ФБР США арестовало британского компьютерного исследователя Маркуса Хатчинса по обвинению в сговоре с целью рекламы и продажи вредоносной программы Kronos, использовавшейся для похищения информации о банковских онлайн-операциях и данных кредитных карт.
Хатчинс был задержан в Лас-Вегасе на этой неделе после участия в ежегодной хакерской конференции Def Con. Ему приписывают помощь в нейтрализации глобальной атаки WannaCry в этом году. При этом представитель правоохранительных органов заявил, что дело Хатчинса не связано с атакой WannaCry.
Распространение вируса-вымогателя WannaCry, поразившего десятки тысяч компьютеров по всему миру, удалось приостановить с помощью регистрации домена с длинным и бессмысленным названием iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
После того как в коде вируса обнаружили зашитое в коде вредоносной программы незарегистрированное доменное имя, на которое направлялись запросы. Хатчинс решил приобрести домен, что стоило ему менее 11 долларов, после чего распространение вируса прекратилось.
На волне распространения вируса Petya.A. ИТшники Украины получили замечательную возможность составить список работодателей экономящих на ИТ и информационной безопасности.
Распространение WannaCry началось до того, как вредоносная программа была полностью завершена.
Ошибки в коде и реализации вымогательского ПО WannaCry, в мае нынешнего года заблокировавшего сотни тысяч компьютеров по всему миру, могут служить подтверждением теории о том, что авторы шифровальщика допустили утечку вредоносной программы, и ее распространение началось до того, как она была полностью завершена. Такой точки зрения придерживается эксперт в области кибербезопасности Джейк Уиллиамс (Jake Williams).
Во-первых, говорит Уиллиамс, разработчики использовали всего три Bitcoin-адреса для перевода денежных средств, тогда как обычно вымогательское ПО предусматривает свой уникальный адрес на каждый случай инфицирования для эффективного отслеживания оплат. По его словам, это аматорская ошибка, так как правоохранительные органы или ИБ-эксперты могут сравнительно легко отследить все транзакции.
Во-вторых, на пререлизную версию WannaCry указывает вшитый в код «домен-выключатель», предназначенный на тот случай, если вредонос понадобится остановить. Наличие подобного механизма вполне логично, однако удивляет отсутствие какого-либо шифрования, пояснил Уиллиамс. В прошлом другие вирусописатели шифровали канал связи с управляющим сервером, тем самым предотвращая регистрацию подобного домена правоохранителями и исследователями, что, собственно, и сделал эксперт Маркус Хатчинс (Marcus Hutchins), обнаруживший «аварийный» домен в коде WannaCry.
«Авторы вредоносного ПО, включая северокорейцев, знают об этом [шифрованиии]. Идея о том, что они реализуют домен-выключатель без этого... Это версия 0.0, которая никогда не должна была распространяться. Я на 100% уверен в этом», - подчеркнул Уиллиамс в интервью изданию Threatpost.
Напомним, ранее эксперты компаний Symantec и «Лаборатория Касперского» предположили, что к атакам WannaCry могут быть причастны участники хакерской группировки Lazarus, предположительно связанной с правительством КНДР.
WannaCry (также известна как WannaCrypt, WCry, WanaCrypt0r 2.0 и Wanna Decryptor) - вымогательское ПО, сетевой червь, ориентированное на компьютеры под управлением Microsoft Windows. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредонос сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нем уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar, через который загружается и запускается исполняемый код WannaCry.
Исходный код вымогательского ПО WannaCry оказался довольно низкого качества.
Изучив исходный код вымогательского ПО WannaCry, ранее инфицировавшего сотни тысяч компьютеров по всему миру, специалисты компании «Лаборатория Касперского» обнаружили ряд ошибок, делающих возможным восстановление зашифрованных файлов с помощью общедоступных программных инструментов.
К примеру, ошибка в механизме обработки файлов только для чтения означает, что программа вообще не может шифровать подобные файлы. Вместо этого вредонос создает зашифрованные копии файлов, а оригинальные версии остаются нетронутыми. При этом они делаются скрытыми, но не удаляются, и получить доступ к ним можно, включив опцию отображения скрытых файлов.
