[ОТВЕТИТЬ]
12.05.2017 23:53
KirillHome
 
Цитата:
Ведется массовая атака криптором Wana decrypt0r 2.0

В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.



Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.



Связавшись с бывшими коллегами я был удивлен похожими исторями.

Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.

Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.

И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".

Вывод nmap:

Код:
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
445/tcp   open  microsoft-ds
49154/tcp open  unknown
Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.

В логах Windows я не нашел ничего необычного. Может быть плохо искал?
На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы. Если у вас есть похожие случаи, поделитесь информацией о них.

Несколько ссылок по теме:

Ссылка на Virustotal
Еще какая-то ссылка (нашел в интернете)
остальное смотрите в комментариях к новости

Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:


UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.

Патчи для исправления этой уязвимости можно скчатать на официальном сайте:

Microsoft Security Bulletin MS17-010

UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

Откройте cmd.exe (коммандную строку)
Напишите:
Код:
SYSTEMINFO.exe | findstr KB4013389
Нажмите Enter
Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.

UPD3: В интернете находятся интересные подробности по данному инциденту:

Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
UPD4: хабраюзер xsash нашел интерактивную карту распространенности криптора:
GeekTimes

Как водится - комментарии интересны.
В частности, говорится о проблемах в Мегафоне, Связном, МВД.
Есть не только эмоциональные, информационные, но и технические комментарии.
13.05.2017 14:47
bob
 
Короче. срочно обновлять все серваки и рабочие станции. мы уже все скачали и вперед.
13.05.2017 15:42
OlegON
 
Цитата:
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Народ на ушах, до ночи ставят обновления...
Можно отключить SMBv1
Код:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
13.05.2017 15:56
OlegON
 
Как я понял, тем, кто серваки и рабочие станции в автообновлении держит, бояться нечего? У меня просто есть один Windows2008 R2, где
Код:
SYSTEMINFO.exe | findstr KB4013389
ничего не выдает, но он своевременно обновляется автоматом.
13.05.2017 16:06
OlegON
 
Цитата:
OlegON он своевременно обновляется автоматом
для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
13.05.2017 16:14
OlegON
 
В общем, с обычным WU оно ни хрена не ставится, официальные прямые ссылки на этот патч для различных систем (русская локаль):

MS17-010

Windows XP SP3


Windows XP SP2 for x64


Windows Server 2003 for x86


Windows Server 2003 for x64


Windows Vista x86 Service Pack 2


Windows Vista x64 Edition Service Pack 2


Windows Server 2008 for x86


Windows Server 2008 for x64


Windows Server 2008 R2 for x64


Windows Server 2008 R2 for Itanium


Windows 7 for 32-bit Service Pack 1


Windows 7 for x64 Service Pack 1


Windows 8.1 for 32-bit


Windows 8.1 for x64


Windows 10 for 32-bit


Windows 10 for x64


Windows 10 Version 1511 for 32-bit


Windows 10 Version 1511 for x64


Windows 10 Version 1607 for 32-bit


Windows 10 Version 1607 for x64
13.05.2017 16:54
student
 
Цитата:
OlegON с обычным WU оно ни хрена не ставится
не правда твоя :) встало автоматом на след день после выпуска - Windows10.0-KB4013429-x64.msu

===
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
===

из журнала обновлений

===
Имя журнала: Setup
Источник: Microsoft-Windows-Servicing
Дата: 15/03/2017 12:46:10
Код события: 2
Категория задачи:(1)
Уровень: Сведения
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: xxxxx
Описание:
Состояние пакета KB4013429 изменено на Установлено.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Servicing" Guid="{BD12F3B8-FC40-4A61-A307-B7A013A069C1}" />
<EventID>2</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-03-15T09:46:10.656186700Z" />
<EventRecordID>27</EventRecordID>
<Correlation />
<Execution ProcessID="1776" ThreadID="1808" />
<Channel>Setup</Channel>
<Computer>xxxxx</Computer>
<Security UserID="xxxxx" />
</System>
<UserData>
<CbsPackageChangeState xmlns="http://manifests.microsoft.com/win/2004/08/windows/setup_provider">
<PackageIdentifier>KB4013429</PackageIdentifier>
<IntendedPackageState>Installed</IntendedPackageState>
<ErrorCode>0x0</ErrorCode>
<Client>WindowsUpdateAgent</Client>
</CbsPackageChangeState>
</UserData>
</Event>
===

никаких обновлений отдельно не ставлю но обновляюсь на все что предлагается автоматом винда 10-ка 64b

при желании что ставится можно проверить по


и правильнее искать у себя не через сусинфо а в журнале винды - установка - там бинокля есть :)
13.05.2017 18:36
OlegON
 
Я больше про сервера... У меня несколько автоматом обновляемых - нигде не встало, ставил руками.
13.05.2017 19:26
Tiger
 
