Author Topic: WannaCry и всё о крупнейшей всемирной вирусной кибератаке всего Интернета  (Read 20031 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Противодействие WannaCrypt

http://axl.spb.ru/%D0%BF%D1%80%D0%BE%D1%82%D0%B8%D0%B2%D0%BE%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B5-wannacrypt/

Как работает WannaCrypts, использует exploit
ETERNALBLUE https://habrahabr.ru/company/pentestit/blog/327490/

Противодействие:

— обновление MS17-010:
    Чтобы скачать локализованные версии для обновления безопасности для Windows XP, Windows 8 или Windows Server: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
    Обновление безопасности MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

— отключение SMBv1 https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

— блокировка открытого порта TCP 445

DOUBLEPULSAR exploit

Противодействие:

— обновление MS17-010:
    Чтобы скачать локализованные версии для обновления безопасности для Windows XP, Windows 8 или Windows Server: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
    Обновление безопасности MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

— отключение SMBv1 https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

— блокировка открытого порта TCP 445

Как может проникнуть:

— письмо с ссылкой на ресурсы
— принесли зараженный ноут, не увидели что он заражен.
— из других сетей которые в VPN

Первые меры:

— блокировка на всех рабочих ПК  портов 135,139,445 TCP, 137,138 UDP
— отключение SMBv1 — dism /online /norestart /disable-feature /featurename:SMB1Protocol
— установка обновления перезапуск ПК
Чтобы заблокировать порты нужно добавить правила и включить файрволл для всех типов сетей

— Сделать вручную
Netsh Advfirewall Firewall Add Rule name=»1.1 WanaCrypt0r 2.0 TCP» dir=in action=block description=»_WanaCrypt0r 2.0 TCP by AK» profile=any localport=135,139,445 protocol=tcp
Netsh Advfirewall Firewall Add Rule name=»1.2 WanaCrypt0r 2.0 UDP» dir=in action=block description=»_WanaCrypt0r 2.0 UDP by AK» profile=any localport=137,138 protocol=udp
— Через групповую политику

Возможные проблемы блокировки портов:

— нет удаленного доступа
— после обновления нужно снять блокировки
— возможно проблемы с работой домена

Обновления:

— установить вручную
— через WSUS

Возможные проблемы обновления:

— при установке сборника обновлений,  устанавливается еще IE обновление, которое сырое и нужно еще накатывать  For Windows   7:   KB4016446 https://support.microsoft.com/en-us/help/4016446/webpages-are-not-displayed-correctly-after-kb-4013073-for-internet-explorer-11-is-installed , For Windows 10:   KB4016635,  KB4016637
« Last Edit: May 15, 2017, 02:37:45 PM by cybermanchik »

REDACTED

  • Guest
Началась вторая волна WannaCry

15/05/2017 14:15

https://comments.ua/ht/582652-nachalas-vtoraya-volna-wannacry.html

Хакерский вирус WannaCry, ранее парализовавший компьютерные системы организаций и учреждений в более чем 150 странах мира, продолжил распространение в азиатских странах

По данным японской неправительственной организации JPCERT, предоставляющей поддержку в случае возникновения кибератак, новый удар хакеров пришелся на две тысячи компьютеров Японии, сообщает «Корреспондент.net».

При этом хакеры не атаковали правительственные учреждения Японии, но с вирусом столкнулись такие крупные компании, как Nissan Motor и Hitachi. В Nissan Motor заявили, что кибератака не нанесла большого урона.

В Корейском агентстве по безопасности и интернету также сообщили, что не менее пяти южнокорейских компаний зафиксировали атаки на свои системы. Среди них – крупнейшая в стране сеть кинотеатров страны CJ CGV.

В КНР от атаки хакеров пострадали «сотни тысяч» компьютеров в почти 30 тысячах университетах и других образовательных учреждениях. Также атака затронула компьютерные системы торговых и офисных центров, сети заправок, больниц, железнодорожных вокзалов, почтовой службы и ряда правительственных учреждений.

