Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Технический флейм »   Вирусы вида Wannacry: как работают, как с ними бороться?
RSS

Вирусы вида Wannacry: как работают, как с ними бороться?

Которые незаметно заражают, но активируются не сразу.

<<Назад  Вперед>> Страницы: 1 2 3 4
Печать
 
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Оффтоп: Однако, серьёзный вирус зашифрует все фотки и доки, а бекап не поможет. Причём, расшифровать, скорее всего, не удастся.
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Escalibur написал:
[q]
серьёзный вирус зашифрует все фотки и доки, а бекап не поможет
[/q]
Это как?
wrenchrox
Advanced Member
Inhale

Откуда: Москва
Всего сообщений: 1888
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
11 нояб. 2009
Silent Breeze написал:
[q]
OC Win7 x86
[/q]
Silent Breeze написал:
[q]
Avast
[/q]
Вот и ваша проблема.
Антивирусы не нужны, кроме того, что называется Здравый смысл™.


Rio444 написал:
[q]
никто такую систему сейчас использовать не будет
[/q]
Используют, работают.


Rio444 написал:
[q]
Это как?
[/q]
Wannacry, видимо.
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Именно, Wannacry
ATauenis
Advanced Member


Откуда: Москва
Всего сообщений: 2904
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
30 апр. 2015
Если бэкап на отдельном и отключённом в момент заражения носителе, то бэкапу ничего не будет.
wrenchrox
Advanced Member
Inhale

Откуда: Москва
Всего сообщений: 1888
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
11 нояб. 2009
Если шифруется то, что создано в перерыве между бэкапом и заражением, то бекап может быть бесполезен, amirite?
Но благо кто озаботился, патчи на самбу уже давно накатил...
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
wrenchrox написал:
[q]
Rio444 написал:
[q]
никто такую систему сейчас использовать не будет
[/q]
Используют, работают.
[/q]
Из контекста не вырывайте
Rio444 написал:
[q]
для серьезной работы никто такую систему сейчас использовать не будет.
[/q]
В качестве печатной машинки я и сам подобную использую.
Но там бэкап на 100Мб. И даже если он испортится - не смертельно.


wrenchrox написал:
[q]
Если шифруется то, что создано в перерыве между бэкапом и заражением, то бекап может быть бесполезен, amirite?
[/q]
Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть??
В бэкапе - офисные документы (ворд, эксель). Немного pdf и картинок.
mindforms
Advanced Member


Откуда: Ростов
Всего сообщений: 1085
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
31 янв. 2008
хм... а бэкап данных на внешний NAS под управлением Linux спасет отца русской демократии, интересно?


Rio444 написал:
[q]
В качестве печатной машинки
[/q]
Оффтоп: Всегда было любопытно посмотреть, как это выглядит - "печатная машинка" при наличии основного ПК...
Ладно, если это ноут не первой молодости,но ПК - он что, с отдельным монитором, столом, креслом?
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Rio444 написал:
[q]
Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть??
В бэкапе - офисные документы (ворд, эксель). Немного pdf и картинок.
[/q]
Речь шла об отсутствии антивиря. При этом на флешку скидываются уже испорченные шифрованием файлы.
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Escalibur написал:
[q]
Rio444 написал:
[q]
Поясните. Делаю бэкап на флэшку. Копирую на основной комп с антифирусом и файерволом. Что ему может быть??В бэкапе - офисные документы (ворд, эксель). Немного pdf и картинок.
[/q]
Речь шла об отсутствии антивиря. При этом на флешку скидываются уже испорченные шифрованием файлы.
[/q]
Снова не понятно. Зачем мне скидывать на флешку уже испорченные файлы?
Если они окажутся испорченными - лечение или форматирование диска и восстановление файлов из резервных копий.
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Rio444, вся гадость Wannacry в том, что ты можешь свои картинки/доки читать и редактировать, шифрование идёт прозрачно. Прльзователь даже не догадываетмя об этом. А когда настанет час "Ч", ты разом теряешь все данные, т.к. ключи вирь уничтожает. Также теряются ключи в момент лечения. Говорят, дешифровать пока не нашли способа.
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Escalibur написал:
[q]
[/q]
Уже понятнее. Антивирусы Wannacry не видят?
Как он запускается (первый раз)?
Через сколько наступает час "Ч"?
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Rio444, я глубоко вопрос не изучал. Запускается он, вроде, через дыру в винде. Антивирусы наверняка видят, далеко не новый вирь. Про час "Ч" не знаю, вроде по сигналу снаружи как-то массово активизнулся, начав выпрашивать деньги. Дырки уже пропатчили, но кто знает, сколько их ещё будет найдено :biggrin: . Просто дело в самом факте, что антивирь нужен.
А.вообще мы скатились в оффтоп, может тему создать "Wannacry" и с чем его едят?))
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Escalibur написал:
[q]
Просто дело в самом факте, что антивирь нужен.
[/q]
Так на основном компе, где хранятся бэкапы антивирь есть.

