Wanna Decryptor или пятница, двенадцатое
Запись опубликовал Sandynist ·
5 479 просмотров
Намедни ездили забирать комплектующие к оргтехнике, у одного из поставщиков прямо на входе в их торговую точку подцепил себе на голову паучка.
Да, да! Самого настоящего! Во, говорю — новость какая-то будет, возможно что жуткая.
Собственно сама новость: http://tass.ru/mezhdunarodnaya-panorama/4248397
Вектор заражения неизвестен, но инфекция распространяется, используя уязвимости Samba, MS17-010 и CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE -2017-0147, CVE-2017-0148
Пруф.
Варламов нагнал жути ещё больше: http://varlamov.ru/2370148.html
Срочно установил майское накопительное обновление безопасности на домашний компьютер, залез на свой рабочий комп и также поставил все последние обновки. Жути меньше не стало, с ужасом жду завтрашнего дня (хорошо хоть суббота и день нерабочий), а ещё большей жути может случиться в понедельник 
Вот уже и Wired сподобился на статью, история набирает обороты: http://www.wired.co.uk/article/wanna-decryptor-ransomware
Больше всех пострадали медицинские учреждения Великобритании, думаю, что Коммерсант тут ничего не приукрасил. Это действительно ужасно и печально: https://www.kommersant.ru/doc/3296579
Лента похоже перепечатала выжимку новостей из блога Варламова, ничего нового: https://lenta.ru/news/2017/05/12/wannacry/
Наконец-то и телевидение подключилось )) http://www.vesti.ru/doc.html?id=2887397
Эдвард Сноуден допускает, что к созданию вируса причастны его бывшие коллеги: http://www.rbc.ru/politics/13/05/2017/59162eb09a79477ce4970991
На Лайфе даже организовали прямую трансляцию, что бывало лишь в случае террористических актов: https://life.ru/t/новости/1007301/khakierskiie_ataki_tiekstovaia_transliatsiia
UPD: 13 мая
Из семи компьютеров под Win 7 32 bit в организации, на которые сегодня утром ставил обновки, патч kb4012212 установился только на шесть, на одном не смог поставить ни в какую, пишет, что не подходит для этой операционной системы.
Появилось уже 9 разных языковых версий статьи об этом сетевом черве-шифровальщике в Википедии, в том числе — на украинском, испанском и китайском языке. На русском как всегда ничего нет.
UPD: 13 мая 15:00 по МСК
Наконец-то переводом с английского написали статью в энциклопедии про этот вирус: https://ru.wikipedia.org/wiki/WannaCry
Ещё одна прямая текстовая трансляция: https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka
Картинки с комнаты диспетчеров РЖД впечатляют.
Очень странная фигня — несмотря на то, что на домашнем и рабочем компьютерах все обновления от M$ были установлены автоматически, патчи от данной уязвимости при отдельной установке поставились без всяких возражений.
Но позвольте, господа из Майкрософта, если данный патч был уже ранее автоматически установлен в пакете накопительных обновлений безопасности системы, то разве устанавливаемый отдельно патч не должен был выругаться на мои действия и объявить, что его установка не требуется?
UPD:14 мая
СМИ пишут уже о 200 тыс. заразившихся шифровальщиком. Глава Европола предсказывает новую волну заражений утром в понедельник завтра, 15 мая: http://www.rbc.ru/rbcfreenews/59184d849a794780e849196a
Рецепт который поможет вам сохранить от шифровальщика свои любимые фото (бесплатно):
1) Берёте архиватор WinRAR (или бесплатный 7zip)
2) Архивируете им папку с фотографиями какого-либо события (желательно не пытаться сразу архивировать всю папку с фотографиями, это может занять продолжительное время), лучше брать папку с каким-то отдельным событием, например ДР вашего родственника
3) После архивирования на архиве удаляете расширение файла, то есть если у вас файл назывался Мои фотки.rar то у вас в итоге просто должно быть наименование файла Мои фотки без расширения
4) Для большей надёжности присваиваете этому файлу атрибут «Системный».
При очередном заражении вашей системы очередным очень крутым шифровальщиком радуетесь полученному эффекту:
1a) Удаляете антивирусом шифровальщик;
2a) Возвращаете назад расширение файла на .RAR (ибо вирус всё равно файлы без расширения не трогает)
3a) Радуетесь сохранённым изображениям ваших родственников, друзей и знакомых ))
Конечно более замороченно ходить в магазин, покупать лицензию на антивирус, изучать его рекомендации по настройкам, шариться потом по форумам в поисках решения проблем, которые вам создал антивирус и пр.
Если вы не готовы к таким подвигам, то мной предложенный способ по сохранению фотографий вам вполне может пригодиться.
UPD 16 мая:
Специалисты сразу нескольких антивирусных компаний заметили поразительное сходство в исходниках WannaCry и другой ранее печально известной продукции группировки Lazarus. Рейтерс как бы намекает: http://www.reuters.com/article/us-cyber-attack-idUSKCN18B0AC
UPD: 18 мая:
Пару слов о том, как в нашей отрасли отреагировали на эпидемию. Через три дня после начала эпидемии, то есть во вторник 15 мая, сверху прислали письмо абсолютно бездарное по содержанию, в котором предупреждалось об эпидемии шифровальщика и с предупреждением о том, что вирус распространяется через заражённые вложения в электронной почте.
Сегодня, то есть 18 мая, пришло письмо уже более содержательное по смыслу, с описанием уязвимости, отсылкой к бюллетеню безопасности от M$ и рекомендациями установить патчи, исправляющие данную уязвимость. С номером телефона открытой горячей линии, по которой можно получить информацию об эпидемии. Но в конце всё равно приписка, что мол эпидемия в локальной сети начинается после открытия заражённого вложения в электронном почте.
В общем не помогли вообще ничем. Секретарь конечно же всем это письмо разослала для ознакомления, правда из пользователей никто на него не прореагировал, так как уже и так все знали про эпидемию либо от меня, либо из прессы, либо из зомбоящика.
UPD: 23 мая
Спустя 10 дней после начала эпидемии сообщается, что эксплойт, который был использован при атаке — это только один из первых инструментов для взлома Windows. Их ещё как минимум семь. При самом печальном развитии событий придётся всё предприятие переводить на Linux (( http://www.securitylab.ru/news/486213.php
И UIWIX, и Adylkuzz – «цветочки» по сравнению с вредоносным ПО EternalRocks, которое использует сразу семь эксплоитов из арсенала АНБ, в прошлом месяце опубликованных The Shadow Brokers. Червь маскируется под WannaCry, однако не загружает на систему жертвы вымогательское ПО. С его помощью хакеры подготавливают «плацдарм» для дальнейших атак.
1 Комментарий
Рекомендуемые комментарии