Масштабная кибератака перекинулась из Великобритании на другие страны, включая Россию

После того, как компьютеры госпиталей Великобритании были атакованы (https://tjournal.ru/44252-bolnici-na-vsei-territorii-anglii-podverglis-masshtabnim-kiberatakam)хакерами-вымогателями, волна кибератак перекинулась на другие страны, включая Россию. В РФ сообщается об атаке на компьютеры МВД и Следственного комитета, а также торговых компаний.

После Великобритании первыми об атаке начали сообщать из Испании. Как сообщает (https://tjournal.ru/redirect?url=https%3A%2F%2Fwww.ft.com%2Fcontent%2F 74c666ec-8dc7-3b20-b573-245bc0e9d935) Financial Times, компьютеры сотрудников телефонных компаний страны на Windows оказались заблокированы. За возврат доступа хакеры требуют 300 долларов в биткоинах.

Сообщается (https://tjournal.ru/redirect?url=https%3A%2F%2Fslack-redir.net%2Flink%3Furl%3Dhttp%253A%252F%252Fsicnot icias.sapo.pt%252Fpais%252F2017-05-12-Portugal-Telecom-alvo-de-ataque-informatico), что атаке подверглись несколько телефонных компаний в Испании и Португалии. Они предупредили клиентов о том, что вирус распространяется по сети и порекомендовали не открывать никаких присланных файлов.

В российских социальных сетях и на форумах пользователи различных компаний утверждают, что вирус атаковал и их. Говорится, что атаке подверглась даже компьютерная сеть МВД.

https://pbs.twimg.com/media/C_odBOJW0AAc-Mj.jpg:small



https://pbs.twimg.com/media/C_odBOJW0AAc-Mj.jpg:small


Вирус-шифровальщик обсуждается (https://tjournal.ru/redirect?url=https%3A%2F%2Fforum.kasperskyclub.ru% 2Findex.php%3Fshowtopic%3D55543) также на форуме «Лаборатории Касперского», которая пока никак не прокомментировала новость. Ряд пользователей пишет, что вирус добрался и до них.

На сайте Pikabu говорится (https://tjournal.ru/redirect?url=http%3A%2F%2Fpikabu.ru%2Fstory%2Fkrip toshifrovalshchik_porazil_set_mvd_5044435) об атаке на компьютеры МВД. Источники в ведомстве подтвердили (https://tjournal.ru/redirect?url=https%3A%2F%2Fzona.media%2Fnews%2F201 7%2F05%2F12%2Fvirusss%3Futm_source%3Dweb_push%26ut m_medium%3Dweb_push_notification%26utm_campaign%3D web_push) факт заражения компьютеров «Медиазоне». Сайт МВД работает, но на нём появилось (https://tjournal.ru/redirect?url=https%3A%2F%2Fxn--b1aew.xn--p1ai%2F) предупреждение о возможных сбоях из-за технических работ. Источники «Газеты.Ру» рассказали (https://tjournal.ru/redirect?url=https%3A%2F%2Fwww.gazeta.ru%2Ftech%2F news%2F2017%2F05%2F12%2Fn_10040471.shtml), что атаке подверглись и компьютеры Следственного комитета.

В сообществах во «ВКонтакте» сообщают (https://tjournal.ru/redirect?url=https%3A%2F%2Fvk.com%2Fwall-70513738_555815%3Fz%3Dphoto-70513738_456246383%252Falbum-70513738_00%252Frev), что заражению подверглись компьютеры сотрудников компании «Связной». Источники TJ в компании рассказали, что им разосланы предупреждения о киберугрозе. Атаку подтвердил (https://tjournal.ru/redirect?url=http%3A%2F%2Fwww.rbc.ru%2Fsociety%2F1 2%2F05%2F2017%2F5915ebf29a794763a8bff785%3Futm_sou rce%3Dpushc) и мобильный «МегаФон».

https://gif.cmtt.space/3/club/e5/37/fc/3d2efdd9e7cc26.png

https://gif.cmtt.space/3/club/e5/37/fc/3d2efdd9e7cc26.png

Би-би-си со ссылкой на свои источники сообщает (https://tjournal.ru/redirect?url=http%3A%2F%2Fwww.bbc.com%2Fnews%2Ftec hnology-39901382%3Focid%3Dsocialflow_twitter), что хакерская атака затронула весь мир. Эксперт по кибербезопасности компании Avast сообщил, что обнаружил 36 тысяч заражённых компьютеров, в том числе в России и на Украине.

https://pbs.twimg.com/media/C_omHBLW0AEuNG9.jpg:small

https://pbs.twimg.com/media/C_omHBLW0AEuNG9.jpg:small

[/URL]

Сообщается также, что биткоин-кошельки, указанные злоумышленниками, начали пополняться деньгами. В интернете в настоящий момент [URL="https://tjournal.ru/redirect?url=https%3A%2F%2Fintel.malwaretech.com%2 FWannaCrypt.html"]появилась (https://twitter.com/JakubKroustek)интерактивная карта, показывающая регионы, подверженные атакам. Судя по ней, заражены компьютеры от Канады до Китая.

15 апреля 2017 года из Агентства национальной безопасности утекли (https://tjournal.ru/43286-iz-anb-utekli-programmi-dlya-vzloma-lubogo-komputera-na-windows-no-microsoft-uspokoil-polzovatelei)программы для взлома любого компьютера на Windows. Тогда в сеть попали десятки инструментов взлома, но в Microsoft заверяли, что успели закрыть все бреши.

https://tjournal.ru/44258-masshtabn...ikobritanii-na-drugie-strani-vkluchaya-rossiu (https://tjournal.ru/44258-masshtabnaya-kiberataka-perekinulas-iz-velikobritanii-na-drugie-strani-vkluchaya-rossiu)

У кого-нибудь есть зараженная система? Или сам екзешник с dll'ем? Очень интересна структура данного криптора

Патч от дыры, которую использует этот криптор был ещё в марте:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Кто его не поставили - сам себе злобный Буратино.

