Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Комментарии

  1. Leonardo 13.05.2017 05:10 Permalink Показать / Скрыть

    Создатель может просто немного скорректировать код, и снова "вперёд и с песней" (для тех, кто не обновился).
  2. shuron 13.05.2017 05:50 Permalink Показать / Скрыть

    Ага пару биткоинов ему уже перевели... ;) У них сейчас отличный курс ;)
    Я думаю ему лучше бы лечь на дно ;) А не думать о новых версиях... ;)
  3. Leonardo 14.05.2017 05:30 Permalink Показать / Скрыть

    Можно предположить, что многим хакерам мира "чешется" повторить такую фурор-фишку.
    Стало быть, основываясь на имеющихся данных об уязвимости + смекалке, логично прогнозировать в самые ближайшие дни волну подобных вирусов.

    Причём, за основу может быть взята и другая закрытая некоторое время назад уязвимость Windows.
    Ну и порты будут задействованы уже не 139 и 445, а другие.
  4. dim_22 14.05.2017 05:46 Permalink Показать / Скрыть

    Использование других портов такого эффекта не даст. Фишка этой заразы в шифровании данных на дисках, а 445 порт стандартный для файловых шар. Ну получит злоумышленник доступ к
    26000/TCP,UDP id Software's Quake server

    дальше что? ;)
    А вот затирание теневых копий - правильный шаг. Один из способов борьбы с такими вымогателями - откат системы.
  5. dim_22 14.05.2017 05:47 Permalink Показать / Скрыть

    Можно провести эксперимент.
    запускаем cmd и вбиваем:
    netstat -aon | more
    Список портов
  6. Leonardo 14.05.2017 05:16 Permalink Показать / Скрыть

    А что именно выдаётся по итогам результата работы этой команды?
  7. dim_22 14.05.2017 05:28 Permalink Показать / Скрыть

    Список открытых в данный момент портов ("Локальный адрес" после двоеточия) . LISTENING - порт открыт и слушает соединение, ESTABLISHED - активное соединение, TIME_WAIT - ожидание. Дальше запоминаем значение колонки PID процесса. Заходим (для Win7) "Диспетчер задач" ->"Быстодействие" -> "Монитор ресурсов" и ищем в колонке "ИД процесса" (можно нажать на процессе правой кнопкой и выбрать "поиск в интернете"). У меня нашлись Firefox, обновляльщик драйверов видеокарты, антивирус, обновление Windows, (внезапно!) служба сетевых сервисов Windows Media ну и всякая мелочевка. И да. Тот самый 445 порт открыт. (но это я и так знал так как есть расшаренные папки) :)
    Не знаю что тут может заинтересовать... Хотя Windows Media попробую рубануть.
  8. Leonardo 14.05.2017 05:34 Permalink Показать / Скрыть

    Ага, у меня тоже всё чисто.
    А 139 и 445 я вчера фаерволлом закрыл. Ну и обновился.
  9. pomorin 14.05.2017 05:01 Permalink Показать / Скрыть

    я эти порты закрывал еще лет 10 назад. 137-139 и 445.
    В городской локалке. Когда еще Win XP было и прочие winchin'ы . да ну нахуй это вспоминать.
  10. Leonardo 14.05.2017 05:16 Permalink Показать / Скрыть

    Что и следовало ожидать
    Случайно обнаруженный способ остановить распространение вируса-вымогателя WannaCry больше не работает. Создатели вируса усовершенствовали его код и выпустили новую версию вредоносной программы.
    ...
    Создатели WannaCry переписали код вредоносной программы, узнало издание Motherboard, и теперь она функционирует без обращения к домену iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Motherboard предупредила, что теперь вирус вновь может заражать компьютеры. Пик заражений ожидается в понедельник​, 15 мая, в связи с началом рабочей недели

  11. shuron 13.05.2017 05:02 Permalink

    По результатам опроса ВЦИОМ, вирус-вымогатель пользуется поддержкой 84% россиян
  12. Leonardo 15.05.2017 05:05 Permalink Показать / Скрыть

    Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

    dism /online /norestart /disable-feature /featurename:SMB1Protocol

    https://geektimes.ru/post/289153/
  13. dim_22 15.05.2017 05:04 Permalink Показать / Скрыть


    По мнению президента Microsoft Брэда Смита, доля ответственности за глобальную кибератаку вируса-вымогателя WannaCry лежит на правительствах и спецслужбах, в частности, он упомянул ЦРУ и АНБ США. Именно украденные из АНБ данные об уязвимостях затронули пользователей по всему миру, заявил Смит
    http://www.rbc.ru/technology_and_media/15/05/2017/5918c6e69a7947d0594fae43

Поддержали новость

Attached file(s)

https://pbs.twimg.com/media/C_pJ_3EXYAA0LAu.jpg