Предыдущую тему "Атака через уязвимость smb" отправили в спам, миа кульпа, но не было времени растекаться мыслью по клавиатуре,т.к спешно проверял репорты WSUS. Недавно был такой рансом "спора",так вот он успешно кушал файловые базы 1с. У меня , еще тогда мысль возникла - "Все в сад!", то есть в скуль, ведь там файлы заняты службой субд, а завладеть ими можно только после остановки службы. Хотя сейчас читаю что  разновидность сегодняшнего wcry шифрует и скульные базы, только пока не понял как, или стопит сервис, или получает права админа субд. Есть на чем подумать...

Всем срочно ставить обновления винды!
А так же проверить бэкапы )

Куча зараженных машин по всему миру. В России много зараженных машин в ведомствах и крупных корпорациях

https://lenta.ru/articles/2017/05/12/encryptalltheworld/
https://lenta.ru/news/2017/05/12/nowannanocry/
https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka?from=rss
https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=1

ПС: Был проведен эксперимент. Свежеустановленная винда смотрит в интернет. Через 15 минут попал вирус ...

Вирус WanaCry

массовая проблема @[email protected] зашифрованы файлы, расширение WNCRY

ПС: Кстати использует дыру винды, кот. использовали АНБ и была вскрыта в марте сего года.

Один из способов заражения фишинговые сайты.
А так же репаки игр ...

Хороший повод напомнить руководству про "бэкапы- наше все" и выпросить второй nas )) или даже об "облаках" задуматься.
(1)Как временный вариант можно закрыть на шарах 445 порт, все диски к терминальному серваку и пусть ходют туды за общими файлами, пока все не проапдейтите.

(0) Собственно криптору пофиг что шифровать - файловые или скульные.

(1) Надо настраивать заранее нормально, а не ставить обновления в спешке.

(5) Собственно криптор не может зашифровать скульную базу, пока работает сам скуль, также как не может зашифровать файловую 1с, если она открыта хоть где-то

(7) Ну и какая разница?

(7) с файловой не совсем так

(7) Да конечно. Отцепить открытый на RW файл от процесса не так сложно

угу, понятно... давненько уже такого не было, чтобы вирь эксплуатировал уязвимость в серверных службах. Последний из массовых, кажется, kido был. А вот к 2003 и ХP заплатку не выложили :(

(1) Win 98 тоже обновлять надо?

Понятно, игрушки АНБ вылезли наружу и попали в добрые руки бизнесменов. Винда опять показала себя как решето.

кто-нибудь в курсе, более ранние системы чем Vista могут быть атакованы? В бюллетене про них нет данных, понимать как то что они не подвержены атаке или как то что MS не будет для них ничего делать?

(14) Более рание версии легко атакуются более ранними крипторами

(15) речь об уязвимости на порту 445.

крипторы - это неприятно, но не смертельно. А вот уязвимость на порту и наличие программ которые ее эксплуатируют - это уже серьезно. Подобных эпидемий с сетевыми червями в истории Windows было с начала нулевых не так уж и много. Похоже, это еще одна.

(16) Мне вот интересно - это как так надо постараться чтобы 445 порт высунуть наружу?

(18) а не надо. Достаточно чтобы одна кура приняла у себя почту. А в локалке 445 - вот они.

так-то да, винда голым задом наружу это нонсенс, хотя и такое бывает.

(19) Поэтому то основной удар пришелся на корпоративный сектор.

(10) при наличии прав или использовании "уязвимостей АНБ" это понятно, но из практики у меня пока не было случаев, когда шифровались открытые базы.

В свете случившегося меня в особенности беспокоят XP и 2003. Их все ещё очень много, особенно с учётом того что с деньгами у многих контор сейчас туго и многие выжимают последнее из инфраструктуры середины нулевых, когда бабки были. Патчей нет. Вот где реальная задница... (

(23) ну пос и эмбедет системы хр еще поддерживаются

(23) Да никакой задницы. Все работает.
В плане безопасности на XP все настраивается отлично.
Есть теневое копирование, есть настройка прав доступа, что еще надо?

(22) здесь проблема в том, что при эксплуатации уязвимости код, скорее всего, запускается с полными правами. В отличие от обычных шифровальщиков, которые запускаются из-под того юзера, который неудачно открыл вложение...

