13 мая в 23:42

Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt

В эти дни все только и говорят о криптовымогателе WannaCry/Wcry/WannaCrypt, который в пятницу поразил десятки тысяч компьютеров по всему миру, но затем его распространение внезапно прекратилось.

Microsoft оперативно выпустила патчи для исправления уязвимости (патч может снести пиратскую Windows):


Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

По последней информации, криптовымогателю удалось поразить более 75 000 Windows-компьютеров как минимум в 99 странах мира. Но масштаб распространения WannaCrypt мог быть на порядок больше, если бы не действия одного специалиста по безопасности, автора блога MalwareTech Blog. Он рассказывает, как всё было.

Этот герой — 22-летний хакер и блоггер из Великобритании, чьё имя пока не стало достоянием гласности. Он пишет, что в пятницу у него был выходной. Он проснулся около 10:00 и залогинился в национальную систему отслеживания киберугроз, чтобы посмотреть за распространением банковского зловреда Emotet — самого значительного события последних дней. Ничего необычного не заметил и пошёл завтракать. Когда вернулся домой около 14:30, то обнаружил кучу сообщений о заражении различных больниц и медицинских систем криптовымогателем. Такие заражения происходили и прежде, но здесь как будто масштаб был больше, чем раньше.

При помощи своего друга — хакера под ником Kafeine — парень быстро достал образец зловреда, запустил его в виртуальной машине и увидел, что тот отправляет запросы на незарегистрированный домен. Это было интересно.

Статистика Cisco Umbrella показала, что запросы к этому домену начались в пятницу в 8:00 утра и росли лавинообразно.



Блоггер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он. Ботнеты часто генерируют названия доменов для командных серверов (C2C) каждый по своему алгоритму. Алгоритм известен злоумышленникам, так что они могут заблаговременно зарегистрировать этот домен. Иногда исследователям и антивирусным компаниям удаётся опередить их, и тогда они получают возможность изнутри изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело. Автор блога MalwareTech Blog говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.

В то время как после регистрации обновлялись записи в системах DNS, парень изучил поведение зловреда в виртуальной машине. Выяснилось, что после шифрования файлов тот начинает сканировать случайные IP-адреса по порту 445 (используется SMB). Уже это наводило на мысль, что WannaCrypt может быть как-то связан с эксплойтом АНБ для SMB, который как раз месяц назад появился в открытом доступе благодаря взлому серверов АНБ хакерской группой ShadowBrokers.


Поскольку все заражённые стучались к этому домену, то получив контроль над ним, исследователь по логам смог составить список IP-адресов и карту заражений.

Вчера примерно в 18:23 BST хакер попросил сотрудника изучить код зловреда на предмет генерации новых доменных имён — нужно было проверить, что домен для связи не изменится. Через пять минут сотрудник появился в паническом состоянии. Он сказал, что регистрация домена связана с шифрованием файлов — то есть парни несут ответственность за шифрование файлов на всех компьютерах (позже выяснилось, что это не так). Они быстро связались с хакером Kafeine, и тот показал свежий твит исcледователя из компании ProofPoint Дирена Хусса (Darien Huss), который более тщательно разобрал код зловреда после обратной разработки. Оказалось, что всё наоборот — именно регистрация домена остановила дальнейшее распространение криптовымогателя.



Как видно на скриншоте кода, зловред осуществляет HTTP-запрос к незарегистрированному домену. Если запрос успешный, то он прекращает работу. Если запрос неуспешный, то выполняется код программы и начинается шифрование файлов.

Твит опубликован 12 мая в 20:29.

Вооружённый этой информацией, парень снова загрузил своё виртуальное окружение, запустил зловреда — и ничего не произошло, он больше не работал.

Первой мыслью было, что запрос к этому домену использовался в качестве некоего «аварийного стоп-крана», который должен сработать, если что-то пошло не так. Но более вероятно, что авторы зловреда просто некорректно реализовали защиту от анализа своей программы (защита от виртуального окружения). Вероятно, при запуске в виртуальном окружении запрос к такому домену должен был давать положительный ответ — эмуляторы пытаются убедить зловреда, что виртуальное окружение является нормальным и всё работает как надо. Поэтому они перехватывают все такие запросы и возвращают IP-адрес песочницы. Похожую технику защиты от виртуального окружения использует троян Necurs.

