Форум
 

Вернуться   Форум "Фрикер Клуб" - кодграббер своими руками > Курилка > Новости

Важная информация

Ответ
 
Опции темы Опции просмотра
Старый 15.05.2017, 20:54   #11
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя из Британии. В РФ пострадала сеть МВД, СК, Мегаф

Цитата:
Сообщение от DIVER_SANT
Я так понимаю в основном на корпортивные сети вирус.Частным пользователям повезло.

Не факт,
просто в корпоративной сети размножится проще - достаточно одному подхватить, потому и массовость заражений.

Угрозу криптолокеры представляют для всех, и в основном для пользователей форточек.

К тому же еще и не обязательно, что после оплаты злоумышленникам, придет пароль для расшифровки файлов.

Добавлено через 4 минуты
Цитата:
Сообщение от andynvkz
частнику винду переставил и все

Если нет бэкапа, а на жестком скопились важные данные, вроде фотографий за лет так ..цать - частник предпочтет заплатить, на что и идет расчет.
shooter вне форума   Ответить с цитированием
Старый 18.05.2017, 12:05   #12
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя из Британии.

Что отличает WannaCry от других атак, которые видели ранее?

Использование уязвимости. В данном случае для проникновения угрозы в систему не требуется вмешательство человека: например, открытие письма или скачивание какого-нибудь файла из Интернета).

Данный метод открыл следующие возможности:

• Атака произошла практически одновременно на всей планете и без вмешательства пользователей. Т.е. массированная атака без препятствий со стороны людей.

• От заражения страдали все подключенные устройства Windows, которые были расположены в одной сети с изначально зараженным компьютером и на которых не было установлено соответствующего патча. Заражение одного компьютера могло закончиться компрометацией всей корпоративной сети.

Традиционные решения безопасности, предназначенные для остановки вредоносных файлов, в целом не способны блокировать атаки, которые используют преимущества этой и других уязвимостей для проникновения на компьютер и в сеть. Следствием этого стало то, что кибер-атака поразила сотни тысяч пользователей в 150 странах мира (преимущественно, компании и общественные организации).

В приложенном документе - краткая информация об анатомии данной атаки.

Источник и продолжение: https://habrahabr.ru/company/panda/blog/328882/
Вложения
Тип файла: pdf Инфографика - Анатомия WannaCry.pdf (104.0 Кб, 9 просмотров)

Последний раз редактировалось shooter; 18.05.2017 в 12:07.
shooter вне форума   Ответить с цитированием
Старый 18.05.2017, 21:45   #13
PKE Меню Пользователя
Гость клуба
 
Регистрация: 05.05.2017
Сообщений: 5
По умолчанию Re: Массовая атака вируса-вымогателя из Британии. В РФ пострадала сеть МВД, СК, Мегаф

ИМХО, всё это полнейший бред, без вмешательства человека невозможно запустить такую ерунду. Более реален исход такой- люди, работающие в организациях сидели по своим делам вконтактиках и в одноклассниках, сайтах знакомств и прочих соц сетях скрывая сей факт от начальства, злоумышленники разослали картинки, использовали различные стандартные методы подкидывания вирусов с определенным временем запуска, а после считали полученные деньги. Еще как вариант - этот вирус был давно замаскирован в ПО различных производителей антивирусов, проигрывателей и прочего, исход ясен даже ребенку с детского сада.
Человеческий фактор присутствует всегда и от этого никуда не денешься. Будь то сисадмин накосячил или курица сидящая за рабочим компьютером и использующая его не для рабочих целей. Если бы реально было заражение ПО без человека это было бы на грани фантастики.
Тем кто хочет оспорить данное мнение - задайте себе вопрос(конечно если вы чутка грамотны в сфере ПО для компьютера) почему ваши компьютеры под управлением Windows до сих пор не заражены, хотя пишут о том что атака возможна без участия человека?
ИМХО еще раз- данная методика - бред если вы хотя бы немного разбираетесь в компах и не юзаете соц сети порно сайты, не смотрите фильмы в плохом качестве онлайн, или просто юзаете сомнительные сайты. Так как компьютеризация населения нашей необьятной не позволит быть еще очень долго на должном уровне(учитывая еще и менталитет нашего народа - когда научился писать прогу на ардуино и считает себя богом программистом) данные технологии еще долго будут работать.
PKE вне форума   Ответить с цитированием
Старый 19.05.2017, 14:14   #14
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя из Британии.

Он распространяется в нескольких вариациях: первый - классический вариант, с требующим от пользователя какого либо действия - скачивания, запуска файла, либо подключению к устройству, содержащий вредонос.

Другой вариант как раз показывает, насколько он отличается от обычных шифровальщиков, так как представляет он из себя червя с функцией саморазмножения. И уже несколько раз было описано, в разных ссылках, при помощи каких портов, эксплоитов и бэкдоров он может проникать в непропатченную систему, а исполнение вредоноса - обычная уязвимость класса remote code execution.