Как сообщалось, программа-вымогатель WannaCry заблокировала не менее 200 тысяч компьютеров в 150 странах. WannaCry шифрует файлы пользователя, после чего их становится невозможно использовать. Для разблокировки от жертв требуют 200-600 долларов выкупа, который следует перевести на указанные счета в биткоинах.

Отметим, создатели вируса-вымогателя WannaCry уже получили от своих жертв более 42 тысяч долларов.

REDACTED

  • Guest
Нашел случайно сайт интересного разработчика http://vrcp.ru/ipmscan.html

На его странице авторский софт и утилиты, причем сделан как сам сайт симпатично, так и программы аккуратные

Каждый может найти для себя что-то полезное
В контексте данной темы полезным будет эта утилита:

Утилита IPMScan v.5.3.4.2012.0

Я проверил эту утилиту на сайте https://virustotal.com, где можно закачать и проверить любой файл или ссылку на файл 64 антивирусами с обновляемыми базами (на 15.05.2017 15:05 по Москве)
Вот результат проверки и ссылка на результат: https://virustotal.com/ru/url/8ba05e47863d64fd3db9288b7c74ec8f096ecb3baedc6e20293cd45ec69b4fd1/analysis/1494849731/

Quote
URL-адрес:    http://vrcp.ru/pc/win/IPMScan.zip
Показатель выявления:    0 / 64 (т.е. не один из 64 антивирусов не обнаружил ничего подозрительного)
Дата анализа:    2017-05-15 12:02:11 UTC (0 минут назад)

Предназначена для настройки и тестирования IPv4-сетей, быстрого получения различной информации об узлах системы. Поможет определить сетевую безопасность выбранного узла или просто получить необходимые сведения о сети и её узлах. Включает в себя сканер сети (подсети), задаваемого диапазона, с целью выявления доступных рабочих IP-адресов (узлов) с быстрым определением их MAC-адресов, позволяет провести тестирование выбранного узла по известному IP-адресу, определить IP-адрес по известному MAC-адресу или NET-имени, вывести подробную информацию о ресурсах узла и некоторую другую дополнительную информацию, позволяет следить за соединениями и трафиком локального узла, проверить открытые порты выбранного узла. По результатам работы ведётся подробный LOG-журнал всех выполняемых действий.

Возможности:

- получение краткой информации о локальной системе и всех локальных подсетях;
  (хост, пользователь, группа, домен, ОС, тип ЦП, объём памяти, параметры экрана,
   сетевые интерфейсы, внешний IP-адрес и др.)
- сканирование любого диапазона IPv4 адресов с целью выявления доступных узлов;
- сканирование выбранного узла по его IP-адресу с целью поиска доступных ресурсов;
  (MAC-адрес, NET-имя, описание (комментарии), группа, домен, ОС, открытые папки,
   пользователи (учётные записи), TTL, задержка PING (ICMP), NetBios-имена, SID,
   статистика прохождения пакетов, и др.)
- сканирование (поиск) открытых TCP/UDP портов выбранного узла по его IP-адресу;
- определение IP-адреса узла по известному NET-имени или MAC-адресу;
- подключение к узлу по NetBIOS протоколу (по IP-адресу или NET-имени);
- подключение к узлу по HTTP/HTTPS протоколам (по IP-адресу или NET-имени);
- подключение к узлу по FTP/FTPS протоколам (по IP-адресу или NET-имени);
- подключение к узлу по TELNET протоколу (по IP-адресу или NET-имени);
- просмотр информации об узле по известному IP-адресу с помощью сервиса WhoIS;
- отправка тестового сообщения на выбранный узел (на IP-адрес);
- мониторинг сетевой активности (локальных сетевых процессов) по TCP/UDP портам;
- мониторинг статистики сетевых соединений по IP/TCP/UDP/ICMP (v4/v6) протоколам;
- просмотр таблицы локальных сетевых маршрутов;
- ведение подробного LOG'а всех выполняемых действий и получаемых результатов;
- мультиязычность интерфейса (русский и английский языки);
- автоматическое сохранение языка интерфейса и LOG'а утилиты;
- ручное сохранение и загрузка конфигурации утилиты.

