Перейти к содержимому


Фото
* * * * * 2 Голосов

Wanna Crypt

WannaCrypt

  • Please log in to reply
99 ответов в этой теме

#41 VVS

VVS

    The Master

  • Moderators
  • 17 483 Сообщений:

Отправлено 14 Май 2017 - 10:47

 

Так что считал и продолжаю считать админов, не устанавливающих обновления, профнепригодными

жОсткий мушшына :)

 

Строг, но справедлив. :P


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#42 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 946 Сообщений:

Отправлено 14 Май 2017 - 11:35

Проверка на 2ip.ru показала, что у меня port 445 закрыт ( на GRC даже Stealth ).
Однако, мартовский патч MS17-010 благополучно отсутствует.

Если Вы сидите за NAT'ом, то никакой 2ip.ru ничего полезного не покажет. Смотрите netstat хотя бы.


Семь раз отрежь – один раз проверь

#43 Boris Morozov

Boris Morozov

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Май 2017 - 12:02

Суть не просто в том, открыт у вас порт или нет, важно, можно ли до него добраться. Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру. Единственный мой знакомый, который пострадал вчера не имел роутера. У него был шнурок сетевой, приходящий от провайдера. И ни в коем случае не используйте роутеры в режиме бриджа. PPPoE всегда нужно настраивать на железке.

Виндовс с прямым выходом в инет это всегда потенциальная угроза. Завтра посмотрим, что у наших корпоративных клиентов. Но судя по тому, что мы им всегда рекомендовали ставить линуксы на входе, проблем особых быть не должно. Пока ни одного пострадавшего нет, хотя многие работают без выходных. 



#44 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 380 Сообщений:

Отправлено 14 Май 2017 - 13:25

Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.

IPv6, teredo — не слышали? NAT придумали не как защиту от чего бы то ни было, и рассматривать его как защиту крайне опрометчиво.



#45 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 380 Сообщений:

Отправлено 14 Май 2017 - 18:17

NikolayHAOS, установка сигнализации не означает, что дверь можно не запирать.

#46 NikolayHAOS

NikolayHAOS

    Member

  • Posters
  • 314 Сообщений:

Отправлено 14 Май 2017 - 18:39

Dmitry Mikhirev, Красиво сказано, жаль толку ноль.



#47 Boris Morozov

Boris Morozov

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Май 2017 - 20:09

Я достаточно хорошо осведомлен и сказал лишь о том, что NAT прикрывает от подобных атак, хоть и сделан не для этого. Но это ни в коей мере не отменяет весь комплекс защитных мер. От внутренних источников типа скачанных файлов абы откуда и пришедших по почте он не спасет. От данной атаки по порту спасает.



#48 Boris Morozov

Boris Morozov

    Newbie

  • Posters
  • 5 Сообщений:

Отправлено 14 Май 2017 - 20:31

Конечно, если настроить себе DMZ, пробросить порты или настроить проброс Ipv6 тем же teredo, то можно и нарваться. Но это уже требует определенных знаний и те люди должны знать, что делают. Но это не массовый случай.



#49 Dmitry Mikhirev

Dmitry Mikhirev

    Member

  • Dr.Web Staff
  • 380 Сообщений:

Отправлено 14 Май 2017 - 21:41

Конечно, если настроить себе DMZ, пробросить порты или настроить проброс Ipv6 тем же teredo, то можно и нарваться. Но это уже требует определенных знаний и те люди должны знать, что делают. Но это не массовый случай.

На всякий случай проверил на виртуалке с семёркой: teredo включён по умолчанию, 445 порт слушается на всех IPv6-адресах. Не знаю, распространяется ли данный конкретный червь через IPv6, но теоретически ему ничто не мешает это делать.