Единственная проблема со старыми системами - не поддерживают современное железо и софт.
Если с этим проблем нет - можно спокойно работать.

(25) см. (26).  Права тут не помогут. Код, который срывает стек в сетевой службе, простартует с правами службы. Т.е. с полными.

Полную гарантию может дать только заплата, которая закроет дыру. Ну или антивирус. Надеюсь, в свежих базах уже есть опознание этой дряни.

(25) ну если освоить всего Русиновича, то можно и заплатки самому ваять и жить да жить...пока нтфс нё заменят

В том-то и беда, что запустившая вложение курица вполне может работать под ограниченной записью - нет ничего криминального в опросе сети и коннектам на 445 порт. А на атакованных с Ее машины компах код уже запустится под системной учётной записью с полными правами. Хошь процессы прибивай, хошь SQL останавливай.

(28) Именно права тут и помогут.

Основная проблема шифровальщиков заключается в том что они не являются вирусами, и как следствие антивирус против них абсолютно бесполезен.
А в большинстве случаев вся защита строится на использовании антивируса.
Тут нужна комплексная защита, и это в первую очередь права.

(26)Насчет куриц - какого хрена у курицы есть право запускать левые файлы?
Настраивается это очень легко - не быстро конечно, повозиться придется, но сложного ничего нет.
И пользователь банально не сможет запустить вредоносный код.

В итоге - порт наружу не смотрит, уязвимость бесполезна.
Через письма и прочую социальную инженерию протащить тоже не получиться, ибо банально нет прав на запуск.
Вот и все.

(31) так на скульном ей делать нечего , ее 1с общается с рагентом, а он уже со скулем . В файловом то да шара на севаке для нее открыта

Логика простая - у пользователя на рабочем комьпютере не должно быть помойки.
Никакого левого софта.
Весь софт с которым пользователь будет работать ставит админ в папку ProgramFiles.

В итоге у пользователя есть права на запуск из системных директорий, куда он не может ничего записать.

Но нет прав на запуск софта из всех других директорий, куда он может писать, например с рабочего стола, или с папки APPDATA.

(33) Ну на скульном сервере  SMB запущена чаще всего, а этого достаточно похоже.
Наличие расшаренных папок вроде не обязательно.

(34) ну стоит у нее прога которой нужен джаваскрипт , доклайнер какой нибудь и все, запускает она файли док а дальше...

локальному компу 6 лет, без переустановки винды, стоит nod32

в карантине только 3 файла из инетовских темпов... что я не так делаю и почему за 6 лет меня не зашифровали?

(35) зачем она на скуле ?

(37) По порносайтам не шляетесь и всякую херню не скачиваете типа кряков, серийников и т.п.

(37) и еще 3 виртмашины песочницы ,где всякая левота запускается )))

(39) так может нужно бороться не с вирусами а с источниками?

(40) все гораздо проще - яндекс днс использую

настройка яндекс днс на роутере - на порядок уменьшает количество гадости на компе и телефонах, проверено несколькими годами...

кстати если бы в России вместо бестолкового "спутник" сделали ДНС сервер с белыми списками, было-бы куда полезнее...

(42) Если честно столкнулся с глюками при настройке яндекс днс на роутере.
В смысле когда настраиваешь через специальный раздел роутера.

Поэтому банально в настройках DHCP ставлю сервера яндекса 77.88.8.7 77.88.8.3 и все.

(36) Приведи пример.

(38) Ну зачастую бэкапы делают на файловый сервер - вот тебе и SMB.

Я уже лет пять в качестве антивируса использую Security Essentials - штатный и бесплатный.
Сам использую и клиентам по дефолту рекомендую, ибо бесплатно, не грузит систему, не достает разными глупыми вопросами, и достаточно надежно - тихо, мирно блокирует вирусню, ежели такая появляется.

(46) бэкапы средствами скуля диски смб не видят , искази как правило цепляем

http://pikabu.ru/story/ssyilki_na_obnovleniya_microsoft_ms17010_ot_uyazvimostey_yekspluatiruemyikh_wana_decrypt0r_5046074

(48) Ну я же не про вас говорю.
Кто-то ftp, использует, у кого-то облако по http, у вас iscsi, а некторые просто копируют на NAS по SMB.