IPMScanR.chm http://vrcp.ru/pc/win/IPMScanR.chm (подробное описание функциональных возможностей утилиты)
IPMScan.txt http://vrcp.ru/texts/IPMScan.txt (лог-файл, пример отчёта по результатам работы утилиты)
IPMScan.xml http://vrcp.ru/pad/IPMScan.xml (PAD-файл, Portable Application Description)
License.txt http://vrcp.ru/texts/ipmscan/License.txt (лицензионное соглашение)







http://vrcp.ru/pc/win/IPMScan.zip

Файл:    IPMScan.zip
Размер:    9.70 мб
Язык:    Русский, Английский
Тип:    Бесплатная (Freeware)
Автор:    © Dmitry Saltykov (ZXDemon)
Запуск:    Установка (Install & Uninstall)
ОС:    Microsoft Windows (x32/x64)
     95/98/Me/NT/2000/XP/2003/Vista/2008/7/8/8.1/2012/10*
HDD:    32 мб  (свободное место на диске)
ОЗУ:    48 мб  (свободная оперативная память)
DPI:    96 (100%), 120 (125%)
XYZ:    1024x720x24
Метки:    IP, TCP, UDP, IPX, SPX, MAC, NET, Port, Name, Scan, Test, Monitor, Traffic

P.s. Для тех кому хочется для коллекции иметь все утилиты с сайта есть хорошие программы, скачивающие весь сайт по ссылке (глубину скачивания сами указывается в настройках проекта, по умолчанию 3 подраздела), например давно известная программа Teleport Pro http://www.softportal.com/software-53-teleport-pro.html
« Last Edit: May 15, 2017, 02:21:53 PM by cybermanchik »

REDACTED

  • Guest
Немного юмора из России  :)

https://tjournal.ru/44325-putin-zayavil-ob-otsutstvii-sushestvennogo-usherba-dlya-rossii-ot-virusa-wannacry

15 мая 2017, 13:50 Сергей Звезда

Путин заявил об отсутствии существенного ущерба для России от вируса WannaCry

Владимир Путин во время визита в Китай прокомментировал последствия атаки вируса-вымогателя WannaCry, который парализовал деятельность компьютерных систем по всему миру. По словам президента, российские предприятия почти не пострадали от шифровщика, а источником угроз стали спецслужбы США.

Владимир Путин:
Quote
Что касается источника этих угроз, то, по-моему, руководство Microsoft об этом прямо заявило. Сказали о том, что первичным источником этого вируса являются спецслужбы Соединённых Штатов, Россия здесь совершенно ни при чём. Мне странно слышать в этих условиях что-то другое

Как заметил глава государства, атака практически не сказалась на деятельности российских предприятий. При этом ранее сообщалось, что 12 мая от вируса пострадали РЖД, МВД, Следственный комитет, Сбербанк, мобильные операторы и другие компании.

Владимир Путин:
Quote
Для нас существенного никакого ущерба не было, для наших учреждений — ни для банковских, ни для системы здравоохранения, ни для других. Но в целом это тревожно, здесь нет ничего хорошего, это вызывает озабоченность

Говоря о распространении вируса WannaCry, Путин упомянул высказывание президента Microsoft Брэда Смита о связи программы с работой американских спецслужб. Ранее глава IT-компании заявил, что уязвимости в системе Windows попали в руки злоумышленников после утечки данных из Агентства национальной безопасности и публикации сведений активистами WikiLeaks.

12 мая WannaCry заблокировал доступ не менее чем к 200 тысячам компьютеров в 150 странах, зашифровав файлы и потребовав выкуп в биткоинах. По предварительным данным, на кошельки злоумышленников поступило 42 тысячи долларов.

