Разделы сайта
Выбор редакции:
- Звуковые сигналы биос при включении пк
- Как удалить страницу в контакте?
- Как удалить удаленную страницу Вконтакте?
- ENIAC — самый первый компьютер в мире
- На работе заблокировали Вконтакте как обойти?
- Как удалить страницу в Вконтакте с телефона
- Способы форматирования жесткого диска используя биос
- Как зайти в Одноклассники, если сайт заблокирован?
- Как навсегда удалить страницу в контакте?
- Как обойти блокировку вк и одноклассников на украине
Реклама
WannaCry/WannaCrypt: личное дело |
(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками. Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк». Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю... Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему? Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов). Анализ WannaCryТроянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается. Для шифрования используется американский алгоритм AЕS с 128-битным ключом. В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна. В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа. Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует! Признаки заражения WannaCryПопав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service). Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки. После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу. Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB. Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу. < nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY < nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion < nulldot> 0x1000f1b4, 12, 00000000.eky < nulldot> 0x1000f270, 12, 00000000.pky < nulldot> 0x1000f2a4, 12, 00000000.res Защита от WannaCrypt и других шифровальщиковДля защиты от шифровальщика WannaCry и его будущих модификаций необходимо:
Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows
Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows |
Читайте: |
---|
Популярное:
Временная электронная почта на 10 минут? |
Новое
- Как удалить страницу в контакте?
- Как удалить удаленную страницу Вконтакте?
- ENIAC — самый первый компьютер в мире
- На работе заблокировали Вконтакте как обойти?
- Как удалить страницу в Вконтакте с телефона
- Способы форматирования жесткого диска используя биос
- Как зайти в Одноклассники, если сайт заблокирован?
- Как навсегда удалить страницу в контакте?
- Как обойти блокировку вк и одноклассников на украине
- Форматирование через биос