Знову вірус-шифрувальник на цей раз під покровом Приватбанку

[alexvvv]

до ХР оновлення випустили тільки після атаки вірусом?

[Lisovic]

Із коментів з хабра:

Цитувати

По поводу кнопки Decrypt информация уже есть. Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.

 

 

3 хвилин тому, alexvvv сказано:

до ХР оновлення випустили тільки після атаки вірусом?

Так

[8a8asik]

Думаю ранковий ріст пов'язаний з виходом працівників на свої робочі місця та увімкненняи пк.

[Zevs_Isver]

3 годин тому, Саня сказано:

Так власне в цьому й питання. Є сенс чекати чи казати хай прощається з фотками?

 

як є місце - нехай лежать,

завжи є маленький шанс на "помилку в алгоритмі" або на те що піймають "аффтора" і таким чином добудуть ключі

[Гість rl72]

Roman Sinicyn додав 6 нових світлин.

4 год · 

 

Просто надьоргав фоточок з твіттера за тегом #WannaCry.

Це епідемія. І це жесть жестячєйша.

Зашифровані файли на комп'ютерах і серверах аеропортів, госпіталів, університетів, автовиробників (Nissan, Renault, Dacia). Renault взагалі зупиняв конвеєр на якийсь час.

За три дні: Fedex, Hitachi, Portugal Telecom, МВД России , PetroChina (заправки не працюють), Saudi Telecom, Ministry of Foreign Affairs of Romania, Deutsche Bahn, Telnor Hungary і десятки інших компаній та установ були піддані атаці.
Як і сотні тисяч звичайних користувачів.
Почалось у Росії, Україні, Індії. Зараз уже усюди.

І постійно з'являються нові модифіковані версії даного вірусу. І окремі експерти кажуть, що це ще навіть не початок. 
http://www.nbcnews.com/…/blockbuster-wannacry-malware-could…

WannaCry (.wcry) - чєрвь, що використовує дірку в вінді (Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10), самостійно себе загружає на ваш ПК \ сервер і шифрує усі данні.
І по суті це перший приклад масового зараження шифрувальщиками з використанням експлоіта. Раніше ця зараза розповсюджувалась виключно через вкладення у імейлах і методом прямого і усвідомленого "оновлення кодеків" з різних порносайтів. І це давно тіньовий бізнес, причому з багатомільйонними оборотами у Bitcoin.
http://privacy-pc.com/articles/ransomware-chronicle.html

Розшифровщика для WannaCry немає. І не факт, що буде. 
За розшифровку просять від 300$ біткоінами.

Що робити щоб не заразитись:
- Скачати патч майкрософта:
https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
- Скачати усі останні оновлення Вінди.
- Зробити бекапи усіх данних на сторонній носій \ сервер не під управлінням Windows.
- Бажано вирубити підтримку SMB (ось відос як https://www.youtube.com/watch?v=-lE-v60AzUw
або з Start>Run "dism /online /norestart /disable-feature /featurename:SMB1Protocol"
- Придбати Мак )

Цікаво про походження цього червя у Olexiy Dubilet
https://www.facebook.com/olexiy.dubilet/posts/10209452690055528

[Lisovic]

@rl72 от нащо ти це сюди запостив, як цінність даного посту? Сініч що спеціаліст по ІТ безпці, чи просто спеціаліст по надьоргуванні фоточок і умних фраз з інету?

[Гість rl72]

Щойно, Lisovic сказано:

@rl72 от нащо ти це сюди запостив, як цінність даного посту? Сініч що спеціаліст по ІТ безпці, чи просто спеціаліст по надьоргуванні фоточок і умних фраз з інету?

придбай  Мак

[jack74]

Може варто назву теми підкорегувати, чи в окрему винести... ? бо ж цей шифрувальник до ПриватБанка відношення не має 

[Lisovic]

Таки да тему варто перейменувати на загальну по шифровальникам.

 

А атака так і далі іде, на одному із моїх ІР вже прилетіло 111 пакетів, вчора було:

On 15.05.2017 at 10:58, Lisovic сказано:

На одному із моїх ІР за півтори доби прилетіло 53 пакета на 445 порт, з яких половина за сьогоднішню ніч.

Причому це саме атака на 445 порт, а не тупий скан, так як на 135 порт прилетіло всього 4 пакета, а на 139 тільки 2.