Соответственно, если запрос к домену возвращает успешный ответ, зловред думает, что он в песочнице, и аварийно прекращает работу.

Вот так совершенно случайно один исследователь сумел остановить распространение глобальной вирусной инфекции, о которой сейчас говорят во всех новостях.


Но расслабляться не стоит. На этот раз людям просто повезло, что злоумышленник ошибся с одной функцией в коде, но в следующий раз ошибки не будет — и «киберапокалипсис» может оказаться настоящим. Будем считать, что это была тестовая проверка. Новые версии наверняка появятся в ближайшие дни.

UPD. Обнаружены второй и третий варианты WannaCry, в том числе без стоп-крана
Анатолий Ализар @alizar
карма
667,3
рейтинг 581,2
Редактор
Самое читаемое

Комментарии (118)

  • +4
    Всего то поменять пару строк в коде и всё продолжится до тех пор, пока все уязвимые системы не накатают обновления, которые закрывают дыру. Игра в кошки-мышки
    • +3
      А необновляемая винда будет на каждом десятом вокзальном инфоэкране, на каждом десятом банкомате — повсюду, до тех пор, пока надо за неё платить (ну или пока до людей не дойдёт, и всюду будет linux).

      Возможно, до людей таки дойдёт, когда то же самое начнёт происходить с android, который тоже ничерта не обновляется у большинства пользователей.
      • +12
        (ну или пока до людей не дойдёт, и всюду будет linux)

        Вы считаете, линукс будет магически обновляемым? Или что на линукс-системах не будет уязвимостей?

        • –3
          Я лично встречал сотни компьютеров с отключенными или не работающими обновлениями на винде. И ни одного с отключенными или не работающими обновлениями на linux (речь только о десктопах: я не учитываю андроиды, тв, тв-приставки и эмбедд).

          Такой уж у меня опыт. Предположения, почему так происходит, и прочую аналитику — оставлю уважаемым читателям.
          • +3
            После того, как у меня упала система в linux после обновлений, я не ставлю обновлений, кроме безопасности.
          • +1
            Ну я выключил обновления на винде.
            Почему? Да потому что эта зараза жрет всю ОЗУ которая есть и проц грузит по полной.
            Запускаю время от времени обновиться, потом выключаю.
            • 0

              Не должно такого быть, если всё нормально настроено. Максимум, непосредственно во время обновления (которое происходит примерно раз в месяц).

            • +1
              А это уже вреденосный код(замаскированный под случайные ошибки) от самой Майкрософт такой эффект дает. Чтобы с 7 и 8й винды быстрее на 10ку переходили.
      • 0
        Так о том собственно и речь: у любой оси есть дыры и чем больше популярность у оси — тем чаще этими уязвимостями будут пользоваться.

        Необновляемая винда на банкоматах конкретно для этой угрозы не так страшна, т.к. в банкоматах никакой ценной информации не хранится (ну разве что логи и записи с камер). Да и сидят эти системы в изолированной сети за двумя NATами (по крайней мере в той организации, где я работаю).
        • 0
          А нельзя, держа под контролем ОС, заставить банкомат сыпать деньги?
          • +1
            Как показывает практика из последних событий с «бестелесным вирусом» — можно, причем ОС держать в заложниках не нужно. Достаточно знать как правильно обратиться к контроллеру диспенсера, который отвечает за процесс выдачи банкнот.
            Как я говорил выше — эта вирусня не страшна для старых необновляемых систем на древней XP, т.к. банк потеряет только на времени простоя банкомата, что уйдет на выезд специалиста и на раскатку образа.
          • 0
            Если бы это было возможно, сейчас бы каждый школьник опустошал банкоматы.
            Там всё гораздо интересней — ОС там не больше чем фоторамка, все остальные ответственные узлы имеют свой уровень изоляции, шифрование и канал связи с банком. Даже несчастный пин-пад имеет в своём составе независимый криптографический процессор.
            Максимум что можно сделать имея под контролем ОС — это парализовать работу банкомата.
        • 0
          сегодня только настройщик банкоматов сбербанка приходил и показал, что там древняя винХР стоит, а ей, вроде как, WannaCry не страшен…
          • 0
            И тем не менее, мелкомягкие выпустили под XP патч
          • +1
            Как это не страшен? Дыра есть, но не страшно? Мелкомягкие выпустили даже патч для ИксПи, а им (настройщикам) не страшно!!!
            • –2

              Может там самба выпилена и конкретно этим не страшно, но понято было не так.

