Wana decrypt0r 2.0

  • Автор темы Kam
  • Дата начала
K

Kam

Участник
Регистрация
22.09.2011
Сообщения
1 386
Реакции
9
Баллы
38
Будьте осторожны! Идёт масштабная атака на Windows ПК: троян Wana decrypt0r 2.0 поражает компьютеры через уязвимость нулевого дня в ядре Windows и шифрует все данные на жестком диске. После этого он выводит экран с инструкциями по переводу биткоинов на кошелек и требует выкуп в эквиваленте $300. Если не отправить деньги, то через какое-то время троян стирает все данные.Антивирус Avast зарегистрировал 57 тысяч заражений по всему миру. Для получения вируса достаточно выхода в интернет и наличия статического IP-адреса.
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
Будьте осторожны! Идёт масштабная атака на Windows ПК: троян Wana decrypt0r 2.0 поражает компьютеры через уязвимость нулевого дня в ядре Windows и шифрует все данные на жестком диске.

Что сказать, молодцы:) Атака, по сути, только на корпоративные сети :)
зы Если у кого такая беда случится, звоните мне в телефон. НО. Что бы такое НЕ случилось, звоните, пишите, пытайтесь любым способом со мной связаться.
ззы денег можно перечислить любый известным на сегодняшний день способом. Золотом тоже беру))
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 534
Реакции
919
Баллы
113
Уязвимость нулевого дня - это для которой разработчик еще не выпустил патч. Для этой уязвимости исправление вышло еще в марте.

Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
Уязвимость нулевого дня - это для которой разработчик еще не выпустил патч. Для этой уязвимости исправление вышло еще в марте.

Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.
Ты много знаешь хороших админов?)
 
Kenny

Kenny

Новичок
Регистрация
12.01.2006
Сообщения
5 855
Реакции
4
Баллы
0
Ну хз. мы закрыты по самые уши и утоплены в щи безопасностью.
и патч был роздан ещё в марте. и даже стоит везде.

почти. как пошла шумиха - проверили, есть небольшой % где не встал автоматом. поэтому вышли в поля и устраняем. пока не пришёл (и не придёт, уверен. но патч всё равно нужен).

по инфе с широких полей, попали РЖД, СК, МВД, Мегафон, Сбер и прочие крупнячки.
 
эрмак

эрмак

Участник
Регистрация
11.10.2009
Сообщения
5 239
Реакции
1
Баллы
38
Вообще, нужно гнать поганой метлой админа, который не закрыл 139 и 445 порты фаерволлом, и выставил непропатченную винду в сеть с белым ip-шником. Все места, где обитают такие админы, показывают сегодня в новостях.
Это норма. Так же как и не обновленные с момента инсталла оси, что линь что выньда на фирмах с многомиллионными оборотами. Так же как и отключеная политика сложности паролей в сети потому, что любимая секретарша шефа органически не может запомнить что то сложнее 1234 вместо пина на карте и 123456 вместо пароля везде. Не то что зеродеи или вандеи, тудей и фридей уязвимости работают годами из-за этого.
"Человек разумен. А толпа это склонный к панике тупой и опасный зверь" (с) Люди в черном, часть 1.
 
DarkLine

DarkLine

Активный участник
Регистрация
22.03.2011
Сообщения
12 628
Реакции
1 824
Баллы
113
По нашей сети вчера в двух регионах прилетело сие чудо. 6 точек были заражены, на компах стояла 7ка. Сегодня все вышли в поля, патчим где не прилетали обновы. Основной офис в Самаре тоже встал, все серваки проверяют на наличие уязвимостей.
 
external

external

Активный участник
Регистрация
26.05.2014
Сообщения
3 534
Реакции
919
Баллы
113
Ты много знаешь хороших админов?)

Знаю нескольких, у которых центос и нет особых проблем))) Хотя, хартблид в свое время тоже наделал шуму.
Но это не сравнится с виндузятниками, которые выставят наружу 3389-й порт со словарным паролем, и надеются, что это никто не заметит.
 
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
evn

evn

LPD: Земля
Регистрация
27.07.2005
Сообщения
28 585
Реакции
189
Баллы
63
Есть мнение что помогает отключение SMB1, инструкция как это сделать:
https://support.microsoft.com/en-us...r-2008-r2,-windows-8,-and-windows-server-2012
Порты не проще\правильнее закрыть?)

Создайте любой текстовый файлик и пропишите в нем такие строки:

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name="Block_TCP-137"
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name="Block_TCP-138"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name="Block_TCP-5000"

Сохраните с расширением любое_название_файлика.bat или любое_название_файлика.cmd
и запустите его от имени администратора (правая клавиша мышки на файлике и запустить от имени администратора)
 
Nusferatus

Nusferatus

Super Moderator
Регистрация
01.12.2006
Сообщения
40 161
Реакции
179
Баллы
63
он не понимает о чем вообще речь. сопоставил новость и выдачу гугла))
Я прекрасно понимаю о чём речь и в отличии от тебя, могу подобный энкриптер сам написать, привязав его к какому-нибудь старому бэкдору, который уже не числится за давностью в современных бд антивирусов. Поэтому меня слегка удивляет подобный самопиар и попытки впарить общедоступную информацию. Патч от мелкомягких в обновления добавлен ещё вмарте
 
Последнее редактирование:
Nusferatus

Nusferatus

Super Moderator
Регистрация
01.12.2006
Сообщения
40 161
Реакции
179
Баллы
63
Любопытно, что эксплоит(а по факту из-за рукожопства мелкомягких - это бэкдор) который использует эта вирья для внедрения своего тела в компы, разработали в агенстве нац безопасности США.

Гы)) Обратите внимание на карту наибольших заражений

01-2.png
Карта в реальном времени
https://intel.malwaretech.com/WannaCrypt.html

Кстати сам эксплоит лежит в общем доступе на гитхабе (конкретно переносчик сабжа данной темы именуется ETERNALBLUE). Кулхацкеры впердё!
https://github.com/misterch0c/shadowbroker/

Есть мнение что помогает отключение SMB1, инструкция как это сделать:
https://support.microsoft.com/en-us...r-2008-r2,-windows-8,-and-windows-server-2012
А не SMBv2? Я не вникал, но вроде как в версии 2.0 косяк конвеерной отправки используется, а это появилось в SMBv2
 
Последнее редактирование:
Черный Лотос

Черный Лотос

Новичок
Регистрация
07.10.2009
Сообщения
2 401
Реакции
10
Баллы
0
Порты не проще\правильнее закрыть?)
Закрывать порты в брендмауере винды это как минимум должен быть второй шаг.
Сначала их нужно закрыть на маршрутизаторе/шлюзе.
 
Верх Низ