1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
  2. Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Массовое заражение шифровальщиком WannaCryptor Массовое заражение шифровальщиком WannaCryptor

Тема в разделе "Троянское ПО, черви и другие вредоносы", создана пользователем x-sis, 12.05.2017.

  1. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Шифровальщик WannaCryptor (@WanaDecryptor@.exe) заражает компьютеры по всему миру. Зашифрованные файлы имеют расширение WNCRY, злоумышленники требуют заплатить выкуп в размере 300 долларов биткоинами за расшифровку.

    WanaDecryptor.png

    Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».

    Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 долларов биткоинами за расшифровку.

    Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:

    @WanaDecryptor@.exe, зашифрованы файлы, расширение WNCRY. Требуется утилита и инструкция по дешифровке.

    WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:

    .lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

    Атака WannaCry по всему миру

    Атаки зафиксированы в 74 странах. Россия, Украина и Индия испытывают наибольшие проблемы. Сообщения о заражении вирусом поступают из Великобритании, США, Китая, Испании, Италии. Отмечается, что атака хакеров затронула больницы и телекоммуникационные компании по всему миру. В интернете доступна Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста распространения угрозы WannaCrypt.

    WanaDecryptor_2.png

    Как происходит заражение

    Как рассказывают пользователи, вирус попадает на их компьютеры без каких-либо действий с их стороны и бесконтрольно распространяется в сетях. На форуме "Лаборатории Касперского" указывают, что даже включенный антивирус не гарантирует безопасности.

    Сообщается, что атака шифровальщика WannaCry (Wana Decryptor) происходит через уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик. Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen.

    Предположительно заражение произошло несколькими днями ранее, однако вирус проявил себя только после того, как зашифровал все файлы на компьютере.

    Как удалить WanaDecryptor

    Вы сможете удалить угрозу с помощью антивируса, большинство антивирусных программ уже обнаруживают угрозу. Распространенные определения:

    Avast Win32:WanaCry-A [Trj], AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Ransom:Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

    Однако, если вы уже запустили угрозу на комьютере и ваши файлы были зашифрованы, расшифровка файлов практически невозможна., так как при эксплуатации уязвимости запускается сетевой шифратор. Мы опубликуем решение по восстановлению файлов, если будет разработан работающий дешифратор.

    Рекомендации по защите

    Microsoft: Установите обновления Windows

    Microsoft заявила, что пользователи с бесплатным антивирусом компании и включенной функцией обновления системы Windows будут защищены от атак WannaCryptor.

    Обновления от 14 марта закрывают уязвимость систем, через которую распространяется троян-вымогатель. Сегодня было добавлено обнаружение в антивирусные базы Microsoft Security Essentials / Защитника Windows для защиты от новой вредоносной программы известной как Ransom:Win32.WannaCrypt.

    Общие рекомендации
    • Убедитесь, что антивирус включен и установлены последние обновления.
    • Установите бесплатный антивирус, если на компьютере нет никакой защиты.
    • Установите последние обновления системы в Центре обновления Windows:
      • Для Windows 7, 8.1 в меню Пуск откройте Панель управления > Центр обновления Windows и нажмите "Поиск обновлений".
      • Для Windows 10 перейдите в меню Параметры > Обновление и безопасность и нажмите "Проверка наличия обновлений".
    • Установите официальный патч Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста от Microsoft (для Windows 7 и выше) или KB4012598 (для Windows XP и других неподдерживаемых систем), который закрывает уязвимость сервера SMB, используемую в атаке шифровальщика WanaDecryptor.
    • Если в вашем антивирусе есть защита от шифровальщиков, включите ее.
    • Выполните антивирусное сканирование системы.
    Как закрыть порт 445

    Эксперты отмечают, что самый простой способ обезопасить себя от атаки — это закрыть порт 445.

    2017-05-13_1028.png
    • Запустите Командную строку (cmd.exe) от имени администратора
    • Введите sc stop lanmanserver и нажмите Enter
    • Введите sc config lanmanserver start=disabled и нажмите Enter
    • Перезагрузите компьютер
    • В командной строке введите netstat -n -a | findstr "LISTENING" | findstr ":445", чтобы убедиться, что порт отключен. Если будут пустые строчки, порт не прослушивается.
      Примечание: Порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.
    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    araneon, Black Angel, HADD-NEELS и 2 другим нравится это.
  2. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Альтернативные варианты:
    1. Выключить службу "Сервер";
    2. Закрыть аппаратным файерволлом 445 порт.
     
    araneon, Black Angel и x-sis нравится это.
  3. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Тем временем в городах России:

    LAuAYRC0kzc.jpg
     
    araneon, Black Angel, HADD-NEELS и ещё 1-му нравится это.
  4. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Symantec ещё со вчерашнего дня сначала проактивно, а потом и сигнатурно защищает пользователей своих продуктов.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    araneon, x-sis, Black Angel и ещё 1-му нравится это.
  5. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Что интересно на форуме kasperskyclub десятки сообщений с пропуском WannaCryptor, на форуме Dr.Web тишина. Даже не верится, но факт остается фактом.