И вообще, бэкапы делать надо.

А этот вирус распространялся через мыло?

DarkDrago said:
↑ (https://antichat.live/posts/4084080/)
А этот вирус распространялся через мыло?


И через него тоже, но и по локальной сети ползать умеет с заражённого ПК судя по описанию проблемы.

На торрентах и файлопомойках тоже можно качнуть. Но мыло - основной источник.

user100 said:
↑ (https://antichat.live/posts/4084082/)
И через него тоже, но и по локальной сети ползать умеет с заражённого ПК судя по описанию проблемы.
На торрентах и файлопомойках тоже можно качнуть. Но мыло - основной источник.


Где его можно найти?

Пофиг в принципе.

Ultimausee said:
↑ (https://antichat.live/posts/4084109/)
Где его можно найти?


Спрашивайте в отделениях Сбербанка

http://li.tl/v/uLZ3/img (http://li.tl/v/uLZ3)

Детские шалости

Самое смешное это вот эта фотка

http://s002.radikal.ru/i198/1705/d3/eb7416077056.jpg

^%^&

http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg

http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg

http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg

Доктор G против - сенсей.

http://s019.radikal.ru/i623/1705/d7/adbfc2ad90ca.jpg

lolidoli said:
↑ (https://antichat.live/posts/4084197/)
Детские шалости
Самое смешное это вот эта фотка
http://s002.radikal.ru/i198/1705/d3/eb7416077056.jpg
^%^&
http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg
http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg
http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg
http://radikal.ru][img]http://s56.radikal.ru/i154/1705/9f/26df15df700d.jpg


Кста - ты играешь в игры, могу тебя выебать в генералах. Concuer general

user100 said:
↑ (https://antichat.live/posts/4084185/)
Спрашивайте в отделениях Сбербанка


В соседнем отделении Сбера на мониторе ( на самом деле на перевёрнутом тв ) висит подобное http://i-technet.sec.s-msft.com/dynimg/IC302710.png .

Завтра гляну, может что изменилось...

Triton_Mgn said:
↑ (https://antichat.live/posts/4084228/)
Кста - ты играешь в игры, могу тебя выебать в генералах. Concuer general



Сорян .. не играю.

можем только в робокс поиграть или интал )) желаешь ? .. поднять перо- опустить перо)) Смыкаешь ? )

lolidoli said:
↑ (https://antichat.live/posts/4084233/)
Сорян .. не играю.
можем только в робокс поиграть или интал )) желаешь ? .. поднять перо- опустить перо)) Смыкаешь ? )


Нее - на этом и закончим, просто вспомнились генералы.

Triton_Mgn said:
↑ (https://antichat.live/posts/4084236/)
Нее - на этом и закончим, просто вспомнились генералы.


Я последний раз в них играл в 2003 году

у меня знакомый в организации такое письмецо открыл в прошлом году, пришлось откупаться

Вопрос все еще в силе, может кто нибудь приложить архив с семплом этого вируса?

Ultimausee said:
↑ (https://antichat.live/posts/4084450/)
Вопрос все еще в силе, может кто нибудь приложить архив с семплом этого вируса?


Либо с док-файлом-загрузчиком. Вирь стяну и выложу.

Большинство таких вирусов шифровальщиков используют библиотеку функций OpenSSL у нее открытый исходный код на ней и построен весь https на ней построено шифрование OpenVPN , Tor ,RDP RC4 и еще много чего ничего короче на ней держится все шифрование интернета она свободная с открытым исходным кодом зачем писать алгоритмы шифрования когда можно подключить библиотеку функций Я ЭКСПЕРИМЕНТИРОВАЛ С НЕЙ на 99 процентов успех файлы шифрует. имя файла меняет на имя почтового ящика все гуд но шифрует только в одной папке если кто то сможет сделать рекурсивный поиск или решит проблему станет богаче билла гейтса

( вся информация только для самообразования )

http://images.vfl.ru/ii/1494837220/e685858d/17230667_m.jpg (http://vfl.ru/fotos/e685858d17230667.html)

Времена идут, а люди и другие вещи в жизни, таки не меняются! Два бича: крипторы and полиморфники + уязвимости протоколов. Вот что надо, чтобы управлять сетями на этой планете...

причем тут полиморфники ? такие вирусы используют библиотеку функций OpenSSL на ней весь интернет держится касперский же не может поиметь сам себя вот и бесится . и причем тут два бича ?

вот маленький пример что будет если касперский начьнет удолять часть программы openvpn или к примеру протокол RDP использует rc4 тоже использует библиотеку функций OpenSSL ЧТО БУДЕТ ЕСЛИ КАСПЕРСКИЙ ЭТО НАЧЬНЕТ УДАЛЯТЬ ? он очень быстро окажется в психушке

При том, же что и криптопакет Open SSL! Полиморфники шибко, стали популярны в ряде областей, также как и крипторы в общей массе, для вымогателей!

Первый в истории криптор который распространял сам себя.

Приветы.

Не криптор сам себя распространял. Там эксплойт распространяется отдельно и тянет криптор, потом снова распространяется и снова тянет. 2 кода.