        • –1
          Вообще — какого фига на банкоматах винда?
          OS/2 форева :)
      • 0
        Когда linux станет такой же популярный как windows будут и там вирусы.
        • 0
          И тогда появится множество дистрибутивов, сделанных с целью безопасности, на которые можно будет перейти и при этом пользоваться всем необходимым софтом. Именно в этом прелесть Линукса — у вас всегда будет выбор.
  • –2
    Поразительно, насколько тупым нужно быть, чтобы так делать? А если этот домен, будь он активен, запускал бы вайп пораженных систем?
    • +7
      Нуу… Если подумать… то наверно вайпнулись бы новые пораженные системы.
      А если честно то не виже ничего тупого, хотел человек посмотреть для чего домен.
      • +5
        Ну так и проверил бы в лаборатории, а то из описания следует, что он увидел, что тварь стучится в домен, так он зарегистрировал его и позволил зараженным машинам его увидеть. А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать.
        • +4
          Согласен, мог бы тупо создать домен в виртуалке. а не в миру. Тем более не пришлось бы ждать обновления DNS записей.
          • +9
            Я думаю, что изначальная цель регистрации была не «посмотреть, что он там посылает», а опередить злоумышленников с регистрацией, потому что, наиболее вероятно, он с этого домена мог некоторые управляющие сигналы получать. Об этом как раз написано в статье: обычная практика для других зловредов, когда домены случайно генерируются, и поняв алгоритм их генерации, можно «перехватить» у создателей управление ботнетом.
            • 0

              Почему же злоумышленники тогда заранее домен не зарегистрировали? Или они не знают, что генерит их зловред?

              • 0
                Объяснили же в статье, это защита от запуска в виртуальной среде. Стучимся по какому-то рандомному адресу (абракадабре из символов). Ответ и не ожидается. Злоумышленники в данном случае в принципе не собирались ничего регистрировать.
                • 0
                  Я думаю, что изначальная цель регистрации была не «посмотреть, что он там посылает», а опередить злоумышленников с регистрациейобычная практика для других зловредов, когда домены случайно генерируются,...

                  Вы комментарии читаете?

              • 0
                Почему же злоумышленники тогда заранее домен не зарегистрировали?

                На сколько я знаю — такие домены очень быстро блокируют, потому домены каждый день генерируются новые по определенному алгоритму и закупить доменов на 300 дней вперед — довольно муторно и дорого. Потому безопасники покупают домен, который будет использоваться через 50 дней и останавливают распространение ботнета.
        • +5
          Если можно, поделитесь опытом быстрого дизассемблирования и быстрого анализа кода профессионально сделанных вирусов.
          • –1
            Не очень понял, почему я должен делиться опытом. Я себя специалистом по безопасности не называл и никаких доменов не регистрировал, просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?
            • +9

              Дело в том, что linka1975 подумал, что раз вы позволяете себе такие комментарии, то вы уже проделывали то что советуете другим.


              А на самом деле, у вас Эффект Даннинга — Крюгера


              Вы "Я себя специалистом по безопасности не называл и никаких доменов не регистрировал", при этом позволяете давать специалисту советы в стиле "А надо было СНАЧАЛА просмотреть в коде, для чего этот домен нужен, а ПОТОМ его активизировать"


              Вы — типичная домохозяйка, которая конечно лучше всех знает что именно и в какой последовательности надо делать. Идите обратно на кухню.


              просто я считаю, что если чувак увидел, что один экземпляр заразы стучится в домен, похожий на рандомный, и тут же побежал его регистрировать, то он ни разу не специалист, вам так не кажется?

