Правда, которую от нас скрывают!
Шок! Инопланетные роботы захватывают мир...
...но пока не порабощают людей, а просто заселяют Землю.
Шок! Инопланетные роботы захватывают мир...
...но пока не порабощают людей, а просто заселяют Землю.
Распространение WannaCry началось до того, как вредоносная программа была полностью завершена.
Ошибки в коде и реализации вымогательского ПО WannaCry, в мае нынешнего года заблокировавшего сотни тысяч компьютеров по всему миру, могут служить подтверждением теории о том, что авторы шифровальщика допустили утечку вредоносной программы, и ее распространение началось до того, как она была полностью завершена. Такой точки зрения придерживается эксперт в области кибербезопасности Джейк Уиллиамс (Jake Williams).
Во-первых, говорит Уиллиамс, разработчики использовали всего три Bitcoin-адреса для перевода денежных средств, тогда как обычно вымогательское ПО предусматривает свой уникальный адрес на каждый случай инфицирования для эффективного отслеживания оплат. По его словам, это аматорская ошибка, так как правоохранительные органы или ИБ-эксперты могут сравнительно легко отследить все транзакции.
Во-вторых, на пререлизную версию WannaCry указывает вшитый в код «домен-выключатель», предназначенный на тот случай, если вредонос понадобится остановить. Наличие подобного механизма вполне логично, однако удивляет отсутствие какого-либо шифрования, пояснил Уиллиамс. В прошлом другие вирусописатели шифровали канал связи с управляющим сервером, тем самым предотвращая регистрацию подобного домена правоохранителями и исследователями, что, собственно, и сделал эксперт Маркус Хатчинс (Marcus Hutchins), обнаруживший «аварийный» домен в коде WannaCry.
«Авторы вредоносного ПО, включая северокорейцев, знают об этом [шифрованиии]. Идея о том, что они реализуют домен-выключатель без этого... Это версия 0.0, которая никогда не должна была распространяться. Я на 100% уверен в этом», - подчеркнул Уиллиамс в интервью изданию Threatpost.
Напомним, ранее эксперты компаний Symantec и «Лаборатория Касперского» предположили, что к атакам WannaCry могут быть причастны участники хакерской группировки Lazarus, предположительно связанной с правительством КНДР.
WannaCry (также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) - вымогательское ПО, сетевой червь, ориентированное на компьютеры под управлением Microsoft Windows. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредонос сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нем уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код WannaCry.
Jaff шифрует файлы и добавляет расширения .jaff, .wlu и .sVn, требует выкуп 1,79 биткоина, то есть порядка $4000.
Через диспетчер задач вырубаем процесс вируса. Как правило произвольное имя процесса. Для примера было SKM_C224e9930.exe
Качаем декриптор с сайта каспера http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhn...
Утилита предложит выбрать зашифрованный файл с расширением .jaff, .wlu или .sVn, далее попросит выбрать текстовый файл с требованием выкупа.
Утилита просканирует весь компьютер и расшифрует файлы (может занять длительное время).
По завершении сканирования будет такая картина:
Печаль в том что вместе с расшифрованными файлами останутся их зашифрованные копии.
Дополнительная инфа https://www.bleepingcomputer.com/news/security/decrypted-kas...
Ранее о дешифровщиках: http://pikabu.ru/story/spisok_dekriptorov_faylov_posle_zaraz...
Тестировал пародию на Windows из этого поста http://pikabu.ru/story/windows_93_v_brauzere_5127326 и запустил там браузер.
В браузере по умолчанию поисковая система SKYNET
Кстати работает))))))
Адрес данного поисковика www.skynet.pizza
Wikileaks продолжает публикацию архива секретных документов и хакерских инструментов Центрального разведывательного управления (ЦРУ) США, которые были переданы в распоряжение ресурса неизвестным информатором весной 2017 года. Публикации выходят под кодовым названием Vault 7 и рассказывают о самых разных инструментах и техниках.
Новая публикация повествует об инструментарии под названием CherryBlossom – многоцелевом фреймворке, который был создан при поддержке Стэнфордского научно-исследовательского института, специально для взлома домашних роутеров.
Фактически CherryBlossom предназначен для перехвата управления над различными моделями роутеров. Заражение целевого устройства малварью может быть осуществлено «полевым» оперативником, или же реализовано удаленно, через какую-либо уязвимость.
CherryBlossom состоит из нескольких компонентов, каждому из которых отводится своя роль:
-FlyTrap — «маячок» (вредоносная прошивка), который работает на скомпрометированном устройстве;
-CherryTree – управляющий сервер, перед которым отчитывается FlyTrap;
-CherryWeb – веб-панель управления, работающая на CherryTree;
-Claymore – инструмент для автоматизированного поиска уязвимых устройств.
Среди бумаг, имеющих отношение к проекту CherryBlossom, есть отдельный список (PDF), в котором перечислены более 200 моделей роутеров разных производителей. На эти устройства может быть установлен компонент FlyTraps. Хотя 24-страничный документ не содержит никаких дат, судя по другим инструкциям, все бумаги датированы примерно 2006-2012 годами.
В список вошли устройства следующих производителей:
3Com
Accton
Aironet/Cisco
Allied Telesyn
Ambit
AMIT, Inc
Apple
Asustek Co
Belkin
Breezecom
Cameo
D-Link
Gemtek
Global Sun
Linksys
Motorola
Orinoco
Planet Tec
Senao
US Robotics
Z-Com
Также ИБ-специалисты обратили внимание и на еще одну интересную деталь, упомянутую в документах. Возможно, этот нюанс позволит отследить установки и деятельность CherryBlossom. Дело в том, что согласно инструкции по установке(PDF) URL CherryWeb по умолчанию выглядит так: https://CherryTree-ip-address/CherryWeb/ (к примеру, https://10.10.10.10/CherryWeb/).
Захожу сейчас в Яндекс.Вебмастер в статистику обхода роботом яндекса и вижу очень интересный адрес посещения:
?searchid=2227308&text=воение тайни&web=0
Поясню что "?searchid" это запрос в форму поиска по блогу, а "воение тайни" это текст запроса.
По сути робот не будет индексировать страницы с запросами поиск которых не делали и соответственно их нет (они не сгенерированы).
Теперь в поиске Яндекса у меня есть страница с военными тайнами на которой ничего нет:
Остается один вопрос - кто искал государственные военные секреты на моем сайте?
Хотя по написанию запроса я догадываюсь из какого региона))))))