#WannaCry

[Vadeg]

Чего молчим?

https://geektimes.ru/post/289115/

https://journali.st/broadcasts/2063903861

https://intel.malwaretech.com/WannaCrypt.html

Ну, и анекдот до кучи: "Перфокарты Почты России не пострадали от вируса #WannaCry"

[Servus]

ВАще пох. Я в деревню.

[~GZ]

Держи нас в курсе.

[Demige]

Это Американские хацкеры!

[forvard]

Ну вот и первые ласточки из спёртого инструментария АНБ.

[Suslik+]

Фух. Я было уж подумал, еще один застеноплачил.

[Vadeg]

Заплачешь тут, когда зашифруется важное

[Demige]

И было сказано - не пренебрегай бэкапами!

[Andrey]

Учитывая как работает эта хрень - бэкапы надо делать творчески. Ибо практически все типичные снэпы, волумные копии и даже просто архивы криптор тоже гробит. А учитывая, что лезет он не по шарам и не через user-action - опасность есть даже с бэкапами. Ну... По идее должно спасать хранение бэкапов на какой-нидь линухе, но такая схема встречается исчезающе редко.

[Demige]

Бэкап делается пользователем backup по расписанию. В каталог, в который больше ни у кого доступа нет.

Ну и под админом не фиг сидеть на серваке. Пользоваться "запуск от пользователя".

В винде кстати и своя неплохая инкреминтируемая система бэкапов.

[Andrey]

Дяденька, а вы точно читали мурзилки про WannaCry?
Насколько я понял (возможно, неверно), сия кака использует уязвимость работы ВСЕХ версий Windows по протоколу SMBv1. Закрытость машинки штатным файрволом не спасает в общем и целом. В случае незакрытой дыры производится атака через буфер, результатом которой становится возможным выполнение команды на удалённой системе с правами SYSTEM. Далее делается копия тела каки и шифруются все файлы на диске по маске из более чем 200 расширений, исключая системную область Windows.

Теперь расскажи мне - где в этом месте "права юзеров" и "права на шары"? И какая хер разница под кем сидеть на серваке? Нормальный сервак в продакш-моде вообще по дефолту не имеет local-auth-user. А размазня служб и запусков - это отдельная тема, не имеющая ничего общего со словом "сидеть".

[Demige]

Шифровальщику нужно проникнуть в сеть. Как правило никто SMB наружу не светит ). Допустим кто-то заразил локальный компьютер, с этого момента шифруются все его данные, все папки, куда есть доступ и вирусня начинает стучаться по самбе в поисках уязвимостей (кстати в вин10 и 2016 smbV1 по умолчанию запрещен, что вызывает баттхерт при шарах со старыми системами). Под SYSTEM нельзя зайти в папку, в которую доступа для SYSTEM нет. Можно и админу запретить доступ. Хотя конечно он может пермишны сменить. Может ли SYSTEM менять пермишны - не уверен. Под админом не надо сидеть в том плане, чтобы самому не запустить вирусню в сеть, скачав какую-нибудь хрень. Или запустив из автозагрузки.

[сараевод]

А если на внешний винт?

[Vadeg]

А чем внешний для системы отличается?

[Demige]

Отключать.

[сараевод]

Тем, что скопировал - и убрал винт на полку.

[Vadeg]

Невнимательно.

скопировал

Пока копируешь, внешний винт ничем не отличается от внутреннего. Если система заражена и активно пакостит, но ты пока про это не знаешь, ты теряешь то, что на внешнем лежит. Андерстенд?

[сараевод]

Значит, не повезло именно в этот момент. Но если у тебя на винте уже есть копии и ты узнал о вирусной атаке, ты же не будешь подключать внешний винт, правильно? Так есть вероятность, что большинство важных данных окажутся в целости.

[Demige]

Ну и DVD/blueray никто не отменял.

