Нов криптовирус WanaCrypt

Всичко свързано с компютрите, новини, хардуер, софтуер, проблеми, съвети ...

Модератор: Moderators

Нов криптовирус WanaCrypt

Мнениеот 2GOOD » 14 Май 2017, 00:37

Масираната атака от 12.05.2017 WanaCrypt (WanaDecryptor) е заразила над 75000 системи по цял свят за по-малко от 24 часа.

Методът на действие е познат – програмата криптира всички файлове в компютъра на засегнатия, след което ключът се получава само ако бъде преведена сумата от 300 евро в биткойни.

Вируса изпзолва уязвимост във SMB (File Sharing) протокола на Windows, всичко без Win10 е уязвимо. Изтеглете пач от сайта на майкрософт за вашата версия:
https://technet.microsoft.com/en-us/lib ... 7-010.aspx

Пач за този експлоит има от месец Март, така че ако не сте си актуализирали операционанта система, направете го или изтеглете само крпката от линка по-горе.

Блога на Касерпски за атаката:
https://securelist.com/blog/incidents/7 ... the-world/

Ето един от адресите на хакерите:
https://blockchain.info/address/13AM4VW ... uy6NgaEb94
Благодарности на: 12good4Buys8cvTj6EB4MTGNTSC4w9Swnz
Аватар
2GOOD
Site Admin
 
Мнения: 4953
Регистриран на: 28 Май 2013, 15:40
Местоположение: Planet Mars

Re: Нов криптовирус WanaDecryptor

Мнениеот filchef » 14 Май 2017, 01:59

2GOOD написа:Масираната атака от 12.05.2017 е заразила над 75000 системи по цял свят за по-малко от 24 часа.

Методът на действие е познат – програмата криптира всички файлове в компютъра на засегнатия, след което ключът се получава само ако бъде преведена сумата от 300 евро в биткойни.

Вируса изпзолва уязвимост във SMB (File Sharing) протокола на Windows, всичко без Win10 е уязвимо. Изтеглете пач от сайта на майкрософт за вашата версия:
https://technet.microsoft.com/en-us/lib ... 7-010.aspx

Пач за този експлоит има от месец Март, така че ако не сте си актуализирали операционанта система, направете го или изтеглете само крпката от линка по-горе.

Блога на Касерпски за атаката:
https://securelist.com/blog/incidents/7 ... the-world/

Ето един от адресите на хакерите:
https://blockchain.info/address/13AM4VW ... uy6NgaEb94


Сигурно ли е това че този пач ще спаси положението щото е от 14 март а хакера се появява сега оказа се че те са два пача за уиндос 7 32битова и че единия го имам като съм инсталирал актуализациите януари месец - не знам защо другия който евентуално е от март не е пристигнал но го дръпнах и го инсталирах.

Вижте какво пише в първия коментар към статията

c0den написа:Posted on May 12, 2017. 7:33 pm

You may have an error throughout this entry. You call out SMBv2 however based on MS17-010 and what I have read about wannacry, it is SMBv1 that is being used for lateral movement.


а също и в този коментар

Mn90 написа:Posted on May 12, 2017. 9:30 pm

Hi,
Is it correct attack over SMBv2? The MS17-010 official description talks about SMBv1

This security update resolves vulnerabilities in Microsoft Windows. The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.
„За богослова познанието започва с Бог, за естествоизпитателят познанието завършва с Бог."
Макс Планк
„Толерантността ще достигне такова ниво, че на интелигентните хора ще бъде забранено да мислят, за да не обидят идиотите.“
Фьодор Достоевски
Аватар
filchef
 
Мнения: 2228
Регистриран на: 30 Сеп 2013, 20:49

Re: Нов криптовирус WanaDecryptor

Мнениеот Metamorph » 14 Май 2017, 09:28

Само не разбрах как да изтегля само кръпката . Когато цъкна на операционната система излизат още линкове.
https://support.microsoft.com/en-us/hel ... er-2012-r2
И в крайна сметка от къде се тегли този ъпдейт, защото всичко това е само информация, няма никакъв линк за теглене на нещо конкретно.
Metamorph
 
Мнения: 394
Регистриран на: 03 Сеп 2013, 12:02

Re: Нов криптовирус WanaDecryptor

Мнениеот dark-thirty » 14 Май 2017, 10:13

Metamorph написа:Само не разбрах как да изтегля само кръпката . Когато цъкна на операционната система излизат още линкове.
https://support.microsoft.com/en-us/hel ... er-2012-r2
И в крайна сметка от къде се тегли този ъпдейт, защото всичко това е само информация, няма никакъв линк за теглене на нещо конкретно.