    При этом сигнатура у Лаборатории Касперского, оказывается, есть: Kaspersky Trojan-Ransom.Win32.Wanna.d. Но их продукты "почему-то" (ибо у них другая задача на самом деле: шпионить и воровать) от этого вируса вчера никого не защитили и не защищают до сих пор. И даже верные холуи Лаборатории Касперского на форуме Лаборатории Касперского честно говорят, что работающий антивирус Касперского от заражения не спасает. В отличие от всех бесплатных западных и китайских антивирусов.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    araneon, x-sis, Black Angel и ещё 1-му нравится это.
  6. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Как следствие, все компании, госучреждения и предприятия утратили свои данные. А винить в этом Microsoft будет только тот антивирусный вендор, который бессилен и когда по сути сказать в своё оправдание более нечего.

    Можно долго верить красивым обложкам и улыбающимся рожам на них, и прожить всю жизнь в иллюзии защиты, а можно один раз обратить свой взор на практику и удостовериться в отсутствии качества защиты, раз и навсегда отказаться от этого бракодельства.
     
    araneon, Black Angel, ANDYBOND и ещё 1-му нравится это.
  7. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Первое сообщение темы приведено в актуальное состояние, вся важная информация из обсуждения там же была продублирована. На сегодняшний день для ряда операционных систем доступна ручная установка обновления Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста или патча KB4012598 (для Windows XP и других неподдерживаемых систем), которые исправляют проблему. На тех ОС, для которых ещё не был выпущен патч (ожидайте завтра, 14 мая, через Центр обновления Windows), в качестве временной и наиболее эффективной меры можно использовать закрытие 445 порта до завтрашнего дня (подробнее в первом сообщении темы).
     
    araneon, Black Angel, ANDYBOND и ещё 1-му нравится это.
  8. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    В дополнение с Geektimes:

    Ведется массовая атака криптором Wana decrypt0r 2.0

    В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"

    Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.

    [​IMG]
    A ransomware spreading in the lab at the university (Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста)

    Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.


    [​IMG]

    Связавшись с бывшими коллегами я был удивлен похожими исторями.

    Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

    Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.

    [​IMG]

    Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.

    И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".

    Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:
    Код:
    Host is up (0.017s latency).
    Not shown: 997 filtered ports
    PORT      STATE SERVICE
    135/tcp   open  msrpc
    445/tcp   open  microsoft-ds
    49154/tcp open  unknown
    Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
    ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.

    На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.

    Если у вас есть похожие случаи, поделитесь информацией о них.

    Несколько ссылок по теме:
    остальные ссылки смотрите в комментариях к этой новости

    Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:

    [​IMG]

    UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.

    Патчи для исправления этой уязвимости можно скачатать на официальном сайте:
    Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:
    Код:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
    Установить патчи при этом все равно рекомендуется

    UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:
    • Перейдите по Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
    • Откройте cmd.exe (командную строку)
    • Напишите:
      wmic qfe list | findstr 4012212
    • Нажмите Enter
    • Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
      Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
    • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
    • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста выше.
    Как выяснилось этот метод не на 100% рабочий и у каждого могут быть свои ньюансы.
    Если вы все же уверены что обновление безопасности у вас установлено, а в ответ вы по прежнему получаете пустую строку, попробуйте проверить обновление через журнал обновлений Windows или почитать комментарии к этой статье.

    UPD3: В интернете Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста интересные подробности по данному инциденту:

    Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
    Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
    В то время как набор эксплоитов уже неделю лежит в открытом доступе Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста с обучающими видео.
    В этом наборе есть опасный инструмент DoublePulsar.
    Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
    простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

    UPD4: Интерактивная карта заражения:

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    UPD5: Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста показывающее наглядное применение эксплойта:



    UPD6: Нашелся интересный изъян в коде:

    Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
    Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

    Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

    Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
    Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

    UPD7: Microsoft выпустил Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста (Windows XP и Windows Server 2003R2)

    UPD8: Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста с 2ch.hk

    У тех кто начал эту атаку есть

    Эксплойты слитые Shadow brokers

    Сканнер сети который они сами написали на C/Python
    Linux сервер​


    Как это работает?

    Скрипт сканнера запускается на Linux сервере
    Вбивается определенный IP диапазон или целая страна
    Скрипт сканирует диапазон на открытый 445 порт
    В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
    эксплойт закачивает файл и запускает его.


    UPD9: официальные прямые ссылки на этот патч для различных систем:​

    Код:
    Windows XP SP3
    http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
    
    Windows XP SP2 for x64
    http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
    
    Windows Server 2003 for x86
    http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
    
    Windows Server 2003 for x64
    http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
    
    Windows Vista x86 Service Pack 2
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    
    Windows Vista x64 Edition Service Pack 2
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    
    Windows Server 2008 for x86
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    
    Windows Server 2008 for x64
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    
    Windows Server 2008 R2 for x64
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    
    Windows Server 2008 R2 for Itanium
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
    
    Windows 7 for 32-bit Service Pack 1
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    
    Windows 7 for x64 Service Pack 1
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    
    Windows 8.1 for 32-bit
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
    
    Windows 8.1 for x64
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
    
    Windows 10 for 32-bit
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
    
    Windows 10 for x64
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
    
    Windows 10 Version 1511 for 32-bit
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
    
    Windows 10 Version 1511 for x64
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
    
    Windows 10 Version 1607 for 32-bit
    http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
    