              Нет, не кажется.

              • 0
                Нет, как раз такое я не подумал, потому что знаю, что это трудновато.
              • +1
                Если можно, поделитесь опытом быстрой диагностики когнитивных искажений у типичных домохозяек.
            • +1
              1) Вот и я подумал, что у вас нет опыта дизассемблирования, что и требовалось доказать.

              2) Не кажется.

              Он сначала логично проверил существование этого домена, например на кого он зарегестрирован, ну и сообщить куда следует, чтобы его заморозили…
              Но домена не существовало, а потому логично было опередить злоумышленников.
              .
          • +1
            Он написан достаточно понятно, там нет какой-либо обфускации.
            • –1
              … на чём написан, интерестно…
              и во-вторых, всё прошло так буднично и легко — и написание вируса, и его анализ…

              выходит, единственным эсклюзивом был эксплойт от АНБ…

              Уже многие пишут, что «дыра» в протоколе была заложена исскуственно, изначально.

              Вот и директор Майкрософт публично покритиковал АНБ,
              что как бы намекает на игру на публику, с целью отвести от себя критику,
              т.к. о неформальных договорённостях крупных компаний с АНБ многократно говорилось…
              • +1
                Microsoft Visual C++ 6 с MFC.
    • 0
      А если этот домен, будь он активен, запускал бы вайп пораженных систем?

      Разделегировать и все дела.
      • +1
        Ну у меня еще много идей, для чего этот домен мог бы быть нужен. Например, переключить заражение со случайных ip на сплошной скан локалок.
        Нельзя просто так брать и активировать домен в настоящем интернете, на который стучится зараза, не понимая, для чего он ей нужен.
        • +1
          Пока будешь понимать для чего нужен домен, тебя опередят.
      • +2
        Вайп тоже вполне мог бы остановить распространение, так что это всё равно меньшее из двух зол. Но заглянуть в IDA, конечно, недолго.
        • 0
          c чего бы? Удалялись бы только ранее зашифрованные файлы.
          • 0
            Зависит от реализации.
  • 0
    https://intel.malwaretech.com/botnet/wcrypt Показывает что заражения не прекратились. Так, чему верить?
    • 0
      Пошло на спад.
    • 0
      Карта получает информацию от этого зарегистрированного домена и показывает, то с каких IP к этому домену постучались.

      А раз семпл завершается после подключения к домену, то это показывает что распространение с зараженных компов идет, но скорее всего уже безвредное.
    • +1

      Есть версия без тормозов.

  • +1
    >>>>Парень случайно остановил глобальное распространение криптовымогателя WannaCrypt

    >>Блоггер зарегистрировал домен на себя за 8 фунтов ($10,69). Это стандартная практика, говорит он.
    >>изучить работу командного центра ботнета, собрать данные о географическом распределении ботов, провести обратную разработку софта. Так что регистрация этих доменов — нормальное дело.
    >>Автор блога MalwareTech Blog говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.

    Да ну ведь нет никакой случайности,
    как и говорится в самой же статье регистрация домена это целенаправленное действие при изучении зловреда.

    Вполне очевидно что зарегистрировать домен с именем «iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com» вероятность_крайне_мала.jpeg
    • +6
      Он не домен случайно зарегистрировал, а червя случайно остановил, потому что не знал, для чего этот домен червям нужен.
    • +4
      >>Это стандартная практика, говорит он… говорит, что за прошлый год он зарегистрировал несколько тысяч доменов.

      Это стандартная практика тратить несколько десятков тысяч баксов в год на регистрацию доменов? )))
      • 0
        Для людей, занимающихся их изучением? Почему нет?
      • 0
        Если по итогу он заработает сотню тысяч,
        то при таком раскладе как говорит тётя Зоя таки вероятно поиметь некий гешефт.
  • +2
    Новые версии наверняка появятся в ближайшие дни.

    Новые версии зловреда с пропатченным поведением по домену? )
  • +3
    Вот так и становятся национальными героями.
  • –4

    Я случайно распространение криптовымогателя.