Escalibur написал:
[q]
А.вообще мы скатились в оффтоп, может тему создать "Wannacry" и с чем его едят?))
[/q]
ОК
Эта тема была выделена из темы "754-й сокет - что максимальное на это было?" (17 января 2018 10:55)
Arix
Advanced Member


Откуда: Саратов
Всего сообщений: 1399
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
18 июля 2015
Я, вот, так и не понял, как происходит заражение "ванной"? Если я не ставлю что попало, автозапуск в системе отключен. Снова жаба-скрипт? Я слышал такие ужасы, что достаточно просто иметь включенный компьютер, подключенный к интернету, и ничего при этом на нём не делать. Но это как? Разве такое возможно?
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
Escalibur написал:
[q]
Дырки уже пропатчили, но кто знает, сколько их ещё будет найдено
[/q]
Дырка называется SMB или её более новая версия CIFS. Т.е. весь набор протоколов обмена файлов по сети это одна большая дыра. WannaCry не первая вредоносная программа, которая использует т.н. сети майкрософт в качестве ворот для проникновения. Вспоминаем срочно ловсан ака мсбласт и сассер. Некоторые уже тогда (2003-й год однако) усвоили урок и в интернет, да и в публичную локальную сеть, не открывают доступ к сетевым шарам, пряча их за аппаратный файрвол (роутер). BTW, вот и ответ на сабжевый вопрос :) Ибо как тогда же выяснилось чисто программный не спасает. BTW, линуксная самба так же уязвима к подобным атакам как и мелкософтная смб, просто вирус виндовый на линуксах не запускается...

Arix написал:
[q]
Я, вот, так и не понял, как происходит заражение "ванной"?
[/q]
Очень просто - посылается некий особый сетевой пакет на порт (443), на котором служба доступа к файлам и принтерам сети майкрософт услужливо ждёт определённой команды извне. Ибо так она была изначально сделана. Дальше дело техники.
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Вспомнился Kido, который тоже через дыры в Smb лез в комп, а там авторан использовал. Хорошо, что он в семёрке не пашет, намаялся в своё время с ним.
Igor Michailov
Advanced Member


Откуда: Екатеринбург
Всего сообщений: 1132
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 авг. 2012
Защита от программ-шифровальщиков в Kaspersky Endpoint Security 10 для Windows
https://support.kaspersky.ru/10905


Escalibur написал:
[q]
Дырки уже пропатчили
[/q]
Для Windows XP вроде как нет. Так что эти компьютеры остаются уязвимыми.
uav1606
Advanced Member


Откуда: Енакиево
Всего сообщений: 4373
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
16 янв. 2008
Escalibur написал:
[q]
Rio444, вся гадость Wannacry в том, что ты можешь свои картинки/доки читать и редактировать, шифрование идёт прозрачно. Прльзователь даже не догадываетмя об этом. А когда настанет час "Ч", ты разом теряешь все данные, т.к. ключи вирь уничтожает. Также теряются ключи в момент лечения. Говорят, дешифровать пока не нашли способа.
[/q]
Насколько я знаю, WannaCry так не умеет. Он просто тупо шифрует постепенно файлы определённых типов, при этом меняя их расширения на .wncry. Файлы при этом сразу становятся недоступны.
Вообще, мне его опасность, особенно в плане распространения через SMB, кажется преувеличенной. Потому что у нас в городе, например, у всех интернет с серыми IP за NAT'ом, все пользуются роутерами, поэтому через SMB до индивидуальных компьютеров не достучаться. Разве что на предприятии кто-то запустит вирус обычным образом (например, скачает откуда-нибудь), тогда он, может быть, сможет по локалке дальше расползтись.
Мне вообще только один компьютер с ним попался за всё время.
DOS Logic
Advanced Member
d(-_-)b