    Windows 10 Version 1607 for x64
    http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

    UPD10: Появились версии шифровальщика игнорирующие killswitch метод описанный в UPD6.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    araneon, ANDYBOND, Black Angel и ещё 1-му нравится это.
  9. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Дошло даже до индивидуальных предупреждений со стороны провайдеров:

    domrualert.jpg
     
    Black Angel, araneon, HADD-NEELS и ещё 1-му нравится это.
  10. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Ещё одно решение, позволяющее избежать заражения – отключение протокола SMB:

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    или

    вариант отключения рассмотрен в самом низу этого поста
     
    ANDYBOND и HADD-NEELS нравится это.
  11. LeshenkoD2

    LeshenkoD2 Новичок Пользователь

    Регистрация:
    15.05.2017
    Сообщения:
    1
    Симпатии:
    2
    Лучшие ответы:
    0
    Пол:
    Мужской
    uqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
    sinkhole.tech - where the bots party hard and the researchers harder...
     
    ANDYBOND и x-sis нравится это.
  12. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Black Angel и ANDYBOND нравится это.
  13. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    WannaCry (WanaDecryptor): Технические детали заражения

    Шифровальщик WannaCry (WanaDecryptor) стремительными темпами распространяется по всему миру. Примечательно, что угроза использует украденные эксплойты Агентства национальной безопасности США.

    [​IMG]

    Атака WCry уже затронула огромное количество организаций и общественных учреждений по всему миру, включая испанского телекоммуникационного гиганта Telefonica и Национальную службу здравоохранения в Великобритании. Во всем мире зафиксировано несколько десятков тысяч случаев заражения.

    Исследователь безопасности команды MalwareTech создал Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста распространения угрозы WannaCrypt. Карта в режиме реального времени визуализирует количество инфекции WCry в мире, на данный момент уже превышена отметка в 200000 случаев заражения.

    Шифровальщик WannaCry: знакомство с угрозой

    Троян-вымогатель WCry, известный также как WNCry, WannaCry, WanaCrypt0r или Wana Decryptor (WanaDecryptor), первоначально был обнаружен в феврале 2017 года. Количество заражений увеличилось в марте, но до недавнего момента глобальных атак не было зафиксировано.

    Угроза написана на С++, и основная часть кода зловреда не является скрытой. Как и многие другие семейства шифровальщиков, WanaDecryptor переименовывает зашифрованные файлы, добавляя расширение .WNCRY.

    После заражения системы, троян-шифровальщик показывает экран с требованием заплатить выкуп в размере 300 долларов биткоинами.
    В отличие от многих шифровальщиков, которые нацелены на определенную региональную зону, WCry атакует системы по всему мире. Авторы вредоносной программы создали локализованные сообщения для более 2 десятков языков:

    Болгарский, Китайский (упрощенный), Китайский (Традиционный), Хорватский, Чешский, Датский, Голландский, Английский, Филиппинский, Финский, Французский, Немецкий, Греческий, Индонезийский, Итальянский, Японский, Корейский, Латвийский, Норвежский, Польский, Португальский, Румынский, Русский, Словацкий, Испанский, Шведский, Турецкий, Вьетнамский.

    Пути заражения шифровальщиком WanaDecryptor

    На данный момент шифровальщик распространяется с помощью эксплойтов ETERNALBLUE Агентства национальной безопасности, к которым получила доступ группировка Shadow Brokers.
    ETERNALBLUE эксплуатирует уязвимость в протоколе Microsoft SMBv1 и позволяет киберпреступнику получить полный контроль над системой при условии, что:
    • На машине жертвы включен протокол SMBv1
    • Компьютер доступен из Интернета
    • На компьютере жертвы не установлен патч MS17-010, который был выпущен в марте 2017 года
      Кроме того, выясняется, что авторы вредоносной программы использует бэкдор DOUBLESPEAR, который обычно устанавливается с помощью эксплойта ETERNALBLUE и затем сохраняется в системе. Таким образом, если ваша система была ранее взломана посредством ETERNALBLUE, то велика вероятность, что система до сих пор остается уязвимой даже если уязвимость протокола SMBv1 была пропатчена.
      Сам исполняемый файл шифровальщика WannaCry представляет собой дроппер, который содержит различные компоненты шифратора в виде защищенного паролем архива ZIP. После запуска файлы распаковывает компоненту угрозы в каталог, в котором происходил запуск зловреда. Архим использует фиксированный пароль “WNcry@2ol7”. При детальном инспектировании архива ZIP можно обнаружить следующие файлы:
    • b.wnry – обои рабочего стола шифровальщика
    • c.wnry – файл конфигурации, содержащий адрес сервера C2, кошелек BitCoin и др.
    • r.wnry – текстовый комментарий
    • s.wnry – архив ZIP, содержащий клиент сети TOR
    • t.wnry – модуль шифрования файлов, зашифрованный с помощью собственного формата WanaCry. Может быть расшифрован с помощью закрытого ключа, встроенного в исполняемый файл шифровальщика
    • u.wnry – исполняемый файл дешифровальщика
    • Taskdl.exe – удаляет все временные файлы в процессе шифрования (.WNCRYT)
    • Taskse.exe – выполняет заданную программу во всех сеансах пользователя
    • msg\* – языковые пакеты (на данный момент доступно 28 языков)
    Кроме того, в процессе выполнения шифровальщик создает несколько дополнительных файлов:
    • 00000000.eky - ключ шифрования для файла t.wnry, в котором хранится фактический компонент шифрования файлов, используемый программой-вымогателем. Он зашифровывается с использованием открытого ключа, принадлежащего закрытому ключу, встроенному в WannaCry
    • 00000000.pky - открытый ключ, используемый программой-вымогателем для шифрования сгенерированных ключей AES, которые используются для шифрования файлов пользователя
    • 00000000.res - результаты сеанса связи C2
    Список всех изменений, внесенных вымогателем в зараженную систему, можно найти в разделе “Признаки заражения” ниже.

