█ 12.05.2017 23:53
Цитата:
Ведется массовая атака криптором Wana decrypt0r 2.0
В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.
Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.
Связавшись с бывшими коллегами я был удивлен похожими исторями.
Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.
И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".
Вывод nmap:
Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.
В логах Windows я не нашел ничего необычного. Может быть плохо искал?
На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы. Если у вас есть похожие случаи, поделитесь информацией о них.
Несколько ссылок по теме:
Ссылка на Virustotal
Еще какая-то ссылка (нашел в интернете)
остальное смотрите в комментариях к новости
Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:
UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.
Патчи для исправления этой уязвимости можно скчатать на официальном сайте:
Microsoft Security Bulletin MS17-010
UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:
Откройте cmd.exe (коммандную строку)
Напишите:
Нажмите Enter
Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.
UPD3: В интернете находятся интересные подробности по данному инциденту:
Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
UPD4: хабраюзер xsash нашел интерактивную карту распространенности криптора:
В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.
Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.
Связавшись с бывшими коллегами я был удивлен похожими исторями.
Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.
И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".
Вывод nmap:
Код:
Host is up (0.017s latency). Not shown: 997 filtered ports PORT STATE SERVICE 135/tcp open msrpc 445/tcp open microsoft-ds 49154/tcp open unknown
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.
В логах Windows я не нашел ничего необычного. Может быть плохо искал?
На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы. Если у вас есть похожие случаи, поделитесь информацией о них.
Несколько ссылок по теме:
Ссылка на Virustotal
Еще какая-то ссылка (нашел в интернете)
остальное смотрите в комментариях к новости
Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:
UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.
Патчи для исправления этой уязвимости можно скчатать на официальном сайте:
Microsoft Security Bulletin MS17-010
UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:
Откройте cmd.exe (коммандную строку)
Напишите:
Код:
SYSTEMINFO.exe | findstr KB4013389
Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.
UPD3: В интернете находятся интересные подробности по данному инциденту:
Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
UPD4: хабраюзер xsash нашел интерактивную карту распространенности криптора:
Как водится - комментарии интересны.
В частности, говорится о проблемах в Мегафоне, Связном, МВД.
Есть не только эмоциональные, информационные, но и технические комментарии.
█ 13.05.2017 14:47
Короче. срочно обновлять все серваки и рабочие станции. мы уже все скачали и вперед.
█ 13.05.2017 15:42
Цитата:
Народ на ушах, до ночи ставят обновления... Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Можно отключить SMBv1
Код:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
█ 13.05.2017 15:56
Как я понял, тем, кто серваки и рабочие станции в автообновлении держит, бояться нечего? У меня просто есть один Windows2008 R2, где ничего не выдает, но он своевременно обновляется автоматом.
Код:
SYSTEMINFO.exe | findstr KB4013389
█ 13.05.2017 16:06
Цитата:
для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215 OlegON ➤ он своевременно обновляется автоматом
█ 13.05.2017 16:14
В общем, с обычным WU оно ни хрена не ставится, официальные прямые ссылки на этот патч для различных систем (русская локаль):
MS17-010
Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64
MS17-010
Windows XP SP3
Windows XP SP2 for x64
Windows Server 2003 for x86
Windows Server 2003 for x64
Windows Vista x86 Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 for x86
Windows Server 2008 for x64
Windows Server 2008 R2 for x64
Windows Server 2008 R2 for Itanium
Windows 7 for 32-bit Service Pack 1
Windows 7 for x64 Service Pack 1
Windows 8.1 for 32-bit
Windows 8.1 for x64
Windows 10 for 32-bit
Windows 10 for x64
Windows 10 Version 1511 for 32-bit
Windows 10 Version 1511 for x64
Windows 10 Version 1607 for 32-bit
Windows 10 Version 1607 for x64
█ 13.05.2017 16:54
Цитата:
не правда твоя :) встало автоматом на след день после выпуска - Windows10.0-KB4013429-x64.msu OlegON ➤ с обычным WU оно ни хрена не ставится
===
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
===
из журнала обновлений
===
Имя журнала: Setup
Источник: Microsoft-Windows-Servicing
Дата: 15/03/2017 12:46:10
Код события: 2
Категория задачи:(1)
Уровень: Сведения
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: xxxxx
Описание:
Состояние пакета KB4013429 изменено на Установлено.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-Servicing" Guid="{BD12F3B8-FC40-4A61-A307-B7A013A069C1}" />
<EventID>2</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>1</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2017-03-15T09:46:10.656186700Z" />
<EventRecordID>27</EventRecordID>
<Correlation />
<Execution ProcessID="1776" ThreadID="1808" />
<Channel>Setup</Channel>
<Computer>xxxxx</Computer>
<Security UserID="xxxxx" />
</System>
<UserData>
<CbsPackageChangeState xmlns="http://manifests.microsoft.com/win/2004/08/windows/setup_provider">
<PackageIdentifier>KB4013429</PackageIdentifier>
<IntendedPackageState>Installed</IntendedPackageState>
<ErrorCode>0x0</ErrorCode>
<Client>WindowsUpdateAgent</Client>
</CbsPackageChangeState>
</UserData>
</Event>
===
никаких обновлений отдельно не ставлю но обновляюсь на все что предлагается автоматом винда 10-ка 64b
при желании что ставится можно проверить по
и правильнее искать у себя не через сусинфо а в журнале винды - установка - там бинокля есть :)
█ 13.05.2017 18:36
Я больше про сервера... У меня несколько автоматом обновляемых - нигде не встало, ставил руками.
█ 13.05.2017 19:26
Цитата:
А какое из обновлении для windows 2008 Datacenter sp1 32 разрядная? OlegON ➤ В общем, с обычным WU оно ни хрена не ставится, официальные прямые ссылки на этот патч для различных систем:
█ 13.05.2017 21:56
Цитата:
У меня на половине встало. на половине нет. OlegON ➤ Я больше про сервера... У меня несколько автоматом обновляемых - нигде не встало, ставил руками.
Часовой пояс GMT +3, время: 23:54.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.