| Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Вирусы вида Wannacry: как работают, как с ними бороться? |
 |
Вирусы вида Wannacry: как работают, как с ними бороться?
Которые незаметно заражают, но активируются не сразу.
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 16 января 2018 18:49 Сообщение отредактировано: 16 января 2018 18:50
Оффтоп: Однако, серьёзный вирус зашифрует все фотки и доки, а бекап не поможет. Причём, расшифровать, скорее всего, не удастся. |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Escalibur написал: серьёзный вирус зашифрует все фотки и доки, а бекап не поможетЭто как? |
| wrenchrox
Advanced Member
Inhale Откуда: Москва Всего сообщений: 1888 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 11 нояб. 2009 |
Silent Breeze написал: OC Win7 x86Silent Breeze написал: AvastВот и ваша проблема. Антивирусы не нужны, кроме того, что называется Здравый смысл™. Rio444 написал: никто такую систему сейчас использовать не будетИспользуют, работают. Rio444 написал: Это как?Wannacry, видимо. |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Именно, Wannacry |
| ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
Если бэкап на отдельном и отключённом в момент заражения носителе, то бэкапу ничего не будет. |
| wrenchrox
Advanced Member
Inhale Откуда: Москва Всего сообщений: 1888 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 11 нояб. 2009 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 16 января 2018 20:18 Сообщение отредактировано: 16 января 2018 20:21
Если шифруется то, что создано в перерыве между бэкапом и заражением, то бекап может быть бесполезен, amirite? Но благо кто озаботился, патчи на самбу уже давно накатил... |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
wrenchrox написал: Rio444 написал:Из контекста не вырывайтеникто такую систему сейчас использовать не будетИспользуют, работают. Rio444 написал: для серьезной работы никто такую систему сейчас использовать не будет.В качестве печатной машинки я и сам подобную использую. Но там бэкап на 100Мб. И даже если он испортится - не смертельно. wrenchrox написал: Если шифруется то, что создано в перерыве между бэкапом и заражением, то бекап может быть бесполезен, amirite?Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть?? В бэкапе - офисные документы (ворд, эксель). Немного pdf и картинок. |
| mindforms
Advanced Member
Откуда: Ростов Всего сообщений: 1085 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 31 янв. 2008 |
хм... а бэкап данных на внешний NAS под управлением Linux спасет отца русской демократии, интересно? Rio444 написал: В качестве печатной машинкиОффтоп: Всегда было любопытно посмотреть, как это выглядит - "печатная машинка" при наличии основного ПК... Ладно, если это ноут не первой молодости,но ПК - он что, с отдельным монитором, столом, креслом? |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Rio444 написал: Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть??Речь шла об отсутствии антивиря. При этом на флешку скидываются уже испорченные шифрованием файлы. |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Escalibur написал: Rio444 написал:Снова не понятно. Зачем мне скидывать на флешку уже испорченные файлы?Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть??В бэкапе - офисные документы (ворд, эксель). Немного pdf и картинок.Речь шла об отсутствии антивиря. При этом на флешку скидываются уже испорченные шифрованием файлы. Если они окажутся испорченными - лечение или форматирование диска и восстановление файлов из резервных копий. |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Rio444, вся гадость Wannacry в том, что ты можешь свои картинки/доки читать и редактировать, шифрование идёт прозрачно. Прльзователь даже не догадываетмя об этом. А когда настанет час "Ч", ты разом теряешь все данные, т.к. ключи вирь уничтожает. Также теряются ключи в момент лечения. Говорят, дешифровать пока не нашли способа. |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Escalibur написал: Уже понятнее. Антивирусы Wannacry не видят? Как он запускается (первый раз)? Через сколько наступает час "Ч"? |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Rio444, я глубоко вопрос не изучал. Запускается он, вроде, через дыру в винде. Антивирусы наверняка видят, далеко не новый вирь. Про час "Ч" не знаю, вроде по сигналу снаружи как-то массово активизнулся, начав выпрашивать деньги. Дырки уже пропатчили, но кто знает, сколько их ещё будет найдено  . Просто дело в самом факте, что антивирь нужен.