    Генерация ключа и шифрование

    Шифровальщик WCry использует комбинацию алгоритмов RSA и AES-128-CBC для шифрования данных жертвы. Для упрощения процесса шифрования используется Windows CryptoAPI для RSA, но с модифицированной реализацией шифрования AES.

    Интересно, что программа шифрования хранится в отдельном компоненте в файле t.wnry и сама зашифровывается с использованием того же метода, который используется шифровальщиком для шифрования пользовательских файлов. Это было сделано, чтобы усложнить анализ вредоносной программы. Модуль загружается в память с помощью модифицированного загрузчика и выполняется прямо из памяти, даже не будучи записанным на диск жертвы в незашифрованном виде.

    Когда WCry появляется в системе, он сначала импортирует жесткий ключ RSA, который используется для дешифрования компонента шифрования файлов, хранящегося в файле t.wnry. После этого троян-вымогатель генерирует новый закрытый ключ RSA. Этот ключ RSA затем передается на сервер управления вредоносной программой, а копия сгенерированного открытого ключа сохраняется в системе.

    Затем шифровальщик анализирует все доступные диски и сетевые ресурсы и выполняет поиск файлов с одним из следующих расширений:

    .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .ott, .sxw, .stw, .uot, .3ds, .max, .3dm, .ods, .ots, .sxc, .stc, .dif, .slk, .wb2, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .db, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cs, .cpp, .pas, .asm, .js, .cmd, .bat, .ps1, .vbs, .vb, .pl, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .rb, .java, .jar, .class, .sh, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .3gp, .mkv, .3g2, .flv, .wma, .mid, .m3u, .m4u, .djvu, .svg, .ai, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .7z, .gz, .tgz, .tar, .bak, .tbk, .bz2, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .602, .hwp, .snt, .onetoc2, .dwg, .pdf, .wk1, .wks, .123, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .c, .h

    После этого вредоносная программа создает новый 128-разрядный ключ AES для каждого найденного файла, который будет зашифрован с использованием открытого ключа RSA, сгенерированного ранее. Ключ AES с шифрованным RSA хранится в заголовке зашифрованного файла вместе с файлом-маркером "WANACRY!". Затем ключ AES используется для шифрования содержимого файла.
    К сожалению, в случае с WCry, нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному шифровальщиком. Поэтому маловероятно, что бесплатный инструмент дешифрования будет доступен для жертв угрозы.

    Как защититься от WanaDecryptor?


    В качестве экстренной меры профилактики заражения убедитесь, что на компьютерах и серверах Windows установлены последние обновления безопасности. Учитывая масштабы атаки, Microsoft даже предприняла неожиданный шаг и выпустила обновления безопасности для “неподдерживаемых систем”, в частности для Windows XP и Windows Server 2003.
    Лучше защитой от заражения остается надежная и продуманная стратегия резервного копирования. Единственный способ вернуть доступ к файлам - это заплатить выкуп киберпреступникам или восстановить резервную копию. Также убедитесь, что в системе установлены критические обновления системы, которые помогают серьезно улучшить общую безопасность системы. В частности, уязвимость SMBv1, которую эксплуатирует ETERNALBLUE, была исправлена патчем, который вышел два месяца назад.