[Andrey]

Если дома раз в неделю - вполне решение.
У меня продакщены делают инкрементальные бэкапы каждые 20 минут круглые сутки 365 дней в году. Это надо какой-то стенд мутить, чтоб так постоянно винт подключать-отключать. И разъёмы какие-то хитрые делать. Ибо штатные даже hot-swap корзинки и года не протянет в таком режиме

[forvard]

[forvard]

"Перфокарты Почты России не пострадали от вируса #WannaCry"

Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус». мвд.рф

М-дя

[Vadeg]

Всем срочно изучать язык ада!
Хотя, тут на статью можно напороться...

[AR]

Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус». мвд.рф

М-дя

Обновление антивируса МВД до последней версии

[uh3]

Ох уж мне этот Windows....

[Demige]

Первое что нужно делать при заражении - ни в коем случае не выходить из баз! Базы залочены 1с. Жестко глушаить сервак, снимать винты и вытаскивать базы на чистый носитель. Касперский способен защитить от неизвестных шифровальщиков, только если правильно настроена система контроля запуска программ. Она есть в KIS и ТОЛЬКО В ПРОДВИНУТЫХ версиях KSC (даже в стандарте нет суки). SQL режим баз опять же не позволит зашифровать базы. Ну и да, раз уж вы потратили деньги на серверную винду (или украли), не забудьте настроить полный бэкап штатными средствами системного раздела и диска с базами. Бэкапы данных должны делаться отдельным пользователем по расписанию в каталог и на носители, на которые ни у кого больше нет доступа (даже у SYSTEM). И да, сидеть под суперпользователем на серваке - первый шаг к потере данных и контроля над системой. Используйте мультилогин.

И да, не премиум поддержка касперского - гавно. Обращайтесь на форумы касперского для очистки систем от вредоносного кода, это намного оперативней.

[Andrey]

по расписанию в каталог и на носители, на которые ни у кого больше нет доступа (даже у SYSTEM)

Насколько я понимаю политику винды - отсутствия доступа у SYSTEM несколько условно и вроде как есть методы обхода сего ограничения. Хотя могу ошибаться и сей баг имел место только в относительно старых системах типа 2000/2003/XP. Но учитывая, что сама нынешняя уязвимость тянется аж от 2000 - не исключаю, что и баги с правами там остались с начала века.

[HiLuxSurfer]

мак решает ))) в жопу винду ))

[Demige]

Не решает. На тех же андроидах (под управлением линукс заметьте, как и мак) вирусни полно. Просто мало целевой аудитории, поэтому вирусня под него не разрабатывается. Пока что. Как только большое количество пользователей устремится на мак (как произошол с андроидом), Будет происходить всё большее упрощение системы (как произошло с убунтой) зловреды подтянутся.

Винда пытается топорными методами (как в вин10) заставить пользователей обновляться принудительно, но это вызывает только раздражение пока что.

[HiLuxSurfer]

если не ставить софт из dmg файлов а юзать только аппстор то шансов у вирусов нет )))
собсна у ондроеда так же если арк не ставить то все норм будет )))))
хотя под ондроед и сплоиты есть ))) а под мак нету... а мака уже далеко не мало и иоса... тока все сасай делают и с маком ниче не могут провернуть )))

Сейчас самая опасная дыра в любой системе - это человек и социальная инженерия если это не винда и не андроид )))))

[Demige]

Ой, напомните мне историю с вредоносной х-ней, которая официально была в апстор. Тут тема где-то рядом лежит.

[HiLuxSurfer]

1 раз за всю истоорию и то случайно и пофиксили махом? ))))))))))
а ондроед и винда? ))))))))))))))

[Barbadian]

Как только большое количество пользователей устремится на мак

Как это может произойти, если учитывать, что стоимость нового ноутбука начального уровня на маке от 50 т.р., на винде от 13 т.р.? Да, они по характеристикам не сравнимы, но цены такие.

