Я что то не очень принцип понимаю Скорее всего принцип самый простой - сам "атакователь" отправляет информацию о себе "публикаторам" карты его распространения.
Вообще-то это карта весьма интересна. Они как-бы дают количество -=уникальных=- зараженных ИП в минуту. Онлайн. У них договора + api с антивирусными гигантами?
Как то подозрительно ...
И еще - домен malwaretech.com зарегистрирован от какой-то странной панамской компании...
Мутно все короче это...
Если это в связи с картой - то не сходится. Карта появилась часов на 6-8 раньше чем "парень зарегистрировал домен". И показывала самый пик размножения.
Кто не в курсе - владелец карты и "парень зарегистрировавший домен" одно и то-же лицо.
В теле зловреда была выявлена строчка с бессмысленным именем домена, к которому должен был обращаться зловред и от того каким был ответ с сервера зависило дальнейшее поведение шифровальщика: если домена не существует - распрстранение продолжается, если домен отдал ответ, дальнейшая репликация приостанавливается. Распространение вируса удалось случайно приостановить регистрацией домена с бессмысленным именем
Я правильно понимаю, что этот шифровальщик атакует ресурсы только на Windows или уязвимость на уровне Samba и *nix-системы тоже под теоретической угрозой?
не знаю как у остальных, а я облегченно выдохнул.
Из описания WanaCRY decypt0r 2.0 Wana Decrypt0r обновился и взял на вооружение эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1.
Между тем последняя актуальная версия в Linux SAMBA v 4.6.3
“Государство приняло решение о переводе государственных компьютеров под управление операционными системами разработки отечественной. Это надо просто продолжать делать настойчиво. Пока не добьемся перехода, у нас будут риски”, – заявил советник президента России по вопросам развития интернета Герман Клименко.
После короткого затишья зараза стала распространяться с новой силой (судя по карте) уже в модифицированном виде. Исследователи утверждают что есть уже штамм без "выключателя"в виде домена. Вобщем - все, по-моему, только начинается...
Эта же мысль меня преследует с самого начала этой историии. Поэтому там где винда просто поотключал самбу на сетевых интерфейсах. На клиентских машинах вполне нормальное решение.
MS и благодетелями выступили и деньжат подняли, хотя то сколько насобирали вымогатили это копейки в сравнении с масштабами пандемии криптора и доходами корпорации. И эффект неоднозначный, госсектор может мигрировать на альтернативные ОС.
Гос сектор мигрирует на альтернативные ОС, тогда когда компания Х будет заниматься разработкой ОС на уровне эппл или микрсофта а так же тогда когда для альтернативной ОС будет создан инструментарий со стороны средних и крупных софтверных компаний.
С зондами? А до этого зондов не было в ОС от микрософта? Нет? ОС стоящая на компутерах по всему миру не может привлечь силовые структуры? Нет? Силовики не могут надавить на компанию и заставить в каждой версии ОС внедрять зонды, нет? Читать о закачке зондов смешно, так как зонды могут внедрять на стадии разработки очередной версии ОС. Не имеет значения какая это версия и что написано в лицензии, будь то вин 7, виста, ХР или вин 10.
Если используете вайн для:
1) Открытие писем
2) ссылки в дропбокс
3) серфить в браузере
Вы - извращенец и намотанная зараза акт естественного отбора :))))
Сегодня в Украине началась ощутимая атака, потомком данного вируса.
Вечером уже сложно было купить молока, многие магазины замок на дверь повесили - это будит им уроком!
Почтовые операторы одни из первых вышли из ситуации.
Люди приходили и рассказывали что в офисах отваливались международные сервисы поддержки товаров.
Мне было очень весело.
Я узнал как люди реагируют на linux.
Многие просто понять не могут что есть другая система - ну вообще не могут!
Как ребенку говоришь - это линукс, а он пузыри из рта пускает и говорит - "Покажи как ты файлы открываешь"! Ахаха))
Реальное общение с человеком который столкнулся с проблемой, меняет конструктив разговора кординально.
Запустили вирус в обновлении вот этого говнософта: http://www.me-doc.com.ua/
И, поскольку, налоговая заставляет настоятельно рекомендует ставить этот софт на компы все предприятия - последствия действительно впечатляют.
"Какой такой кошелек?" (с)
Я бы одмина, который держит сервер с обновлениями четвертовал бы нах...
Пикантная подробность: обновления этого "программного продукта" не проверяются по хешам.
От слова "вообще"
Комментарии (42)
Не дай Бог хоть кому-то рассказывать о подобных историях.
Мало ли ... Может кто-то кого-то спас... Истории разные бывают.
Но масштаб впечатляет. Судя по карте (ссылка выше) за сегодняшний день удачно атаковано более 140000 компьютеров.
ЗЫ Интересно, каким образом отслеживают... Я что то не очень принцип понимаю
Скорее всего принцип самый простой - сам "атакователь" отправляет информацию о себе "публикаторам" карты его распространения.
А почему же тогда "публикаторы" до сих пор на свободе? Там много ботнетов отслеживается...
Чо-то не сходится по-моему...
Статистика по обращениям в представительства антивирусных гигантов.
Это более похоже на правду...
В таком случае карту можно расценивать как очень недостоверную.
Вообще-то это карта весьма интересна. Они как-бы дают количество -=уникальных=- зараженных ИП в минуту. Онлайн. У них договора + api с антивирусными гигантами?
Как то подозрительно ...