(49) кстати мой днс не пустил на этот опасный сайт :)

(45) да та же спора :"Если пользователь запускает HTA-файл, в директорию %Temp% извлекается Javascript-файл close.js, который создает исполняемый файл со случайным именем (в тестах исследователей — 81063163ded.exe)  и запускает его. Это и есть основная часть малвари, которая немедленно начинает шифрование данных. Чтобы отвлечь внимание жертвы, Spora также извлекает и открывает файл DOCX. Так как данный файл намеренно поврежден, он отобразит ошибку."

(50) так зараза по вакууму туда не прилетит, не под учеткой же стандартного юзера вы на фтп бэкапы делаете , как вирь себя скопирует ,если он на эту шару прав не имеет да и не должен иметь

(52) Где он создаст исполняемый файл? У пользователя нет права записи в системные директории.

(53) Ну бэкапы делаются под учеткой сервисного пользователя для бэкапа.

Насколько я понял для эксплуатации уязвимости в SMB права на чтение расшаренных папок не нужны, достаточно включенного протокола первой версии.

Для тех, кто по каким-то причинам не может установить обновление: что бы комп не заразился через сеть от соседних станций надо отключить поддержку протокола SMBv1, который нафиг не нужен если у вас в сети только вистовые виндюки.
Отключается правкой реестра с последующей перезагрузкой:

"HKLM:\SYSTEM\CurrentControlSet\Services\LanmanWorkstation"
Subkey - DependOnService  
Value - "Bowser","MRxSmb20","NSI"

Note: удаляется из депендов MRxSmb10


HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"  
Add Subkey - SMB1
Value - 0  
Type - DWORD

Note: Новый параметр добавляется "SMB1"


MRxSmb10
Key/Hive - "HKLM:\System\CurrentControlSet\services\mrxsmb10"
Subkey - Start
Value - 4  

Note: Отключается старт драйвера mrxsmb10

(54) рестрикшн вещь хорошая , где есть постоянный или постоянно доступный ит специалист, или где по меняется раз в пять лет. (55) вот тут то и понимаешь что те кто обновились на 10 - дальновидные люди

(58) Статью УК сказать, или сам найдешь?

(57) Ну а без специалиста безопасность не настроишь.
Насчет постоянной доступности не обязательно - приходящий вполне нормально.

Насчет мудрости перехода на десятку не понял..

(60) вынь10 там, кажись, по умолчанию смб3 используется

(22) Ты просто не сталкивался с разработками хорошими. То что щас гуляет компам это из серии "качнул MtE алгоритм, и превратил свою поделку в монстра"

(32) Нинадо никакйо "комплексной" защиты. Тупо НАС толстый, тупо на НАСе что нить типа ембеддед 2012, и домен.

>Собственно криптору пофиг что шифровать - файловые или скульные.

скуль надо остановить чтобы зашифровать...

недавно сталкивались в одном месте "а у нас все хорошо, все работает!" - открывашь систему - все пошифровано, до последней картинки. и конечно все архивы...

(65) Не нужно скуль останавливать для того чтобы зашифровать.

(66) ну базы остановить. короче получить доступ к файлам базы

(65) + выжила по сути только база 1с которая на скуле крутилась

(67) Там все тоньше - через WEH виндовый отцепляешь файлы от скуля. служба падает. хватаешь файлы под RW. служба восстанавливается, база в суспекте (ты залочил файл). шифруешься.

НАС спасает от всего этого

(61) Мне понятно то, что ты призываешь пользователей нарушить УК РФ. Подталкиваешь людей к действию за которое предусмотрена серьезная ответственность.
Поэтому и не прошел мимо.

(62) В Win XP, 7, 8 - тоже не SMB v1 используется по умолчанию.

(63) Шифровальщику банально не выгодно творить всякие фокусы с изменением прав, анлоком файлов, и.т.д - ибо это подозрительная активность, и она может быть пресечена антивирусом.

Задача шифровальщика  проста - максимально быстро и незаметно зашифровать важные данные и самоуничтожиться.

