Нетобзор - форум про интернет

Пожалуйста, войдите или зарегистрируйтесь.


Расширенный поиск  

Автор Тема: Масштабна кібератака у світі: новий вірус поширюється з "пекельною швидкістю"  (Прочитано 4964 раз)

0 Пользователей и 1 Гость просматривают эту тему.

LutykАвтор темы

  • Придумают же люди... Актовый зал, половая тряпка, отдел регистрации актов...
  • Модератор
  • *
  • Благодарность: +1083/-0
  • Онлайн Онлайн
  • Сообщений: 5031
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / home Haier ce81b
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net

Хакерська програма блокує ПК і вимагає викуп у біткоїнах в обмін на дешифрування файлів

Багато організацій по всій Європі і Азії зазнали масштабної кібератаки з використанням раніше невідомої шкідливої програми. Як передає Бі-Бі-Сі, за даними впливової групи експертів з кібербезпеки MalwareHunterTeam, найбільше в результаті атаки вірусу постраждали сервери на території Росії і Тайваню. Під сильним ударом опинилися також комп'ютерні системи Великобританії, Іспанії, Італії, Німеччини, України, Португалії, Туреччини, Казахстану, Індонезії, В'єтнаму, Японії та Філіппін. «Новий вірус поширюється з пекельною швидкістю», - повідомляють дослідники MalwareHunterTeam. За інформацією експертів MalwareHunterTeam, комп'ютери атаковані шкідливою програмою WanaCrypt0r 2.0, яка є модифікацією програми під назвою WCry/WannaCry, що вперше з'явилася в лютому 2017 року. Співробітник компанії-розробника антивіруса Avast Якуб Кроустек повідомляє, що комп'ютерним вірусом, який хоче викуп, заражені як мінімум 57 тисяч комп'ютерів. Читайте також Штаби Макрона і Клінтон атакували хакери, пов'язані з Росією - The Guardian Про це він написав на сторінці у Twitter. За його словами, вірус атакував комп'ютери в Росії, Україні та на Тайвані.



Як зазначає ТСН, 12 травня лікарні і телекомунікаційні компанії по всьому світу стали жертвами хакерів-здирників. Хакерська програма блокує ПК і вимагає викуп у біткоінах в обмін на дешифрування файлів. У установ є тільки три дні, щоб відправити компенсацію хакерам. Після цього комп'ютери "поставлять на лічильник": ціна за повернення файлів зросте вдвічі. А якщо жертви хакерської атаки не заплатять протягом семи днів, то втратять свої файли назавжди. За повідомленнями низки російських ЗМІ, в Росії хакерської атаки зазнали сервери МВС та операторів зв'язку. Вірус атакував комп'ютери компанії, але не вплинув на зв'язок та абонентів, пише Бі-Бі-Сі. IT-фахівцям довелося відключити мережі, щоб вірус не поширився далі. У МВС РФ стверджують, що кібератаки на їхні сервери не було, а перебої, про які повідомляли ЗМІ, були викликані профілактичними роботами. Раніше національна служба охорони здоров'я Великобританії повідомила, що комп'ютерні системи лікарень по всій країні вийшли з ладу в результаті атаки "програм-вимагачів". Як пише Медуза, про ранню версію вірусу WannaCrypt стало відомо ще в лютому 2017 року. Він працює тільки на операційній системі Windows. Уразливість, яку використовує вірус, схожа на ту, що використовувалася Агентством національної безпеки США. Останнім часом хакери опублікували кілька готових інструментів АНБ для використання таких вразливостей — схоже, інші хакери ними скористалися для створення вірусу-здирника. Microsoft закрила уразливість, яку використовує вірус, в березні. На сайті виробника Windows опубліковано повідомлення із закликом оновитися. Всі, хто виявився заражений, по всій видимості, не оновилися. Як заражаються комп'ютери, у прямому ефірі можна подивитися на цій карті. На ній видно, що атаці піддалися користувачі майже по всій Європі, в США, Китаї, Латинській Америці.

Як заражаються комп'ютери, у прямому ефірі можна подивитися на цій карті(https://intel.malwaretech.com/WannaCrypt.html). На ній видно, що атаці піддалися користувачі майже по всій Європі, в США, Китаї, Латинській Америці.



Джерело https://www.unian.ua

Vitalik

  • prointer.net.ua
  • Администрация
  • *
  • Благодарность: +885/-0
  • Онлайн Онлайн
  • Сообщений: 8628
  • Город: Киев, а найти хоть на Марсе
  • Модем: ZTE AC70
  • Провайдер: Интертелеком, Lifecell
  • Тариф: Специально обученый)
  • Мобильный интернет - это просто!