  • 0
    В качестве временной меры полезно прописать этот домен в локальной сети. Особенно если не все ПК смотрят в интернет.
  • +4
    А мог так же случайно присесть на N лет. Попробуй докажи, что не ты запустил вирус, если для его управления используется зарегистрированный на твоё имя домен. Может и для него это было уроком и теперь сперва будет изучать код, чтобы потом не рвать остатки волос на жо.
    • +3
      А кто должен был это сделать, АНБ, которое этот эксплойт прошляпило (если не само внедрило в Винду)? Куда обращаться в таких случаях, в полицию что ли? А если в лесу незатушенный костёр увидел, не заливать по-пионерски ни в коем случае, чтобы ДНК не оставить?
      • +4
        Я не об этом, а о том, что если что, то этим хакерам было бы очень сложно доказать, что они не при чём и зарегистрировали домен из исследовательских побуждений.

        Про пионеров. Вот видишь ты костёр у стены ядерного реактора, а рядом стоит канистра с какой-то жидкостью. Ты берёшь эту канистру без перчаток и, не понюхав, выливаешь содержимое на костёр. Тебе повезло и там была вода, костёр потушен, ты герой. Другая ситуация — в канистре бензин. Среди руин нашли не пострадавшую канистру (ты «счастливчик»), на ней твои отпечатки пальцев, а ещё ты паспорт убегая выронил и он тоже не сгорел при взрыве реактора. Докажи, что ты не устраивал поджог, а хотел потушить, вылив неизвестное содержимое канистры…
        • 0
          Если ты попробуешь вылить канистру бензина в костер, то тебя судить за это не будут. В связи со смертью подозреваемого.
    • –2
      Регистрация домена, вероятно, никакого тяжелого состава представлять не может, нет умысла и все такое…
      а вот сама возня с таким ПО кажется с России отправила бы героя в места не столь отдаленные.
      • 0
        Вопрос в том, смогли бы они доказать отсутствие умысла. Т.е. не в данном случае, а если бы наличие этого домена приводило к каким-то деструктивным последствиям. Например вайп или ещё какие-то деструктивные действия. Докажи, что не верблюд.)
        Учитывая, что была нарушена работа больницы, не ездили скорые и были отменены операции, то вполне могли быть смертельные исходы, так что нарваться на иски шанс был бы очень большой. А дальше уже от изворотливости адвокатов и заинтересованности прокуратуры всё зависело бы.
  • +2
    Я, конечно, полный профан в компьютерной вирусологии, но эта тема не даёт мне покоя.
    1. Зачем зловреду вообще обращаться к какому-либо домену? Это для меня смотрится как ненужный костыль.
    2. Что мешает вредителям просто поменять название домена, к которому он будет обращаться? Каждый случайно набранный лицом на клавиатуре домен ведь регистрировать никто не будет.
    • 0
      Точный ответ знает сам автор, а версий/вариантов (кроме ошибки) может быть много. Например: во многих корпоративных сетях доступ в интернет есть только у «избранных» пользователей/серверов — именно через них вирус и пролезает далее на остальные. Соответственно, если вирус будет сразу «убивать» такие хосты — атака на остальную сеть (ежели админы хоть немного шевеляться) будет не такой эффективной.
    • 0
      1. Элемент управления атакой, очевидно же.
      2. Ничего не мешает. Больше того, уже зараженные машины вполне возможно пропатчить.
      3. Не давать покоя должен тот факт, что с марта месяца все уязвимые системы могли быть скомпрометированы более грамотными товарищами, эти уж больно на школьников похожи.
    • +2
      В статье пишут, что это была не корректно реализованная защита от песочницы. В песочнице любые обращения к любым Интернет-адресам эмулируются как успешные (чтобы узнать что будет делать зловред), и червь смотрит если произвольно сгенерированное доменное имя существует, значит он — в песочнице и прекращает свою деятельность, чтоб не «спалится».
      • –1

        Странная логика. Если червяк в песочнице, так та песочница явно контролирует все исходящие запросы и, соответственно, сразу увидит подозрительные обращения по странным адресам. В итоге — «не спалиться» не получится. Кроме того, зачем так «скрываться», если тебя целенаправленно запустили в песочнице? Похоже на попутку спрятаться в хорошо освещённой стеклянной комнате. Ведь и так уже известно, что ты там есть (и, скорее всего, где именно ты там есть).


