено 15.05.17 13:40 # 83


Кому: Sweet Death, #73

> А вот что-то не видно. Поискал - не вижу.
> Под висту - есть.
> Линк не покажешь?

indows XP SP3

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9e...

Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_...

Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_...

Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_...

Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86...

Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64...

Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86...

Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64...

Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64...

Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia6...

Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86...

Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64...

Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86...

Windows 8.1 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64...

Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x8...

Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x6...

Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x8...

Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x6...

Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x8...

Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x6...


hmur
отправлено 15.05.17 13:40 # 84


Кому: NT45, #74

> Интересно, эти апдейты становятся на все оси или только на лицензионные? Если на пиратки они не становятся, то впору задуматься, а не месть ли это со стороны мелких всем тем, кто не хочет им платить? ))

По лицензиям всё пучком,
"иные" , заметил по семёркам, падают в BSOD при перезагрузке - откат обновления.


hmur
отправлено 15.05.17 13:40 # 85




er.liu
отправлено 15.05.17 13:40 # 86


Так понимаю, Антивирусы дружно обосрались?


AlnZ
отправлено 15.05.17 13:40 # 87


Кому: Walet, #75

> У меня также. Компания производитель ноута не выпустила для него дрова под десятку, поэтому та поставиться не может.

Повторюсь. В моём случае обновления не ставились из-за проблем в самой Windows, драйвера были не при чем.
Выличил я это у себя через DISM.
Это я всё к тому, что иногда обновления на Windows перестают ставится сами по себе, и нужно "танцевать с бубном", что-б эту проблему решить.


yozhin
отправлено 15.05.17 13:40 # 88


в новостях пишут:
Владимир Путин в ходе пресс-конференции по итогам форума в Пекине заявил, что Россия не понесла существенного ущерба в результате недавней массированной кибератаки, по некоторым данным, затронувшей 150 стран.

«По-моему, руководство Microsoft об этом прямо заявило — сказали, что первичным источником этого вируса являются спецслужбы Соединённых Штатов. Россия здесь совершенно ни при чём», — подчеркнул Путин.


Sweet Death
отправлено 15.05.17 14:50 # 89


Кому: hmur, #85

Спасибо, а то там фиг найдешь!


DeepOne
отправлено 15.05.17 15:12 # 90


Кому: JetWing, #56

> Там речь шла о детекте процеса делающего копии и прозрачной шифрации копируемых файлов при следующем бекапе.

Ну, можно и так заморочиться (и, возможно, рано или поздно так и будет, раз обсуждали уже). Однако все существующие программы резервного копирования вряд ли затронет - думается, сначала будут бить по стандартным виндовозным плюс самым популярным альтернативам.

Кроме того, именно на этот случай бекапы хранятся месяц не переписываясь (ежедневно инкремент, раз в неделю полный). Так что в худшем случае запорет изменения последних 1-2 дней.


Фёдор Рюмин
отправлено 15.05.17 15:12 # 91


Кому: Иосиф Борода, #77

> Вот у АНБ (говорят) - хранилась инфа об этих дырах. А они об ней почему-то в Майкрософт не писали. А потом ещё и прощёлкали.

думаю, там было немного в обратном порядке письмо


nikolkas_spb
отправлено 15.05.17 15:12 # 92


Кому: er.liu, #86

> Так понимаю, Антивирусы дружно обосрались?

Это дыра в операционке, антивирусник не мог ее заметить. более глобальный уровень.


Фёдор Рюмин
отправлено 15.05.17 15:12 # 93


Кому: er.liu, #86

> Так понимаю, Антивирусы дружно обосрались?

они не защитят от дыры в ОС


Zebr
отправлено 15.05.17 15:12 # 94


Кому: Scald, #55

> Тем более ещё за это и платить.

Указать на ключевое слово во фразе, котрое и составляет суть подобных "акций"?
Неужели Microsoft на предложение купить у них пачку лицензий для организации, начнет отказываться и бесплатно вручит на свежее, с прожеланием обращаться еще в любой момент?


Basilevs
отправлено 15.05.17 15:12 # 95


Кому: ВоДелаТо, #18

> Неплохой удар по биткоинам. Появился повод конкретно предъявить им за соучастие в отмывании незаконно полученных средств.

У биткойна нет центрального сервера. А для отмывания денег их используют с самого начала - на том и поднялись. Особо прогремела история с переводами биткойном в ходе торговли наркотой.


hmur
отправлено 15.05.17 15:12 # 96


Кому: er.liu, #86

> Так понимаю, Антивирусы дружно обосрались?

Просто антивирусы уже давно не актуальны, сейчас только комплексные решения, а в данном случае ничего.
Незряж перед выходным сделано.


Basilevs
отправлено 15.05.17 15:12 # 97


Кому: er.liu, #86

> Так понимаю, Антивирусы дружно обосрались?

Многие люди экономят на антивирусах. Считают, что встроенного достаточно. Или бесплатного AVG какого-нибудь в лучшем случае.

Насколько хорошо могли ловить эту каку MaAffee и Касперский - не знаю. Такой статистики не видел.


Gost
отправлено 15.05.17 15:12 # 98


Кому: vice_versa, #31

> Это для меня программиста жесть уже какая то, а что скажет Админ сюда писать нельзя.

Ну вот я тогда был админом, почти 10 лет назад, не написал. :)
Ещё добавлю что в одной военной части интернет было нельзя, от чего ответственные сотрудники очень желали прицепить туда модем с могильным интернетом или ещё с чем :)
Когда я с этим всем сталкивался, не у первых не у вторых центрального управления или ещё какой службы обслуживания ИТ я не наблюдал.


Gost
отправлено 15.05.17 15:12 # 99


Кому: NT45, #78

> уж не знаю, в чём эта поддержка выражается, наверное, в преследовании директоров российских школ, которые из-за нехватки средств установили на школьных компах ПО Майкрософта, на поверку оказавшееся пиратским.

Этим занимается ирландский офис :)


tael
отправлено 15.05.17 15:12 # 100


Врут всё, ICANN fee забыли, настоящая цена домена $10.87



cтраницы: 1 | 2 | 3 всего: 241



Goblin EnterTorMent © | заслать письмо | цурюк