
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
0 - +
Leonardo 13.05.2017 05:10 Permalink Показать / Скрыть
Создатель может просто немного скорректировать код, и снова "вперёд и с песней" (для тех, кто не обновился).1 - +
shuron 13.05.2017 05:50 Permalink Показать / Скрыть
Ага пару биткоинов ему уже перевели... ;) У них сейчас отличный курс ;)Я думаю ему лучше бы лечь на дно ;) А не думать о новых версиях... ;)
1 - +
Leonardo 14.05.2017 05:30 Permalink Показать / Скрыть
Можно предположить, что многим хакерам мира "чешется" повторить такую фурор-фишку.Стало быть, основываясь на имеющихся данных об уязвимости + смекалке, логично прогнозировать в самые ближайшие дни волну подобных вирусов.
Причём, за основу может быть взята и другая закрытая некоторое время назад уязвимость Windows.
Ну и порты будут задействованы уже не 139 и 445, а другие.
1 - +
dim_22 14.05.2017 05:46 Permalink Показать / Скрыть
Использование других портов такого эффекта не даст. Фишка этой заразы в шифровании данных на дисках, а 445 порт стандартный для файловых шар. Ну получит злоумышленник доступ кдальше что? ;)
А вот затирание теневых копий - правильный шаг. Один из способов борьбы с такими вымогателями - откат системы.
1 - +
dim_22 14.05.2017 05:47 Permalink Показать / Скрыть
Можно провести эксперимент.запускаем cmd и вбиваем:
netstat -aon | more
Список портов
0 - +
Leonardo 14.05.2017 05:16 Permalink Показать / Скрыть
А что именно выдаётся по итогам результата работы этой команды?1 - +
dim_22 14.05.2017 05:28 Permalink Показать / Скрыть
Список открытых в данный момент портов ("Локальный адрес" после двоеточия) . LISTENING - порт открыт и слушает соединение, ESTABLISHED - активное соединение, TIME_WAIT - ожидание. Дальше запоминаем значение колонки PID процесса. Заходим (для Win7) "Диспетчер задач" ->"Быстодействие" -> "Монитор ресурсов" и ищем в колонке "ИД процесса" (можно нажать на процессе правой кнопкой и выбрать "поиск в интернете"). У меня нашлись Firefox, обновляльщик драйверов видеокарты, антивирус, обновление Windows, (внезапно!) служба сетевых сервисов Windows Media ну и всякая мелочевка. И да. Тот самый 445 порт открыт. (но это я и так знал так как есть расшаренные папки) :)Не знаю что тут может заинтересовать... Хотя Windows Media попробую рубануть.
1 - +
Leonardo 14.05.2017 05:34 Permalink Показать / Скрыть
Ага, у меня тоже всё чисто.А 139 и 445 я вчера фаерволлом закрыл. Ну и обновился.
0 - +
pomorin 14.05.2017 05:01 Permalink Показать / Скрыть
я эти порты закрывал еще лет 10 назад. 137-139 и 445.В городской локалке. Когда еще Win XP было и прочие winchin'ы . да ну нахуй это вспоминать.
1 - +
Leonardo 14.05.2017 05:16 Permalink Показать / Скрыть
Что и следовало ожидать5 - +
shuron 13.05.2017 05:02 Permalink
0 - +
Leonardo 15.05.2017 05:05 Permalink Показать / Скрыть
https://geektimes.ru/post/289153/
1 - +
dim_22 15.05.2017 05:04 Permalink Показать / Скрыть
Войдите, чтобы комментировать или зарегистрируйтесь здесь.