Я правильно понимаю: надо скачать прогу и ее запустить?

LutykАвтор темы

  • Придумают же люди... Актовый зал, половая тряпка, отдел регистрации актов...
  • Модератор
  • *
  • Благодарность: +1083/-0
  • Онлайн Онлайн
  • Сообщений: 5031
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / home Haier ce81b
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net

Никто от этой бяки не застрахован. Распростроняется она через ел.почту. так что почту незнакомую и знакомую открывайте аккуратно. А лучше всего сделать зеркало диска с акронисом и сохранить его на флешке/переноске.

r0m1rez

  • tehniks.org.ua
  • Модератор 3G дилер
  • *
  • Благодарность: +244/-0
  • Онлайн Онлайн
  • Сообщений: 1774
  • Город: Киев
  • Модем: разные
  • Провайдер: Интертелеком
  • Тариф: Техникс 5 / Техникс 10
  • тел/viber: 0631164666 или t.me/r0m1rez

ох прибавится работы админам, наши тоже всех сотрудников уже предупредили, эта зараза масштабно так расползается...

Vitalik

  • prointer.net.ua
  • Администрация
  • *
  • Благодарность: +885/-0
  • Онлайн Онлайн
  • Сообщений: 8628
  • Город: Киев, а найти хоть на Марсе
  • Модем: ZTE AC70
  • Провайдер: Интертелеком, Lifecell
  • Тариф: Специально обученый)
  • Мобильный интернет - это просто!

r0m1rez

  • tehniks.org.ua
  • Модератор 3G дилер
  • *
  • Благодарность: +244/-0
  • Онлайн Онлайн
  • Сообщений: 1774
  • Город: Киев
  • Модем: разные
  • Провайдер: Интертелеком
  • Тариф: Техникс 5 / Техникс 10
  • тел/viber: 0631164666 или t.me/r0m1rez

Так а как она лезет, не понятно?
Цитировать (выделенное)
WanaCrypt0r попадает на компьютер через уязвимость в ОС с помощью удаленной атаки. Специальный код активируется на заражённой машине и получает доступ к центральному серверу.
Опасность его заключается в том, что он может восстановиться после полного форматирования жёсткого диска. Следовательно, он записывается в некую область HDD, недоступную системе и пользователям соответственно.
Разработчики вируса все ещё остаются неизвестными и не факт, что именно они стоят за атаками на пользователей и крупные компании. Есть мнение, что вредоносное ПО было продано определенным людям, которые и занимаются вымогательством.

LutykАвтор темы

  • Придумают же люди... Актовый зал, половая тряпка, отдел регистрации актов...
  • Модератор
  • *
  • Благодарность: +1083/-0
  • Онлайн Онлайн
  • Сообщений: 5031
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / home Haier ce81b
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net


В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между с собой.
Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.


Связавшись с бывшими коллегами я был удивлен похожими историями.

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.



Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.

И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".

Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:

Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
445/tcp   open  microsoft-ds
49154/tcp open  unknown


Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают

UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.

Патчи для исправления этой уязвимости можно скачать на официальном сайте:
Microsoft Security Bulletin MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Патч, для старых систем (Windows XP, Winows Server 2003R2) https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в коммандной строке:

dism /online /norestart /disable-feature /featurename:SMB1Protocol


Установить патчи при этом все равно рекомендуется

UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

    Перейдите по ссылке выше (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx) и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
    Откройте cmd.exe (коммандную строку)
    Напишите:

    wmic qfe list | findstr 4012212

    Нажмите Enter
    Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:

    http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017

    Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
    Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше.

UPD3: В интернете находятся интересные подробности по данному инциденту:

    Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
    Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
    В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
    В этом наборе есть опасный инструмент DoublePulsar.
    Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
    простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

r0m1rez

  • tehniks.org.ua
  • Модератор 3G дилер
  • *
  • Благодарность: +244/-0
  • Онлайн Онлайн
  • Сообщений: 1774
  • Город: Киев
  • Модем: разные
  • Провайдер: Интертелеком
  • Тариф: Техникс 5 / Техникс 10
  • тел/viber: 0631164666 или t.me/r0m1rez

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

https://meduza.io/news/2017/05/13/rasprostranenie-virusa-vymogatelya-udalos-priostanovit-blagodarya-registratsii-domena-iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea-com

ungewissheit

  • Постоялец
  • ****
  • Благодарность: +24/-0
  • Оффлайн Оффлайн
  • Сообщений: 272
  • Город: Kyiv
  • Модем: 2xEC315, Haier Con. M1
  • Провайдер: Intertelecom, DataGroup
  • Тариф: 2x3g day+, Tooway Satellite
  • Антенна: 2x24дб

