 |
28.06.2017, 23:56
|
|
Новичок
Регистрация: 03.11.2010
Сообщений: 5
С нами:
8170166
Репутация:
0
|
|
Всем привет! Наверняка, многие из вас слышали о новой волне распространения вирусов – вымогателей, такого как Petya например.
Petya (Petya.A, Petya.D, Trojan.Ransom.Petya, PetrWrap, NotPetya, ExPetr, GoldenEye) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением семейств ОС Microsoft Windows. Первые разновидности вируса были обнаружены еще в марте 2016 года.
Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки ОС. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткоинах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT таблицу — базу данных с информацией о всех файлах, хранящихся на диске.
На Github, у пользователя Positive Researchпоявилось решение позволяющее обнаружить потенциально уязвимые места в вашей системе, а так же присутствие зловреда.
Скачиваем Pentest-Detections со страницы автора на Github:
> https://github.com/ptresearch/Pentest-Detections
Распаковываем:
И запускаем из командной строки, указав необходимые параметры:
Доступные опции:
Vulnerability scanner for MS17-010.
IPv4, IPv6 compatible.
Requirement: WinPcap 4.1.3 https://www.winpcap.org/install/default.htm
Usage: WannaCry_Petya_FastDetect [-h] [-noARP] [-a6]
[-f file-name]
[-t6 single-IPv6]
[-t4 single-IPv4 / range-of-IPv4 / netmask]
[-n number-of-threads]
'-h' --- Help.
'-a6' --- Auto mode. Scanning only IPv6 network addresses (in this case is used ICMPv6 Multicast Echo Request).
'-f' --- File mode. Use input file with IPv4 and IPv6 addresses written in a column.
'-t6' --- IPv6 mode. Use only single IPv6 address. Examples: fe80::fdba:4364:7f82:a4cd
'-t4' --- IPv4 mode. Examples: 192.168.0.123 or 10.0.123.0/24 or 192.168.0.1-192.168.0.50.
'-n' --- Number of threads for vuln detect scanning. Optional. Default: 3.
'-noARP' --- Do not use ARP scanning for local network. Optional.
Example:
WannaCry_Petya_FastDetect.exe -t4 192.168.0.1 -n 1
WannaCry_Petya_FastDetect.exe -t4 192.168.0.0/24 -n 8
WannaCry_Petya_FastDetect.exe -t4 192.168.0.1-192.168.0.50
WannaCry_Petya_FastDetect.exe -t6 fe80::fdba:4364:7f82:a4cd
WannaCry_Petya_FastDetect.exe -a6
WannaCry_Petya_FastDetect.exe -f C:\Work\IpListSeparetedWithNewLine.txt
Надеюсь, кому-то окажется полезным. Спасибо за внимание. |
|
|
29.06.2017, 00:14
|
|
Новичок
Регистрация: 08.11.2016
Сообщений: 0
С нами:
5005666
Репутация:
0
|
|
Украинские единомышленники жгут!
|
|
|
|
29.06.2017, 20:44
|
|
Новичок
Регистрация: 28.06.2017
Сообщений: 0
С нами:
4671221
Репутация:
0
|
|
Уже есть разъяснение что петя не вымогатель, а вайпер.
|
|
|
|
22.09.2017, 17:27
|
|
Новичок
Регистрация: 15.09.2017
Сообщений: 0
С нами:
4557909
Репутация:
0
|
|
Уважаемые форумчане!
Нет-ли у кого "рабочей" версии неПети и/или WannaCry?
Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают.
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают.
Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.
Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?
Подскажите пожалуйста.
|
|
|
|
25.09.2017, 14:22
|
|
Новичок
Регистрация: 15.09.2017
Сообщений: 0
С нами:
4557909
Репутация:
0
|
|
"почти небоевая" WannaCry (т.е. шифрует, но не расползается по сети) на всех зоопарках лежит, у нее размер распакованный должен быть не менее 3,5 МБ
а notPetya который только меняет MBR и это легко лечится Bootrec.exe /FixMbr на hybrid-analysis.com есть, с именем
pet1.exe
|
|
|
|
09.10.2017, 15:51
|
|
Новичок
Регистрация: 26.03.2009
Сообщений: 1
С нами:
9015425
Репутация:
0
|
|
virKiller99 сказал(а):
Уважаемые форумчане!
Нет-ли у кого "рабочей" версии неПети и/или WannaCry?
Нужны они чисто для образовательных целей - хочу разобрать, как работает их сетевая компонента в тестовом окружении.
Все экземпляры, которые лежат в разнообразных "зоопарках", описанных здесь - https://zeltser.com/malware-sample-sources/
не работают.
Большинство при запуске сразу говорят "не является приложением Win32", хотя антивирусники на них сразу делают стойку и с удовольствием прибивают.
Мне удалась-таки найти полурабочие экземпляры и noPetya и WannaCry, но до сетевого распостранения ни тот ни другой не доходят.
WannaCry "честно" шифрует файлы, но при попытке установиться как сервис и размножится вылетает с ошибкой.
noPetya запускается, меняет MBR, перезагружается, выводит экраны проверки диска и требования выкупа, но в реальности ничего не шифрует и не распостраняется.
Пробовал и на виртуалках и в реальной закрытой "жертвенной" сети из нескольких компов. Результат одинаков. Их как-то "кастрируют" что-ли при выкладывании?
Подскажите пожалуйста.
Нашел давно,если тема актуальна глянь,это для линукса
https://github.com/tarcisio-marinho/GonnaCry
[doublepost=1507549888,1507534986][/doublepost]эта ссылка для Win,проверил на виртуалке прикольно
https://github.com/mauri870/ransomware
для ознакомления потянет
|
|
|
|
|
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
