Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

Lisovic · 1 Квітня, 2018 в 09:27

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Ukrainec · 1 Квітня, 2018 в 11:46

2 годин тому, Lisovic сказано:

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Обновився на свою голову до 6.41.3. Роутер постійно ребутиться. Тепер ламаю голову, що з цим робити?

Ініціалізація одним звуковим сигналом, діод загорається гасне і все.

Lisovic · 1 Квітня, 2018 в 11:50

@Ukrainec спробуй скинути йому налаштування. через кнопку ресет

Якщо не допоможе спробуй перешити через Netinstall

http://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

Ukrainec · 1 Квітня, 2018 в 12:05

На резет завмирає 0 реакції! Зелений діодик постійно горить при цьому

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Lisovic · 1 Квітня, 2018 в 12:10

6 хвилин тому, Ukrainec сказано:

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Ініціалізація йому і не треба, в мікротіка є дві прошивки Firmware, і відповідно сама ROS, Netinstall працює з Firmware і якраз рятує при невдалій прошивці.

п.с. може бути шо Netinstall непобачить мікротік, тоді варто спробувати версію таку як була в старій прошивці.

Ukrainec · 1 Квітня, 2018 в 12:13

ВІн постійно ребутиться.

в який момент це робити?

Lisovic · 1 Квітня, 2018 в 12:16

Отключите питание от устройства MikroTik.

Нажмите и держите нажатой кнопку Reset.

Подайте питание на MikroTik.

Продолжайте держать нажатой кнопку Reset (около 30 секунд), пока устройство не появится в программе Netinstall. После этого можно отпустить кнопку Reset.

Factory · 1 Квітня, 2018 в 12:36

On 13.03.2018 at 12:55, MACCEN сказано:

багато ума не треба взломати чужий вайфай, а вже через його компа ломати ще щось, у багатьох файли з паролями лежать відкрито на робочому столі (бо так зручо).

Доречі хто хоче стати досвідченим по кібер захисту, можете арендувати собі сервачка за 5 баксів в місяць навісити туди сайтика якогось, створити пару сайтів з легкими пароляи і понаблюдати як вас ломають, проаналізувати логи, ну і так можна атакуючому теж щось цікавеньке відправити "отвєточку" він думає що поламам вас, а на справді ви його ломанули

Так робить більшість спеців з банків

цікаво

Lisovic · 1 Квітня, 2018 в 13:19

@Ukrainec є якісь здвиги?

Ukrainec · 1 Квітня, 2018 в 15:09

1 година тому, Lisovic сказано:

@Ukrainec є якісь здвиги?

Чуть розумом не з"їхав! Ти "зробив" мій день!

Все ж таки поставив 6.41.3 через нетінстал, але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі.

+виявилося нетінстал ще та штучка, не на кожному компі працює. Та й на тому що запрацювало, виявляється йому треба зробити ребут після типу його "встановлення".

6.4х. справді має певні розбіжності з 6.38 версією.

Про вірус хоч правда? можеш завтра дати відповідь

Lisovic · 1 Квітня, 2018 в 18:23

3 годин тому, Ukrainec сказано:

Про вірус хоч правда? можеш завтра дати відповідь

Про вірус правда, там в попередніх повідомленнях є посилання на форум мікротіка, там попередження від 28 березня, також вчора на почту прийшов лист від мікротіка з попередженням, хоча раніше ніколи не присилали такого, значить штука серйозна.

На рахунок невдалої прошивки, таке, нажаль трапляється зі всіма, я в п'ятницю джуніпера так завалив при прошивці, правда там більш продумано, якщо не зміг загрузитись із основного розділу то після перезавантаження загружається з резервного на старій ОС

3 годин тому, Ukrainec сказано:

але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі

Є така штука на мікротіках, про що я і попереджував постом вище, там досить часто буває що новіша прошивка не хоче загружати старий конфіг, або загружає а працює не так як треба. Ми із за таких приколів, відмовились від ідеї переходити на мікротіки, а вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Zheny@ · 1 Квітня, 2018 в 18:25

1 хвилина тому, Lisovic сказано:

вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Cisco?

Lisovic · 1 Квітня, 2018 в 18:28

Щойно, Zheny@ сказано:

Cisco?