Добавлено через 25 минут
Цитата:
Сообщение от PKE
почему ваши компьютеры под управлением Windows до сих пор не заражены, хотя пишут о том что атака возможна без участия человека?

Чтобы попасть на систему, нужно чтобы совпало несколько критериев - открытый порт 445, возможность использования эксплойта EternalBlue, да мало ли еще чего.
Винда у многих может быть настроена на авто поиск и обновление критически важных патчей, а та заплатка, закрывающая дыру, вышла довольно оперативно.
Возможно вирус действительно ведет поиск только локальных сетей.
Но опасность он представляет все равно для всех не обновленных систем, начиная с XPюши.

Последний раз редактировалось shooter; 19.05.2017 в 14:20.
shooter вне форума   Ответить с цитированием
Старый 20.05.2017, 21:24   #15
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя из Британии.

Забавно: на волне "популярности" вируса, решили "нагреться" предприимчивые люди, и выпустили несколько новых версий шифровальщика, которые не отличаются от оригинала, вот только адрес биткоин-кошеля перебит в хекс редакторе на другой)
shooter вне форума   Ответить с цитированием
Старый 29.05.2017, 11:31   #16
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
По умолчанию Re: Массовая атака вируса-вымогателя из Британии. В РФ пострадала сеть МВД, СК, Мегаф

Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только - https://habrahabr.ru/company/spbifmo/blog/329512/

Жертвы WannaCry: список крупнейших компаний - https://wanadecryptor.ru/wannacry-victims-list/
(ну и вообще, сам сайт "wanadecryptor.ru" содержит много интересной информации по этой теме)
shooter вне форума   Ответить с цитированием
Старый 29.05.2017, 12:58   #17
DIVER_SANT Меню Пользователя
Модератор
 
Аватар для DIVER_SANT
 
Регистрация: 27.03.2011
Сообщений: 2,025
По умолчанию Re: Массовая атака вируса-вымогателя из Британии. В РФ пострадала сеть МВД, СК, Мегаф

Цитата:
Сообщение от shooter
Итоги WannaCry: подборка основных материалов на «Хабрахабре» и не только - https://habrahabr.ru/company/spbifmo/blog/329512/

Жертвы WannaCry: список крупнейших компаний - https://wanadecryptor.ru/wannacry-victims-list/
(ну и вообще, сам сайт "wanadecryptor.ru" содержит много интересной информации по этой теме)

Уже на сайте AVAST есть статья,а сегодня уже по радио трубя-что лингвисты установили ,что выходец из южных районов Китая писал сообщения.
__________________
Правильно поставленный вопрос-на половину полученный ответ;)
++++++++++++++++++++++++++++++++++++++
[url]http://www.youtube.com/watch?v=ktnn-s3ebzw[/url]
DIVER_SANT вне форума   Ответить с цитированием
Старый 29.05.2017, 13:20   #18
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя из Британии.

Цитата:
Сообщение от DIVER_SANT
Уже на сайте AVAST есть статья,а сегодня уже по радио трубя-что лингвисты установили ,что выходец из южных районов Китая писал сообщения.

На авасте имели ввиду вот это - https://forum.avast.com/index.php?topic=202335.0 ?
Прочитал три страницы по диагонали, в принципе трут тоже самое, что и на других тематических форумах, но вечером почитаю внимательней.

А вот новостям от сми, китайским же газетам - хз можно ли верить, но все равно приведу здесь:

"Вирус-вымогатель Wanna Cry возможно написан выходцами из Южного Китая

Вирус-вымогатель Wanna Cry, атаковавший десятки тысяч компьютеров по всему миру, изначально был написан на китайском языке предположительно выходцами из Южного Китая, Гонконга, Тайваня или Сингапура - об этом пишет газета South China Morning Post со ссылкой на американских IT-специалистов, которые провели анализ исходного кода вредоносной программы.

Вывод сделан на том основании, что один из содержащихся там терминов характерен для южнокитайского диалекта. При этом сообщается, что хакеры использовали то же программное обеспечение, что и Агентство национальной безопасности США.

Две с половиной недели назад вирус атаковал в 74-х странах 45 тысяч компьютеров, заблокировав их операционные системы. За то, чтобы возобновить работу компьютера, вымогатели требовали выкуп в криптовалюте, эквивалентный 600 долларам."

shooter вне форума   Ответить с цитированием
Старый 10.06.2017, 00:51   #19
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя

К интересному выводу пришли сотрудники компании Kryptos Logic в ходе анализа вируса WannaCry. Вывод этот касается стойкости операционной системы Windows XP к заражению вымогателем.

Оказывается, в отличии от Windows 7, операционная система Windows XP с третьим пакетом обновлений (Windows XP SP3) была почти на 100% защищена от потери данных в результате шифрования. Дело в том, компьютеры, когда на них проникал вирус WannaCry «падали»: выводили синий экран смерти и уходили в перезагрузку. Криптовымогатель просто не мог работать «в таких условиях», никакие файлы не шифровались.