Комментарии пользователей:

Егор Лебедев 2 часа назад

Как говорят, наиболее серьезный ущерб причинен базе данных МВД.



Matt Miles 2 часа назад

Больницам и администрациям не будет нанесен никакой ущерб, если туда и не проводили интернет



Anzor Areshidze 2 часа назад


REDACTED

  • Guest
Может не совсем хорошо так делать, но вот еще ссылка на раздел форума по данной теме у конкурентов

Wanna Crypt https://forum.drweb.com/index.php?showtopic=327528&page=3

P.S. Если нарушаю правила удалю ссылку

Это того, чтобы ловить любые мысли по этой теме и поиски решений и быть в курсе последних событий

REDACTED

  • Guest
И все же я хочу прочитать мнение разработчиков антивирусника Аваст- антивирусник Аваст реагирует на попытку внедрения,запуска этого шифровальщика ?

REDACTED

  • Guest
Насколько мне известно, разработчики антивируса Аваст бывают только в англоязычном разделе форума.
https://blog.avast.com/ransomware-that-infected-telefonica-and-nhs-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today
цитата оттуда "Avast detects all known versions of WanaCrypt0r 2.0" - аваст обнаруживает все известные разновидности WanaCrypt0r 2.0. А неизвестные не обнаруживает.

REDACTED

  • Guest
И все же я хочу прочитать мнение разработчиков антивирусника Аваст- антивирусник Аваст реагирует на попытку внедрения,запуска этого шифровальщика ?
У меня всплыло сегодня уведомление в Авасте именно про WannaCry, что Аваст обнаруживает
Но модификаций может быть много
Говорится в инете что именно шифровальщиков в последние 2 года увеличилось во много раз
А ведь самый жесткий вирус
Ладно те что пакостят, доступа к жестяку прямого нет в винде
А вот сама возможность шифрования - это реальная дыра в Windows
Я не знаю что и как там в Windows 10, но пока я так понимаю прикрываются заплатками
Ну и еще запуск в песочницах самих броузеров как вариант гарантированный

А вот в винде с этим легким способ шифрования надо принципиально что-то делать, чтобы такой возможности не было вообще или доступ к такой возможности был сложен

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
У меня в avast! Internet Security стоит агрессивная защита.
Брандмауэр Windows включен на полную защиту системы.
А входящие и исходящие соединения настроены только для программ,которые при работе соединяются с интернетом.Все остальные не могут ни выйти и не войти в систему.
А для Защитника Windows я обновляю иногда в ручном режиме (пару раз в день) определения по ссылке
https://www.microsoft.com/security/portal/definitions/adl.aspx?wa=wsignin1.0
Пока тишина.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3545
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Окромя одной темы в нашей ветке с топикстартером, который и не ответил ничего в ней и нет никаких других. Не настораживает, что что-то тут не так?
www.belrus.net - Avast Distributor & AVG Distributor in Russia

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Окромя одной темы в нашей ветке с топикстартером, который и не ответил ничего в ней и нет никаких других. Не настораживает, что что-то тут не так?
Ага. 100%, что что-то не так... Либо с головой, либо с местом работы...
Quote from: cybermanchik
...наибольшее число атак зафиксированно именно в России.
...именно в России наблюдается наибольшее число атак на государственные учреждения.
...что именно Россия является основной целью...
...атаки на прочие страны - всего лишь отвлекающий маневр.
...истинная же цель - совсем иная. А именно - кибератаки на Россию.
...Шквал атак именно на российские компьютеры и сети и именно сейчас многие склонны связывать с грядущими президентскими выборами.
...другие страны атакованы для отвода глаз.
...выкачивают инфу для сливов под выборы в РФ...
...получили доступ к якобы разработанным АНБ программам...
...представляет собой модифицированную вредоносную программу Агентства национальной безопасности США...
...заявил экс-агент ЦРУ и АНБ Эдвард Сноуден...
...угрозы кибератак на Россию поступали из США в том самом 2016-м...
...проникших в энергосистему России..."системы командования Кремля"...
...секретного американского кибероружия...
...они готовы "нанести удар, если потребуется...
...хвосты по этому вирусы от АНБ или группы хакеров или самой Майкрософт, то подозревать даже Майкрософт можно...
...сколько бы Навальный ни монтировал «смишных» роликов...
...Путин заявил...
...Владимир Путин прокомментировал...
...заметил глава государства.
...Путин упомянул...