(64) Не совсем понял при чем тут NAS?
Для бэкапов? - Бэкапы это хорошо, они должны быть, но это уже минимизация последствий от работы шифровальщика, но не защита от него.
Про домен и embedded вообще не понял.

(74) Создаешь юзера с правами только чтение в домене. НАС, который управляется W2k12 Embedded, лазает под учеткой этого юзера и делает копии областей данных рабочих станций и серверов.
Шифровальщик такой, приземлился и все зашифровал.
Ты такой, низкий формат, установка с заливки. Копирование данных с НАСа.
Цимес в том, что нет доступа к НАСу с рабочей станции. Его вообще "нет в сети" для машин сети. А данные с машин на нем есть.

(75) у кунапов юникс уже какойто на борту , его через самбу прикрутить можно? Я не пробовал просто.

(75) Это понятно, и правильно.
Но это не защита, а устранение последствий.

Т.е зашифровать он не помешает.
Заходи шифруй что хочешь.
Восстановишь ты без проблем - но будут простои инфраструктуры.

(77) да , с правильным бэкапом потерь - максимум день , а если разностный , то тютелька в тютельку подвести можно.

(75) И в случае с NAS я делаю проще- копирую на NAS в папку куда разрешена запись.
А потом уже NAS перемещает архив туда куда доступа нет.

Это так же эффективно, но проще в реализации.

(76) Я в линях неочень, так что брал НАС на винде - там оболочка обходится легко и получаешь неактивированный терминал, тот который на 2ва подключения.
(77) А ты онлайн не защитишься от шифровальщиков. БабМаня обязательно ткнет куданить мышкой неподумав. Так что решение с НАСом, надежное как кирпич.

(78) Я не про потери. Хотя потери будут.
Я про простой работы - зашифровались станции, все нервно курят и ждут админа, день работы коту под хвост.

(79) Проще, лично мне - не нравится.

(81) Наливку сделай, с ней время восстановления фактически = времени копирования данных.

(80) Не так.

Для защиты нужно две вещи -

1) Права - чтобы шифровальщик банально не смог ничего сделать. Это не дает 100% результата, но минимизирует возможность проблем.

2) Правильный бэкап - на случай ежели все таки словишь шифровальщика, и не только его.
Он позволяет гарантированно спасти данные.
Но не защитит от простоев связанных с шифровальщиком.

(82) Ну я зачастую использую штатные механизмы бэкапа, проще кинуть бэкап куда надо с рабочей станции.

А забирать- это уже сложнее, нужно иметь место для хранения бэкапа на локальной машине.

(83) Не знаю что такое наливка.
Время самого восстановления из бэкапа в любом случае небольшое.

Большое время - ожидание админа, разбор полетов и прочее.
Поэтому как ни крути - день потерян.

(84) так этому экземпляру учетка не нужна , порт -памать и встречайте...идея проста как 5 коп

Допустим восстанавливал таким образом у клиента - пока приехал, пока восстановилось - день потеряли, и результаты работы за несколько часов.
Для них в тот момент не критично было - был бы отчетный период, было бы проблематично.

Ну и бэкап не обеспечишь ежесекундный - слишком большая нагрузка.
Поэтому будут потери.

(87) Не понял насчет учетки - как это соотносится с (84)

(89) точно не скажу , запуск идет не сеансом юзера , может умнего есть вариант повысить превилегии, с системной стартануть

(49) Спасибо тем, кто собрал! Ссыль на XP неверная, там идет на embedded вместо SP3, оно не встает. Верная ссылка: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

(90) А какая разница?
Попадет он как в систему?

Варианта три -
1)уязвимость smb - так она в интернет голым задом не торчит.
2)подбор паролей в терминале - тоже обеспечена безопасность.
3)социальная инженерия - у пользователя нет прав на запуск.

Это конечно не дает идеальной защиты, но практически исключает возможность заражения.

(92) поток с порта через память проходит, в ней не только сеанс юзера но и системные учетки, а в терминале может и несколько сеансов юзеров , вот он там и развернется, если сможет , у Мыщиха статьи хороши по теме, светлая ему память...

(93) Еще раз - с порта он не  пролезет вообще никак, ибо стоит файервол на шлюзе, да и за NAT'ом сервер.