Нє, циско нинче зажрались, дорогі стали, на кожен чих ліцензію хочуть. Хоча зараз майже вся мережа на них, але з ростом трафіка старі 880 вже не справляються, того потроху переводим на їх конкурентів.

Ukrainec · 1 Квітня, 2018 в 18:36

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Lisovic · 1 Квітня, 2018 в 18:45

5 хвилин тому, Ukrainec сказано:

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Ukrainec · 1 Квітня, 2018 в 18:55

8 хвилин тому, Lisovic сказано:

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Ну це і в старому так...

Буде час і не св"ято спробую ще раз 6.41.3

Lisovic · 1 Квітня, 2018 в 19:37

38 хвилин тому, Ukrainec сказано:

Ну це і в старому так...

Буде час і не св"ято спробую ще раз 6.41.3

Тут ще може бути глюк, якщо базу копіпастиш через консоль із строї конфи, в мікротіків є бага коли на новому ПО команди зі старої конфи він відпрацьовує некоректно. Я так колись всю мережу в в себе положив, одной командою.

Lisovic · 23 Травня, 2018 в 19:04

Ну шо хлопаки поїхали далі? Хоч і не пєтя, але все одно мало приємного:

Попереджаємо про можливу масштабну кібератаку в Україні з використанням ШПЗ VPNFilter.

Шкідливе програмне забезпечення VPNFilter - це багатоступенева модульна платформа, що має універсальні можливості для підтримки інтелектуального збирання та руйнівних операцій з використанням кібер-атак.

Список пристроїв, на яких впливає VPNFilter, включає мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link, а також пристрої для зберігання даних на базі мережі QNAP (NAS). Пристрої, скомпрометовані VPNFilter, можуть бути вразливими до збору мережевого трафіку (включаючи облікові дані веб-вузла), а також моніторингу протоколів управління та обробки даних (Module SCADA).

VPNFilter може заблокувати пристрій і зробити його непридатним для використання. Через те, що зловмисне програмне забезпечення може спрацьовувати відразу для окремих або декількох пристроїв, VPNFilter може відключити доступ до Інтернету для сотень тисяч користувачів.

Відомі постраждалі пристрої:

Спойлер

LINKSYS DEVICES:

E1200
E2500
WRVS4400N

ВІРТУАЛЬНІ МАРШРУТИЗАТОРИ MIKROTIK ROUTEROS ДЛЯ CLOUD CORE МАРШРУТИЗАТОРІВ:

1016
1036
1072

ПРИСТРОЇ NETGEAR:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

ПРИСТРОЇ QNAP:

TS251
TS439 Pro

Інші пристрої QNAP NAS, що працюють на програмному забезпеченні QTS

ПРИСТРОЇ TP-LINK:

R600VPN

Більше за посиланням https://cert.gov.ua/news/37

Шо за звір і чим може грозити поки не розбирався, якщо хтось щось знає більше діліться.

upd. cisco каже що заражено більше 500000 девайсів в 54 країнах.

Оригінал статті: https://blog.talosintelligence.com/2018/05/VPNFilter.html

mis05 · 27 Червня, 2018 в 11:06

Сьогодні якраз річниця подій з назви теми.
Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Zheny@ · 27 Червня, 2018 в 11:15

9 хвилин тому, mis05 сказано:

Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Ні. Бо файли не шифрувалися а псувалися.

Затирався перший байт.

Coding · 28 Червня, 2018 в 05:55

18 годин тому, Zheny@ сказано:

Затирався перший байт.

якщо тільки перший байт, то не велика проблема його підібрати

Zheny@ · 28 Червня, 2018 в 08:10

@Coding суть якраз у псуванні ,а не шифруванні. Мета втрачається.

AgentSmith13 · 28 Червня, 2018 в 17:59

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Volyniaka · 28 Червня, 2018 в 20:57

2 годин тому, AgentSmith13 сказано:

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Coding · 29 Червня, 2018 в 05:59

9 годин тому, Volyniaka сказано:

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Минулого року це нам не допомогло...

Увійти

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

Рекомендовані повідомлення

Заархівовано

Останні відвідувачі 0 користувачів онлайн

Теми

Схожі теми

Ваш акаунт

Підтримка board.lutsk.ua

Інформація