Security Patch dla niewspieranych systemów

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
W związku z rozmnażaniem się Wana Decryptora, MałyMiętki się złamał i udostępnił zestaw security patch dla niewspieranych systemów (tak tak, w tym XP-ka).
Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa. Dziadostwo wykorzystuje exploita NSA (czytaj: backdoora pozostawionego w SMB v1 Windy... eee... znaczy: ja tego oczywiście nie napisałem :x )załatanego natentychmiast jak rzeczony exploit został upubliczniony i radośnie wykorzystany do stworzenia ransomware...
Dla zainteresowanych, szczegóły techniczne w przystępnej formie tu:
Zaloguj lub Zarejestruj się aby zobaczyć!


Natomiast rzeczone patche security od Małego Miętkiego są tutaj:
Zaloguj lub Zarejestruj się aby zobaczyć!


P.S. nie to żebym namawiał bo może ktoś potrzebuje, ale ja se sobie na wszelki wypadek (jakby się okazało że SMB ma inne dziuple) zablokowałem całość SMB. W sumie proste, wymaga power shella i zastosowania porady:
Zaloguj lub Zarejestruj się aby zobaczyć!



PPS: Nie będę robił kryptoreklamy, ale osobiście śpię lepiej mając na kompie CryptoPrvent od FoolishIT...
Miłego ;)
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35568
Reakcje/Polubienia
24598
Miasto
Trololololo
W związku z rozmnażaniem się Wana Decryptora, MałyMiętki się złamał i udostępnił zestaw security patch dla niewspieranych systemów (tak tak, w tym XP-ka).
Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa. Dziadostwo wykorzystuje exploita NSA (czytaj: backdoora pozostawionego w SMB v1 Windy... eee... znaczy: ja tego oczywiście nie napisałem :x )załatanego natentychmiast jak rzeczony exploit został upubliczniony i radośnie wykorzystany do stworzenia ransomware...
Dla zainteresowanych, szczegóły techniczne w przystępnej formie tu:
Zaloguj lub Zarejestruj się aby zobaczyć!


Natomiast rzeczone patche security od Małego Miętkiego są tutaj:
Zaloguj lub Zarejestruj się aby zobaczyć!


P.S. nie to żebym namawiał bo może ktoś potrzebuje, ale ja se sobie na wszelki wypadek (jakby się okazało że SMB ma inne dziuple) zablokowałem całość SMB. W sumie proste, wymaga power shella i zastosowania porady:
Zaloguj lub Zarejestruj się aby zobaczyć!



PPS: Nie będę robił kryptoreklamy, ale osobiście śpię lepiej mając na kompie CryptoPrvent od FoolishIT...
Miłego ;)


Dzięki :dziękuę , pobrane i zainstalowane.
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa.
Jeśli ludzie nie zrobią aktualizacji bezpieczeństwa, to rozprzestrzeniać się będzie i zabawa jeszcze chwilę potrwa.
Niespotykana skala ataków
Choć pierwsze informacje o infekcjach pojawiły się dopiero około piątkowego południa, to po kilku godzinach Kaspersky mówi już o odkryciu 45 000 infekcji w 74 krajach a Avast wspominał o 57 000 infekcji w zasięgu swojego systemu. Wg Avasta ransomware komunikuje się z zainfekowanymi osobami w 28 różnych językach a pierwszą aktywność tej wersji obserwowano dzisiaj ok. 8 rano.
wannacry03.png

Efekty i przebieg infekcji
Zainfekowane komputery otrzymują nową tapetę oraz okno z informacją o ataku. Przykładów w sieci nie brakuje – wygląda to najczęściej tak:
wannacry02.jpg

Zaszyfrowane pliki otrzymują rozszerzenie .WNCRY, ciąg WANACRY! zapisywany jest na początku pliku. Program prosi o wpłatę 300 dolarów (w bitcoinach) za każdą zainfekowaną stację. Cena ma wzrosnąć dwukrotnie po trzech dobach, a po tygodniu odzyskanie plików ma być już niemożliwe.

