22.05.2017 12:18
Propil
 
Узнаём, есть ли в вашей локальной сети компьютеры с уязвимостью MS17-010
Исходники программы здесь
Скомпилированная лежит в Хранилище

Запускаем из командной строки примерно так (есть помощь)
Код:
ms17-010.exe -n 192.168.0.0/24
Получим что-то типа

Код:
failed to connect to 192.168.0.0
[-] 192.168.0.1 (Windows Server 2003 3790 Service Pack 2) stays in safety
[-] 192.168.0.8 (Windows Server 2003 R2 3790 Service Pack 2) stays in safety
Работает быстро.
Желательно запустить несколько раз
22.05.2017 12:27
OlegON
 
Если кому-то нужно, я прогнал файл выше по антвирусам, детектится, как подозреваемый, думаю, что все нормально:
22.05.2017 13:40
Micle
 
Про пострадавшие XP я говорю за то, что они кроме SMB v1 больше и не умеют никак фалйлы шарить. и отваливаются при этом от всей инфраструктуры.
22.05.2017 15:20
Micle
 
Цитата:
Propil Узнаём, есть ли в вашей локальной сети компьютеры с уязвимостью MS17-010
Если SMB v1 отключена через реестр, то утилита вообще ничего не выводит. Причём, не нужна даже перезагрузка компа. Добавляем ключ в реестр и забываем.
22.05.2017 23:51
KirillHome
 
На Гитхабе вроде как появилась лечилка

Но - есть ограничение - "Дело в том, что приложение Адриена Гине сканирует память пострадавшего компьютера и извлекает ключ непосредственно из системы. Данный ключ хранится лишь до момента первой перезагрузки, а значит эффективная работа утилиты возможна лишь в промежуток между заражением компьютера до его первого отключения или ребута.."
25.05.2017 14:38
OlegON
 
Как оказалось, делать свои биткоин-кошельки достоянием общественности операторы вредоноса не планировали. Проблему в коде малвари заметили специалисты Symantec Security Response. По их словам, в код WannaCry закрался баг, который провоцирует состояние гонки (race condition) и не дает шифровальщику генерировать уникальный биткоин-адрес для каждой отдельной жертвы. Из-за этого вымогатель оперирует только тремя известными специалистам кошельками и не имеет возможности проследить платежи, поступившие от конкретных пользователей.

Скорее всего, именно этим объясняется тот факт, что пока никто не сообщал о пользователях, которые благополучно расшифровали бы свои файлы после выплаты выкупа. Эксперты полагают, операторы WannaCry попросту не могут восстановить файлы некоторых жертв. Специалисты Symantec Security Response пишут, что авторы вредоноса уже устранили вышеописанный баг, но, тем не менее, большинство заражений были подвержены данной проблеме.
25.05.2017 14:42
OlegON
 
Цитата:
KirillHome Но - есть ограничение - "Дело в том, что приложение Адриена Гине сканирует память пострадавшего компьютера и извлекает ключ непосредственно из системы.
Ограничений даже чуть больше
Цитата:
К сожалению, wanakiwi по-прежнему сработает лишь в том случае, если зараженный компьютер не выключали и не перезагружали после атаки WannaCry. Также ключ в памяти может быть случайно «затерт» любым другим процессом, поэтому, по словам специалистов, пользователям «потребуется немного удачи».
29.05.2017 09:41
OlegON
 
Лингвистический анализ помог экспертам компании Flashpoint установить национальность хакеров, предположительно создавших и запустивших вирус WannaCry, который поразил компьютеры в 150 странах мира. Сообщается, что злоумышленники могут быть из южных областей Китая, Гонконга, Тайваня или Сингапура.

Согласно отчету, родным для хакеров был южный диалект китайского языка. К такому выводу исследователи пришли, проанализировав сообщения с требованием выкупа, которые появлялись на зараженных компьютерах. Все они были переведены на 28 языков, включая русский, норвежский, филиппинский, турецкий и другие.

Анализ показал, что практически все сообщения о выкупе были переведены через Google Translate, и только английская и две китайские версии (упрощенная и классическая), вероятно, были написаны носителями языка.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.