#50 German AW

German AW

    Poster

  • Posters
  • 1 153 Сообщений:

Отправлено 14 Май 2017 - 22:03

А можно попросить админов объединить все темы про этот чудо-вирус? Читать обсуждение конечно интересно, но не очень удобно мониторить несколько тем подряд :)


Intel Core i5 3550 (3.3GHz), 8Gb DDRIII, Intel SSD 330 120Gb, Windows 8.1 x64, Dr.Web 11.0 SS

Jumper EZbook Pro, Intel Apollo N3450 (1.1GHz), 6Gb DDRIII, Toshiba SSD 64Gb, Windows 10 x64 (build 1709), Dr.Web 11.0 SS


#51 GeoJ

GeoJ

    Member

  • Posters
  • 177 Сообщений:

Отправлено 14 Май 2017 - 23:38

Никогда обновления не отключал, начиная с XP.
За всё это время ЕМНИП у меня только 2 или 3 раза были проблемы, связанные с обновлением.
За это же время кол-во вирусов, пользующихся уже закрытыми уязвимостями винды, было на порядки больше.
но...

Всегда отключал автообновления сразу и навсегда. Ставил обновления только те, без которых никак, и исключительно руками.
Заразу подцепил один единственный раз, когда у племяша на флешке нашел в автозапуске вирь (exe-шник) и с какого-то перепугу клацнул по ентеру. А все эти многочисленные уязвимости Винды никак жить не мешали.
А вот то, что Винда в обновлении может что-то "исправить" в соответствии с собственными представлениями о том, как мне лучше -- это куда как вероятнее.
Так что каждому свое.

Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.
<...>
PPPoE всегда нужно настраивать на железке.

Спасибо, ценная информация. По крайней мере, дома голова болеть не будет. А на работе пущай думают админы и начальство :)
Программное обеспечение не должно быть старым. Программное обеспечение не должно быть новым.
Программное обеспечение должно быть адекватным решаемым задачам.

#52 sergeyko

sergeyko

    Guru

  • Dr.Web Staff
  • 3 879 Сообщений:

Отправлено 15 Май 2017 - 12:14

Вчера 12.03 была проблема с системой. 

Система Win10, антивирус DrWeb 11 (некоммерческая лицензия выигранная по Я+Dr. Web).

С утра система отказалась загружаться. Был черный экран на этапе загрузки, хотя диспетчер

процессов работал. После нескольких неудачных попыток запуска было решено переустановить

систему с форматированием системного раздела.

Переустановил, все работает нормально. Следов WannaCrypt на дисках не найдено. Интересно, что 

это было: совпадение или попытка атаки WannaCrypt, отбитая антивирусом.

146% совпадение. 


Sergey Komarov
R&D www.drweb.com

#53 DSA

DSA

    Newbie

  • Validating
  • 9 Сообщений:

Отправлено 15 Май 2017 - 15:17

Как эксплуатируют уязвимость? Какая служба и какой процесс у пользователя должен быть запущен, чтобы его могли атаковать? 
 
Я так понял, уязвимость есть в службе "Сервер", то есть если 445 или 139 порты ожидают входящие соединения, то можно атаковать (процесс svchost.exe или system ?). В "Мониторинге сети" Kaspersky Endpoint Security 10 написано, что 139 и 445 порты использует System (на вкладке "Открытые порты"). В AVZ написано, что их использует System.exe (статус "LISTENING"). В System Explorer на вкладке "Соединения" нет ни одного процесса, который использовал бы 139 или 445 порт.
 
У пользователя должен быть внешний (белый) IP, чтобы его могли атаковать? Если у него нет внешнего IP, то его невозможно атаковать этим трояном?


#54 NikolayHAOS

NikolayHAOS

    Member

  • Posters
  • 314 Сообщений:

Отправлено 16 Май 2017 - 08:43

На счет обновлений и их автоматической установки, следует добавить оговорку " На технически исправных компьютерах" 
В школьной сети 8! машин имеют разные железные проблемы (3 битую паять и 5 повреждённый HDD) НО при этом работают и не доставляют сильных неудобств ни мне ни пользователям. НО сразу скажу они работают так как есть и на 5 из них работает доктор. Синих экранов нет. НО если начать ставить обновы с 99% уверенностью могу сказать что компы не загрузятся после перезагрузки.

Это я не против установки обновлений высказываюсь, а говорю о том, что теории это хорошо, а вот реалии это совсем другое. НО защищать эти машины тоже нужно. Вот и кручусь как могу и умею, а умею уже больше чем знал ранее во многом благодаря данному форуму и его форумчанам, за что им Огромное спасибо. :-)



#55 l.e.e.

l.e.e.