 

Ну і в березні закрили ще одну неприємну дірку CVE-2017-0263 ну але вона буде більш цікава для адмінів в кого є термінали, так як дозволяла виконати код від імені адміністратора, тобто якщо б користувач запустив шифровальщика там, то обмеження прав на файли і папки не врятувало б.

 

 

 

[Lisovic]

Не шифровальщик, але юзає ту ж дирку: https://wanadecryptor.ru/adylkuzz-world-attack/

Вийшов раніше за WannaCry, той хто його встиг підчепити, шифровальщака вже не міг зловити, так як він відключає SMB.

Так що якщо в когось з нітого ні сього комп став "тупити", шукайте майнера в системі.

[Dieselsmart]

31 минуту назад, Lisovic сказал:

Так що якщо в когось з нітого ні сього комп став "тупити", шукайте майнера в системі.

Недавно почала зникати оперативка просто в ноль, знайшов з десяток всяких приколів з .сру сегменту, де взялись не зрозуміло бо по тому сегменті не буваю. Срань кацапська як чує швидкий кінець і лізе звідусіль.

[Lisovic]

@Dieselsmart шоб підцепити разну хрінь тиму яндекс бару необовзяково там лазити, воно часто іде в складі інсталятора якоїсь проги, і якшо ставиш "на автоматі" то буває завтикуєш зняти галочки, а часто буває шо вони ті галочки міняють від версії до версії, сам інколи на таке попадався.

Якщо зникає пам'ять, значить десь є витік (утєчка), часто браузери таким страдають на "кривих" сайтах, в мене колись фаєрфокс зїв 14 гіг з 16.

[Zheny@]

20 хвилин тому, Lisovic сказано:

і якшо ставиш "на автоматі" то буває завтикуєш зняти галочки, а часто буває шо вони ті галочки міняють від версії до версії, сам інколи на таке попадався.

Я писав про утилітку unchecky

особливо корисно ,якщо робиш компа для шаловливих ручонок, (діти і тьотки-домогосподарки  )

27 хвилин тому, Dieselsmart сказано:

. Срань кацапська як чує швидкий кінець і лізе звідусіль

вони завжди лізли.

Я десь вичитав колись, що насправді всякі ці мейл.сру апдейтери і т.п. амігі із яндксами - віруси. Самі справжні. Єдине, що їх відрізняє - наявність цифрового підпису та сертифікату!  типу все чесно!

 

 

[Гість rl72]

Тут ще історія з WannaCry далеко не закінчилась. Але почалася інша історія. Масової атаки на українські підприємства і користувачів. Вірусом XData.

XData почав стрімко розповсюджуватись учора.

Ймовірно за тією-ж схемою, що і славнозвістний WannaCry: експлоіти, вкладеення в електронній пошті.

І що саме цікаво:
"Its propagation was originally isolated to Ukraine, but this geographic restriction might well be a test run preceding a global cyber epidemic."
http://myspybot.com/xdata-ransomware/
До 95% інфікованих ПК і серверів на зараз - з України.

Відкатують на Україні. Або просто вірусняк для України.

Якщо полистати профільні ресурси - там уже купа повідомлень від жертв вірусу. Причому, в основному, там корпоративний сектор.

Вірусняк шифрує усі данні. Дуже швидко. Розшифрувати не можливо. Тільки за гроші.

Чому Україна? Чому підприємства? Бази 1с?

Про WannaCry і звідки можуть рости ноги, тут:

https://www.facebook.com/romabra/posts/10202926888731344

p.s. Робіть бекапи. На незалежні носії. І візьміть це собі за правило

Із ФБ Roman Sinicyn

 

 

[Lisovic]

@rl72 не тягни сюди писанину Сініча, чувак ніхіра не шарить в ІТ, і пости його безтолкові, це я тобі як системний адміністратор кажу.

Хочеш шото толкове написати, знайти статтю, з описом вірусняка зроблену спеціалістами. Там хоч можна прочитати про механізми роботи і зробити висновок як захищатись.

А Сініч пише бестолкові пости для хомячків

[Zevs_Isver]

як би там не було - забекапитися зайвий раз ніколи не завадить....