[HiLuxSurfer]

да это все полный бред ))))
польщователей андроида и айос в неокторых странах примерно равно в некоторых андроид доминирует типа индии тайланда, в Европе и нормальных странах доминируют айфоны, однако вредоносного ПО и эксплоитов под айфоны нет, а под андроид полно.

[DY_]

Жаль разочаровавывать - но все же стоит посмотреть статистики продаж... Население "нормальных" сттран ничто, по сравнению со всем остальным миром.
Андроид защищен не слабее, просто защиту можно выключить, что некотрые с удовольствием и делают.

[DeD]

Просто мало целевой аудитории, поэтому вирусня под него не разрабатывается.

Вообще логичнее было бы вымогать бабки у пользователей маков, стоимость ноута которых начинается с сотки. Но чота не выходит пока.

[uh3]

10+ лет с момента как аппля сделала ноут и систему под интел, а песня всё прежняя, "мало целевой аудитории, поэтому вирусня под него не разрабатывается. Пока что. "

[~GZ]

Тс-с-с...

[Andrey]

До 10% (ну или хотя бы до 5%) доберутся, можно будет говорить о чём-то.

[HiLuxSurfer]

еще раз, хватит наркоманить.
возьми андроид и ИОС и сравни кол-во уязвимостей и вредоносного софта и хватит фантазировать ))))))

[HiLuxSurfer]

небольшое уточнение, а то щас опять будете глупости писать )))))))))

кол-во андроидов в раз ыбольше иосей по этой стате твоей, только потому что там взят весь мир, 90% андроида это говностраны типа кувейт пакистан индия тайланд южная африка и тд, страны нищеброды у котороых денег нет и которые не интересны с точки зрения вредоносности ПО, т.е. взять с них нечего тупо злыми методами.

а в развитых странах картина иная и в той же UK например кол-во iOS больше чем андроида и такая картина по большинству развитых стран, где и бабло есть и мобильные банки и тд, но на ИОСе нет злого софта в отличии от андроида.

вот картинка для размышлений, эта картинка вроде год на 2014 или 13 не помню, пропорционально я думаю врятли что-то изменилось




та же ситуация и с макОС, тут абсолютно верно написали, что с нищебродских андроидо/виндо-водов порой взять нечего, а мак юзеры сладкие, но их не достать ( ну? кто первый пошутит про сладких? )))))))) )

[MadM]

т.е у половины форума нокии должны быть судя по выборке?

[HiLuxSurfer]

наш форум это капля в море и не показатель + я ж написал что это 2012-13 год что-то могло измениться.
но сам факт: даже на тот момент пропорции и отсуствие вредоносности, до сих пор под эпл.

[Andrey]

Россия - 41% SymbianOS? В 2013-2014 годах?

[HiLuxSurfer]

ты тоже докопался до россии а не до основного посыла поста ))))) это же проще )))

[Andrey]

По остальным отсылам - ссылки ниже.

[Andrey]

На тебе ещё статистики:
United Kingdom: http://gs.statcounter.com/os-market-...united-kingdom (да, андроеда примерно поровну с iOS)
France: http://gs.statcounter.coms-market-share/mobile/france (как-то 2:1 в пользу робота, а не как у тебя)
Germany: http://gs.statcounter.com/os-market-...mobile/germany (в общем, как и у французов).

Так что ты эта... Завязывай

[Demige]

Заражения интересы не только со стороны материальной выгоды в виде выкупа, так же это кража данных, ботнет и т.п. Так что нищие негры из африки им тоже интересны.

[Andrey]

Сам ты наркоман
Android - это ОГРОМНЫЙ конгломерат систем и надстроек к ним, которые пишут на базе одного ядра чуть меньше, чем все кому не лень. При этом никто не сортирует эту огромную помойку. Ровно также как есть Ubuntu, который один из самых уязвимых, только все забывают, что там уже помойка из 30+ форков и веток.

