Wana Descrypt0r 2.0

[undefined]

https://ru.m.wikipedia.org/wiki/Дизассемблер

[caseyryan]

Цитата:

Сообщение от undefined

Может он просто фавиконку запрашивает.

Ну а фавиконка не на сервере чтоли лежит? К самому домену ничего нельзя прикрутить без сервера.
Домен зарегали на днс воронку. Ее сервер и отдает инфу вирусу

Цитата:

Мне вот интересно пишут что адрес этого домена легко может быть изменен авторами.

Для этого придется перекомпилировать и начать новую атаку

Цитата:

После этого всю атаку надо будет заново начинать или адрес не хардкодом прописан?

Хардкодом

Цитата:

Интересно как удалось код вируса узнать и собственно сам домен.

https://habrahabr.ru/post/328548/

[illuzor]

Неприятная хреновина. Один мой товариш словил, так как не обновлял винду несколько месяцев. А патч для этой дыры был ещё в марте.
Если вы не отключаете обновления винды или подключены через роутер(по умолчанию порт 445 почти на всех роутерах закрыт), бояться нечего.
И не забывайте делать бэкапы - это актуально всегда.

[caseyryan]

Цитата:

по умолчанию порт 445 почти на всех роутерах закрыт

мм. откуда такая инфа? У меня на всех роутерах открыт по умолчанию. Роутеры в основном d-link, tp-link и netgear. Всего их штук 15 в организации. Ни на одном порт не был закрыт. По моему опыту, порты по умолчанию были закрыты только на роутерах Acorp и Интеркросс (ростелекомовских), что тоже доставляло некоторые неудобства

Кстати на счет этого вируса, я уверен, что шумиху просто раздула пресса. Подобные шифровальщики существуют уже давно и встречаются часто. Так же в некоторые периоды активизировались и затихали. У нас на работе их цепляли еще пару лет назад. Тоже требовали выкуп в биткоинах. Правда сумму не помню. Восстанавливали все из бэкапа в дропбоксе. Скорее всего этот вариант вируса вызвал такой ажиотаж только благодаря тому, что распространяется по локалке используюя уязывимость, которая используется АНБшным фреймворком AfterMidnight, про который недавно была инфа на викиликс. Все что хоть как-то связано с викиликс и этими АНБ теперь по умолчанию вызывает шумиху в прессе

Цитата:

Неприятная хреновина.

Не то слово) Даже если есть нестандартные бэкапы (типа как у меня в платном аккаунте дропбокса), все равно, восстанавливать все это приятного мало. А если еще и разные фотки и видео побились, то вообще капец

[illuzor]

Цитата:

откуда такая инфа?

Во всех новостях про этот вирус писали об этом. Я проверил два своих домашних роутера (zyxel и asus) - порты закрыты, я их не закрывал. На рабочем cisco тоже закрыт.

Цитата:

Подобные шифровальщики существуют уже давно и встречаются часто.

Но для их запуска нужно что-нибудь скачать и запустить. А этот сам сканирует ip адреса и пролезает на комп без каких-либо действий от пользователя. Достаточно только наличия подключения к интернету.

[undefined]

Цитата:

Восстанавливали все из бэкапа в дропбоксе

AFAIK дропбокс при изменениях файлов в своих папках синкает все и на сервере.Или там есть версионность?

[caseyryan]

Цитата:

Во всех новостях про этот вирус писали об этом.

Я много чего про него читал, но про то, что на роутерах эти порты закрыты по умолчани ничего не встречал

Цитата:

Но для их запуска нужно что-нибудь скачать и запустить. А этот сам сканирует ip адреса и пролезает на комп без каких-либо действий от пользователя. Достаточно только наличия подключения к интернету.

Нет, этот так же проникает после запуска вложения из почты. Ничего нового. После этого он может сканировать локалку на предмет уязвимости в SMB и вот в локалке он уже распространяется без участия пользователя. Но с внешки сам по себе не проникает.
На счет портов в маршрутизаторах. На скрине то, что стоит по умолчанию в ASUS'ах. Проверил на двух разных. Одинаковая картина. То есть по умолчанию нифига там не блокируется. Сетевой экран в принципе отключен. Видимо на твоих кто-то их все таки закрыл. Ну или тебе повезло найти ASUS в котором с завода уже включено всё. Хотя не понимаю какой смысл с завода блокировать порт, который отвечает за общие ресурсы в винде. На счет ZyXEL'ов не знаю, не проверял

Цитата:

AFAIK дропбокс при изменениях файлов в своих папках синкает все и на сервере

Там есть контроль версий. Даже в бесплатном аккаунте. Кликаешь на меню файла в аккаунте, и в выпадающем списке будет пункт "Журнал версий". На сколько я знаю, они могут храниться около месяца. А какие-то серьезные версии хрнаятся дольше. Сколько точно и по какому принципу не знаю, но вчера восстанавливал файл, версия которого хранится аж с января 2016 года

[illuzor]

Цитата:

Нет, этот так же проникает после запуска вложения из почты

Нет, он именно стучится в случайные ip в глобальном масштабе. А если есть локалка, то и по локалке идёт.

Вот, например, занятное чтиво.

Цитата:

После заражения системы шифровальщик сканирует локальную сеть для поиска других уязвимых хостов, а также сканирует случайные диапазоны сети Интернет.
Минимальное время заражения системы после выставления в интернет 445 портом — 3 минуты

Или вот

Цитата:

WannyCry — это червь-шифровальщик, отличительной особенностью которого является функция саморазмножения, обычно отсутствующая у классических шифровальщиков. Это значит, что для заражения вам не требуется никуда кликать, ничего нажимать и ничего открывать. Достаточно иметь просто уязвимый, непропатченный и подключенный к Интернет компьютер на базе платформы Windows

[caseyryan]

Цитата:

Нет, он именно стучится в случайные ip в глобальном масштабе. А если есть локалка, то и по локалке идёт.

Вот, например, занятное чтиво.

Хм. Про эту версию я еще не читал.


Сейчас интересно другое. Допустим кто-то заплатил, и ему пришел ключ расшифровки. Возникает вопрос "ключ расшифровки для всех один, или каждый раз разный (что маловероятно)?"
Ведь получив ключ, можно написать "противоядие"

[undefined]

Цитата:

или каждый раз разный (что маловероятно)?

как раз многовероятно. Это же стандартное поведение генерим ключ на клиенте и отправляем его на сервер.