Как бороться с криптором Wana crypt0r 2.0 : Windows

OlegON · █ 20.05.2017 08:21

В общем, закройте 445 порт снаружи чем-нибудь кроме винды и вирус вряд ли до вас доберется.

Как расшифровать файлы Wana Cryptor

Propil · █ 20.05.2017 11:56

В дополнение, как себя обезопасить -

Цитата:

Windows 8 and Windows Server 2012
Windows 8 and Windows Server 2012 introduce the new Set-SMBServerConfiguration Windows PowerShell cmdlet. The cmdlet enables you to enable or disable the SMBv1, SMBv2, and SMBv3 protocols on the server component.

Notes When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled. This behavior occurs because these protocols share the same stack.

You do not have to restart the computer after you run the Set-SMBServerConfiguration cmdlet.

To obtain the current state of the SMB server protocol configuration, run the following cmdlet:
Get-SmbServerConfiguration | Select EnableSMB1Protocol, EnableSMB2Protocol

To disable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $false

To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $false

To enable SMBv1 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB1Protocol $true

To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-SmbServerConfiguration -EnableSMB2Protocol $true

Цитата:

Windows 7, Windows Server 2008 R2, Windows Vista, and Windows Server 2008
To enable or disable SMB protocols on an SMB Server that is running Windows 7, Windows Server 2008 R2, Windows Vista, or Windows Server 2008, use Windows PowerShell or Registry Editor.
Windows PowerShell 2.0 or a later version of PowerShell

To disable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

To disable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

To enable SMBv1 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force

To enable SMBv2 and SMBv3 on the SMB server, run the following cmdlet:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force

Цитата:

Registry Editor
Important This article contains information about how to modify the registry. Make sure that you back up the registry before you modify it. Make sure that you know how to restore the registry if a problem occurs. For more information about how to back up, restore, and modify the registry, click the following article number to view the article in the Microsoft Knowledge Base:
322756 How to back up and restore the registry in Windows
To enable or disable SMBv1 on the SMB server, configure the following registry key:
Registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB1
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled
To enable or disable SMBv2 on the SMB server, configure the following registry key:
Registry subkey:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersRegistry entry: SMB2
REG_DWORD: 0 = Disabled
REG_DWORD: 1 = Enabled
Default: 1 = Enabled

OlegON · █ 21.05.2017 08:50

Что делать, если заразились WannaCrypt

Нельзя очистить зараженную систему, установить патч. Установка патча лишь устраняет уязвимость, которая уже была успешно использована для заражения.

Нельзя очистить зараженную систему, удалив бэкдор. После компрометации вы не сможете гарантировать, что этот бэкдор был единственным.

Нельзя очистить зараженную систему, обновив антивирус. После компрометации вы не можете более доверять системе, а это необходимо для корректной работы антивируса.

Нельзя очистить зараженную системе, переустановив ОС поверх существующей. После компрометации файлы вредоноса могут размещаться не в системных директориях и не будут затронуты переустановкой.

Единственный способ – это полная переустановка системы после форматирования системных разделов. Еще раз, единственный способ – это полная переустановка системы после форматирования системных разделов.

Если вы уставливаете системы централизованно из подготовленного образа (golden image), убедитесь что установщик обновить систему и базы антивируса (в идеале, до раскатки на рабочие места).

P.S. Эти товарищи даже такой маленький абзац без ошибки написать не смогли, что уж там про систему...

OlegON · █ 21.05.2017 12:03

В общем, попробовал WNCRY сам. Разочарован.
Думал, что сейчас прямо так попрет, все зашифрует и всю локалку мне обвалит.

Перекрыл выход наружу, запустил. Радостно прошелестел диском, раскидал кучу файликов в этой же директории, зашифровал мне специально подложенные для него текстовички, даже вылез в открытую шару, не примонтированную диском, там все покодировал и убил кодировкой собственного же родителя, правда, не добавив расширение. Быстро, не спорю. Создает файлики .WNCRY, внутри, кстати, тоже с префиксом WNCRY. Выкинул всем известное окно, еще и периодически пытается его поверх всех поставить. Но OnTop не включает, просто раз в N времени на передний план выдвигает окошко. Часики тикают, на русском все написано, можно проверить состояние платежа, один раз, кстати, потом предлагает пару часов подождать, видимо, чтобы серваки платежные не обвалить. Для примера декодирует какой-то совершенно ненужный файлик ил AllUsers.

В сеть не лезет совсем. Я все ждал, что он мне локалку сканить начнет, поставил ему жертву, но нет...

Открыл сеть, заблокировал разрешение того длинного домена (возвращало Timeout), попробовал еще раз. Судя по всему, зверек увидел поломанность домена, размножаться вообще перестал.

Опасность его в локальной шифровке есть, а вот с распространением достаточно все бедненько...

OlegON · █ 21.05.2017 21:19

Тут и ыксперды подтянулись

Цитата:

Как связана киберпреступность и гибридная война. Мнение эксперта

Массовая атака червей-вымогателей WannaCry держала в напряжении весь мир в течение недели. Атака компьютерных злоумышленников с использованием уязвимостей операционной системы Windows XT (и более старых версий) началась в пятницу 12 мая, когда на сотнях тысяч компьютеров в 74 странах произошло шифрование файлов и на экранах мониторов появилось объявление о вирусном нападении с требованием выкупа путем перевода денег на три кошелька криптовалюты Биткоин. Нападение червей-вымогателей WannaCry было тщательно спланировано и организовано.

С другой стороны, массированная атака привела к росту резкому продаж Microsoft Windows и антивирусных программ по всему миру. Атака также послужила сигналом к более широкому использованию облачных технологий для хранения данных.

Автор: профессор Александр Ильинский, декан Международного финансового факультета Финансового университета при Правительстве РФ

и смех и грех, какие профессора пошли...

Ferus · █ 22.05.2017 07:45

Цитата:

OlegON ➤ Кто-то из ваших ближайших знакомых лично пострадал?

Один клиент словил. Серьезных проблем не было, данные были зарезервированы.

AndreyZh · █ 22.05.2017 08:19

Microsoft всё никак не могла заставить пользователей отказаться от Windows XP, поэтому решила выпустить бесплатную программу обновления под названием WannaCry.

Propil · █ 22.05.2017 08:59

Цитата:

AndreyZh ➤ Microsoft всё никак не могла заставить пользователей отказаться от Windows XP, поэтому решила выпустить бесплатную программу обновления под названием WannaCry.

Пострадали в основном машины с Windows 7

Micle · █ 22.05.2017 09:08

Цитата:

Propil ➤ Пострадали в основном машины с Windows 7

После повсеместного отключения SMB v1 - в пострадавших числятся в основном XP.

OlegON · █ 22.05.2017 10:12

Я еще что не очень уловил, тот разрекламированный DoublePulsar, с помощью которого якобы распространяется вирус, в metasploit лежит пригодным только для Windows 7 и 2008. Если плагинчик вытащить и поправить проверку, чтобы не обращал внимание на систему и пробовал ее пробить, то отваливается по таймауту Netbios. Какая-то мутная и чересчур разрекламированная компания. Были и похуже вирусы, которые прошли более незаметно для прессы и с меньшей паникой.