    Признаки заражения

    Реестр
    • HKLM\SOFTWARE\WanaCrypt0r
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “” <каталог шифровальщика>\tasksche.exe””
    • HKLM\SOFTWARE\WanaCrypt0r\wd: “<каталог шифровальщика>”
    • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg”
    • HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<каталог шифровальщика>\@WanaDecryptor@.bmp”
    Файловая система
    • @Please_Read_Me@.txt – размещен во всех папках с зашифрованными файлами
    • @WanaDecryptor@.exe.lnk – размещен во всех папках с зашифрованными файлами
    • %DESKTOP%\@WanaDecryptor@.bmp
    • %DESKTOP%\@WanaDecryptor@.exe
    • %APPDATA%\tor\cached-certs
    • %APPDATA%\tor\cached-microdesc-consensus
    • %APPDATA%\tor\cached-microdescs.new
    • %APPDATA%\tor\lock
    • %APPDATA%\tor\state
    • <каталог шифровальщика>{PAGE_TEXT}000000.eky
    • <каталог шифровальщика>{PAGE_TEXT}000000.pky
    • <каталог шифровальщика>{PAGE_TEXT}000000.res
    • <каталог шифровальщика>\@WanaDecryptor@.bmp
    • <каталог шифровальщика>\@WanaDecryptor@.exe
    • <каталог шифровальщика>\b.wnry
    • <каталог шифровальщика>\c.wnry
    • <каталог шифровальщика>\f.wnry
    • <каталог шифровальщика>\msg\m_bulgarian.wnry
    • <каталог шифровальщика>\msg\m_chinese (simplified).wnry
    • <каталог шифровальщика>\msg\m_chinese (traditional).wnry
    • <каталог шифровальщика>\msg\m_croatian.wnry
    • <каталог шифровальщика>\msg\m_czech.wnry
    • <каталог шифровальщика>\msg\m_danish.wnry
    • <каталог шифровальщика>\msg\m_dutch.wnry
    • <каталог шифровальщика>\msg\m_english.wnry
    • <каталог шифровальщика>\msg\m_filipino.wnry
    • <каталог шифровальщика>\msg\m_finnish.wnry
    • <каталог шифровальщика>\msg\m_french.wnry
    • <каталог шифровальщика>\msg\m_german.wnry
    • <каталог шифровальщика>\msg\m_greek.wnry
    • <каталог шифровальщика>\msg\m_indonesian.wnry
    • <каталог шифровальщика>\msg\m_italian.wnry
    • <каталог шифровальщика>\msg\m_japanese.wnry
    • <каталог шифровальщика>\msg\m_korean.wnry
    • <каталог шифровальщика>\msg\m_latvian.wnry
    • <каталог шифровальщика>\msg\m_norwegian.wnry
    • <каталог шифровальщика>\msg\m_polish.wnry
    • <каталог шифровальщика>\msg\m_portuguese.wnry
    • <каталог шифровальщика>\msg\m_romanian.wnry
    • <каталог шифровальщика>\msg\m_russian.wnry
    • <каталог шифровальщика>\msg\m_slovak.wnry
    • <каталог шифровальщика>\msg\m_spanish.wnry
    • <каталог шифровальщика>\msg\m_swedish.wnry
    • <каталог шифровальщика>\msg\m_turkish.wnry
    • <каталог шифровальщика>\msg\m_vietnamese.wnry
    • <каталог шифровальщика>\r.wnry
    • <каталог шифровальщика>\s.wnry
    • <каталог шифровальщика>\t.wnry
    • <каталог шифровальщика>\TaskData\Tor\libeay32.dll
    • <каталог шифровальщика>\TaskData\Tor\libevent-2-0-5.dll
    • <каталог шифровальщика>\TaskData\Tor\libevent_core-2-0-5.dll
    • <каталог шифровальщика>\TaskData\Tor\libevent_extra-2-0-5.dll
    • <каталог шифровальщика>\TaskData\Tor\libgcc_s_sjlj-1.dll
    • <каталог шифровальщика>\TaskData\Tor\libssp-0.dll
    • <каталог шифровальщика>\TaskData\Tor\ssleay32.dll
    • <каталог шифровальщика>\TaskData\Tor\taskhsvc.exe
    • <каталог шифровальщика>\TaskData\Tor\tor.exe
    • <каталог шифровальщика>\TaskData\Tor\zlib1.dll
    • <каталог шифровальщика>\taskdl.exe
    • <каталог шифровальщика>\taskse.exe
    • <каталог шифровальщика>\u.wnry
    • C:\@WanaDecryptor@.exe
    По материалам Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    ANDYBOND, HADD-NEELS и Black Angel нравится это.
  14. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Чтобы выключить службу "Сервер" в любой ОС, нужно пойти "Панель Управления"-"Администрирование"-"Службы"-"Сервер": выключить в свойствах службы и перезагрузить ОС.
     
    HADD-NEELS и x-sis нравится это.
  15. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Если кто использует и хочет обновить Windows 7 SP1 или Windows Server 2008 R2 SP1 до актуального состояния, но не хочет получить в довесок телеметрию и надоедливые предложения перейти на Windows 10, а также у кого нет достаточно скоростного Интернет-канала, или же нужно обновить несколько компьютеров, могут воспользоваться решением на такой случай: Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    При этом, если службы автообновления Windows и BITS выключены в Службах в свойствах, ОС всё равно нормально обновится.
     
    x-sis, Black Angel и HADD-NEELS нравится это.
  16. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Те, кто воспользовались предыдущей (от 20.04.2017) версией этого набора, своевременно получили патч в том числе против обсуждаемого здесь вируса.
     
    x-sis и Black Angel нравится это.
  17. Sergey92010
    Мужчина

    Sergey92010 Новичок Пользователь

    Регистрация:
    17.05.2017
    Сообщения:
    1
    Симпатии:
    2
    Лучшие ответы:
    0
    Пол:
    Мужской
    что делать если патч не устанавливается?
     
    x-sis и ANDYBOND нравится это.
  18. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    x-sis нравится это.
  19. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
    Одна из крупнейших атак вирусов-вымогателей в истории. Проверьте, как защитить себя от программы-вымогателя WannaCry.

    Массовая атака вируса-вымогателя распространилось по всему миру и охватила более 150 стран, включая Россию, Индию и Великобританию, сильнее всего затронуло Россию. Эта вирус-вымогатель WannaCry использует уязвимость Windows для заражения ПК до тех пор, пока жертвы подключаются к Интернету. После заражения все файлы будут заблокированы, и жертвы должны заплатить выкуп до установленного срока, чтобы восстановить контроль над компьютером.