В первые дни распространения вируса многие СМИ предвещали владельцам компьютеров под управлением устаревшей ОС печальный исход, ведь Microsoft прекратила выпускать обновления безопасности под Windows XP ещё в 2014 году (но патч всё же был выпущен).

Еще одной причиной ожидаемой преждевременной «кончины» компьютеров на XP были факты массового заражения ПК Государственной службы здравоохранения Великобритании. Позже, однако, служба здравоохранения отвергла подобного рода обвинение, заявив, что на момент атаки всего 5% их компьютеров работали под Windows XP.

Тестирования вируса в лаборатории Kryptos Logic показали, что WannaCry действительно мог заразить непропатченные компьютеры с Windows XP. Только вот попытка загрузить после заражения «полезную нагрузку» DoublePulsar приводила к зависанию системы.

Выяснилось, что шифровальщик WannaCry успешно запускался на машинах Windows 7 64-bit с пакетом SP1. На машинах с Windows XP инфицирование не происходило — они постоянно вылетали в BSOD.

Вывод исследователи сделали такой: компьютеры под управлением Windows XP не могли стать главным средством распространения вируса, потому что «реализация эксплоита в WannaCry не могла надёжно запустить DoublePulsar и добиться корректного выполнения кода». То есть компьютеры под управлением Windows XP не имели возможности распространять вредоносный код далее по сети, используя уязвимость в SMB.

Наверное, это первый случай в истории, когда BSOD сделал что-то полезное — защитил компьютеры
(https://wanadecryptor.ru/windows-xp-bsod-save/)

По состоянию на 5 июня 2017 года на BTC-кошельки «вымогателя» поступило уже 50.91735344 BTC, что по текущему курсу составляет $148 234. Всего прошло 320 платежей.
Вывода средств с кошельков не было.
shooter вне форума   Ответить с цитированием
Старый 18.06.2017, 17:13   #20
shooter Меню Пользователя
Член клуба
 
Аватар для shooter
 
Регистрация: 05.04.2014
Сообщений: 111
Post Re: Массовая атака вируса-вымогателя

Эксперты представили новые сведения о WannaCry на основе анализа метаданных.

Наибольшей загадкой вымогательского ПО WannaCry является его создатель. В данном вопросе ИБ-эксперты разошлись во мнениях. Symantec и «Лаборатория Касперского» связывают WannaCry с северокорейской хакерской группировкой Lazarus (на основе фрагмента кода), а в Flashpoint считают, что его автором может быть китаец (на основе лингвистического анализа уведомления с требованием выкупа), не владеющий корейским языком (корейская версия требования выкупа была написана с ошибками).

Разобраться в том, кто стоит за WannaCry и что предшествовало событиям 12 мая, попытались эксперты подразделения кибербезопасности ElevenPaths испанской телекоммуникационной компании Telefonica, также ставшей жертвой шифровальщика. Свои исследования специалисты проводили на основе анализа метаданных.

По словам главы ElevenPaths Сержио де лос Сантоса (Sergio de los Santos), автор WannaCry даже не догадывается, как много о нем могут рассказать метаданные. К примеру, в полях автора и оператора в RTF-файле, используемом для записки с требованием выкупа, указано Messi – явная отсылка к футболисту Лионелю Месси.

Родным языком для автора WannaCry является корейский. Именно этот язык был выбран по умолчанию в EMEA-версии Word, используемой для создания RTF-файлов. «Ломаный корейский указывает на попытку скрыть свое происхождение, а значит, он (автор WannaCry – ред.) из Кореи. Он забыл сменить язык по умолчанию в Word. Если вы англичанин и хотите это скрыть, то пишете на ломаном английском. Любой может так сделать. Но можно забыть сменить язык по умолчанию. Он допустил ошибку, забыв поменять язык по умолчанию», - отметил Сантос.

На основании метаданных исследователям удалось установить события, предшествующие волне атак WannaCry. По их словам, операция началась 27 апреля текущего года, когда были созданы растровое изображение фона рабочего стола и readme-файл r.wnry. 9 мая был создан zip-файл с инструментами для подключения к Tor для осуществления платежей. Этот файл был добавлен в файловую систему 9 мая в 16:57 по времени страны, где находился разработчик. На следующий день были созданы еще один домен в зоне .onion и биткойн-кошелек.

11 мая разработчик внес изменения в растровое изображение и добавил файлы в защищенный паролем zip-файл. 12 мая в 2:22 по времени страны, где находился разработчик, в zip-файл был добавлен исполняемый файл, и полезная нагрузка была готова. Учитывая время добавления исполняемого файла и первой зафиксированной атаки WannaCry (в Тайване), исследователи заключили, что вирусописатель находился в часовом поясе UTC +9.

Источник: http://www.securitylab.ru/news/486757.php
shooter вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.



Текущее время: 12:26. Часовой пояс GMT +3.


vBulletin 4.1.0 Перевод: zCarot
(C) www.phreakerclub.com
Яндекс.Метрика