В случае, если файлы расположены в «важных» папках («Рабочий стол» или «Мои документы»), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (разве что заплатить выкуп). «Неважные» файлы отправляются во временную папку %TEMP%\%d.WNCRYT и просто удаляются с диска без перезаписи. В таком случае их можно восстановить с помощью специальных программ.
«Мы уже наблюдали это раньше - разработчики вымогательского ПО часто допускают грубые ошибки, позволяющие исследователям в области кибербезопасности успешно восстановить файлы. WannaCry - по крайней мере первый и наиболее распространенный представитель данного семейства - как раз такое вредоносное ПО», - отметил эксперт «ЛК» Антон Иванов.
Напомним, о масштабной кампании с использованием вымогательского ПО WannaCry стало известно 12 мая нынешнего года. За несколько дней вредонос инфицировал более 400 тыс. компьютеров в свыше 150 странах мира. Как сообщалось ранее, наибольшее число атак пришлось на Россию, однако по данным компании Kryptos Logic, лидером по числу случаев заражения стал Китай, тогда как РФ оказалась на третьем месте после США.
Вот и спал пик обсуждения вируса-шифровальщика WannaCry ( он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt...), но в посте о декрипторах задавались вопросы по поводу случаев оплаты (биткоинами) расшифровки файлов хакерам.
Сегодня вернулся на Пикабу и решил порыть интернет на предмет дохода создателей зловреда. Это оказалось проще простого и заработали хацкеры:
Total ransomed: $130,240.63. Last payment made at: May 25th, 1:01 PM
График с сайта
Онлайн транзакции поступающие на биткоин адреса злоумышленников можно отследить в твиттер-боте по адресу:
Ведется трансляция с обозревателя блоков blockchain.info, ниже ссылки на транзакции по трем биткоин-адресам создателей вируса:
Расшифровка.
А вот информации от оплативших расшифровку нет, как нет информации о намерении хакеров успокоить душу народа и дешифровать информацию после оплаты((((
Но на хабре нашлась инфа о принципе работы кнопки Decrypt, а так же о том, что у злоумышленников нет способа идентификации пользователей, отправивших битки, а значит пострадавшим никто ничего восстанавливать не будет :
"Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет. При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит. Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро. А вот почему до сих пор нет никакой информации по поводу оплаты и механизмов её проверки, это действительно удивляет. Возможно, влияет довольно приличная сумма ($300), которая требуется для подобной проверки."
Похоже что заплатив выкуп ничего не добьемся, так что... мы помним что делать чтобы обезопаситься:
За громкой атакой вируса WannaCry, который использовал уязвимости Windows, чтобы внедряться в компьютеры, шифровать файлы и требовать от пользователей выкуп в биткоинах, почти незамеченной прошла другая напасть. Малозаметная программа внедрена через уязвимость того же типа в сотни тысяч машин по всему миру и потихоньку делает деньги для своих создателей. За счёт ваших мощностей и трафика.
О программе Adylkuzz, которая без лишнего шума внедряется в компьютеры по всему миру, используя уязвимости Windows, пишет Mashable, ссылаясь на специалистов компании Proofpoint. Если вирус WanaCrypt0r, известный также под именем WannaCry, наделал много шума, блокировав работу десятков и, возможно, даже сотен тысяч компьютеров в 150 странах, в том числе банкоматов, серверов в больницах, полиции, компаниях связи и транспорта, то Adykluzz действует по-другому. Он никак не даёт знать о себе, если не следить за нагрузкой процессора или видеокарты, потому что не требует выкуп и не наносит вреда файлам, а просто понемногу «майнит» криптовалюту Monero, а затем отправляет её на адреса, связанные с возможными авторами вируса. Специалисты из Proofpoint обнаружили несколько таких адресов, которые агрегируют Monero на разные суммы от 7 до 22 тысяч долларов. Один Monero стоит сейчас около 25 долларов.
По оценкам Proofpoint, заражены уже сотни тысяч компьютеров с устаревшими версиями Windows, на которых отключены обновления, и с пиратскими копиями, причём пользователи по большей части ничего не знают о своих проблемах. Атака Adylkuzz началась за несколько недель до атаки WannaCry. Создатели Adykluzz использовали те же самые хакерские разработки из Агентства национальной безопасности США, утёкшие в сеть, что и авторы WannaCry. Но в отличие от последних, почти ничего не заработавших на своей атаке, могут получить существенную прибыль.
На волне шумихи вокруг WannaCry появились "доброхоты" якобы помогающие защититься от новомодного вируса. Сейчас как раз восстанавливаю последствия "паранои" и "псевдо-защиты" от "плаксы"..... Девочке рекламный баннер написал, что нужно защититься от вируса и она согласилась - ей поставили некую "чистилку" и "аваст" - после этого доступ к сетевым папкам пропал как класс... Откатился на предыдущую точку восстановления и все снова заработало! ;)
Заодно решил проверить всю Сервисную сеть на уязвимости и к сожалению нашёл несколько Windows Server 2000 и 2003 с рядом уязвимостей, среди которых был сервер отвечающий за телефонию, на котором "админ" VoIP додумался в качестве Админской учётки использовать связку логин/пароль 1111, а на других серверах его зоны ответственности был чуть более секьюрный логин "Администратор" и пароль "12345678". Разговоры с этим недо-админом и нашим начальством ни к чему хорошему не привели, кроме того, что мне сделали выговор, что я полез в чужие сервера и оклеветал классного специалиста, гордость конторы и семьянина воспитывающего маленького ребёнка...
В исследовательско-хулиганских целях, решил поставить в виртуалке незащищённую ОС без обновлений, выставить её в интернет и посмотреть, как быстро пожрёт её WannaCry.
Итак, первая жертва. Windows 7 Home Premium SP1.
Ставим её в KVM, отключаем брандмауэр, пробрасываем порты 139 и 445 наружу и проверяем их через canyouseeme.org.
Всё ок, порты открыты, винда торчит незащищённым тылом прямо в интернеты.
Сейчас коварный WannaCry пожрёт её!
Сейчас!
Сейчас.
Сейчас...
Короче, три часа спустя мне надоело и я решил попробовать поймать WannaCry на другого живца.
Вышел сотрудник Гибдд, сообщил что сервер основной недоступен ввиду хакерской атаки с пятницы по всей РФ. На фото - очередь за талонами на регистрацию авто. Работаем мол с запасным сервером, которого не хватает по скорости на всю рф
Северокорейская кибергруппировка Lazarus, вероятно, является создателем вирус-вымогателя WannaCry, жертвами которого стали более 200 тысяч человек и организаций в 150 странах, сообщил главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев.
«Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много (слышали) в последнее время. Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus. <...> Боюсь что после такого — Северную Корею в Интернете мы больше не увидим», — написал Гостев на своей странице в Facebook.
Группировку Lazarus ранее эксперты обвинили в краже 81 миллиона долларов из ЦБ Бангладеш в феврале 2016 года, а также в кибератаке на кинокомпанию Sony Pictures Entertainment в 2014 году.
Гостев приложил к своей публикации скриншоты двух кодов — один, как утверждает Гостев, принадлежит WannaCry, другой — вирусам Lazarus, — часть которых совпадает друг с другом.
Хакеры из КНДР
Речь идет о массированной хакерской атаке, которая произошла в пятницу, 12 мая по меньшей мере в 150 странах и, по подсчетам Европейского полицейского агентства, затронула деятельность более 200 тысяч человек и организаций, в том числе и государственных ведомств, передает РБК.
Хакеры использовали вирус-вымогатель WannaCry: он устанавливает на компьютер баннер, который блокирует доступ к данным и требует заплатить за восстановление доступа к ним 300 долларов . В противном случае вирус обещает удалить файлы в течение трех дней.
Издание The Times со ссылкой на данные платежей указало, что в результате глобальной кибератаки создатели вируса WannaCry получили в общей сложности 42 тысяч долларов.
Выбираете свою систему и ищете установлено ли у Вас такое обновление. Будьте внимательны при установке обновлений -- если у Вас пиратская Windows, то возможен синий экран и бутлуп (безконечная перезагрузка)
Работаю в небольшой по парку фирме, 15 станций и 1 сервер. 12 мая по всему миру прокатился новый вирус шифровальщик WannaCry и к 13ому числу поразил 131000 машин. Пятничный вечер я как и все отдыхал и потому об угрозе узнал лишь на следующий день. Благо мою спину прикрывает в этом плане то что работа офиса 5/2 и пользователи просто не успели натворить дел. 13ого по удаленке поставил задачу на обновление антивируса (на сайте уже было объявлено о надежной защите), обновление операционных систем и спокойно продолжил отдыхать.
Но дым огня невидимого фронта дошел до ген.директора и в понедельник ещё до начала рабочего дня мне была поставлена задача "закрыть уязвимость". Объяснения не были в силах успокоить бушующий жар начальства. По приезду в офис пришлось публично перед шефом обходить 15 станций и на каждой катать MS17-010 обновление в ручную, а так же для каждого сотрудника проводить профилактический инструктаж.
WannaCry действительно заставил прослезиться, от того какую паническую атаку оказывает, уже ставший банальностью, шифратор пущенный в массу
В связи с масштабным распространением программы-вымогателя WannaCry или WannaCryptor компания Check Point Software Technologies подготовила отчет об этом вымогателе.
«Виновником атак, которые начались в конце прошлой недели по всему миру, является версия 2.0 WCry ransomware, также известная как WannaCry или WanaCrypt0r ransomware. Версия 2.0 была впервые обнаружена 11 мая, атака возникла внезапно и быстро распространилась в Великобритании, Испании, Германии, Турции, России, Индонезии, Вьетнаме, Японии. Масштаб атаки подтверждает, насколько опасным может быть вымогательское ПО. Организации должны быть готовы к отражению атаки, иметь возможность сканировать, блокировать и отсеивать подозрительные файлы и контент до того, как он попадет в их сеть. Также очень важно проинструктировать персонал о возможной опасности писем от неизвестных источников», — отмечает Василий Дягилев, глава представительства компании в СНГ.
Команда Check Point начала фиксировать масштабное распространение вируса WannaCryptor 12 мая. Для ее распространения использовались различные векторы атак, в том числе через сетевой протокол прикладного уровня (SMB), brute force атаки на RDP-серверы, вредоносные ссылки в письмах, а также письма со вложениями, содержащими вредоносный контент в файлах PDF или ZIP.
По состоянию на 14 мая WannaCry собрал более 33 тыс. долл. Несмотря на то, что многие пользователи заплатили выкуп, не было ни одного сообщения о том, что их файлы были разблокированы. Исследователи обнаружили, что поступление денег на счет вымогателей позволяет отслеживать, какая именно жертва их перевела. У многих вымогателей есть «служба поддержки», которая быстро отвечает жертвам в случае проблем с оплатой. Но не в случае с WannaCry. Более того, эксперты сомневаются, что зашифрованные файлы вообще поддаются дешифровке со стороны вымогателей.
Поэтому попробуем заинтересовать вас вот такой гифкой:
1 Мб
Оставляя за скобками все стандартные описание выживалок с бродилками, крафтингом и прочими лутами, перейдем к главному: все участники последнего квеста, которые в качестве приза выбрали ключ к Distrust, получат его обязательно в течение нескольких часов (если еще не получили письмо с ключом).
Не, не это ж главное! Главное – в игре 4 разных концовки!
Хотя, главное другое: Distrust уже доступeн в Steam, с традиционной скидкой на запуске!
Хм… нет, это, конечно, тоже важно, но мы хотели рассказать о другом:
• Вы управляете двумя героями, переключаясь с одного героя на другого.
• Если один из ваших персонажей заснул, то ждите гостей. Каких? – Опасных!
• А если вас перс долго не спит, то может и от истощения издохнуть! А если не издохнет, то совершенно точно умом тронется: то голоса услышит, то со зрением плохо станет, а то и еще чего интересненького!
• Так что вы в постоянном поиске баланса между смертельным сном и истощающим бодрствованием.
• На экране монитора вы видите то базу глазами героя, которым вы управляете в данный момент. И если этот герой безумен, то вы сможете увидеть крайне интересную картинку.
• Но будьте осторожны – эта картинка может иметь мало общего с реальностью, и вам придется переключиться на второго героя.
RSS
Мобильная версия
Правила
FAQ
Реклама
Пикабу на Android