Откуда: Украина. Ивано-Франковск
Всего сообщений: 4778
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 июля 2006
1) в свойствах сетевого подключения оставте галочку только около протокола TCP/IP версии 4
все остальное убрать

2) смотреть на красную лампочку на системнике, если вы ничего трудного не делаете не ПК, а лампочка светится почти постоянно, есть повод подумать над тем что происходит
ATauenis
Advanced Member


Откуда: Москва
Всего сообщений: 2904
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
30 апр. 2015
DOS Logic написал:
[q]
смотреть на красную лампочку на системнике
[/q]
Если она есть. На новых ноутбуках уже иногда её убирают, оставляя только "питание" и "заряд". Там остаётся только прислонять ухо к корпусу, и то если там не SSD.
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Anderson1 написал:
[q]
Очень просто - посылается некий особый сетевой пакет на порт (443)
[/q]
А закрыть этот порт?
Файрволы этот порт не контролируют?
aleksvolgin
Advanced Member


Всего сообщений: 2123
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
21 нояб. 2010
Anderson1 написал:
[q]
посылается некий особый сетевой пакет на порт (443)
[/q]
445 - хе-хе

Rio444 написал:
[q]
А закрыть этот порт?
[/q]
Закрой.

Rio444 написал:
[q]
Файрволы этот порт не контролируют?
[/q]
Контролируют, почему нет.

Anderson1 написал:
[q]
Ибо как тогда же выяснилось чисто программный не спасает
[/q]
Чё?
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Rio444, если закрыть, то не будет работать smb. А фаерволу в общем случае по барабану, что в пакете. Лишь бы пакет был надлежащим образом оформлен. Сторонние фаерволы могут уже иметь более тонкие настройки блокировок.
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
aleksvolgin, DDoS укладывает программный файрвол как и любой другой сервис.

aleksvolgin написал:
[q]
445 - хе-хе
[/q]
Ну склероз таки изменил :(
Rio444
Гость


Откуда: Ростов-на-Дону
Всего сообщений: 8632
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 сен. 2014
Escalibur написал:
[q]
Rio444, если закрыть, то не будет работать smb.
[/q]
Что это такое и зачем оно мне нужно?
aleksvolgin
Advanced Member


Всего сообщений: 2123
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
21 нояб. 2010
Anderson1 написал:
[q]
DDoS укладывает
[/q]
каким местом дидос к вирусам?

Anderson1 написал:
[q]
Ну склероз
[/q]
это не склерз, а незнание предмета.
Anderson1
Advanced Member


Откуда: Москва
Всего сообщений: 2098
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 фев. 2011
aleksvolgin, когда очень много систем бомбардируют комп такими запросами на уязвимость SMB, то получается фактически DoS-атака. Работа программного файрвола, который зависит от загруженности центрального процессора системы, замедляется и он не успевает блокировать запросы - в результате и один из них проходит. Такое я и наблюдал в августе 2003-го, когда в моей домовой сетке чуть ли все не поголовно заразились этим мсбластом... Хотя может файрвол был плохим - аутпост, если кто вспомнит.
aleksvolgin
Advanced Member


Всего сообщений: 2123
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
21 нояб. 2010
2003-й... оутпост... как же, помню, настраивал неоднократно это чудо знакомым с диалапом. У него ещё такой прикол был: [CENSORED] и BSOD на ровном месте. Как люди с ним жили ^-^
А какой тогда интернет был, любо дорого, не то что счас, кхе-кхе.
Igor Michailov
Advanced Member


Откуда: Екатеринбург
Всего сообщений: 1132
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 авг. 2012
Кстати, несколько раз в том году сталкивался с тем, что хакеры запускали шифровальщик, чтобы уничтожить следы своего пребывания на компьютерах организации.

Т.е. для пользователей это выглядело как обычная атака шифровальщика, а на самом деле, в сетях компаний хакеры изрядно пошалили.
Arix
Advanced Member


Откуда: Саратов
Всего сообщений: 1399
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
18 июля 2015
Типа "всё украдено до нас"?

