135 ответов в этой теме

[DSA]

Как эксплуатируют уязвимость? Какая служба и какой процесс у пользователя должен быть запущен, чтобы его могли атаковать? 

 

Я так понял, уязвимость есть в службе "Сервер", то есть если 445 или 139 порты ожидают входящие соединения, то можно атаковать (процесс svchost.exe или system ?). В "Мониторинге сети" Kaspersky Endpoint Security 10 написано, что 139 и 445 порты использует System (на вкладке "Открытые порты"). В AVZ написано, что их использует System.exe (статус "LISTENING").

 

У пользователя должен быть внешний (белый) IP, чтобы его могли атаковать? Если у него нет внешнего IP, то его невозможно атаковать этим трояном?

[DSA]

В System Explorer на вкладке "Соединения" нет ни одного процесса, который использовал бы 139 или 445 порт.

[DSA]

Удалите эти посты, я их написал в другой теме, в Wanna Crypt (раздел "Общие вопросы")

[ЛСергей]

[Dmitry Shutov]

Вот что накопали 

 

https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/

[v.martyanov]

Вот что накопали 

 

https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/

На первом скрине фактически выделен код rand()%5 + 2 или типа такого. Он не уникален. На втором - тоже получение рандомных строк. По этому коду можно сказать, вероятно, что один компилятор использовался, что код был похож. Но сам код тривиален и нет ничего удивительного, что он бывает в разных троях.

[ЛСергей]

 

Вот что накопали 

 

https://securelist.com/blog/research/78431/wannacry-and-lazarus-group-the-missing-link/

На первом скрине фактически выделен код rand()%5 + 2 или типа такого. Он не уникален. На втором - тоже получение рандомных строк. По этому коду можно сказать, вероятно, что один компилятор использовался, что код был похож. Но сам код тривиален и нет ничего удивительного, что он бывает в разных троях.

 

т.е. за расшифровку за $600 спич не идет при наличии rand?

Вчера прочел, что >$42000 перечислены за расшифровку, но ни слова не видел, расшифровывают или нет после оплаты.

 

Есть ли информация, откуда эта зараза пришла? Сначала называли Россию, типа сами себя, теперь нашли новое зло - Корею

[v.martyanov]

А при чем тут расшифровка и rand()? Как-то пока не видать у других вендоров анализа криптосхемы, приведенный код - вполне вероятно выбор имени сервиса. А про 42 килобакса - туфта. Трой способен(!!!) получать с серверов другие номера кошельков.

[provayder]

Говорят еще один суслик завелся

http://www.vesti.ru/doc.html?id=2888288&tid=110762

[ЛСергей]

А при чем тут расшифровка и rand()? Как-то пока не видать у других вендоров анализа криптосхемы, приведенный код - вполне вероятно выбор имени сервиса. А про 42 килобакса - туфта. Трой способен(!!!) получать с серверов другие номера кошельков.

Владимир, скажете, почему от Др.ВЕБ никогда у Владимира Соловьева и/или в правильных СМИ никто не выступает? У вас всегда всё толково и всё-всё по полочкам,  но в сети тонны не пойми чего. За 42тыс  и за бесплатный дешифратор всем! от Касперского тоже из СМИ.

Вот сейчас жена прочла, что вирус победил!!! журналист из Туманного Альбиона, а запустили его по  приказу президента Северной Кореи. Вот такие СМИ. Отсутствие достоверной информации из достоверных источников порождает не только эти 42тыс.

Я понимаю, что у вас времени ноль, но выкроить 15 минут для выступления...

[GeoJ]

Телезрителям (а соответственно и телекомпаниям) нужны сенсации, скандалы, расследования... часа на полтора. Если холодно и спокойно рассказать все за 15 минут, то такое никто массовый зритель смотреть не будет

Сообщение было изменено GeoJ: 16 Май 2017 - 13:59

[sergeyko]

Владимир, скажете, почему от Др.ВЕБ никогда у Владимира Соловьева и/или в правильных СМИ никто не выступает?

А Вы смешной! 

1. Кому интересно взвешенная позиция без угрозы миру и уже !ТРЕХ! новых зараженных? 

2. Пойти на передачу к Соловьеву, это примерно тоже самое, что в 2000х участвовать в Доме-2 у Собчак. Нормальный человек на это не согласится. 

[v.martyanov]

Ну угроза миру все еще остается: необновленные машины, возможная неполнота патча... Но да, не так страшно. Некоторые технические моменты, на которые как-то не обращали внимания у нас тоже есть...

[VVS]

sergeyko, а речь не про нормальных людей, а про PR менеджеров.

А они ОБЯЗАНЫ рассказать про угрозы миру и звучать из любого унитаза.

[Roman Rashevskiy]

Ага, ну еще в ящике УРоЛогов не хватало.

Хотя, возможно, как раз там, у Соловьева, этим самым УРоЛогам и место.

[ЛСергей]

 

Владимир, скажете, почему от Др.ВЕБ никогда у Владимира Соловьева и/или в правильных СМИ никто не выступает?

А Вы смешной! 

1. Кому интересно взвешенная позиция без угрозы миру и уже !ТРЕХ! новых зараженных? 

2. Пойти на передачу к Соловьеву, это примерно тоже самое, что в 2000х участвовать в Доме-2 у Собчак. Нормальный человек на это не согласится. 

 

1. Да, я такой, в субботу появилась в СМИ информация и журналюги в захлёб что пришел или вот-вот придет пушной зверек всему миру, никто!!! из специалистов не рассказал  пару слов о ситуации на самом деле. Можете поверить, много девелоперов с огромным стажем работы, но не специалисты в антивирусной защите, искали взвешенную позицию. Друг из Канады прислал строчку из местной газеты, что вирус создан хакерами в РФ, но в тоже время давалась статистика 85% по всему миру приходится на РФ,  ясное море, журналюги даже не подумали о вероятности в суждениях. Поверили, только когда пришла информация из Лондона о заражении, до этого думали, что всё бред.

2. Наталья сделала дополнит.рекламу своей фирме.

Сообщение было изменено ЛСергей: 16 Май 2017 - 15:17

[v.martyanov]

"никто!!! из специалистов не рассказал  пару слов о ситуации на самом деле" Ну что вы? https://vk.com/wall19389030_25089и далее

[GEV]

2. Наталья сделала дополнит.рекламу своей фирме.

https://aftershock.news/?q=node/521116&full

[VVS]

Ага, ну еще в ящике УРоЛогов не хватало.

Хотя, возможно, как раз там, у Соловьева, этим самым УРоЛогам и место.

Любое упоминание в прессе хорошо, кроме некролога. ~© Черчиль

[ЛСергей]

"никто!!! из специалистов не рассказал  пару слов о ситуации на самом деле" Ну что вы? https://vk.com/wall19389030_25089и далее

Сорри, в соцсетях не бываю Возможно, там что-то было.