Do tej pory brak wiarygodnych informacji o sposobie przeprowadzenia pierwszej infekcji komputerów. Kilku badaczy wskazuje, że ransomware generuje ruch sieciowy odpowiadający
Zaloguj lub Zarejestruj się aby zobaczyć!
na usługę SMB ujawnionego przez ShadowBrokers a załatanego przez Microsoft w łacie MS17-010 jeszcze w marcu tego roku. Nam udało się potwierdzić, że istotnie próbki ransomware zawierają kod mających coś wspólnego z Sambą. Istnieje podejrzenie, że pierwsza infekcja następuje poprzez załącznik z wiadomości poczty elektronicznej. Następnie złośliwy program uruchamia dwa wątki, z których jeden skanuje sieć lokalną, a drugi internet pod kątem dostępnego portu 445 i próbuje infekować odnalezione komputery.
Oto wygląd zainfekowanego komputera w Polsce, a poniżej treść komunikatu.
wannacry04.png

A na dworcu we Frankfurcie…
C_pfnkeXcAAm2ZB.jpg
info i więcej:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
można sobie ooglądać postępy dziadziaja "na żywo":
Zaloguj lub Zarejestruj się aby zobaczyć!

a dodatkowo Hiszpański CERT wypusćił toola blokującego. Wada, że narzędzie wymaga uruchomienia po każdym reoboocie:
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnia edycja:

spamtrash

Bardzo aktywny
Zasłużony
Dołączył
11 Styczeń 2014
Posty
4275
Reakcje/Polubienia
5690
Miasto
To tu to tam....
Powstrzymane chwilowo... ja bym się wstrzymał do jutra z oceną czy na zawsze. Raczej nie. Taki kill switch zwykle się stosuje w wersji labo, a nie w wypuszczonej na świat. Może im robal spitolił z kontrolowanego środowiska? Z niezabezpieczonymi maszynami radzi sobie niemal w czasie rzeczywistym (mówię o dystrybucji, bo szyfrowanie jednak troczę zajmuje). Honeypota potrafi zakazić w 3 minuty od postawienia serwera ;) :
Zaloguj lub Zarejestruj się aby zobaczyć!


Mnie prywatnie i osobiście nie martwi szczególnie szyfrowanie (bo backup, bo ochrona, bo inne różne takie). Martwi mnie to, ze w tym świństwie jest radośnie prosto zmienić payload na taki, który nieszczególnie będzie manifestował swą obecność, a szkód może narobić... i tak mi łazi za uszami że trzeba być wyjątkowym kretynem żeby marnować TAKIE narzędzie na coś, co natentchmiast ogłasza całemu światu swe istnienie i powoduje kupę zamętu przy nader mizernych profitach dla tfurcuf rzeczonego potworka zamiast wsadzić jako payload jakiegoś świstaka który by sobie po cichu zawijał w te sreberka przez jakiś czas.

P.S.: tylko na potwierdzenie...
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnia edycja:

Armaros

Bardzo aktywny
Dołączył
8 Marzec 2013
Posty
320
Reakcje/Polubienia
20
Miasto
Warszawa
Teoretycznie Windows XP nie jest wspierany od 3 lat, a w związku z tym nie są dla niego przewidywane żadne oficjalne aktualizacje związane z bezpieczeństwem. Po naprawieniu niedawno podatności na
Zaloguj lub Zarejestruj się aby zobaczyć!
w tym systemie, Microsoft zdecydował się wydać kolejną łatkę. Tym razem aktualizacja jest dużo mniejsza, ale jednocześnie dużo mniej o niej wiadomo.

Jak się okazuje, łatka
Zaloguj lub Zarejestruj się aby zobaczyć!
dla użytkowników Windowsa XP SP3 już od czterech dni. Podobnie jak poprzednia, związana jest wyłącznie z bezpieczeństwem, ale w tym przypadku zadowolić się musimy tylko krótkim wyjaśnieniem opisującym jej działanie:

Żródło Dobre programy :
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnio edytowane przez moderatora:

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35568
Reakcje/Polubienia
24598
Miasto
Trololololo
Całkiem fajnie że MS wydaje łatki również i dla klientów którzy nie wykupili rozszerzonych aktualizacji.:nonono:ok
 

malwina7

Świeżak
Dołączył
18 Listopad 2013
Posty
18
Reakcje/Polubienia
0
a skad pobrac ta latke na xp z polskim jezykiem?bo ta jest na xp english
 
Do góry