На порт попасть можно только с локальной машины.
А на локальную машину можно попасть только методом социальной инженерии, либо подобрав пароль на удаленный вход в систему.

Вот единственное в чем я не уверен - UPNP, как реализовано взаимодействие с ним, есть ли у браузера возможность с ним взаимодействовать?

(93) какой поток с порта, вы о чем? Атака на сетевую службу делается обычно путем изменения данных стека и встраивания своего кода таким образом, чтобы при возврате из подпрограммы (функции, процедуры) управление перешло на этот код. Для этого надо чтобы функция, которая имеет дело с данными с порта, содержала плохие приемы программирования, грубо говоря, дырку. Тогда можно ей подсунуть специально сформированные данные и все произойдет. Нет дырки - нельзя.

если код удалось запустить, то он стартует с правами этой службы, т.е. по сути с админскими. И далее уже все просто - с помощью wininet.dll или еще чего-нибудь такого выкачиваем основную часть программы и запускаем как отдельный процесс. С теми же правами, что и порождающий.

(94) http://s002.radikal.ru/i198/1705/67/12aa52a7bf19.jpg вот здесь видно как стучатся на удачу (97) спасибо, теперь ясно

(98) я тоже такой скриншотик могу сделать со своего ZyWall. Сегодня смотрел. Но на 445-й порт что-то мало. У меня почему-то в основном ломятся на SSH и Telnet (22, 23) - это процентов 95 всех попыток. Остальные - 445, 3389 и еще какие-то другие порты, не помню какие.

это абсолютно нормально. Даже очень давно, в начале нулевых, когда инет был гораздо меньше - логи фаеров выглядели точно также, постоянная долбежка с разных адресов чаще всего на распространенные порты. Иногда зачем-то долбятся на экзотические порты... Но долбежка не прекращается никогда.

И кстати, несмотря на общепринятое мнение, что винда это решето, реальных случаев серьезной атаки червями, подобных вчерашнему, за все время существования винды я могу вспомнить штук максимум 5-6. Предпоследний был в 2008 году - Kido/Conficker, до него еще был Slammer, еще чуть раньше Sasser (2004) и MSBlast/Lovesan (2003), который, кажется, был первым зловредом такого рода, вызвавшим серьезную эпидемию. Так что мы присутствуем при довольно нечастом событии :)

Чувствую ,в ближайшее время продажи железа и софта дадут прирост. "Клиент" напуган и смету подпишет не споря , можно даже грамотно на курсы с сертификатом запрос сделать, "облачные решения" пощупать))

(102) Мне кажется, будет как обычно, т.е. пропатчат дырки и через месяц забудут. До следующего раза. С пропатчеными дырками это ведь обычный шифровальщик, каких было много.

(102) Админов премии лишат, пару кадровых перестановок в IT отделе сделают и успокоятся на этом.

Из области предположений, но на мой взгляд эффективна будет атака на кроссплатформенное решение. Вот скуль например - он и в Африке скуль и если скрестить инжект с криптором процент результативного "бомбометания" вырастет.

(105) Ну да, ты подал хорошую идею для бизнеса шифровальщиков.

обновления для всех старых систем
http://www.catalog.update.microsoft.com/search.aspx?q=4012598

(106) тогда уж давайте заражать роутеры, конечно это сложнее в реализации, но представьте роутер который ломится везде и шифруется при этом :)

там можно вообще приколы делать, типа подмены трафика который ни один антивирь не поймает...

кстати про роутеры...
с какой стати роутеры ASUS самопроизвольно меняют IP?
уже два прецедента было...
хлоп и у роутера чужой IP... шлюза ;)
редко но метко...

роутеры разные, IP тоже разные... даже из различных подсетей...

(108) Их ломают давно и пачками.
Пачками когда уязвимость есть типа техдоступа без пароля.
Поменьше - банальным сканированием открытых наружу админок.

(110) Не встречался с таким.
Вообще адрес выдает DHCP - роутер тут ни при чем, какой ему выдали на том и работает.

(108)  сложно. Там уже другие требования к безопасности, по крайней мере у корпоративных решений. Если только в расчете на совсем придурковатого админа...

(107) не для всех, а только для поддерживаемых

(114) XP и 2003 там есть.

(115) ХП только СП3