Цитата:
OlegON В общем, с обычным WU оно ни хрена не ставится, официальные прямые ссылки на этот патч для различных систем:
А какое из обновлении для windows 2008 Datacenter sp1 32 разрядная?
13.05.2017 21:56
bob
 
Цитата:
OlegON Я больше про сервера... У меня несколько автоматом обновляемых - нигде не встало, ставил руками.
У меня на половине встало. на половине нет.
14.05.2017 06:55
Starter
 
А кто-нибудь словил уже оное ?
14.05.2017 07:20
konst
 
я на WinXP и WinServer2003 вчера вечером накатил обновы.
14.05.2017 07:50
OlegON
 
Цитата:
Starter А кто-нибудь словил уже оное ?
Сбербанк банкоматами :)
14.05.2017 09:24
Occul
 
Для тех, у кого английская локаль старых систем и Windows 8, тоже есть обновления.

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64


14.05.2017 15:04
termit68ru
 
Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.
1. Скачайте патч MS17-010 для нужной Windows ...
2. Отключитесь от интернета.
3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
4. Вписываете эту команду в командную строку:
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.
5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
7. Перезагрузите компьютер.
8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.
Вот и всё. У меня и моих друзей всё заработало.
Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: ; возможно скоро выйдет декриптор .wncry
Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
14.05.2017 17:12
KirillHome
 
Вроде как остановили, довольно смешным способом - регистрацией домена.

Подробности на GeekTimes
14.05.2017 20:00
OlegON
 
Цитата:
KirillHome Вроде как остановили, довольно смешным способом - регистрацией домена.
Большая просьба, забирайте информацию, не надо утыкивать протухающими ссылками.

Что по поводу домена - это иллюзия, дыра серьезная, все ключи открыты, вполне возможно, что уже какая-то новая зараза работает, пока народ отдыхает. Патчить надо немедленно.

И, да, по поводу стенок и их правил. Писали уже, что не работает стенка против этого. Не знаю, как обходит, но виндовая хреновина не работает. За NAT не проходит, но это пока в локалку зверек не попадет. А там и с зарегистрированным доменом может всю винду порвать, поскольку не у всех DNS глобальный работает.
14.05.2017 22:21
OlegON
 
Распространение заразы в реальном времени:
Продолжает расходиться-то... Рано расслабились :)
15.05.2017 08:09
KirillHome
 
На Гиктаймс пишут, что пошла вторая и третья модификации.
Вторая стучалась по другому адресу (тут же был зарегистрирован новый домен), третья - без "стоп-крана", но с какой-то внутренней ошибкой, из-за которой не происходит шифрования.
15.05.2017 08:32
student
 
Цитата:
OlegON Писали уже, что не работает стенка против этого
до кучи можно отключить смб1 - как пишут это его старая дырка :(
dism /online /norestart /disable-feature /featurename:SMB1Protocol
15.05.2017 08:33
OlegON
 
Интересно, сколько мозгов будет вправлено на тему использования Windows для работы...
15.05.2017 11:02
~Guest~
 
Дома еще в пятницу все обновил. Пошел еще до кучи в банкомате обнулил карту, ну хз, как там Сбер будет поживать )))
15.05.2017 11:10
Micle
 
Цитата:
OlegON Интересно, сколько мозгов будет вправлено на тему использования Windows для работы...
меня больше интересует вопрос по количеству выставленных виндовых жоп в интернет... Всегда удивлялся что их так много.
15.05.2017 11:43
Carott
 
У меня в 2 сетях только 3 компа обновились самостоятельно, хотя везде стоит автообновление...
15.05.2017 11:52
OlegON
 
Цитата:
Carott 3 компа обновились самостоятельно
видимо, эти компы с 10кой были, как я понял, только ей прилетает, остальные MS не интересуют.
15.05.2017 11:57
bob
 
Цитата:
OlegON видимо, эти компы с 10кой были, как я понял, только ей прилетает, остальные MS не интересуют.
У меня и на 7=ку и на 2008R2 постоянно все прилетает. У нас правда WSUS стоит.
15.05.2017 12:01
OlegON
 
Цитата:
bob постоянно все прилетает
Речь идет о конкретном вот этом патче. Скорее у WSUS что-то вправлено... Мне пока ни одной серверной машины не попалось, куда бы прилетело само.
15.05.2017 12:11
bob
 
Вот это прилетело автоматом.
Правда поставили мы его только 13 мая. У нас стоит подтверждение загрузки на всех компах.

March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)

Installation date: ‎13.‎05.‎2017 20:33

Installation status: Successful

Update type: Important

A security issue has been identified in a Microsoft software product that could affect your system. You can help protect your system by installing this update from Microsoft. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article. After you install this update, you may have to restart your system.

More information:


Help and Support:
15.05.2017 12:17
Carott
 
Цитата:
OlegON видимо, эти компы с 10кой были, как я понял, только ей прилетает, остальные MS не интересуют.
XP стоит на них


Опции темы


Часовой пояс GMT +3, время: 22:55.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.