        Ну и провокационный вопрос: если это некорректно реализованная защита, то какая должна быть корректной? И существует ли она в принципе? Сдаётся мне, что нет.

        • –1
          *Тут была простыня текста объясняющая как и почему код защищается от песочницы, но те кто этим занимаются и так знают это лучше меня, а распространять такие знания не очень хочется, извините.*
          • +1
            Не валяйте дурака, в разработке ПО никаких секретов нет и быть не может, если скомпилированный код выпущен, его всегда можно изучить.
            • 0
              Не всегда это имеет смысл. Попробуй изучи обфусцированный код. У тебя лет 5 уйдёт чтобы распутать цепочки бессмысленных вызовов, для этого и существуют песочницы — код сам себя распутывает и выполняется как должен. Остаётся только взять лог вызовов системных функций и смотреть что происходит.
              Изучить код конечно же можно всегда только посчитай или прикинь сколько у тебя на это времени уйдёт, за это время всё давным давно уже закончится и твой анализ кода никому не нужен будет, разве что найдёшь парочку пасхалок.
              • +1
                Человек выше этажом утверждает, что существуют некие секретные методы обнаружения песочницы, о которых рассказывать в приличном обществе не принято. А я ему говорю, что это чушь собачья. Не может вирус содержать внутри себя секретный механизм обнаружения песочницы.
                Если есть подозрение, что в конкретном экземпляре есть «секретный алгоритм», то он очень быстро перестанет быть секретным, и уйдет на это намного меньше, чем пять лет.
                • 0

                  Секретный != тратить время, пересказывая известные вещи, которые можно прочитать в другом месте.

          • 0

            Вы, видимо, невнимательно прочитали мой комментарий. Спору нет, техники защиты от анализа в песочницах есть, они применяются и, может быть, даже помогают от скорого обнаружения. Но, простите, какая же эта «защита», если:


            1. нас целенаправленно запустили в песочнице, а значит, уже вычислили;
            2. мы прямо-таки кричим всему миру — «смотрите, я здесь», отсылая запрос на явно подозрительный адрес? Которого ещё и нет, к тому же. То есть, ловится на раз-два.

            Цель же всего этого — определить песочницу и затаиться, если мы в ней. Вместо этого делается абсолютно противоположная вещь. Да и техника обнаружения, как бы это выразится помягче, ненадёжная. Кто мешает песочнице проверить реальное существование хоста и отвечать согласно этому знанию?


            Ну и, уж сколько твердят миру, что security through obscurity ещё ни к чему хорошему не приводила, а вы опять туда же. Слово не воробей… в общем, вы поняли.

        • +4
          КМК запросто могли забыть seed() у генератора рандома вызвать, так что все экземпляры обращаются к одинаковому «случайному» адресу. И это конечно полный фейл.
      • 0
        Ну так авторам вируса и надо было имя рандомно генерировать каждый раз, а не использовать фиксированную строку.
    • +4
      Рассмотрим «песочницу» — окружение для тестирования таких вот вирусов. Естественно, песочница изолирована, и не может допустить доступ запущенного в ней зловреда в сеть. Однако, если песочница будет блокировать все сетевые подключения — вирус может понять что он в песочнице, или к примеру не сработать так, как надо из-за того, что на этом компьютере, как он думает, нет интернета.
      Что же делать? Создатель песочницв принимает решение — мы будем отправлять 200 OK на все сетевые запросы изнутри песочницы, а вирусы будут думать, что они работают на реальном компе, подключенному к интернету. Ха-ха! Мы обдурили вирусы.

      Как бы не так! Вирус стучится к домену, который заведомо незарегистрирован. Ожидает получить таймаут ДНС, или что-то типо того. Но получает 200 ОК, потому что песочницв понятия не имеет о том, что домен незарегистрирован. Вирус понимает, что что-то тут не так — и аварийно завершает работу!

      В результате ваш антивирус его не раскусил, говорит что файл не заражён, вы его запускаете на рабочем окружении — и попадаете на виртуальные монетки.