    [​IMG]

    Эта атака началась в начале мая, и тысячи больниц, университетов и организаций были затронуты. Чиновники говорят, что эта атака еще не закончилась, и ситуация может быть еще хуже.

    1.Сразу обновите вашу систему ПК.

    Если ваш компьютер работает под управлением Windows, уточните, что ваша система обновлена до последней версии. Обновления безопасности были выпущены, чтобы исправить уязвимость, используемую вирус-вымогателем WannaCry. Microsoft даже предпринимает «весьма необычные» шаги для выпуска исправлений для более старых версий, таких как Windows XP, Windows 8 и Windows Server 2003.

    Необновленные ПК подвержены риску. Чтобы установить это обновление безопасности, вы можете использовать Центр обновления Windows для установки последних обновлений. Если вы являетесь пользователем 360 Total Security, вы можете найти «Уязвимости» в инструментах. Одним щелчком эта функция будет проверять и устанавливать важные доступные обновления системы.

    (Прямая загрузка обновления для системы безопасности для Windows XP, 8, 2003 :Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста).

    2.Сделайте резервную копию данных

    «WannaCry» и другие программы-вымогатели украли все ваши данные, пока выкуп не будет оплачен, чтобы разблокировать их. Регулярное резервное копирование ваших данных может сэкономить вам большую сумму денег, если ваш компьютер, к сожалению, заражен.

    Чтобы сохранить наиболее важные данные, вы можете использовать внешний жесткий диск, не подключенный к Интернету, чтобы онлайновые угрозы не могли нарушить ваши файлы. Другим хорошим вариантом является облачное хранилище, такое как Apple iCloud, Google Drive или Dropbox.

    Вы также можете использовать Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, приложение, специально разработанное для защиты ваших данных от атак типа ransomware. Этот инструмент сочетает в себе мониторинг вредоносных программ в реальном времени, автоматическое резервное копирование и встроенные инструменты дешифрования для обеспечения безопасности вашего ПК.

    А также: Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    3.Используйте антивирусную программу для предотвращения возможных атак.

    Антивирусная программа может эффективно предотвратить кибер-угрозы. Вирусам негде спрятаться, и вредоносная программа будет заблокирована вовремя, когда вы случайно загрузите ее с подозрительного сайта.

    360 Total Security предлагает блокировку программ-вымогателей, которая блокирует известные программы-вымогатели, а также помещает подозрительные программы, которые ведут поведение, подобное тому, что обычно делает вымогатель. Например, если программа сохраняет изменения ваших файлов за короткий период, 360 Total Security заблокирует их и отправит вам своевременное предупреждение.

    [​IMG]

    На данный момент для WannaCry нет инструмента дешифрования. Если вы несчастливо заражены, то в худшем случае вам, возможно, придется заплатить злоумышленникам за сохранение ваших данных. Мы не предлагаем этот сомнительный подход; Вместо этого вы можете немедленно отключить интернет-соединение и обратиться к специалистам по безопасности или подождать появления инструмента дешифрования. Чтобы этого не произошло, установите патчи безопасности и создайте резервные копии всех важных файлов СЕЙЧАС, чтобы защитить себя.

    Ссылки:

    1. Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    2. Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста

    3. Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста



    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    x-sis, HADD-NEELS и Black Angel нравится это.
  20. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    По данным официальной Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста Zemana:

    The following message was just sent by the WannaCry attackers to the infected clients. (Перевод: приведенное ниже сообщение (во всплывающем уведомлении) от авторов шифровальщика WannaCry пришло одному из пострадавших)

    [​IMG]
     
    Black Angel и ANDYBOND нравится это.
  21. Painfull

    Painfull Новичок Пользователь

    Регистрация:
    20.05.2017
    Сообщения:
    1
    Симпатии:
    1
    Лучшие ответы:
    0
    Пол:
    Мужской
    так какие же антивирусы смогли защитить во время первой атаки? где-то у Вас в видео был скрин с вирустотал первой модификации где не больше 10 вендоров определяли как вирус. просто задумался о покупке платной версии антивируса но судя по данной теме это только нортон и бесплатный китайский 360.
     
    ANDYBOND нравится это.
  22. ANDYBOND
    В гармонии

    ANDYBOND Совет Клуба Команда форума Администратор

    Регистрация:
    06.03.2014
    Сообщения:
    5.711
    Симпатии:
    10.139
    Лучшие ответы:
    9
    Пол:
    Мужской
    Адрес:
    Україна, Харків.
     
    лд, x-sis и HADD-NEELS нравится это.
  23. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    WannaCry on Linux?

     
    Black Angel и ANDYBOND нравится это.
  24. x-sis
    Бывалый

    x-sis Совет Клуба Команда форума Администратор

    Регистрация:
    26.02.2014
    Сообщения:
    5.595
    Симпатии:
    11.994
    Лучшие ответы:
    26
    Пол:
    Мужской
    Адрес:
    Россия
    Wannacry — икс-команда, на выезд

    [​IMG]

    Мы тут немного поработали ассенизаторами.