И еще - домен malwaretech.com зарегистрирован от какой-то странной панамской компании...
Мутно все короче это...
Парень зарегал домен, по которому стучится зловред.
Если это в связи с картой - то не сходится. Карта появилась часов на 6-8 раньше чем "парень зарегистрировал домен". И показывала самый пик размножения.
Кто не в курсе - владелец карты и "парень зарегистрировавший домен" одно и то-же лицо.
В теле зловреда была выявлена строчка с бессмысленным именем домена, к которому должен был обращаться зловред и от того каким был ответ с сервера зависило дальнейшее поведение шифровальщика: если домена не существует - распрстранение продолжается, если домен отдал ответ, дальнейшая репликация приостанавливается.
Распространение вируса удалось случайно приостановить регистрацией домена с бессмысленным именем
Я правильно понимаю, что этот шифровальщик атакует ресурсы только на Windows или уязвимость на уровне Samba и *nix-системы тоже под теоретической угрозой?
Надеюсь, всех "наших" уже попустило.
не знаю как у остальных, а я облегченно выдохнул.
Из описания WanaCRY decypt0r 2.0
Между тем последняя актуальная версия в Linux SAMBA v 4.6.3
“Государство приняло решение о переводе государственных компьютеров под управление операционными системами разработки отечественной. Это надо просто продолжать делать настойчиво. Пока не добьемся перехода, у нас будут риски”, – заявил советник президента России по вопросам развития интернета Герман Клименко.
Хорошо-бы чтоб Герман привел хоть одно название ОС отечественной разработки :)
Названия-то есть, только все линукс. :)
Как и для ВС РФ
Я как-бы именно на это и намекал :)
Главное не надо путать версию SAMBA с атакуемой версией протокола SMBv1
Какую версию протокола SMB использует последняя актуальная версия SAMBA?
Спрашиваю, потому что не использую шары самба
После короткого затишья зараза стала распространяться с новой силой (судя по карте) уже в модифицированном виде. Исследователи утверждают что есть уже штамм без "выключателя"в виде домена. Вобщем - все, по-моему, только начинается...
Тут можно онлайн наблюдать сколько биткоинов заработали создатели зловреда.
По мировым меркам - сущие пустяки :)
Вот таким незатейливым способом компания MicroSoft заставила-таки большую часть мира закачать обновления с зондами :-)
Эта же мысль меня преследует с самого начала этой историии. Поэтому там где винда просто поотключал самбу на сетевых интерфейсах. На клиентских машинах вполне нормальное решение.
MS и благодетелями выступили и деньжат подняли, хотя то сколько насобирали вымогатили это копейки в сравнении с масштабами пандемии криптора и доходами корпорации. И эффект неоднозначный, госсектор может мигрировать на альтернативные ОС.
Гос сектор мигрирует на альтернативные ОС, тогда когда компания Х будет заниматься разработкой ОС на уровне эппл или микрсофта а так же тогда когда для альтернативной ОС будет создан инструментарий со стороны средних и крупных софтверных компаний.
С зондами? А до этого зондов не было в ОС от микрософта? Нет? ОС стоящая на компутерах по всему миру не может привлечь силовые структуры? Нет? Силовики не могут надавить на компанию и заставить в каждой версии ОС внедрять зонды, нет? Читать о закачке зондов смешно, так как зонды могут внедрять на стадии разработки очередной версии ОС. Не имеет значения какая это версия и что написано в лицензии, будь то вин 7, виста, ХР или вин 10.
Если напоить пингвина винишком, то можно запустить плаксу, комментарии доставляют
Does SAMBACry infect Linux?
Короче, запускать вайн с рутовскими правами не стоит... :)
На моменте 4:51
Если в используете вайн, риск заражения малварью (из под wine):
1) Открытие писем
2) ссылки в дропбокс
3) серфить в браузере
Если используете вайн для:
Вы - извращенец и намотанная зараза акт естественного отбора :))))
у меня его нет, я лишь перевел сказанное ирландским гиком)))
А вот особого шума по поводу SambaCry не слыхать было, да и samba обновилась очень оперативно.
Ссылка для информации: https://habrahabr.ru/company/cloud4y/blog/329464/
Сегодня в Украине началась ощутимая атака, потомком данного вируса.
Вечером уже сложно было купить молока, многие магазины замок на дверь повесили - это будит им уроком!
Почтовые операторы одни из первых вышли из ситуации.
Люди приходили и рассказывали что в офисах отваливались международные сервисы поддержки товаров.
Мне было очень весело.
Я узнал как люди реагируют на linux.
Многие просто понять не могут что есть другая система - ну вообще не могут!
Как ребенку говоришь - это линукс, а он пузыри из рта пускает и говорит - "Покажи как ты файлы открываешь"! Ахаха))
Реальное общение с человеком который столкнулся с проблемой, меняет конструктив разговора кординально.
Да ладно, про маки сейчас все знают.
И про андроид знают. И и про ксяоми + мезу они тоже знают - сегодня такого наслушался ))
Запустили вирус в обновлении вот этого говнософта: http://www.me-doc.com.ua/
И, поскольку, налоговая
заставляетнастоятельно рекомендует ставить этот софт на компы все предприятия - последствия действительно впечатляют.они открещиваются) Это не мы...
"Какой такой кошелек?" (с)
Я бы одмина, который держит сервер с обновлениями четвертовал бы нах...
Пикантная подробность: обновления этого "программного продукта" не проверяются по хешам.
От слова "вообще"
Отправить комментарий