Странно, что раньше так не делали.

texnoline said:
↑ (https://antichat.live/posts/4084588/)
Времена идут, а люди и другие вещи в жизни, таки не меняются!
Два бича: крипторы and полиморфники + уязвимости протоколов. Вот что надо, чтобы управлять сетями на этой планете...

Короче винду переставил не помогло. только установил анти-вирь он сразу на винде нашёл этот вирус. С дисков D и Е эту срань не убирал специально. Кроче как он переползает на системный диск не пойму.

Вот такой у меня сейчас комп.

https://hkar.ru/PakY

https://hkar.ru/PakZ

https://hkar.ru/Pal0

https://hkar.ru/Pal1

Stas55 said:
↑ (https://antichat.live/posts/4085339/)
Короче винду переставил не помогло. только установил анти-вирь он сразу на винде нашёл этот вирус. С дисков D и Е эту срань не убирал специально. Кроче как он переползает на системный диск не пойму.


попрлбуй запретить запись на C:

Stas55 said:
↑ (https://antichat.live/posts/4085366/)
Вот такой у меня сейчас комп.
https://hkar.ru/PakY
https://hkar.ru/PakZ
https://hkar.ru/Pal0
https://hkar.ru/Pal1


Виндовс 10 с обновлениями ?

V777 said:
↑ (https://antichat.live/posts/4085511/)
Виндовс 10 с обновлениями ?


по моему мнению у него 7ка

Да 7 пак1.

Stas55 said:
↑ (https://antichat.live/posts/4085519/)
Да 7 пак1.


без обновлений ?

С обновлениями. Смотрите такая история. Уже переустанавливаю 3тий раз. Вирус опять попер антивирь орет постоянно. Подумал решил что диски Д и Е не почищены и вирь лезет на С. Взял про сканировал весь хард антивирь их нашел тысячи. Видели ранее выложенные мной скрины! Практически все файлы повреждены. Переустановил опять вроде тишина но как только подключил инет опять фигня понеслась экран периодически синеет))) антивирь орет.Решил так что вирь может лезет через инет пока я на винду Антивирус ставлю и качаю обновление безопасности. 3тий раз уже быстро поставил антивирь втыкаю кабель инета и сразу жму кнопу на вебморде обновить базу обновился за 45 сек вроде тишина но через минут 20 опять понеслась таже фигня. Может кто также захватил такую же хрень? Подскажите как лечить? Да вот еще одна интересная вещь. Перед очередной переустановкой запустил на компе Линь Протеус через него еще по дискам полазил почистил еще немного вручную. И обратил внемание на одну вещь тхт файлы которые были на компе те что не затронул вирь открываются нормально а тхт файл тот что создал вирь с описанием куда бабки в виде биткоинтов слать на Линуксе открытся не захотел написал не известная кодировка файла.Что это может значить?

Stas55 said:
↑ (https://antichat.live/posts/4085784/)
С обновлениями. Смотрите такая история. Уже переустанавливаю 3тий раз. Вирус опять попер антивирь орет постоянно. Подумал решил что диски Д и Е не почищены и вирь лезет на С. Взял про сканировал весь хард антивирь их нашел тысячи. Видели ранее выложенные мной скрины! Практически все файлы повреждены. Переустановил опять вроде тишина но как только подключил инет опять фигня понеслась экран периодически синеет))) антивирь орет.Решил так что вирь может лезет через инет пока я на винду Антивирус ставлю и качаю обновление безопасности. 3тий раз уже быстро поставил антивирь втыкаю кабель инета и сразу жму кнопу на вебморде обновить базу обновился за 45 сек вроде тишина но через минут 20 опять понеслась таже фигня. Может кто также захватил такую же хрень? Подскажите как лечить? Да вот еще одна интересная вещь. Перед очередной переустановкой запустил на компе Линь Протеус через него еще по дискам полазил почистил еще немного вручную. И обратил внемание на одну вещь тхт файлы которые были на компе те что не затронул вирь открываются нормально а тхт файл тот что создал вирь с описанием куда бабки в виде биткоинтов слать на Линуксе открытся не захотел написал не известная кодировка файла.Что это может значить?


Установи 10 , только с обновлениями

У меня Windows 7 без сервис паков комп включен 24 часа в сутки пока никто не проникал

Stas55 said:
↑ (https://antichat.live/posts/4085784/)
Вирус опять попер


Вы екзе вируса можете приложить? Возможно, это уже версия 2.1, я слышал что ее гораздо сложнее выкурить, надо затирать диск не щадя файлы.

Stas55 said:
↑ (https://antichat.live/posts/4085784/)
С обновлениями. Смотрите такая история. Уже переустанавливаю 3тий раз. Вирус опять попер антивирь орет постоянно. Подумал решил что диски Д и Е не почищены и вирь лезет на С. Взял про сканировал весь хард антивирь их нашел тысячи. Видели ранее выложенные мной скрины! Практически все файлы повреждены. Переустановил опять вроде тишина но как только подключил инет опять фигня понеслась экран периодически синеет))) антивирь орет.Решил так что вирь может лезет через инет пока я на винду Антивирус ставлю и качаю обновление безопасности. 3тий раз уже быстро поставил антивирь втыкаю кабель инета и сразу жму кнопу на вебморде обновить базу обновился за 45 сек вроде тишина но через минут 20 опять понеслась таже фигня. Может кто также захватил такую же хрень? Подскажите как лечить? Да вот еще одна интересная вещь. Перед очередной переустановкой запустил на компе Линь Протеус через него еще по дискам полазил почистил еще немного вручную. И обратил внемание на одну вещь тхт файлы которые были на компе те что не затронул вирь открываются нормально а тхт файл тот что создал вирь с описанием куда бабки в виде биткоинтов слать на Линуксе открытся не захотел написал не известная кодировка файла.Что это может значить?