REDACTED

  • Guest
Окромя одной темы в нашей ветке с топикстартером, который и не ответил ничего в ней и нет никаких других. Не настораживает, что что-то тут не так?
Какие будут варианты насчет того что что-то тут не так ?

А что ответить надо было мне ? Я решил поднять эту тему и организовать тем более снова продолжение далее смотрим ...
« Last Edit: May 17, 2017, 05:43:43 PM by cybermanchik »

REDACTED

  • Guest
«Мир подвергся еще более опасной кибератаке, чем WannaCry»

https://regnum.ru/news/accidents/2276146.html

Вирус Adylkuzz скрытно добывает информацию, связанную с виртуальной валютой пользователя

Париж, 17 мая 2017, 17:07 — REGNUM

Мир подвергся еще одной широкомасштабная кибератаке, которая может значительно превзойти кибератаку WannaCry, зафиксированную на прошлой неделе, заявили эксперты в области кибербезопасности, 17 мая сообщает Agence France-Presse.

«Исследователи из Proofpoint обнаружили новую атаку, связанную с WannaCry под названием Adylkuzz», — заявил исследователь в области компьютерной безопасности Николас Годье.

Вместо требования выкупа и полного отключения зараженного компьютера путем шифрования данных Adylkuzz использует компьютеры, чтобы скрытно «добыть» информацию, связанную с виртуальной валютой пользователя, после чего деньги перечисляются на счета, подконтрольные разработчикам вируса.

В Proofpoint отметили, что потеря доступа к общим ресурсам Windows и ухудшение производительности ПК могут стать признаками того, что компьютер был заражен вирусом Adylkuzz.

«Поскольку атака является незаметной и не мешает пользователю, вирус Adylkuzz гораздо более выгоден для киберпреступников. Пользователи зараженных компьютеров становятся невольными спонсорами преступников», — заявил Годье.
Напомним, 12 мая в результате глобальной кибератаки WannaCry были заражены около 300 тыс. компьютеров в 150 странах мира. 16 мая в «Лаборатории Касперского» заявили, что к созданию вируса-вымогателя WannaCry могут быть причастны северокорейские хакеры из группировки Lazarus.

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3545
  • Дистрибьютор Avast и AVG
    • www.belrus.net
А как Ви думаете таки мне надо отвечать на свой вопгос али Вам надо вопгосом на вопгос обьязательно?

Неужели не видите ответа?
www.belrus.net - Avast Distributor & AVG Distributor in Russia

REDACTED

  • Guest
А как Ви думаете таки мне надо отвечать на свой вопгос али Вам надо вопгосом на вопгос обьязательно?

Неужели не видите ответа?

Хотя бы процитировали. Непонятно кому пишите
Я не работаю в Аваст, а Вы продаете продукты Аваст
Я выше описал для чего создал тему
А то что в ней не участвуют разработчики, так, а кто знает их коэффициент участия вообще на форуме
И может они русский плохо понимают и отвечают в английской или чешской части форума

Всё-таки надо не загадки писать, чтобы не растягивать переписку, а писать что конкретно кого интересует
А если разработчиков здесь нет это еще не о чём не говорит

Так на что я должен был ответить, если я в Аваст не работаю ?
Какие-то не вопросы, а ребусы загадки
« Last Edit: May 18, 2017, 11:05:19 AM by cybermanchik »