При этом по уровню "дырявости" MacOS обогнала даже Win10 в 2016.
А если ещё посмотреть, как формируется общая статистика и отбросить "непроникающие дырки" типа DoS (то бишь "зависание"), то не всё так радужно у iOS/MacOS.

Ну а то, что под него нет массовых атак - эта маленькая (в рамках мирового рынка) кучка гиков нах никому не упала. Ну и плюс монодевайсовость и "мы знаем лучше, что вам можно, а что нет" (то есть юзеры зажаты в правах весьма и весьма), потому и не случалось пока массовых обвалов на маках/айфонах. Так что завязывай с травой.

Неправильная и лживая статистика с расшифровками.

[LOM]

в этой говностатистике приведены варианты с выключеными фаерволами. А между прочем все юниксы по дефолту стартуют с all deny и открытым 22 портом. чего не скажешь о макоси и тем более винде. Так что уязвитмости ты открываешь сам. уж я молчу что у всех юников можно сделать selinux= enable тогда даже под максимальными правами затрахаешься заразиться.

P.S. C начала эпидемии на моем личном серваке примерно 27000 ip улетело в бан. пущай еще по DDos ят.
P.S.S. пойду еще пару раз накчу по 50. пока мыло от fail2ban направлено в /dev/null

[Demige]

Вообще первый раз слышу. Всё линуксы обычно таки ставятся с policy -j ACCEPT. Другое дело что на нужные сервисы ещё доступ настроить надо.



root@host1:/home/mike# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[LOM]

да ладно вот после сетапа дефолт centos 6.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

[Andrey]

Иди до конца! Расскажи сколько уязвимостей, позволяющих хоть как-то использовать SSH было обнаружено за последние лет так 5 и сколько они висели "открытыми".

[LOM]

ну только дибилы оставляют порт 22 открытым на постоянке, остальные за кнок его прячут. у меня за 10 лет даже просто кнок на 1 порт с временным окном 15 сек. ни разу не пробовали подломать. хотя fail2ban следит за результатами с какого ip пытаются коннектиться, так на всякий случай.

[Andrey]

Запишите меня в дебилы.
У меня 2 хоста с открытым SSH. В среднем болтается 1-2 коннекта в любой момент времени, которые чего-то там хотят.
CentOS6 на обоих. Уже лет 7 как, апдейты автоматом раз в сутки. Взломов не было. Что я делаю не так?

PS. Мне вот интереснее всего - с какой целью люди пытаются ломиться в SSH с логинами типа oijfyufgurygf. Это варианты дырков какие что ль где-то были?

[langry]

Punto Switcher и слепой десятипальцевый метод набора

[Demige]

Это детишки, возомнившие себя кулхацкерами (после чтения одноименного журнала) и скачивания бесплатных хакерских утилит.

[uh3]

При этом по уровню "дырявости" MacOS обогнала даже Win10 в 2016.

Рассмешил

[Andrey]

Я лишь про цифры в таблице. И я сразу указал, что это лживая и неправильная статистика.

[Vadeg]

Кто подцепил, попробуйте пароль "WNcry@2oI7".

[Major Keis]

Сделал фулл бекап на внешний диск. Продолжаюна блюдение.

[telpv]

На работе ноут недавно поменял, бэкап остался на старом
Все, что нового наделал, валяется по сетке в разных местах.
Фотоархив валяется на 100 гигах яндекса

[Andrey]

Чиста из интереса - зацепило кого?

[Demige]

Пока нет

[Vadeg]

Но мы работаем в этом направлении

[410]

Зацепило, чо делать то?

[Andrey]

Восстанавливать бэкапы. Вон выше пароль дали (хз подходит или нет - мне проверить негде). Платить точно смысла нет - судя по писанине в инетах - заплатившим ни фига не прислали.