 

щиро сподіваюся що цей весь шум зверне увагу "керовніків" що відповідають за ІТ на проблеми безпеки

[Lisovic]

5 хвилин тому, Zevs_Isver сказано:

щиро сподіваюся що цей весь шум зверне увагу "керовніків" що відповідають за ІТ на проблеми безпеки

А ніфіга. Остання атака і кількість заражених систем показала що керівництву насрати на ІТ безпеку, за голову візьмуться хіба що ті хто сильно постраждав, і то не факт.

Я своїм казав ще минулої осені що треба щось робити на рахунок захисту і бекапів, бо імовірність зловити шифровальщик дуже велика, но всім пофігу, зимою один із бугалтерів таки зловила, керівників хватило на день, поки не побачили рахунки за антивірус, фаєрволи і бекапи, потім сказали що дорого і зараз нема грошей. Отак і живем від атаки до атаки, на авось пронесе.

[Zevs_Isver]

3 хвилин тому, Lisovic сказано:

Отак і живем від атаки до атаки, на авось пронесе.

маємо те що маємо

 

хочеться вірити що хоч хтось схаменеться

 

p.s.

питання навіть не в грошах, а в здоровому глузді і в елементарній культурі користування ПК

(не відкривати що попало з пошти, не ходити на шаловліві сайти, не працювати під адміністрором, не працювати всім під одним акаунтом і т.д.)

[Lisovic]

5 хвилин тому, Zevs_Isver сказано:

маємо те що маємо

Ага мене оце так бісить шо капєц. І ти намагаєшся щось зробити, намагаєшся пояснити, а у відповідь, "ну воно ж якось працює ж"

 

Для елементарної культури, треба щоб співробітник мав хоч елементарні знання і вміння роботи з ПК, але як показує практика моїх робіт, ніхто ніколи не цікавиться і тим більше не залучає ІТ спеціалістів при прийомі нового співробітника на роботу, і вже потім виясняється, коли ти приходиш вирішувати чергову "проблему з ПК", що людина навчилась працювати з комп'ютером на курсах з водіння, і про який тут здоровий глузд можна говорити?

[Zevs_Isver]

ІТ директори що прийшли з на посаду "з курсів товарознавців" (в кращому випадку) - нехай зразу закладають в бюджет "300 доларів на розшифровку"

я вже змирився з такою ситуацією - і не намагаюся змінити те що змінити НЕ можливо (бо керівництво неможе\нехоче зрозуміти)

просто робиш свій шматок роботи якісно в межах фізичних і фінансових можливостей

[case_l]

35 хвилин тому, Zevs_Isver сказано:

нехай зразу закладають в бюджет "300 доларів на розшифровку"

а реально дані розшифрують за 300?

[Zevs_Isver]

5 хвилин тому, case_l сказано:

а реально дані розшифрують за 300?

не знаю, не мав нагоди стикнутися,

 

по логіці речей має розшифровувати сам вірус - питання в ключах

передати їх можна в відповідь на заплачені гроші, на адресу звідки прийшли гроші

 

якби не розшифровували - не платили б

 

[Гість]

Ще трохи інфи:

1. Технічний аналіз механізму роботи віруса - можна почитати тут: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis

2. Відео тестового інфікування ПК: 

 

[Гість rl72]

4 годин тому, rl72 сказано:

Тут ще історія з WannaCry далеко не закінчилась. Але почалася інша історія. Масової атаки на українські підприємства і користувачів. Вірусом XData.
XData почав стрімко розповсюджуватись учора.
До 95% інфікованих ПК і серверів на зараз - з України.
 

 

з коментарів - XData йде через MEDoc

[Dieselsmart]

19 часов назад, Zheny@ сказал:

Я десь вичитав колись, що насправді всякі ці мейл.сру апдейтери і т.п. амігі із яндксами - віруси. Самі справжні. Єдине, що їх відрізняє - наявність цифрового підпису та сертифікату!  типу все чесно!

Саме так і є, Ще як на початках їх створення може щось і було нормальне то тепер там нема а ні біта чистого коду, все працює на фсб під прикриттям ніби то офіційних вивісок. Той же Касперський це фсбшник, і антивірус його це тільки назва. Не далекий приклад Дуров, сам би ніколи не злив таку золоту мережу але ж від фсб не сховаєшся ніде.

 

 

Досить цікава стаття по цьому приводу і навіщо влада все таки блоканула .сру, написана просто і буде зрозуміла усім, Сегодня самый лучший день в двох частинах, раджу почитати.