444-й порт... Я не программист, для меня это всё, не такой тёмный, но всё же лес. Можно как-то более простым языком объяснить механизм проникновения данного вируса? Допустим, через этот порт вирус как-то влез в сеть. Но ему ещё как-то запуститься надо. А как? Заразить программы в расшаренных папках (или закинуть туда уже готовый екзешник вируса) и ждать, когда юзер их запустит?
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Подсунуть в порт пакет, который комп принимает, начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету. Причём с привилегиями обработчика пакетов, т.е. ядра. Это вкратце. Потом код от имени ядра творит, что хочет.
KennyDies
Full Member


Всего сообщений: 252
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
25 мая 2008
От Wannacry и прочих exe-шников маскирующихся под чего-то то там всякое разное (doc,xls,pdf ...) очень помогает это (при условии что вы его ещё НЕ словили)
На страже безопасности – Software Restriction Policies (SRP)
http://samag.ru/archive/article/818
Работает начиная с Windows XP/2003 Server!
Суть в том что можно блокировать запуск программ по критериям, например запретить запуск программ из сменных носителей (флешек, usb-hdd), временных папок, кэшей браузеров, рабочего стола (если это не штатно уствновленный софт). При этом можно кратковременно снимать эту защиту если вы запускаете что-то и уверены что это не вирус а затем включать её вновь.

При грамотной настройке - можно не пользоваться антривирусами вовсе.
Arix
Advanced Member


Откуда: Саратов
Всего сообщений: 1399
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
18 июля 2015
Escalibur написал:
[q]
начинает обрабатывать, выпадает с ошибкой, в результате которой управление передаётся полученному пакету.
[/q]
А почему оно передаётся? Если, обрабатывая что-то, программа выпадает с ошибкой, она просто уже не должна ничего обрабатывать и что-либо кому-либо передавать. Она же перестала работать, её уже нет. Я слышал о всяких переполнениях буфера, позволяющих выполнить что-то, что выполняться не должно. Но как это происходит? В моём представлении переполнение буфера - это ошибка, сбой, система пишет что-то вроде "Программа выполнила недопустимую операцию и будет закрыта". И убивает эту программу, она уже не может навредить.
Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали?
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
...интересно, а кто-либо поинтересовался, что порт 445 это ds: "Планировщик Виндовс"?
Escalibur
Advanced Member


Откуда: Москва
Всего сообщений: 945
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
12 окт. 2017
Arix, грубо говоря, за буфером уже программа обработчика. Пакет больше размером, чем буфер. Перезаписывается уже обработчик. И при возврате из какой-то функции в памяти по тому адресу уже совсем не то, что было.
но это не точно)))
Я в эту тему не сильно углублялся, баловался в молодости метасплойтом))
Good Loki
Full Member


Откуда: Зеленоград
Всего сообщений: 315
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
1 фев. 2012
Arix написал:
[q]
Уже реально страшно становится. Я так понимаю, уязвимость существует давно, почему же раньше её не использовали?
[/q]
Скорее всего использовали, просто делали это осторожно, не привлекая внимания:
[q]
13 августа 2016 года неизвестная прежде группировка, назвавшая себя The Shadow Brokers, разместила в репозитории GitHub, на сайте PasteBin, а также в социальных сетях Twitter и Tumblr сообщения об успешном взломе информационных систем и похищении данных группировки Equation Group. Часть похищенных файлов была выложена в открытый доступ, а часть новоявленная группа выставила на аукцион, с начальной ставкой 1 млн биткойнов (около $568 млн). Среди выложенных в открытый доступ файлов находились скрипты для установки и настройки серверов управления вредоносным ПО, а также инструменты для атаки на отдельные сетевые маршрутизаторы и экраны. Названия некоторых из этих инструментов совпадают с инструментами, упомянутыми в документах, похищенных Эдвардом Сноуденом.
[/q]
<<Назад  Вперед>> Страницы: 1 2 3 4
Печать
Полигон-2 »   Технический флейм »   Вирусы вида Wannacry: как работают, как с ними бороться?
RSS

0 посетителей просмотрели эту тему за последние 15 минут
В том числе: 0 гостей, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS