Security Patch dla niewspieranych systemów

[spamtrash]

W związku z rozmnażaniem się Wana Decryptora, MałyMiętki się złamał i udostępnił zestaw security patch dla niewspieranych systemów (tak tak, w tym XP-ka).
Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa. Dziadostwo wykorzystuje exploita NSA (czytaj: backdoora pozostawionego w SMB v1 Windy... eee... znaczy: ja tego oczywiście nie napisałem :x )załatanego natentychmiast jak rzeczony exploit został upubliczniony i radośnie wykorzystany do stworzenia ransomware...
Dla zainteresowanych, szczegóły techniczne w przystępnej formie tu:

Zaloguj lub Zarejestruj się aby zobaczyć!

Natomiast rzeczone patche security od Małego Miętkiego są tutaj:

Zaloguj lub Zarejestruj się aby zobaczyć!

P.S. nie to żebym namawiał bo może ktoś potrzebuje, ale ja se sobie na wszelki wypadek (jakby się okazało że SMB ma inne dziuple) zablokowałem całość SMB. W sumie proste, wymaga power shella i zastosowania porady:

Zaloguj lub Zarejestruj się aby zobaczyć!

PPS: Nie będę robił kryptoreklamy, ale osobiście śpię lepiej mając na kompie CryptoPrvent od FoolishIT...
Miłego

 

[OXYGEN THIEF]

W związku z rozmnażaniem się Wana Decryptora, MałyMiętki się złamał i udostępnił zestaw security patch dla niewspieranych systemów (tak tak, w tym XP-ka).
Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa. Dziadostwo wykorzystuje exploita NSA (czytaj: backdoora pozostawionego w SMB v1 Windy... eee... znaczy: ja tego oczywiście nie napisałem :x )załatanego natentychmiast jak rzeczony exploit został upubliczniony i radośnie wykorzystany do stworzenia ransomware...
Dla zainteresowanych, szczegóły techniczne w przystępnej formie tu:

Zaloguj lub Zarejestruj się aby zobaczyć!

Natomiast rzeczone patche security od Małego Miętkiego są tutaj:

Zaloguj lub Zarejestruj się aby zobaczyć!

P.S. nie to żebym namawiał bo może ktoś potrzebuje, ale ja se sobie na wszelki wypadek (jakby się okazało że SMB ma inne dziuple) zablokowałem całość SMB. W sumie proste, wymaga power shella i zastosowania porady:

Zaloguj lub Zarejestruj się aby zobaczyć!

PPS: Nie będę robił kryptoreklamy, ale osobiście śpię lepiej mając na kompie CryptoPrvent od FoolishIT...
Miłego

Dzięki :dziękuę , pobrane i zainstalowane.

 

[Zeno]

Infekcja się co prawda chwilowo nie rozprzestrzenia, bo przypadkowo poprzez zainwestowanie 10 dolków jeden kolega wyzwolił dead switcha w dziadostwie, ale to kwestia czasu żeby zmienili i zabawa się zacznie od nowa.

Jeśli ludzie nie zrobią aktualizacji bezpieczeństwa, to rozprzestrzeniać się będzie i zabawa jeszcze chwilę potrwa.

Niespotykana skala ataków
Choć pierwsze informacje o infekcjach pojawiły się dopiero około piątkowego południa, to po kilku godzinach Kaspersky mówi już o odkryciu 45 000 infekcji w 74 krajach a Avast wspominał o 57 000 infekcji w zasięgu swojego systemu. Wg Avasta ransomware komunikuje się z zainfekowanymi osobami w 28 różnych językach a pierwszą aktywność tej wersji obserwowano dzisiaj ok. 8 rano.

Efekty i przebieg infekcji
Zainfekowane komputery otrzymują nową tapetę oraz okno z informacją o ataku. Przykładów w sieci nie brakuje – wygląda to najczęściej tak:

Zaszyfrowane pliki otrzymują rozszerzenie .WNCRY, ciąg WANACRY! zapisywany jest na początku pliku. Program prosi o wpłatę 300 dolarów (w bitcoinach) za każdą zainfekowaną stację. Cena ma wzrosnąć dwukrotnie po trzech dobach, a po tygodniu odzyskanie plików ma być już niemożliwe.

Do tej pory brak wiarygodnych informacji o sposobie przeprowadzenia pierwszej infekcji komputerów. Kilku badaczy wskazuje, że ransomware generuje ruch sieciowy odpowiadający

Zaloguj lub Zarejestruj się aby zobaczyć!

na usługę SMB ujawnionego przez ShadowBrokers a załatanego przez Microsoft w łacie MS17-010 jeszcze w marcu tego roku. Nam udało się potwierdzić, że istotnie próbki ransomware zawierają kod mających coś wspólnego z Sambą. Istnieje podejrzenie, że pierwsza infekcja następuje poprzez załącznik z wiadomości poczty elektronicznej. Następnie złośliwy program uruchamia dwa wątki, z których jeden skanuje sieć lokalną, a drugi internet pod kątem dostępnego portu 445 i próbuje infekować odnalezione komputery.
Oto wygląd zainfekowanego komputera w Polsce, a poniżej treść komunikatu.

A na dworcu we Frankfurcie…

info i więcej:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

można sobie ooglądać postępy dziadziaja "na żywo":

Zaloguj lub Zarejestruj się aby zobaczyć!

a dodatkowo Hiszpański CERT wypusćił toola blokującego. Wada, że narzędzie wymaga uruchomienia po każdym reoboocie:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Camel1965]

Ransomware WannaCry powstrzymane za dziesięć dolarów

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[spamtrash]

Powstrzymane chwilowo... ja bym się wstrzymał do jutra z oceną czy na zawsze. Raczej nie. Taki kill switch zwykle się stosuje w wersji labo, a nie w wypuszczonej na świat. Może im robal spitolił z kontrolowanego środowiska? Z niezabezpieczonymi maszynami radzi sobie niemal w czasie rzeczywistym (mówię o dystrybucji, bo szyfrowanie jednak troczę zajmuje). Honeypota potrafi zakazić w 3 minuty od postawienia serwera :

Zaloguj lub Zarejestruj się aby zobaczyć!

Mnie prywatnie i osobiście nie martwi szczególnie szyfrowanie (bo backup, bo ochrona, bo inne różne takie). Martwi mnie to, ze w tym świństwie jest radośnie prosto zmienić payload na taki, który nieszczególnie będzie manifestował swą obecność, a szkód może narobić... i tak mi łazi za uszami że trzeba być wyjątkowym kretynem żeby marnować TAKIE narzędzie na coś, co natentchmiast ogłasza całemu światu swe istnienie i powoduje kupę zamętu przy nader mizernych profitach dla tfurcuf rzeczonego potworka zamiast wsadzić jako payload jakiegoś świstaka który by sobie po cichu zawijał w te sreberka przez jakiś czas.

P.S.: tylko na potwierdzenie...

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Camel1965]

Microsoft znów wydaje łatkę dla Windowsa XP
Do poczytania

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Armaros]

Teoretycznie Windows XP nie jest wspierany od 3 lat, a w związku z tym nie są dla niego przewidywane żadne oficjalne aktualizacje związane z bezpieczeństwem. Po naprawieniu niedawno podatności na

Zaloguj lub Zarejestruj się aby zobaczyć!

w tym systemie, Microsoft zdecydował się wydać kolejną łatkę. Tym razem aktualizacja jest dużo mniejsza, ale jednocześnie dużo mniej o niej wiadomo.

Jak się okazuje, łatka

Zaloguj lub Zarejestruj się aby zobaczyć!

dla użytkowników Windowsa XP SP3 już od czterech dni. Podobnie jak poprzednia, związana jest wyłącznie z bezpieczeństwem, ale w tym przypadku zadowolić się musimy tylko krótkim wyjaśnieniem opisującym jej działanie:

Żródło Dobre programy :

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[OXYGEN THIEF]

Całkiem fajnie że MS wydaje łatki również i dla klientów którzy nie wykupili rozszerzonych aktualizacji.

 

[malwina7]

a skad pobrac ta latke na xp z polskim jezykiem?bo ta jest na xp english

 

[spamtrash]

Probowalas zainstalowac? Pomimo ze ma w nazwie ENU, latka powina sie zainstalowac na PL rowniez...?

P.S. Nowy zestaw uaktualnien dla XP tutaj: https://programyzadarmo.net.pl/threads/kolejne-latki-bezpieczenstwa-dla-xp.32143/

 

[malwina7]

@spamtrash , wielkie dzieki latki wgrane