    Около 66% атак первой волны пришлось на российские сети. И здесь есть огромное заблуждение: почему-то все называют механизм поиска определённого домена killswitch'ем. Так вот, возможно, нет. В случае российских сетей госкомпаний, финансов и производств — это механика обхода песочниц. Основные песочницы на входе в защитный периметр имеют множество тестов. В частности, при запросе определённых сайтов изнутри песочницы они умеют отдавать, например, 200 ОК или 404. Если приходит подобный ответ, зловред мгновенно деактивируется — и таким образом проходит динамический анализатор кода. От статического анализа он защищён несколькими свертками сжатия-шифрования. Таким образом, это не killswitch, а одна из новых механик обхода песочниц.

    Об этом я тоже расскажу, но куда интереснее другой практический вопрос: какого чёрта полегло столько машин от троянца? Точнее, почему все вовремя не запатчились или не отключили SMB 1.0? Это же просто как два байта переслать, правда же?

    Выезды икс-команды

    Первые выезды были по факту заражения. Ситуация развивалась очень быстро, и мы опять вместо семейного отдыха получили тревогу. Но на этот раз весёлую. В пятницу начали обращаться заказчики — в субботу и воскресенье подключили команду и профильных специалистов по имеющимся у заказчика системам защиты, чтобы расследовать инциденты. Другие заказчики (кто ещё не заразился) начали обдумывать превентивные меры.

    Представьте себе банк, где в одном из филиалов оператор открыл письмо (напомню: отлично прошедшее песочницу на входе в DMZ). Дальше поражается, предположительно, весь сегмент сети. Админ сначала раскатывает филиал из бекапа, а потом сталкивается с тем, что не может проконтролировать распространение зловреда: «Я сносил машины пофилиально и разворачивал из вчерашних бекапов. Пришлось делать это дважды, второй раз открыв дополнительное техническое окно, чтобы снести весь сегмент сразу. Шесть минут после развертывания — и образ уже покоррапчен». Или: «Выявили признаки заражения вручную до апдейтов, накатили бекапы на заражённые машины. Утром проснулся один из выключенных на ночь аппаратных терминалов — и всё началось с самого начала». Очень многие сегменты обменивались по SMB с файловой шарой, которая входила в другие сегменты, включая критичные. В одной компании так погиб сегмент сети с рабочими графиками (включая логистику внутри производств). У админов, по сути, не было внятных инструментов поиска угрозы внутри периметра — нельзя было быстро однозначно сказать, какие машины и сегменты скомпрометированы.

    Сотрудникам начали отправлять массовые корпоративные рассылки «не открываем письма от непонятно кого, читаем только от тех, с кем вы ранее общались». На одном предприятии реально сработало — там архивы приходили, но никто из сотрудников их не открыл. Это дало время админу запатчиться на уровне сетевых правил.

    А дальше пошёл цирк. Выяснилось, что многие реагируют тяжело на такие события: кто-то не в курсе вообще, что делать, кто-то в отпуске. Очень много конфликтов ИБ и ИТ — нет точных процедур, например, механически это делает ИТ-инженер, а безопасник говорит: моя юрисдикция, решим на совещании в понедельник. Вариантов принципиально остановить распространение было три:

    1. Запретить SMB 1.0-трафик. Самый простой метод. Проблема номер раз в том, что он используется в прикладе (файлшары с источниками данных и обмен в крупных логистических сетях). Да, кое-где удалось перейти на свежие версии. Но это всё большие усилия, каждое их которых вполне может вызвать каскад падающих костылей на боевых системах. Но даже если просто попробовать закрыть SMB, уже возникают проблемы. Одна из наиболее ярких — обойти 150 устройств разных производителей, с разными прошивками, с разными консолями управления и прочее вручную, когда нет софта в управляющем центре сети. «Вручную» — это получая санкции безопасников на доступ к критичным настройкам для каждого устройства.

    [​IMG]
    Скриншот, как в мультивендорной каше из единой консоли накатать политику сразу на все устройства. Призван вызывать боль у тех, кто ходил руками.

    2. Обновить Win-машины. MS на удивление оперативно выпустила патчи для семейства систем. Напомню: SMB 1.0 поддерживается по умолчанию для обратной совместимости в том же 2012server. Средний срок накатывания такого патча в просвещённой Европе — месяц. В России в среднем — два. Почему? Потому что нельзя катить патч на боевую систему. Нужна полная её копия в тестовой среде, полный прогон теста, затем поиск техокна (в ночь с субботы на воскресенье, например) — и апдейт. В Европе тестовые среды на такие ситуации готовы. У нас — не всегда. Плюс встаёт вопрос сертификации — не все системы можно взять и обновить, они тут же потеряют сертификат. Российская госбезопасность бдит и не хочет, чтобы с патчем в наши критичные системы случайно попала закладка потенциального противника. То есть патч — отличный вариант на будущее, а что-то делать надо сейчас. Да, в паре случаев админы превентивно накатили патч без тестов на критичные системы производств (там не было вопроса сертификации). К счастью, ничего не упало, но безопасники чуть не развесили их внутренние органы по лесу. А если бы ещё и что-то упало — оба бы не выжили, мне кажется.