      НО! После того как парень зарегистрировал домен и повесил на него какой-то скриптик — весь Интернет стал для вируса «как бы» песочницей, в которой он аварийно завершает работу. Бинго!
  • –1
    cmd dism /online /norestart /disable-feature /featurename:SMB1Protocol
    пишет что dism не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
    И толку от вашей пилюли юзерам?
    • +2
      Может пора обновить ХР?
      • –1
        это на win7. cmd с правами администратора:
        Ошибка 0x800f080c
        Имя компонента «SMB1Protocol» неизвестно.
        • +1
          Неудивительно, ведь команда-то для win 8.1. И в статье про это — прямым текстом.
      • 0
        https://vk.com/albums222433049?z=photo222433049_456239333%2Falbum222433049_211471304
    • –1
      На сколько я помню, DISM встроен стал только начиная с десятки. По крайней мере на восьмерке я его ставил отдельно вместе с целым пакетом программ от майков.
      • –2
        то есть если дома на вин7 его не ставить то и дыры не будет? на ХРх64 со всеми обновлениями его нет, на вин10 отключатеся (с правами администратора)
        • +1
          Кого «его»? DISM, что ли? Так дыра то не в нем, а в SMB. А DISM — мега полезная утилита, с помощью неё только винду и ставлю.
          • 0
            мысль была — а что использует этот протокол? дисм? а нафиг он мне дома? поставить 7ку можно и с флешки, П.С. (сам себе кулцхакер) роутером у меня на одноплатном атоме харденед-генту в ip tables drop аются все входящие кроме как к lamp на сайт, с осью на одноразовом сд-роме — если что-то глючит -ресет (правда гемор что-то поменять, система из 193 файлов компилится 12 часов, потом новый диск нарезать…, хотя в 3 гига озу влезает
          • 0
            позавчера много футбол смотрел, полез искать версию smb протокола на роутере, с аналогией с samba, уронил роутер, по ссш, искал клаву-дви, версия самбы 4, протокол в2… а линух смб и вин смб совсем разное варенье
          • 0
            вопрос — зачем дома AD и dism?
            • 0
              Мне с ним удобнее. У меня, в основном, все винды на внешках стоят, а туда сама винда ставиться вообще никак не хочет. Причём даже на Thunderbolt диск не ставится (раньше не ставилась, сейчас — не знаю). Остаётся только DISM. Да и если приносят под переустановку что-то: диск вынул, образ развернул, загрузчик поставил и вперёд. DISM же не только разворачивает образы, он их и захватывать умеет. Причём жмёт — буть здоров. Так что для себя применение я нашёл этой утилитке, жаль, что узнал про неё только года четыре назад.
      • 0
        Начиная с Vista.
  • 0
    «Уязвимость также можно закрыть, полностью отключив поддержку SMBv1:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol»

    Для домашней системы этого достаточно без установки ms17-010?
    • 0
      Этого достаточно только чтобы закрыть дыру в SMBv1, а патч может закрыть и другие связанные с ним дыры.
      Зайдите на speedguide.net/port.php?port=445 и посмотрите какой большой список дыр только в одном из сервисов RPC на этом порте в Windows.
    • 0
      если у вас нет внешнего ip адреса, или у вас динамический адрес от провайдера, то скорее всего вам пофиг.
      не играйте в онлайн-казино — я @ся переставлять родственникам 7ку на завирусованном ноуте,
      если вам принесли флешку с фотками котика — не отказывайтесь от сканирования каспера — внешнего носителя.
      улыбок и котиков.
      (хотя stuxnet на флешках переносился) (вы же уран не обогащаете в стиральной машине)
      • 0
        Не хочу занудничать, но…
        Что бы не долбатся с частой переустановкой 7-ки не давайте людям работать на компе под админом.
        Админ будет, но не для постоянной работы на компе. А пользователи буду работать с обычной учеткой без прав админа.
        • 0
          Однако, от локеров это не спасёт от слова совсем. Локеру напротив очень интересны именно пользовательские данные, доступ к которым закрыть для самого же пользователя не имеет смысла.
          А система… чаще всего её можно поднять с бэкапа, по крайней мере нудно переставлять систему и все нужные приложения не надо будет.
          И ещё этот пресловутый UAC, который для пользователя услужливо делает дыру в идеологии «не работать под пользователем».
          • –1
            Однако, от локеров это не спасёт от слова совсем.