Как всегда сетевые сервисы, самба. Можно у себя прикрыть шаринг, должно помочь. Хотя абсолютной уверенности нет, винда может все равно слушать эти порты, как уже бывало раньше. Поверх собственного же файрвола.  Для СНГ сумма неподъемная, а слово биткоин вызывает воспоминание про МММ. Так что хакеры промахнулись аудиторией.
Записан
WBR, alex

Vitalik

  • prointer.net.ua
  • Администрация
  • *
  • Благодарность: +885/-0
  • Онлайн Онлайн
  • Сообщений: 8628
  • Город: Киев, а найти хоть на Марсе
  • Модем: ZTE AC70
  • Провайдер: Интертелеком, Lifecell
  • Тариф: Специально обученый)
  • Мобильный интернет - это просто!

У меня вот про IP мысли возникли...и че это я на грязных сижу постоянно)

ungewissheit

  • Постоялец
  • ****
  • Благодарность: +24/-0
  • Оффлайн Оффлайн
  • Сообщений: 272
  • Город: Kyiv
  • Модем: 2xEC315, Haier Con. M1
  • Провайдер: Intertelecom, DataGroup
  • Тариф: 2x3g day+, Tooway Satellite
  • Антенна: 2x24дб

так это же червь, он по локалкам в адресах за NAT так же ходит, как и по прямым. В середине нулевых был уже такой, NDC атаковал и перезагрузку вызывал. Масштабы поражали. И тогда к Майкрософт было много претензий, мол их файрвол не работал.
Записан
WBR, alex

r0m1rez

  • tehniks.org.ua
  • Модератор 3G дилер
  • *
  • Благодарность: +244/-0
  • Онлайн Онлайн
  • Сообщений: 1774
  • Город: Киев
  • Модем: разные
  • Провайдер: Интертелеком
  • Тариф: Техникс 5 / Техникс 10
  • тел/viber: 0631164666 или t.me/r0m1rez

а слово биткоин вызывает воспоминание про МММ. Так что хакеры промахнулись аудиторией.
ну а каким же ещё способом им анонимно заполучить бабло с потерпевших? ))

ungewissheit

  • Постоялец
  • ****
  • Благодарность: +24/-0
  • Оффлайн Оффлайн
  • Сообщений: 272
  • Город: Kyiv
  • Модем: 2xEC315, Haier Con. M1
  • Провайдер: Intertelecom, DataGroup
  • Тариф: 2x3g day+, Tooway Satellite
  • Антенна: 2x24дб

Проверять локаль. Игнорировать бедные страны. Там только шум поднимется. Скорее всего шифрование асимметричными алгоритмами проводится и восстановить данные уже невозможно, если нет бекапа. Домашний/Офисный NAS/Timecapsule с автоматизацией наше все. У меня хоть винды нет в хозяйстве, но обновления linux несут не меньшую угрозу, ну почти, так что  каждый день бекапы со всех машин.  Это аксиома сохранения нервов.
Записан
WBR, alex

LutykАвтор темы

  • Придумают же люди... Актовый зал, половая тряпка, отдел регистрации актов...
  • Модератор
  • *
  • Благодарность: +1083/-0
  • Онлайн Онлайн
  • Сообщений: 5031
  • Город: на берегах Згара
  • Модем: work ZTE AC81B / home Haier ce81b
  • Провайдер: Intertelecom CDMA / Kyivstar 3G UMTS
  • Тариф: Супербезліміт 120 / 3G Адреналин + Ночной Безлимит
  • Антенна: Rnet 21 dBi 2 m
  • 0983833266/e-mail lutyk1999@ukr.net

Самое грустное, что пробовал качать те заплатки, а то ошибка страницы, то локализация винды им не нравится. для инглиш верси онли.. печалька.

r0m1rez

  • tehniks.org.ua
  • Модератор 3G дилер
  • *
  • Благодарность: +244/-0
  • Онлайн Онлайн
  • Сообщений: 1774
  • Город: Киев
  • Модем: разные
  • Провайдер: Интертелеком
  • Тариф: Техникс 5 / Техникс 10
  • тел/viber: 0631164666 или t.me/r0m1rez

Самое грустное, что пробовал качать те заплатки, а то ошибка страницы, то локализация винды им не нравится. для инглиш верси онли.. печалька.
аналогично, мелкомягкие в своём стиле )

 

+ Быстрый ответ