Перейти к содержанию

Sandynist — мой блог

  • записей
    76
  • комментариев
    417
  • просмотров
    469 300

Wanna Decryptor или пятница, двенадцатое


Sandynist

5 589 просмотров

Намедни ездили забирать комплектующие к оргтехнике, у одного из поставщиков прямо на входе в их торговую точку подцепил себе на голову паучка.

 

Да, да! Самого настоящего! Во, говорю — новость какая-то будет, возможно что жуткая.

 

Собственно сама новость: http://tass.ru/mezhdunarodnaya-panorama/4248397


Вектор заражения неизвестен, но инфекция распространяется, используя уязвимости Samba, MS17-010 и CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE -2017-0147, CVE-2017-0148

Пруф.

 


Варламов нагнал жути ещё больше: http://varlamov.ru/2370148.html

 

Срочно установил майское накопительное обновление безопасности на домашний компьютер, залез на свой рабочий комп и также поставил все последние обновки. Жути меньше не стало, с ужасом жду завтрашнего дня (хорошо хоть суббота и день нерабочий), а ещё большей жути может случиться в понедельник :)

 

Вот уже и Wired сподобился на статью, история набирает обороты: http://www.wired.co.uk/article/wanna-decryptor-ransomware

 

Больше всех пострадали медицинские учреждения Великобритании, думаю, что Коммерсант тут ничего не приукрасил. Это действительно ужасно и печально: https://www.kommersant.ru/doc/3296579

 

Лента похоже перепечатала выжимку новостей из блога Варламова, ничего нового: https://lenta.ru/news/2017/05/12/wannacry/

 

Наконец-то и телевидение подключилось )) http://www.vesti.ru/doc.html?id=2887397

 

Эдвард Сноуден допускает, что к созданию вируса причастны его бывшие коллеги: http://www.rbc.ru/politics/13/05/2017/59162eb09a79477ce4970991

 

На Лайфе даже организовали прямую трансляцию, что бывало лишь в случае террористических актов: https://life.ru/t/новости/1007301/khakierskiie_ataki_tiekstovaia_transliatsiia

 

UPD: 13 мая

 

Из семи компьютеров под Win 7 32 bit в организации, на которые сегодня утром ставил обновки, патч kb4012212 установился только на шесть, на одном не смог поставить ни в какую, пишет, что не подходит для этой операционной системы.

 

Появилось уже 9 разных языковых версий статьи об этом сетевом черве-шифровальщике в Википедии, в том числе — на украинском, испанском и китайском языке. На русском как всегда ничего нет.

 

UPD: 13 мая 15:00 по МСК
Наконец-то переводом с английского написали статью в энциклопедии про этот вирус: https://ru.wikipedia.org/wiki/WannaCry

 

Ещё одна прямая текстовая трансляция: https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka

 

Картинки с комнаты диспетчеров РЖД впечатляют.

 

Очень странная фигня — несмотря на то, что на домашнем и рабочем компьютерах все обновления от M$ были установлены автоматически, патчи от данной уязвимости при отдельной установке поставились без всяких возражений.

 

Но позвольте, господа из Майкрософта, если данный патч был уже ранее автоматически установлен в пакете накопительных обновлений безопасности системы, то разве устанавливаемый отдельно патч не должен был выругаться на мои действия и объявить, что его установка не требуется?

 

0_15b3aa_14999edc_M.jpg

 

0_15b3ab_e95c786_M.png

 

UPD:14 мая

 

СМИ пишут уже о 200 тыс. заразившихся шифровальщиком. Глава Европола предсказывает новую волну заражений утром в понедельник завтра, 15 мая: http://www.rbc.ru/rbcfreenews/59184d849a794780e849196a

 

Рецепт который поможет вам сохранить от шифровальщика свои любимые фото (бесплатно):

 

1) Берёте архиватор WinRAR (или бесплатный 7zip)
2) Архивируете им папку с фотографиями какого-либо события (желательно не пытаться сразу архивировать всю папку с фотографиями, это может занять продолжительное время), лучше брать папку с каким-то отдельным событием, например ДР вашего родственника
3) После архивирования на архиве удаляете расширение файла, то есть если у вас файл назывался Мои фотки.rar то у вас в итоге просто должно быть наименование файла Мои фотки без расширения

 

4) Для большей надёжности присваиваете этому файлу атрибут «Системный».

 

При очередном заражении вашей системы очередным очень крутым шифровальщиком радуетесь полученному эффекту:
1a) Удаляете антивирусом шифровальщик;
2a) Возвращаете назад расширение файла на .RAR (ибо вирус всё равно файлы без расширения не трогает)
3a) Радуетесь сохранённым изображениям ваших родственников, друзей и знакомых ))

 

Конечно более замороченно ходить в магазин, покупать лицензию на антивирус, изучать его рекомендации по настройкам, шариться потом по форумам в поисках решения проблем, которые вам создал антивирус и пр.

 

Если вы не готовы к таким подвигам, то мной предложенный способ по сохранению фотографий вам вполне может пригодиться.

 

UPD 16 мая:

 

Специалисты сразу нескольких антивирусных компаний заметили поразительное сходство в исходниках WannaCry и другой ранее печально известной продукции группировки Lazarus. Рейтерс как бы намекает: http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC

 

UPD: 18 мая:

 

Пару слов о том, как в нашей отрасли отреагировали на эпидемию. Через три дня после начала эпидемии, то есть во вторник 15 мая, сверху прислали письмо абсолютно бездарное по содержанию, в котором предупреждалось об эпидемии шифровальщика и с предупреждением о том, что вирус распространяется через заражённые вложения в электронной почте.

 

Сегодня, то есть 18 мая, пришло письмо уже более содержательное по смыслу, с описанием уязвимости, отсылкой к бюллетеню безопасности от M$ и рекомендациями установить патчи, исправляющие данную уязвимость. С номером телефона открытой горячей линии, по которой можно получить информацию об эпидемии. Но в конце всё равно приписка, что мол эпидемия в локальной сети начинается после открытия заражённого вложения в электронном почте.

 

В общем не помогли вообще ничем. Секретарь конечно же всем это письмо разослала для ознакомления, правда из пользователей никто на него не прореагировал, так как уже и так все знали про эпидемию либо от меня, либо из прессы, либо из зомбоящика.

 

0_15c16b_1ce35261_M.jpg

 

UPD: 23 мая

 

Спустя 10 дней после начала эпидемии сообщается, что эксплойт, который был использован при атаке — это только один из первых инструментов для взлома Windows. Их ещё как минимум семь. При самом печальном развитии событий придётся всё предприятие переводить на Linux (( http://www.securitylab.ru/news/486213.php

 

И UIWIX, и Adylkuzz – «цветочки» по сравнению с вредоносным ПО EternalRocks, которое использует сразу семь эксплоитов из арсенала АНБ, в прошлом месяце опубликованных The Shadow Brokers. Червь маскируется под WannaCry, однако не загружает на систему жертвы вымогательское ПО. С его помощью хакеры подготавливают «плацдарм» для дальнейших атак.

1 Комментарий


Рекомендуемые комментарии

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...