    Guru

  • Posters
  • 4 789 Сообщений:

Отправлено 16 Май 2017 - 09:03

http://portscan.ru/stuff-open-ports.html

https://chrome.google.com/webstore/detail/portchecker/leebgfjiljadmconbpkhlfambnlcchai/related

Сканер портов.

Прикрепленный файл  zerox.png   19,07К   2 Скачано раз

О, а кто это сделал ? Ни у кого нет такого ? (Катана такое делает ?)


Сообщение было изменено l.e.e.: 16 Май 2017 - 09:07

Сиюминутное Ригпа бессущностно и ясно.

drweb.png


#56 Gun

Gun

    Member

  • Posters
  • 314 Сообщений:

Отправлено 16 Май 2017 - 12:01

Сканер портов.

Удалите записи из

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates

Вирус внес туда сертификаты приложений и система не даёт их запустить.



#57 oldman666

oldman666

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 16 Май 2017 - 15:31

http://portscan.ru/stuff-open-ports.html

https://chrome.google.com/webstore/detail/portchecker/leebgfjiljadmconbpkhlfambnlcchai/related

Сканер портов.

   Самый простой и надёжный сканер портов это, как предложил Afalin
в этой ветке форума - это встроенная в Windows команда netstat:

Смотрите netstat хотя бы

  Вот только он забыл добавить,что для получения полной информации
надо запускать с параметрами:    netstat -anbo

    Выяснилось, что согласно netstat, у меня порт 445 открыт ( Win10 Home ).
  Однако, несколько тестирующих Web сайтов показали, что p445 закрыт или Stealth( Filtered ).

Если Вы сидите за NAT'ом, то никакой 2ip.ru ничего полезного не покажет.

  Он безусловно прав, что такой результат тестирующих Web сайтов может быть
связан с наличием на пути железячных NAT ( Firewall-ов etc ).

  Переформулирую теперь вопрос к экспертам форума - если port 445 извне ( из инета )
определяется как закрытый ( или даже Stealth ), то
вообще нужны ли патчи типа MS17-010.?

Хотя:

Суть не просто в том, открыт у вас порт или нет, важно, можно ли до него добраться. Банальный Wi-Fi роутер на входе с NAT уже блокирует дыру.

 Но хотелось бы услышать  и другие мнения.



#58 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 3 946 Сообщений:

Отправлено 16 Май 2017 - 15:41

Переформулирую теперь вопрос к экспертам форума - если port 445 извне ( из инета )
определяется как закрытый ( или даже Stealth ), то
вообще нужны ли патчи типа MS17-010.?

Если Вы можете гарантировать, что внутри сети этого или другого подобного суслика не будет – тогда не нужны.

Подсказка: гарантировать это Вы скорее всего не можете.


Сообщение было изменено Afalin: 16 Май 2017 - 15:42

Семь раз отрежь – один раз проверь

#59 GEV

GEV

    Massive Poster

  • Posters
  • 2 111 Сообщений:

Отправлено 16 Май 2017 - 15:47

Кстати 445 порт довольно популярен, многие пробрасывают его в роутерах для шар/nas/вэбкамер/ect



#60 oldman666

oldman666

    Newbie

  • Posters
  • 54 Сообщений:

Отправлено 16 Май 2017 - 21:04

Если Вы можете гарантировать, что внутри сети этого или другого подобного суслика не будет – тогда не нужны.

Подсказка: гарантировать это Вы скорее всего не можете.

  Мой Desktop  и нотбук выходят в инет через DSL модем, работающий в
режиме Bridge. С трудом найдя пароль, вошёл в настройки и увидел :

 NAT Status:Deactivated
 Firewall:Disabled
 UPnP:Deactivated etc.

  Т.е. имеет место быть прямое подключение к провайдеру.
И тогда о какой локальной сети, в которой может завестись суслик, вы, Afalin, говорите?
  Похоже железячные NAT, Firewall-ы, etc. находятся именно у провайдера.
 И тогда, если у него кто-нибудь захочет приоткрыть заслонку даже на короткое время,
пользователям режима Bridge может не поздоровится.
 На всякий случай буду искать решение, как закрыть порт 445 в Win10 Home.
Припоминаю, что лет 12 назад для WinXP такие решения были.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых