BG-HALF-LIFE
BG-HALF-LIFE

BG-HALF-LIFE

Българският Half Life портал
 
PortalPortal  ИндексИндекс  Последни снимкиПоследни снимки  Регистрирайте сеРегистрирайте се  ВходВход  
Присъединете се към нас в Discord или в групата ни във ФБ HL-BG Community
BG-SMURFA-VRATSA-Bat-Man Vs Iron-Man
Визита от други Държави
Flag Counter
Вече може да ни откриете и във социалните мрежи.

Share

22 годишен британец случайно спря разпространението на рансъмуера WannaCrypt

Предишната тема Следващата тема Go down
АвторСъобщение
smurfa_vr
HL-BG Community
HL-BG Community
smurfa_vr


Брой мнения : 8113
Дата на регистрация : 31.03.2011
Местожителство : Враца

22 годишен британец случайно спря разпространението на рансъмуера WannaCrypt   Empty
ПисанеЗаглавие: 22 годишен британец случайно спря разпространението на рансъмуера WannaCrypt 22 годишен британец случайно спря разпространението на рансъмуера WannaCrypt   EmptyНед 14 Май 2017, 13:07

[You must be registered and logged in to see this image.]

Тия дни всички [You must be registered and logged in to see this link.] опасния рансъмуер WannaCry/Wcry/WannaCrypt, който този петък зарази десетки хиляди компютри по целия свят, но след това неговото разпространение внезапно се прекрати.

Microsoft веднага публикува пачове за запушване на тази уязвимост:

Microsoft Security Bulletin MS17-010
Пач за старите операционни системи (Windows XP, Windows Server 2003R2)

Проблемът може да бъде решен и чрез цялостното изключване поддръжката на SMBv1:

Код:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Според последна информация, рансъмуерът е поразил над 75 000 компютри работещи под управлението на операционната система Windows, минимум в 99 държави от целия свят. Но мащабите на тази компютърна зараза биха били десетки пъти по-големи, ако не бе младият британски специалист по информационна безопасност, автор на блога MalwareTech Blog, който съобщи как са се развили събитията.

Героят е 22-годишен хакер от Великобритания, името на който все още не е известно. Той написа в своя блог, че към 10:00 часа в петък се е логнал в националната система за наблюдение на киберзаплахите, за да провери разпространението на банковия вирус Emotet – най-значителното събитие през последните дни. Следващата проверка направил към 14:30 часа и видял редица съобщения за заразяването на много британски болници и медицински системи от неизвестен рансъмуер.

Хакерът бързо намерил екземпляр от опасния рансъмуер и го стартирал във виртуална машина. Оказало се, че вирусът изпраща заявки и запитвания към нерегистриран домейн. Интересно.

[You must be registered and logged in to see this image.]

Малко след това всички видяхме статистиката на Cisco Umbrella, която показа, че запитванията към този домейн са започнали в петък 8:00 сутринта, а след това нарастват лавинообразно.

Последвалите събития са известни: блогърът регистрира за 8 паунда ($19,69) собствен домейн. Той сподели в блога си, че това е стандартна практика, понеже има немалка вероятност и злоумишлениците да започнат да използват същия домейн за команден сървър или за междинно звено към C2C сървър. По този начин отвътре се изучава работата на ботнетите и вирусите, съставят се графики за тяхното разпространение по райони и т.н.

Когато след регистрацията започва обновяването на DNS записите, блогърът започна наблюдението и изучаването на рансъмуера. Оказа се, че след криптирането на потребителските файлове, вирусът започва да сканира случайни IP адреси през порт 445 (използва се SMB). Това говори, че WannaCrypt навярно е свързан експлойта на АНС за SMB, който преди месец бе публикуван със свободен достъп от хакерската група ShadowBrokers, откраднала експлойта от сървърите на АНС.

Тази идея се оказа добра – огромен брой компютри започнаха да се свързват с нови домейн и британецът започна да съставя картата на заразяването по списъка с IP адреси.

[You must be registered and logged in to see this image.]

Натрапва се изводът, че именно компютърът на 22-годишният блогър е станал отговорен за заразяването и криптирането на много компютри, но се оказа точно обратното: именно регистрираният нов домейн успя да спре разпространението на рансъмуера.

Още петък вечерта в уеб-пространството започна разпространението на кода на рансъмуера, декомпилиран от други специалисти:

[You must be registered and logged in to see this image.]

Скрийншотът показва, че вирусът осъществява HTTP запитване към нерегистриран домейн. Ако запитването е успешно, рансъмуерът прекратява атаката. Ако запитването е неуспешно се стартира изпълнението на кода за криптиране на файловете и започва тяхното заключване.

Въоръжен с тази информация, блогърът стартирал своята виртуална среда, стартирал заразата и нищо. Рансъмуерът спрял да функционира.

По-подробният анализ показа, че във вируса некоректно е реализирана защитата от анализ на програмата във виртуална среда. Подобна техника използва троянецът Necurs, но в този рансъмуер, логиката на работа във виртуална машина е объркана. И съответно, ако запитването към външния домейн връща положителен отговор, вирусът счита, че се намира във виртуална среда и моментално прекратява своята работа.

В случая с е получило лавинообразно прекратяване работата на този рансъмуер чрез внедряване на външен домейн. Може да се каже, че съвсем случайно един човек успя да спре разпространението на глобална вирусна инфекция, за която вчера и днес се говори във всички новини.

Само че не бива да се отпускаме. Този път имаме късмет, но следващия път подобна грешка няма да има и апокалипсисът ще се окаже истински – почти всеки компютър със заключени, добре криптирани файлове. Това бе нещо като тест. Новите версии със сигурност ще се появят само след няколко дни.



/kaldata.com
Върнете се в началото Go down
https://www.facebook.com//smurfavratsa
22 годишен британец случайно спря разпространението на рансъмуера WannaCrypt
Предишната тема Следващата тема Върнете се в началото
Страница 1 от 1
 Similar topics
-
» 25-годишен застреля бездомно куче, защото го лаело
» Торент тракерът ArenaBG спря работа този следобед
» 25-годишен застреля бездомно куче, защото го лаело
» Интернет почти спря заради една от най-мощните кибератаки в историята
» Instagram спря работа, най-големият срив в историята на социалната мрежа

Права за този форум:Не Можете да отговаряте на темите
BG-HALF-LIFE :: Интернет-