            Поэтому SRP.
          • 0
            Под пользователем вирь не сможет закрепится в системе и не сможет много чего еще к примеру отключить теневые копии и удалить их. UAC под пользователем без прав админа это нормально и что бы UAC уведомления не отображал а просто блокировал действия. Само собой одного UAC мало.
  • 0

    И всё это не могли сделать сотрудники Касперского? За что мы им деньги платим? Реверсануть код вируса — первейшее дело. Моя мнительность может подумать что им выгодна шумиха в СМИ, рождающая мысли типа "вирусы идут, покупайте защиту!"

    • 0
      есть kaspersky-free, на главной странице сайта — для дома — бесплатные версии.
      не благодарите.
      разбаньтесь в гугле
      • 0
        Я как представитель госучереждения написал. Именно платим, причём это деньги налогоплательщиков.
        • 0
          дрючте аникейщиков, почему сервера в сеть открыты.
          • 0
            Оно могло изнутри пролезть, и скорее всего так и было.
            • 0
              не пиздите, на норм предприятиях пракикуется сложить айфон в коробочку на входе
              • 0
                Это вам нужно сложить в коробочку, а генеральный ходит со своим ноутом и ему можно все.
          • 0

            А если будет другой вирус и не получится свалить на админов? Считаю реверсить должны первее те, кто за это деньги получает, а не энтузиасты

        • 0
          это не отменяет вопроса почему после стакснет остались открытые порты, тем более гос серверов в сеть

          ну и если вам нечем в вскр занятся:
          бункер саддама расфигачили по координатам, которые французики предоставили амерам. я все
  • 0
    Я так понимаю если месяц назад была v1.0, сейчас v2.0, летом нужно будет ждать v3.0?
    • 0
      тут другая фишка: червь видимо искал по белым ip сервера в инет — вопрос — а почему ржд, сбер, прочие были открыты порта? там ламеры работают (или на 30тр и @ его конем) (тащи с завода каждый гвоздь, ты тут хозяин, а не гость)? ну на венде серваки, но брандмауер могли же настроить — или начальник не могет в вк постить, откроем все?
  • 0
    Много кто бездумно копипастит, но мало кто пишет что «dism /online /norestart /disable-feature /featurename:SMB1Protocol» сработает только начиная с 8.1.
  • 0
    Мои предположения, что это был элемент дебага (Back Door), который тупо забыли убрать из реализа.
  • 0
    Вероятность взлома Windows Update тоже ненулевая — вспомним про то, как это было при Stuxnet, другой разработкой NSA. Вот тогда начнется «апокалипсис»: когда лекарство причиняет больший вред, чем то, ради чего его применяют. Причем могут реализовать незаметным образом же.
    Книжки вроде Zero Day все более похожи на реальность, заметил. Масштабы, скорости заражений стали другими, чем раньше, когда ботнеты тоже были, но тихо себе майнили биткоины, например. Хотя это мой взгляд как неспециалиста, все же не вирусолог. Хотя страшно все равно от этого не менее.
  • 0
    кошерная 7ка и накаких апдейтов до чорного экрана
  • 0
    Powershell для систем ниже Win 8.1
    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
  • –1
    regedit от админа ,win7
    Компьютер
    \hkey_current_config
    \system
    \services
    tsdd
    vgasave
    все
    • +2
      Что вы этим хотели сказать-то?
  • +1
    Этот герой — 22-летний хакер и блоггер из Великобритании, чьё имя пока не стало достоянием гласности.

    Автор, вы точно знаете, что это парень, а не девушка?

    • 0

      Спасибо, что комментарий одобрили! Вот я знаю точно. Она не виновата.

  • +1
    Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы

    http://www.rbc.ru/technology_and_media/14/05/2017/5918bae09a7947ce8cc186a1?from=main

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.