А.вообще мы скатились в оффтоп, может тему создать "Wannacry" и с чем его едят?)) |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Escalibur написал: Просто дело в самом факте, что антивирь нужен.Так на основном компе, где хранятся бэкапы антивирь есть. Escalibur написал: А.вообще мы скатились в оффтоп, может тему создать "Wannacry" и с чем его едят?))ОК |
| Эта тема была выделена из темы "754-й сокет - что максимальное на это было?" (17 января 2018 10:55) |
| Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 11:11 Сообщение отредактировано: 17 января 2018 11:12
Я, вот, так и не понял, как происходит заражение "ванной"? Если я не ставлю что попало, автозапуск в системе отключен. Снова жаба-скрипт? Я слышал такие ужасы, что достаточно просто иметь включенный компьютер, подключенный к интернету, и ничего при этом на нём не делать. Но это как? Разве такое возможно? |
| Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 11:17 Сообщение отредактировано: 17 января 2018 11:29
Escalibur написал: Дырки уже пропатчили, но кто знает, сколько их ещё будет найденоДырка называется SMB или её более новая версия CIFS. Т.е. весь набор протоколов обмена файлов по сети это одна большая дыра. WannaCry не первая вредоносная программа, которая использует т.н. сети майкрософт в качестве ворот для проникновения. Вспоминаем срочно ловсан ака мсбласт и сассер. Некоторые уже тогда (2003-й год однако) усвоили урок и в интернет, да и в публичную локальную сеть, не открывают доступ к сетевым шарам, пряча их за аппаратный файрвол (роутер). BTW, вот и ответ на сабжевый вопрос  Ибо как тогда же выяснилось чисто программный не спасает. BTW, линуксная самба так же уязвима к подобным атакам как и мелкософтная смб, просто вирус виндовый на линуксах не запускается...Arix написал: Я, вот, так и не понял, как происходит заражение "ванной"?Очень просто - посылается некий особый сетевой пакет на порт (443), на котором служба доступа к файлам и принтерам сети майкрософт услужливо ждёт определённой команды извне. Ибо так она была изначально сделана. Дальше дело техники. |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Вспомнился Kido, который тоже через дыры в Smb лез в комп, а там авторан использовал. Хорошо, что он в семёрке не пашет, намаялся в своё время с ним. |
| Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 11:28 Сообщение отредактировано: 17 января 2018 11:39
Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows https://support.kaspersky.ru/10905 Escalibur написал: Дырки уже пропатчилиДля Windows XP вроде как нет. Так что эти компьютеры остаются уязвимыми. |
| uav1606
Advanced Member
Откуда: Енакиево Всего сообщений: 4373 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 16 янв. 2008 |
Escalibur написал: Rio444, вся гадость Wannacry в том, что ты можешь свои картинки/доки читать и редактировать, шифрование идёт прозрачно. Прльзователь даже не догадываетмя об этом. А когда настанет час "Ч", ты разом теряешь все данные, т.к. ключи вирь уничтожает. Также теряются ключи в момент лечения. Говорят, дешифровать пока не нашли способа.Насколько я знаю, WannaCry так не умеет. Он просто тупо шифрует постепенно файлы определённых типов, при этом меняя их расширения на .wncry. Файлы при этом сразу становятся недоступны. Вообще, мне его опасность, особенно в плане распространения через SMB, кажется преувеличенной. Потому что у нас в городе, например, у всех интернет с серыми IP за NAT'ом, все пользуются роутерами, поэтому через SMB до индивидуальных компьютеров не достучаться. Разве что на предприятии кто-то запустит вирус обычным образом (например, скачает откуда-нибудь), тогда он, может быть, сможет по локалке дальше расползтись. Мне вообще только один компьютер с ним попался за всё время. |
| DOS Logic
Advanced Member
d(-_-)b Откуда: Украина. Ивано-Франковск Всего сообщений: 4778 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 июля 2006 |