Будь здоров.

Антивирь лечит походу криптор, а загрузчик не видит. Смотри что тебе надо сделать.

1. Заблокировать 445 порт.

2. Скачать программу TCPView и, не включая интернет, с ее помощью глянуть на какой айпи ломится эта дрянь. Айпи заблокировать.

3. Можешь для разнообразия обнову поставить.

4. Тормозни службу "Сервер".

Как увидишь айпи скинь его сюда - для интересу и пользы дела.

Не болей!

Всем спасибо кто принимал участие. Короче проблему вроде решил, сейчас все спокойно. Оказывается та Вин 7 что у меня была отказывалась ставить заплатку в виде обновления безопасности.

Проблему решил установкой другой сборки более новой 7ки.

Сначала скачал пак обнов безопасности для вин7 не подключая инет поставил его на новую 7ку, установил антивирь практически с новыми обновами вирусных баз и только тогда подключил инет за 40 сек обновил антивирь уже почти сутки тишина.

Вот это обнова системы безопасности.

Обновление системы безопасности для ОС Windows (KB4012215)

Дата установки: ‎17.‎05.‎2017 21:35

Состояние установки: Успех

Способ обновления: Важное

Fix for KB4012215

Почему не ставилась на предыдущую 7ку не знаю.Это думаю и влекло распространению вируса.

Еще раз спасибо за советы!!!

PS: Да кстати файлы криптованые с компа не удалял по мере возможности удалял сам криптор и описание куда бабло занести. Думаю может сделают декриптор этой фигни. У меня 80% файлов на компе закриптованы много нужных и есть такие что если удалить уже не когда в жизни не восстановить. Пока держу не тру их!!

Как вы думаете через какое время сделают декриптор ?

DarkDrago said:
↑ (https://antichat.live/posts/4086414/)
Как вы думаете через какое время сделают декриптор ?


Если и сделают, то очень нескоро, там уникальные ключи rsa 2048 бит, дешифровать практически невозможно.

Ultimausee said:
↑ (https://antichat.live/posts/4086417/)
Если и сделают, то очень нескоро, там уникальные ключи rsa 2048 бит, дешифровать практически невозможно.


Вау, 2048 бита... Хотя в 99 году перебор 40-битового

ключа шифрования на одном компьютере считался практически непосильной задачей, то в 2004 году документ в формате Microsoft Word или PDF, защищенный ключом такой длины, может быть расшифрован меньше чем за неделю.

DarkDrago said:
↑ (https://antichat.live/posts/4086421/)
Вау, 2048 бита... Хотя в 99 году перебор 40-битового
ключа шифрования на одном компьютере считался практически непосильной задачей, то в 2004 году документ в формате Microsoft Word или PDF, защищенный ключом такой длины, может быть расшифрован меньше чем за неделю.


Ну, майнерами сейчас уже что угодно взломать реально)

Ultimausee said:
↑ (https://antichat.live/posts/4086426/)
Ну, майнерами сейчас уже что угодно взломать реально)


Хотя при совместном использовании ресурсов компьютеров. Это реально, но АНБ могли бы помочь, но они слишком гордые(((

Как я уже писал на библиотеке OpenSSL держится весь интернет если кому то удастся взломать хотя бы один из ее алгоритмов шифрования то пошатнутся многие устои интернета так что ближайшее лет так сто расшифровки файлов не будет

если конечно хакеры сами ключи в сеть не выложат от жалости

а могут и продать антивирусным компаниям чтоб те понты колотили и того двойной доход

Ruslan365c said:
↑ (https://antichat.live/posts/4086431/)
если конечно хакеры сами ключи в сеть не выложат от жалости


или если их базу не взломают и не соберут дешифратор из их же исходников)

у всех известных алгоритмов шифрования открытый исходный код это же не означает что из исходника можно получить ключ шифрования который генерируется автоматически а пароль у исходниках они точьно не оставят

и базы с паролями и ключами они хранят в зашифрованом виде если только их физически вычислят то ключи будут извлекать с помащю паяльника тогда возможно

Stas55 said:
↑ (https://antichat.live/posts/4085784/)
С обновлениями. Смотрите такая история. Уже переустанавливаю 3тий раз. Вирус опять попер антивирь орет постоянно. Подумал решил что диски Д и Е не почищены и вирь лезет на С. Взял про сканировал весь хард антивирь их нашел тысячи. Видели ранее выложенные мной скрины! Практически все файлы повреждены. Переустановил опять вроде тишина но как только подключил инет опять фигня понеслась экран периодически синеет))) антивирь орет.Решил так что вирь может лезет через инет пока я на винду Антивирус ставлю и качаю обновление безопасности. 3тий раз уже быстро поставил антивирь втыкаю кабель инета и сразу жму кнопу на вебморде обновить базу обновился за 45 сек вроде тишина но через минут 20 опять понеслась таже фигня. Может кто также захватил такую же хрень? Подскажите как лечить? Да вот еще одна интересная вещь. Перед очередной переустановкой запустил на компе Линь Протеус через него еще по дискам полазил почистил еще немного вручную. И обратил внемание на одну вещь тхт файлы которые были на компе те что не затронул вирь открываются нормально а тхт файл тот что создал вирь с описанием куда бабки в виде биткоинтов слать на Линуксе открытся не захотел написал не известная кодировка файла.Что это может значить?


а у тя хард 1???

Stas55 said:
↑ (https://antichat.live/posts/4086411/)
PS: Да кстати файлы криптованые с компа не удалял по мере возможности удалял сам криптор и описание куда бабло занести. Думаю может сделают декриптор этой фигни. У меня 80% файлов на компе закриптованы много нужных и есть такие что если удалить уже не когда в жизни не восстановить. Пока держу не тру их!!


я имею ввиду физически

madik said:
↑ (https://antichat.live/posts/4086557/)
я имею ввиду физически


Да хард 1. Да не удаляю антивирь на криптованые файлы не орет.

Stas55 said:
↑ (https://antichat.live/posts/4086589/)
Да хард 1. Да не удаляю антивирь на криптованые файлы не орет.


просто тебе надо физически их разделить, то есть на чистом харде поставить ось с антивирем и обновами а на втором хаус после нормальной настройки компа и установки заплатки подключать хард с вирусом)

Stas55 said:
↑ (https://antichat.live/posts/4086589/)
Да хард 1. Да не удаляю антивирь на криптованые файлы не орет.


я ж как понимаю ты поковырять его хочешь)

wcry еще давольно не в плохом состоянии))

http://s019.radikal.ru/i625/1705/77/79026c4e4d86.png (http://radikal.ru)

Оно вот как оказывается.

http://www.securitylab.ru/news/486195.php

Выпущен инструмент для удаления WannaCry с Windows XP без уплаты выкупа

Инструмент извлекает ключ для дешифровки из памяти самого компьютера.

Windows XP является одной из уязвимых операционных систем, пораженных (http://www.securitylab.ru/news/486124.php) в прошлую пятницу вымогательским ПО WannaCry. Несмотря на выход (http://www.securitylab.ru/news/486126.php) исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.

Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.

Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.

После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.

Программа работает только на Windows XP и не тестировалась на других версиях ОС. Скачать (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fgithub.com%2Faguinet %2Fwannakey) инструмент можно с репозитория GitHub.

madik said:
↑ (https://antichat.live/posts/4086593/)
я ж как понимаю ты поковырять его хочешь)


В общем то нет ковырять не буду.Получается не чего ковырять. Осталось описание и мой покритикованные файлы.Екзешник антивирь все их убил.Жду может декриптор сделают.

У нас уже 6 часов лежит Мегафон,Йота и Ростелеком. Интересно это как-то связано с кибератакой?

Veil said:
↑ (https://antichat.live/posts/4086719/)
У нас уже 6 часов лежит Мегафон


http://www.the-village.ru/village/city/situation/267076-megafon

В смысле, если ты подразумевал свой город, то он лежит по всей стране, и не только он.

http://zagony.ru/admin_new/foto/2017-5-17/1494968464/demotivatory_na_vtornik_30_foto_12.jpg

Зачет картинка, так то есличо гоу на сайт драйвер пак солюшин, там парни тоже озадачились этой проблемой.

CKAP said:
↑ (https://antichat.live/posts/4086737/)
Зачет картинка, так то есличо гоу на сайт драйвер пак солюшин, там парни тоже озадачились этой проблемой.


ссылочку моно ?

zer0_igL said:
↑ (https://antichat.live/posts/4086741/)
ссылочку моно ?


https://drp.su/ru/foradmin

в правом верхнем углу

Эта что ли? http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Я патч брал тут

Для любой выни https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

для 7-64 http://download.windowsupdate.com/d..._2decefaa02e2058dcd965702509a992d8c4e92b3.msu (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu)

7-86 http://download.windowsupdate.com/d..._6bb04d3971bb58ae4bac44219e7169812914df3f.msu (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu)

10-64 http://download.windowsupdate.com/c..._e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu)

10-86 http://download.windowsupdate.com/c..._8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu)

хрюша http://download.windowsupdate.com/d..._772fa4f6fad37b43181d4ad2723a78519a0cc1df.exe (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df.exe)

но можно и без патча настроить защитую

зы пардон за оформление... очень тороплюсь

Pomi said:
↑ (https://antichat.live/posts/4086667/)
Оно вот как оказывается.
http://www.securitylab.ru/news/486195.php
Выпущен инструмент для удаления WannaCry с Windows XP без уплаты выкупа
Инструмент извлекает ключ для дешифровки из памяти самого компьютера.
Windows XP является одной из уязвимых операционных систем,
пораженных (http://www.securitylab.ru/news/486124.php)
в прошлую пятницу вымогательским ПО WannaCry. Несмотря на
выход (http://www.securitylab.ru/news/486126.php)
исправляющих уязвимость обновлений, огромное количество компьютеров стали жертвами вредоноса. К счастью, французский исследователь безопасности Адриан Гине (Adrien Guinet) разработал инструмент, позволяющий удалить WannaCry с системы без уплаты выкупа.
Стоит отметить, инструмент работает только в случае, если после заражения системы компьютер не был перезагружен. Если система была перезапущена, и WannaCry зашифровал файлы, программа Гине будет бесполезна.
Разработанный исследователем инструмент ищет ключ для дешифровки в памяти самого компьютера и способен восстановить простые числа закрытого RSA-ключа, используемого WannaCry при шифровании файлов жертвы. Как пояснил Гине, его инструмент ищет числа в процессе wcry.exe, генерирующем закрытый RSA-ключ.
После зашифровки закрытого ключа его незашифрованная версия удаляется из памяти инфицированного компьютера с помощью функции CryptReleaseContext. Тем не менее, как пояснил исследователь, CryptDestroyKey и CryptReleaseContext стирают только указывающий на ключ маркер, но не числа, благодаря чему закрытый ключ можно извлечь из памяти.
Программа работает только на Windows XP и не тестировалась на других версиях ОС.
Скачать (http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fgithub.com%2Faguinet %2Fwannakey)
инструмент можно с репозитория GitHub.


Все тупые сисадмины первом делом перезагружают ПК тем более времени прошло довольно много дело в том что информация в оперативной памяти не может храниться без питания после отключения питания информация в ОЗУ хранится ли 8-10 секунд после чего ее уже не вернуть так что данный способ стар и называется метод холодный перезагрузки возможно это спасет не более 8 процентов компьютеров но остальным конец тем более в организациях принято на ночь отключать свет с его стороны это звучит как подеъебон

CKAP said:
↑ (https://antichat.live/posts/4086747/)
https://drp.su/ru/foradmin
в правом верхнем углу


СКАР,насовал в ссылку вирусов. Замучился выгребать.

Payer said:
↑ (https://antichat.live/posts/4086730/)
http://zagony.ru/admin_new/foto/2017-5-17/1494968464/demotivatory_na_vtornik_30_foto_12.jpg


Картинка зачетная!!! Но не все от юзеров зависит.Я всегда обновы ставлю еще с времен хрюши. А вот та сборка 7ки на которую вирь залез как раз эту обнову безопасности отказалась ставить.Выше постами писал об этом.

Veil said:
↑ (https://antichat.live/posts/4086758/)
СКАР,насовал в ссылку вирусов. Замучился выгребать.


да ну... ну хз.. живет у меня какой то повершел, опять руки не доходят проверить откуда ноги ростут

Я пошутил если кто не понял

http://i95.fastpic.ru/big/2017/0519/c0/969ed23fca7c66ccd7326cbc7477b4c0.jpg

CKAP said:
↑ (https://antichat.live/posts/4086765/)
да ну... ну хз.. живет у меня какой то повершел, опять руки не доходят проверить откуда ноги ростут


Да я о том ,что всякая хрень типа браузеров и других Амиго влезли.Выгреб эту нечисть.

Veil said:
↑ (https://antichat.live/posts/4086789/)
Да я о том ,что всякая хрень типа браузеров и других Амиго влезли.Выгреб эту нечисть.


хм, не должно там такого быть. А если скачал саму утилиту, там при первом запуске, сразу же заходишь и внизу есть линк включить режим эксперта, там по дефолту стоят чек боксы на браузеры и прочею уйню. Оставляешь только то что нужно и порядок. А по поводу амиг, так сам этот пак, там есть опция защиты, он показывает, что амиго это кака, и не хотели бы вы что бы я её удалил. Так что очень странно, что там к тебе что то прицепилось.

тогда вот если картинки нужны мистер прет продавший эксплоит

http://img.ii4.ru/images/2017/05/12/820915_dm_temp_image_31205171938154550769.jpg

Stas55 said:
↑ (https://antichat.live/posts/4086713/)
В общем то нет ковырять не буду.Получается не чего ковырять. Осталось описание и мой покритикованные файлы.Екзешник антивирь все их убил.Жду может декриптор сделают.


а для чего тебе диск с вирусом и убитыми файлами? форматируй все к ебе"ни фени

Ruslan365c said:
↑ (https://antichat.live/posts/4086755/)
Все тупые сисадмины первом делом перезагружают ПК тем более времени прошло довольно много дело в том что информация в оперативной памяти не может храниться без питания после отключения питания информация в ОЗУ хранится ли 8-10 секунд после чего ее уже не вернуть так что данный способ стар и называется метод холодный перезагрузки возможно это спасет не более 8 процентов компьютеров но остальным конец тем более в организациях принято на ночь отключать свет с его стороны это звучит как подеъебон


ну кстати я помню что ребята из отдела "К" змараживают озу азотом а потом на базе достают дампы)

madik said:
↑ (https://antichat.live/posts/4086932/)
озу азотом а потом на базе достают дампы


страсти какие, а есть пруфлинки, кроме слов "пострадавших"?

Semwize said:
↑ (https://antichat.live/posts/4086939/)
страсти какие, а есть пруфлинки, кроме слов "пострадавших"?


погугли мальчишка пруфики есь тебе так надо

а то ищь палец в рот им не клади дай только д0е"аться до кого нибудь

Semwize said:
↑ (https://antichat.live/posts/4086939/)
страсти какие, а есть пруфлинки, кроме слов "пострадавших"?


держи солнышко, развивайся /threads/451725/ (https://antichat.live/threads/451725/)

я просил несколько другой линк, не надо передергивать, а именно - как ребята K... Или это они Вам, предварительно отбив почки, рассказали в приватной беседе?

Semwize said:
↑ (https://antichat.live/posts/4086965/)
я просил несколько другой линк, не надо передергивать, а именно - как ребята K... Или это они Вам, предварительно отбив почки, рассказали в приватной беседе?


статей на эту тему полно в инете, или ты считаешь что у нас в отделе К дебилы сидят?

madik said:
↑ (https://antichat.live/posts/4086932/)
ну кстати я помню что ребята из отдела "К" змараживают озу азотом а потом на базе достают дампы)


отдел "К" ничего не замораживает потому что это не эффективно думаешь они успеют провести захват зашифрованного компьютера всего за 8 секунд имено столко хранится информацию в ОЗУ после отключения питания это нужно же вломится, открыть системник,заморозить,и положить в холодильник да не простой холодильник а чтоб температура была как у жидкого азота это сделать довольно сложно но возможно ЩАС РАССКАЖУ КАК В РЕАЛЕ РАБОТАЕТ ОТДЕЛ К И ФСБ компьютерные преступления недоказуемы поэтому ментам дали разрешение с самого верха из москвы на подтасовку улик повторю еще раз ( самого верха жаловатся будет некому ) но они подтасовывают только в том случае когда точно знают что это вы так что пока интернет анонимен мы живы

А вирус Шифрует только ярлыки к файлам? Если да, то можно решить проблему с шифрование,есть заблочить вирус, а потом снести винду. Ведь,если вирус использует Rsa 5, то шифровать он должен очень долго и при этом затрачивая колоссальные ресурсы.

DarkDrago said:
↑ (https://antichat.live/posts/4087629/)
А вирус Шифрует только ярлыки к файлам? Если да, то можно решить проблему с шифрование,есть заблочить вирус, а потом снести винду. Ведь,если вирус использует Rsa 5, то шифровать он должен очень долго и при этом затрачивая колоссальные ресурсы.


Большая часть кода OpenSSL написана на ассемблере и Си и написана далеко не лохами я проводил эксперименты диск размером 1 терабайт забитый на 70 процентов шифруется за 30-45 минут нагрузка на двухядерный проц 20-30 процентов короче заметить его за 30 минут очень сложно не забывайте ассемблер он очень быстрый

Semwize said:
↑ (https://antichat.live/posts/4086965/)
я просил несколько другой линк, не надо передергивать, а именно - как ребята K... Или это они Вам, предварительно отбив почки, рассказали в приватной беседе?


Кроме буквы "К" есть ещё много букв в нашем алфавите, так что "не К единым" полнится этот мир(((

Всем всех благ.

В руки попался шифровальщик? (*.doc - раньше так не распространялся почти) - практически (401-ая? копия) нулевого дня(с утра не определялся, сейчас). Могу выложить, если надо кому поковырять - в личку.

(Может и не тот самый?)

Antiy-AVL Trojan[Exploit]/RTF.CVE-2017-0199 20170526

AVware LooksLike.RTF.Malware.a (v) 20170526

Kaspersky HEUR:Trojan.Win32.Generic 20170526

Symantec ML.Attribute.HighConfidence 20170526

TrendMicro HEUR_RTFMALFORM 20170526

VIPRE LooksLike.RTF.Malware.a (v) 20170526

ZoneAlarm by Check Point HEUR:Trojan.Win32.Generic 20170526

18:40 мск больше никем не определяется

Pomi said:
↑ (https://antichat.live/posts/4089774/)
Antiy-AVL Trojan[Exploit]/RTF.CVE-2017-0199 20170526
AVware LooksLike.RTF.Malware.a (v) 20170526
Kaspersky HEUR:Trojan.Win32.Generic 20170526
Symantec ML.Attribute.HighConfidence 20170526
TrendMicro HEUR_RTFMALFORM 20170526
VIPRE LooksLike.RTF.Malware.a (v) 20170526
ZoneAlarm by Check Point HEUR:Trojan.Win32.Generic 20170526


Pomi (https://antichat.live/members/296952/) Выложете сравним дизассемблером c OpenSSL часть кода должна совпадать

del

Pomi said:
↑ (https://antichat.live/posts/4089904/)
http://rgho.st/8dVCKHTcD
пароль с 7 до 5 в обратную сторону через круг


пароль по нормальному напишите ото через круг понятие растяжимое

Ruslan365c said:
↑ (https://antichat.live/posts/4089958/)
пароль по нормальному напишите ото через круг понятие растяжимое


Это он намекает, что его нужно брутом перебрать xD

Ultimausee said:
↑ (https://antichat.live/posts/4089972/)
Это он намекает, что его нужно брутом перебрать xD


те люди кто такими вещами занимается пароли ставят примерно такие 2AHjIrsObp8wCllRkKeCtoCD6MmT смысыл его переберать ?

Ruslan365c said:
↑ (https://antichat.live/posts/4090079/)
те люди кто такими вещами занимается пароли ставят примерно такие 2AHjIrsObp8wCllRkKeCtoCD6MmT смысыл его переберать ?


Ну тут то он не сложный

Прям криптография какая-то

https://pp.vk.me/c626229/v626229966/24a1f/078Ez_5LSUY.jpg

Привет! (осторожно внутри вирус)

7654321098765

тут сложный то и не нужен

Pomi said:
↑ (https://antichat.live/posts/4090449/)
Привет! (осторожно внутри вирус)
7654321098765
тут сложный то и не нужен


Специально время выжидали, пока антивирусы патч выпустят?

Не, я бухал просто все выходные как тварь последняя.

Отошел только вчера к вечеру.

Pomi said:
↑ (https://antichat.live/posts/4090529/)
Не, я бухал просто все выходные как тварь последняя.
Отошел только вчера к вечеру.




Pomi походу допился раз ему пустые файлы вирусом кажутся

Там док-файл - не пустой. Текстовый - пустой.

Pomi said:
↑ (https://antichat.live/posts/4090658/)
Там док-файл - не пустой. Текстовый - пустой.



Pomi Заюзай мой подарок тебе http://rgho.st/8tZBdCxpp

Пароль 1----------1

Ruslan365c said:
↑ (https://antichat.live/posts/4091539/)
Pomi Заюзай мой подарок тебе
http://rgho.st/8tZBdCxpp
Пароль 1----------1


А что ж не зип бомба?)

Ultimausee said:
↑ (https://antichat.live/posts/4091603/)
А что ж не зип бомба?)


это гораздо интереснее зипбомбы

Так раздраконил ктонить злобного Trojan.Win32.Snojan.bmst от "POMI"?

artkar said:
↑ (https://antichat.live/posts/4092019/)
Так раздраконил ктонить злобного Trojan.Win32.Snojan.bmst от "POMI"?


Это не вредоносный файл а просто мошеннический текст если такой текст по почте рассылают то некоторые антивирусные компании добавлют его в свои базы хоть это обычьный текст

Ruslan365c said:
↑ (https://antichat.live/posts/4092112/)
Это не вредоносный файл а просто мошеннический текст если такой текст по почте рассылают то некоторые антивирусные компании добавлют его в свои базы хоть это обычьный текст


А как он тогда через дизассемблер прогнался??

Ultimausee said:
↑ (https://antichat.live/posts/4092367/)
А как он тогда через дизассемблер прогнался??


а кто будет это дерьмо через дизассемблер гнать ? какой смысл читаемое прогонять через дизассемблер ? походу многие с этого форума даже основы информатики не знают

Ruslan365c said:
↑ (https://antichat.live/posts/4092112/)
Это не вредоносный файл а просто мошеннический текст если такой текст по почте рассылают то некоторые антивирусные компании добавлют его в свои базы хоть это обычьный текст


Нет, обычный текст не могут добавить себе в базы, а как ты представляешь себе сигнатуру таккого файла, как её строить?


Ruslan365c said:
↑ (https://antichat.live/posts/4092439/)
а кто будет это дерьмо через дизассемблер гнать ? какой смысл читаемое прогонять через дизассемблер ?


Это не гавно! Вполне себе кзампл, на уровне! Дока имеет встроенный оле найтив объект версии 1.0 автоматизированный анализ показывает явное вредоносное поведение, запаковка, модификация кода, скрытие подозрительных функций и т.д.

Плюс дропер , например как он получает информацию об антивирусе на джаваскриптъ:


Code:
var colItems = new Enumerator(objWMIService.ExecQuery('Select * From AntiVirusProduct'));
var sInfoReport = '[AntiViruses]' ;

for(; !colItems.atEnd(); colItems.moveNext()) {
var t = colItems.item();
sInfoReport = sInfoReport + 'displayName: ' + t.displayName+ 'a\nb';
sInfoReport = sInfoReport + 'instanceGuid: ' + t.instanceGuid + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedProductExe: ' + t.pathToSignedProductExe + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedReportingExe: ' + t.pathToSignedReportingExe + 'a\nb';
sInfoReport = sInfoReport + 'productState: ' + t.productState + 'a\nb';
sInfoReport = sInfoReport + 'timestamp: ' + t.timestamp + 'a\nb';
}

Круто! Чё

Дока напичкана малварью как рождественская индейка - яблоками

Кстати, ели нужно, этот код можно использовать как часть пайлоад для XSS-атаки в тэгах

artkar said:
↑ (https://antichat.live/posts/4092475/)
Нет, обычный текст не могут добавить себе в базы, а как ты представляешь себе сигнатуру таккого файла, как её строить?
Это не гавно! Вполне себе кзампл, на уровне! Дока имеет встроенный оле найтив объект версии 1.0 автоматизированный анализ показывает явное вредоносное поведение, запаковка, модификация кода, скрытие подозрительных функций и т.д.
Плюс дропер , например как он получает информацию об антивирусе на джаваскриптъ:

Code:
var colItems = new Enumerator(objWMIService.ExecQuery('Select * From AntiVirusProduct'));
var sInfoReport = '[AntiViruses]' ;

for(; !colItems.atEnd(); colItems.moveNext()) {
var t = colItems.item();
sInfoReport = sInfoReport + 'displayName: ' + t.displayName+ 'a\nb';
sInfoReport = sInfoReport + 'instanceGuid: ' + t.instanceGuid + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedProductExe: ' + t.pathToSignedProductExe + 'a\nb';
sInfoReport = sInfoReport + 'pathToSignedReportingExe: ' + t.pathToSignedReportingExe + 'a\nb';
sInfoReport = sInfoReport + 'productState: ' + t.productState + 'a\nb';
sInfoReport = sInfoReport + 'timestamp: ' + t.timestamp + 'a\nb';
}

Круто! Чё
Дока напичкана малварью как рождественская индейка - яблоками
Кстати, ели нужно, этот код можно использовать как часть пайлоад для XSS-атаки в тэгах


пардон полинился внимательно изучить представленный вами код сплошные циклы и операторы чтото вводит или выводит и где зацикливает понять не могу так как javascript не знаю сам изучаю C++ моего зверька проанализируй сам создал http://rgho.st/8tZBdCxpp пароль 1----------1 мне интересно спалеш ты его или нет . это тебе не javascript а C++ намного круче

Ruslan365c said:
↑ (https://antichat.live/posts/4092526/)
пардон полинился внимательно изучить представленный вами код сплошные циклы и операторы что вводит или выводит и где зацикливает понять не могу так как javascript не знаю сам изучаю C++ моего зверька проанализируй сам создал
1----------1 мне интересно спалеш ты его или нет . это тебе не javascript круче (http://rgho.st/8tZBdCxpp)


Попросите SoolFаa,он рассудит,грамотный парняга. Это мой совет.А там увидим у кого "писька" больше.

Ruslan365c said:
↑ (https://antichat.live/posts/4092439/)
походу многие с этого форума даже основы информатики не знают


ага, а вы про основы информатики говорите

Есть еще один - пожирней будет того что выкладывал. Надо?