[dimbor]

2 недели назад девочка занесла шифровальщика на сервер-файлообменник, со своего локального компа. но не WannaCry). Пострадали только те пользователи, которые требовали расшарить свои папки для общего пользования и девочка, которая пару дней делала вид, что это не она. Зашифровал все, что можно. Тело вируса было на компьютере девочки

[Sergio Safoni]

дочек и матерей ржд

[DiamondNN]

Они больше пострадали от собственных админов, которые че-то там услышав про вирус просто рубанули все нахрен.

[Andrey]

Мда... И вся эта херь из-за трёх десятков биткоинов...
Люди быстренько выследили "куда предлагается слать денежку", а ввиду схемы работы биткоинов - можно и чужой "баланс" позырить всегда.
Сделали смотрелку "доходов". Даже учитывая рост BTC последнее время - результат как-то "не очень внушает" учитывая масштабы.

ТЫК.

[Demige]

300 штук деревянных тоже неплохо. Но слабовато, да. Согласен.

[MadM]

эх счетовод. садись два.
57 тыщ баксов. с утра 50 было

[Shvedka]

300 биткойнов, а сейчас биткойн равен 95,959 рублей.

[MadM]

я чего не так смотрю?
Starting from 12 May 2017, WannaCrypt ransomware earned 43.10 BTC (~$74 841) to its creator

[Vadeg]

В деревянные тугрики переведи. В российские рубли. Которые у тебя в кошельке. По курсу. Сколько сейчас биткоин стоит? Сколько эти утырки насобирали? Умножь эти две цифирки и на результат смотри.

[MadM]

$74 841 * 60 = 4.5 млн. руплей
о каких 300 тыщах разговор?

[Vadeg]

Демига умножил 3 десятка биткойнов на округлённый курс в сто тыр.
Получил десяток 300тыров. Кривовато, но как-то так. Три ляма, короч.

[Demige]

https://www.google.ru/search?q=%D0%B...CIaSsAHHspKgCA

1 BTC 101 759.04 RUB

[Shvedka]

Снижается постепенно. Отбились, что ли

[jushi]

А мне вот интересно. Баланс посмотреть можно. А личность обналичившего никак вообще нельзя отследить?

[MadM]

сконвертить в пофик чего хоть в яндексденьги. подобных яндексу псевдовалют по миру полно.
и обналичивай сколько влезет.

[jushi]

И чо? Они правда обеспечивают полную анонимность транзакций?

[Demige]

У тебя есть только доступ к конкретному кошельку. Грубо говоря ключ. Никакой информации о личности нет. Конечно если ты сам где-то не выложил номер своего кошелька и паспорт. Ну и передать ты можешь просто кошелек кому угодно передав ключ.

[jushi]

Это понятно, но нельзя же по этому ключу получить напрямую наличные. Или можно? Есть каналы вывода, минуя средства идентификации?

[MadM]

все мошенничество сейчас завязано именно на электронных кошельках.
купил симку в переходе. на паспорт бомжа завел карту. завел яндекс киви и снимай нехочу

[jushi]

Так если паспорт бомжа, тогда зачем яндекс киви и вообще биткоины?

[~GZ]

Скачал вирусов себе на линух.

Распаковал.

Поставил под root.

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

[Shvedka]

отправил туда $5 из жалости и пошел спать...

А теперь срочно сотри это сообщение и открывай свой бизнес

[Vadeg]

Молдавский вирус))

[~GZ]

Да, блин, не то слово!
Читаешь все эти истерики в интернетах в последние дни и диву даешься - ну как так можно?!

[Andrey]

Ты просто не знаешь как у некоторых.
Из силовиков в Нижегородской области совсем хорошо только МЧС, насколько я понял. У остальных степень тяжести разная, но везде печаль, как я понял.

[Major Keis]

Внезапно интернетами в ноут маман прибило Spora. Это не WannaCry, но тоже хорошо: все документы пошли по п..де.

[Major Keis]

Форматнул, накатил линуксу. Пусть изучает. Лучшая защита от дурака, ящетаю.