Пачът можеш да го изтеглиш оттук:
http://www.catalog.update.microsoft.com ... =KB4012212
или
http://www.catalog.update.microsoft.com ... =KB4012215
#cryptoanarchy
Аватар
dark-thirty
 
Мнения: 105
Регистриран на: 10 Апр 2015, 17:49

Re: Нов криптовирус WanaDecryptor

Мнениеот jkminkov » 14 Май 2017, 15:10

дай на ***ното власт и му гледай сеира.
jkminkov
 
Мнения: 1115
Регистриран на: 01 Юни 2013, 13:55
Местоположение: Хасково

Re: Нов криптовирус WanaDecryptor

Мнениеот konqueror » 14 Май 2017, 18:32

https://techcrunch.com/2017/05/13/that- ... -accident/

Или всяко чудо за три дни :)
Аватар
konqueror
 
Мнения: 57
Регистриран на: 30 Дек 2016, 11:18

Re: Нов криптовирус WanaCrypt

Мнениеот bruter » 14 Май 2017, 20:11

Вече има нова версия на вируса, който не спира работа заради това че домейна hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com е регистриран.

Има и друг начин да се спре вируса, но не е ясно докога ще работи. Трябва да се създаде mutex с името MsWinZonesCacheCounterMutexA и това ще ви предпази от криптиране на файловете. За целта трябва да стартирате Powershell, да напишете следните 2 команди:

Код за потвърждение: Избери целия код
$createdNew = $False;
$mutex = New-Object -TypeName System.Threading.Mutex($true, "Global\MsWinZonesCacheCounterMutexA", [ref]$createdNew);

и да оставите конзолата на Powershell отворена за постоянно. Това е много важно иначе мутекса ще изчезне.

По-мързеливите могат да използват готово EXE:

https://twitter.com/hackerfantastic/sta ... 9895831553
https://github.com/HackerFantastic/Publ ... RYSLAP.zip

но не ви го препоръчвам.

Може да проверите дали мутекса е създаден като изтеглите SysinternalsSuite от https://technet.microsoft.com/en-us/sys ... 42062.aspx , разархивирате, отваряте нова конзола като администратор в папката където сте разархивирали и напишете:

Код за потвърждение: Избери целия код
handle64 -a |findstr MsWinZonesCacheCounterMutexA

Ако мутекса е създаден ще видите нещо подобно на:

Код за потвърждение: Избери целия код
  5BC: Mutant        \BaseNamedObjects\MsWinZonesCacheCounterMutexA
Последна промяна bruter на 14 Май 2017, 20:30, променена общо 1 път
На прос човек мое да му набиеш само един .Ур, акъл нема как да му набиеш
bruter
Bitcoin Fanatic
 
Мнения: 202
Регистриран на: 05 Авг 2013, 13:31

Re: Нов криптовирус WanaCrypt

Мнениеот bruter » 14 Май 2017, 20:28

Ако предпочитате да стартирате EXE което да създаде mutex и да ви предпази от криптиране на файловете, по-добре си го компилирайте сами:

Код за потвърждение: Избери целия код
/*
   Code to prevent WCRY ransomware on an unpatched host, registers
   the mutex used by the payload to prevent an infection from being
   run on the host. Innoculates the host by registering the
   same mutex. This wont stop your host being infected with the
   worm and used to infect other hosts but it will stop the
   ransomware component from being executed on a vulnerable host -
   stopping the payload.
   
   Compile with cl.exe /MT WCRYSLAP.cpp
    -- Hacker Fantastic (www.myhackerhouse.com)
*/
#include <stdio.h>
#include <stdlib.h>
#include <string>
#include <tchar.h>
#include <Windows.h>
#include <Winuser.h>
#include <strsafe.h>

#pragma comment(lib, "user32")

int _tmain(int argc, _TCHAR* argv[])
{
   HWND hWnd = GetConsoleWindow();// comment for NT4
   HANDLE hMutexoneInstance = CreateMutex(NULL,TRUE,"Global\\MsWinZonesCacheCounterMutexA0");
   if(GetLastError()== ERROR_ALREADY_EXISTS){
      printf("This machine is infected with WCRY worm already\n");
      while(1){
         Sleep(10000);
      }
   }
   printf("WCRY Worm innoculation - minimize but do not close this task");
   ShowWindow(hWnd, SW_HIDE);
   while(1){
      Sleep(10000);
   }
   return 0;
}
На прос човек мое да му набиеш само един .Ур, акъл нема как да му набиеш
bruter
Bitcoin Fanatic
 
Мнения: 202
Регистриран на: 05 Авг 2013, 13:31

Re: Нов криптовирус WanaCrypt

Мнениеот dob » 15 Май 2017, 07:49

Кой протокол се забранява за да не влезе?
dob
 
Мнения: 299
Регистриран на: 22 Мар 2014, 10:22

Re: Нов криптовирус WanaCrypt

Мнениеот guBaHe » 15 Май 2017, 09:50

dob написа:Кой протокол се забранява за да не влезе?


Компрометирания SMB протокол е част от Microsoft File Sharing протоколите.
Мисля, че някакси така се казваше: File and Print sharing for Microsoft Windows...
http://freebtclist.com - faucet сайтове за сатошита с таймери за всеки сайт и други благинки.
Аватар
guBaHe
 
Мнения: 516
Регистриран на: 14 Ное 2013, 19:19

Следваща

Назад към Компютри, Технологии и Програмиране

Кой е на линия

Регистрирани потребители: 2GOOD, Bing [Bot], George, ionicle, joretouzunov, Kris, mincho, Spenchoni, svetlim, viniamin