1) в свойствах сетевого подключения оставте галочку только около протокола TCP/IP версии 4 все остальное убрать 2) смотреть на красную лампочку на системнике, если вы ничего трудного не делаете не ПК, а лампочка светится почти постоянно, есть повод подумать над тем что происходит |
| ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
DOS Logic написал: смотреть на красную лампочку на системникеЕсли она есть. На новых ноутбуках уже иногда её убирают, оставляя только "питание" и "заряд". Там остаётся только прислонять ухо к корпусу, и то если там не SSD. |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Anderson1 написал: Очень просто - посылается некий особый сетевой пакет на порт (443)А закрыть этот порт? Файрволы этот порт не контролируют? |
| aleksvolgin
Advanced Member
Всего сообщений: 2123 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 21 нояб. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 12:38 Сообщение отредактировано: 17 января 2018 12:42
Anderson1 написал: посылается некий особый сетевой пакет на порт (443)445 - хе-хе Rio444 написал: А закрыть этот порт?Закрой. Rio444 написал: Файрволы этот порт не контролируют?Контролируют, почему нет. Anderson1 написал: Ибо как тогда же выяснилось чисто программный не спасаетЧё? |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Rio444, если закрыть, то не будет работать smb. А фаерволу в общем случае по барабану, что в пакете. Лишь бы пакет был надлежащим образом оформлен. Сторонние фаерволы могут уже иметь более тонкие настройки блокировок. |
| Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 12:49 Сообщение отредактировано: 17 января 2018 12:57
aleksvolgin, DDoS укладывает программный файрвол как и любой другой сервис. aleksvolgin написал: 445 - хе-хеНу склероз таки изменил  |
| Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Escalibur написал: Rio444, если закрыть, то не будет работать smb.Что это такое и зачем оно мне нужно? |
| aleksvolgin
Advanced Member
Всего сообщений: 2123 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 21 нояб. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 12:59 Сообщение отредактировано: 17 января 2018 13:02
Anderson1 написал: DDoS укладываеткаким местом дидос к вирусам? Anderson1 написал: Ну склерозэто не склерз, а незнание предмета. |
| Anderson1
Advanced Member
Откуда: Москва Всего сообщений: 2098 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 фев. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 13:09 Сообщение отредактировано: 17 января 2018 13:11
aleksvolgin, когда очень много систем бомбардируют комп такими запросами на уязвимость SMB, то получается фактически DoS-атака. Работа программного файрвола, который зависит от загруженности центрального процессора системы, замедляется и он не успевает блокировать запросы - в результате и один из них проходит. Такое я и наблюдал в августе 2003-го, когда в моей домовой сетке чуть ли все не поголовно заразились этим мсбластом... Хотя может файрвол был плохим - аутпост, если кто вспомнит. |
| aleksvolgin
Advanced Member
Всего сообщений: 2123 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 21 нояб. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 13:21 Сообщение отредактировано: 17 января 2018 13:23
2003-й... оутпост... как же, помню, настраивал неоднократно это чудо знакомым с диалапом. У него ещё такой прикол был: [CENSORED] и BSOD на ровном месте. Как люди с ним жили ^-^ А какой тогда интернет был, любо дорого, не то что счас, кхе-кхе. |
| Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 14:42 Сообщение отредактировано: 17 января 2018 14:45
Кстати, несколько раз в том году сталкивался с тем, что хакеры запускали шифровальщик, чтобы уничтожить следы своего пребывания на компьютерах организации. Т.е. для пользователей это выглядело как обычная атака шифровальщика, а на самом деле, в сетях компаний хакеры изрядно пошалили. |
| Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 14:55 Сообщение отредактировано: 17 января 2018 14:59
Типа "всё украдено до нас"? 444-й порт... Я не программист, для меня это всё, не такой тёмный, но всё же лес. Можно как-то более простым языком объяснить механизм проникновения данного вируса? Допустим, через этот порт вирус как-то влез в сеть. Но ему ещё как-то запуститься надо. А как? Заразить программы в расшаренных папках (или закинуть туда уже готовый екзешник вируса) и ждать, когда юзер их запустит? |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 15:13 Сообщение отредактировано: 17 января 2018 15:16
Подсунуть в порт пакет, который комп принимает, начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету. Причём с привилегиями обработчика пакетов, т.е. ядра. Это вкратце. Потом код от имени ядра творит, что хочет. |
| KennyDies |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 17 января 2018 18:05 Сообщение отредактировано: 17 января 2018 18:06
От Wannacry и прочих exe-шников маскирующихся под чего-то то там всякое разное (doc,xls,pdf ...) очень помогает это (при условии что вы его ещё НЕ словили) На страже безопасности – Software Restriction Policies (SRP) http://samag.ru/archive/article/818 Работает начиная с Windows XP/2003 Server! Суть в том что можно блокировать запуск программ по критериям, например запретить запуск программ из сменных носителей (флешек, usb-hdd), временных папок, кэшей браузеров, рабочего стола (если это не штатно уствновленный софт). При этом можно кратковременно снимать эту защиту если вы запускаете что-то и уверены что это не вирус а затем включать её вновь. При грамотной настройке - можно не пользоваться антривирусами вовсе. |
| Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Escalibur написал: начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету.А почему оно передаётся? Если, обрабатывая что-то, программа выпадает с ошибкой, она просто уже не должна ничего обрабатывать и что-либо кому-либо передавать. Она же перестала работать, её уже нет. Я слышал о всяких переполнениях буфера, позволяющих выполнить что-то, что выполняться не должно. Но как это происходит? В моём представлении переполнение буфера - это ошибка, сбой, система пишет что-то вроде "Программа выполнила недопустимую операцию и будет закрыта". И убивает эту программу, она уже не может навредить. Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали? |
| Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
...интересно, а кто-либо поинтересовался, что порт 445 это ds: "Планировщик Виндовс"? |
| Escalibur
Advanced Member
Откуда: Москва Всего сообщений: 945 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 12 окт. 2017 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 18 января 2018 0:38 Сообщение отредактировано: 18 января 2018 0:40
Arix, грубо говоря, за буфером уже программа обработчика. Пакет больше размером, чем буфер. Перезаписывается уже обработчик. И при возврате из какой-то функции в памяти по тому адресу уже совсем не то, что было. но это не точно))) Я в эту тему не сильно углублялся, баловался в молодости метасплойтом)) |
| Good Loki
Full Member
Откуда: Зеленоград Всего сообщений: 315 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 1 фев. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 18 января 2018 7:36 Сообщение отредактировано: 18 января 2018 7:36
Arix написал: Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали?Скорее всего использовали, просто делали это осторожно, не привлекая внимания: 13 августа 2016 года неизвестная прежде группировка, назвавшая себя The Shadow Brokers, разместила в репозитории GitHub, на сайте PasteBin, а также в социальных сетях Twitter и Tumblr сообщения об успешном взломе информационных систем и похищении данных группировки Equation Group. Часть похищенных файлов была выложена в открытый доступ, а часть новоявленная группа выставила на аукцион, с начальной ставкой 1 млн биткойнов (около $568 млн). Среди выложенных в открытый доступ файлов находились скрипты для установки и настройки серверов управления вредоносным ПО, а также инструменты для атаки на отдельные сетевые маршрутизаторы и экраны. Названия некоторых из этих инструментов совпадают с инструментами, упомянутыми в документах, похищенных Эдвардом Сноуденом. |
| <<Назад Вперед>> | Страницы: 1 2 3 4 | Печать |
Полигон-2 » Технический флейм » Вирусы вида Wannacry: как работают, как с ними бороться? |
|
| 1 посетитель просмотрел эту тему за последние 15 минут |
| В том числе: 1 гость, 0 скрытых пользователей |
| Последние |
|
| [Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. | |
| Самые активные 5 тем |
|