    3. Внедрить антивирусы на машины пользователей и обновить их. И даже если это сделать, зловред уже внутри периметра. Потоковые антивирусы против него не работают — дистрибутив поставляется пользователю в архиве, который он сам расшифровывает на рабочем месте. А песочницы зловред проходит благодаря крайне полезной для выживания фиче «killswitch».

    Итог — много где пришлось решать убиванием (изоляцией) сегментов сети или остановкой SMB с потерей части рабочих процессов.

    Там, где админы что-то накатывали, всегда делались бекапы инфраструктуры «до». Мы рекомендовали делать их на отдельную железку и отсекать её от основной сети — был один пример в не очень крупной компании, где файлы бекапа также оказались зашифрованными.

    Где остановили Wannacry почти сразу?
    1. В двух инсталляциях с микросегментацией сети, это где периметры DMZ — основной стройматериал сети. Вот Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, написанный до событий, он многое показывает. В таких сетях антивирус и системы обнаружения аномалий работают внутри гипервизора, плюс очень жёстко разграничены права. Никаких проблем, зловред разворачивается на одном АРМ — и никуда с него не уходит после.
    2. Было менее десятка случаев с хорошими песочницами и грамотно внедрёнными системами поиска сетевых аномалий. Зловред создаёт дерево событий — с одной машины прыгает на несколько следующих, они продолжают развитие. Это дерево на втором шаге отлично детектируется (UBA-решения и SIEM-решения). По тревоге изолируется в карантин весь сегмент (чаще всего филиал банка, например), дальше он вручную откатывается админом до момента заражения. Затем по сети запускается какой-нибудь MaxPatrol с обновлёнными настройками. Он же, кстати, потом будет проверять все машины на наличие этого патча и все узлы роутинга на непробиваемость SMB-пакетам зловреда.
    3. Зловред использовал Tor для загрузки пейлоада и получения команд. Некоторые системы защиты сети (в частности, NGFW) умеют детектирвовать Тор-трафик (точнее, определяют его с некоторой долей вероятности), поэтому признак «тор-соединение» послужил простейшей сигнатурой для изоляции машин сети.
    4. Красиво отработали админы в сетях с внедрённой форенсикой. Либо можно в момент тревоги точно перечиcлить все заражённые машины, видя каждую транзакцию, и откатить именно их, либо же смотрите предыдущий случай — это где форенсика и поиск сетевых аномалий связаны в систему.
    5. Что нас порадовало, было два очень зрелых в плане ИТ заказчика со специальными зонами для тестирования экстренных патчей. Один отреагировал за часы, второй — за полтора дня.

    Какие песочницы не пробивались?

    Совершенно точно хорошо отработали песочница и защита на конечных устройствах от Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста, песочница и защита на конечных устройствах от Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста. Скорее всего, их разработчики поднаторели в «гонке щита и меча».

    Дело в том, что с первых защитных песочниц зловреды пытаются определить режим гипервизора и реальность рабочей станции. Первый уровень — посмотреть на физическую адресацию памяти или попробовать получить особенности архитектуры процессора недокументированным методом. Гипервизоры поднялись чуть выше (точнее, ниже) к специальным аппаратным режимам Intel, когда такие фокусы перестали прокатывать. И заодно определили подобные действия как крайне подозрительные. Затем зловреды стали смотреть на реальную жизнь пользователя на рабочей станции. Предполагалось, что образ машины песочницы старый (нет недавно изменённых файлов), и все файлы датируются примерно одной датой. Песочницы стали выбирать случайного юзера и забирать его образ машины как тестовый, плюс определили такие действия по опросу файлов как подозрительные. Зловреды стали смотреть на последние запущенные приложения и время из работы. Ещё виток. Последнее (до опроса доменов) достижение человеческого разума — оценка хаотичности расположения иконок на рабочем столе. Если там срач — значит, живой юзер, можно разворачивать следующий слой.

    Что дальше?

    Дальше нужно для начала проводить инструктажи по ИБ среди персонала и вообще повышать компьютерную грамотность. Там, где письма не открывали, безопасники устраивали своего рода учебные тревоги, как для пожарной эвакуации. Как показывает практика, плоды это приносит. Процент открытия фишинговых писем снижается. При подозрительной активности пользователи сами звонят в ИТ-отдел. Кстати, там же, на предприятии, есть бабуля-бухгалтер, так вот она воспитывалась ещё при Сталине. Компьютерной грамотности никакой, но именно она одной из первых подняла тревогу. До этого, правда, она один раз вызвала полицию к инженеру, который не представился и начал что-то делать с её компьютером. Его повязали и держали до вечера (сам дурак, надо было зайти и представиться по правилам, показать бумагу).

    Нас ждёт больше NextGenFirewall, больше дорогущей форенсики — и для тех админов, которые готовы хапнуть кусок матанализа, — дешёвая, но сложная во внедрении микросегментация.

    Мы сейчас уже перешли из режима дежурства «все в готовности» и сна на диванчиках по разным уголкам страны к режиму «не бухать на выходных». После него последует режим обычного дежурства. Через пару месяцев, как все запатчатся.

    Пожалуйста, войдите или зарегистрируйтесь для просмотра скрытого текста
     
    ANDYBOND нравится это.

Поделиться этой страницей

Загрузка...