КиберВойны, КиберДиверсии и КиберТеррор

Третья Мировая Война
Диктатура США vs МногоПолярного мира
Борьба США за абсолютное мировое господство
Сводки с фронтов геополитического противостояния
Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

КиберВойны, КиберДиверсии и КиберТеррор

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-13 13:55:52

2017-02 криптер WCry v1.0 был опробован в действии.

2017-05-12 активирован WCry v2.0. Он использует SMB-эксплоит АНБ из инструментария,
опубликованного ранее хакерской группой The Shadow Brokers.

>300`000 компьютеров в >150 странах подверглись кибератаке
WannaCry (он же WCry, Wana Decrypt0r, WannaCrypt0r, WannaCrypt).
Общий ущерб = $1 млрд.

По всему миру зафиксировано 302 факта уплаты выкупа,
в результате чего хакеры смогли заработать $116`000.

КриптоВымогатель WannaCry использует дыру в защите Windows,
заплатка на которую была сделана в марте 2017.

Карта атаки в реальном времени (по клику)

Изображение

КриптоВымогатель WannaCry

1. по TCP сканирует port=445 (Server Message Block/SMB)

 КриптоВымогатель WannaCry использует IP

.

2.3.69.209:9001

38.229.72.16
50.7.161.218:9001
79.172.193.32
81.30.158.223
89.45.235.21

128.31.0.39
146.0.32.144:9001
188.138.33.220
188.166.23.127:443
193.23.244.244:443

212.47.232.237
213.61.66.116
217.79.179.77

.



2. клонирует себя на вскрытые сервера,

3. блокирует интерфейс сервера,

4. криптует найденные на нём файлы.

 Типы файлов шифруемых КриптоВымогателем WannaCry

.

.3ds, .3dm,
.accdb, .arc, .asm, .asp, .asf, .avi,
.backup, .bak, .bat, .bmp,
.class, .cmd, .cpp, .crt, .csr, .csv,
.dbf, .der, .dif, .dotm, .dot, .docm, .docx, .doc, .dwg,
.fla, .flv,
.gif,
.iso,
.jsp, .java, .jar, .jpg, .jpeg,
.key,
.ldf,
.m3u, .m4u, .max, .mdb, .mdf, .mid, .mov, .mp3, .mp4, .mpeg, .mpg, .mkv, .msg,
.odb, .odp, .ods, .odt,
.p12, .pas, .pem, .pdf, .pfx, .php, .psd, .png, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt,
.rar, .raw, .rtf,
.slk, .stc, .stw, .svg, .sxc, .sxd, .sxw, .swf, .sch, .std, .sxm, .sqlite3, .sqlitedb, .sql, .sldm, .sldx, .sti, .sxi,
.tar, .tgz, .tiff, .tif, .txt,
.vbs, .vob, .vmdk, .vdi,
.wav, .wb2, .wma, .wmv, .wk1, .wks,
.xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls,
.zip,

.



5. отображает на дисплей условие дешифровки: сроки, суммы в БитКоинах, адрес оплаты.

Изображение

Услуга дешифровки стоит $300 в течение 3 дней в биткоинах.
С 4-го дня цена удваивается - $600
На 7-й день все файлы будут уничтожены.

GitHub.com

Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

Распространение КриптоВымогателя WannaCry приостановлено покупкой домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-13 20:51:06

Распространение КриптоВымогателя WannaCry приостановлено,
специалистом по кибербезопасности, известным в твиттере как @MalwareTechBlog.
Он с помощью коллеги Дариена Хусса обнаружил,
что КриптоВымогатель WannaCry обращается с запросом по незарегистрированному адресу
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Доменный адрес был куплен им за $10,69 и превращен в BlackholeDNS,
после чего на доменное имя стало поступать тысячи запросов ежесекундно.

Отклик на GET-запрос к домену:

Изображение

определяет дальнейшие действия КриптоВымогателя WannaCry:
продолжить распространение либо остановиться.

 Алгоритм работы КриптоВымогателя WannaCry

.

01.
mssecsvc.exe запускает tasksche.exe.

02.

Проверяет домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,
после чего создает службу mssecsvc2.0.

03.

Служба mssecsvc2.0 исполняет файл mssecsvc.exe с иной точкой входа,
нежели во время первого запуска.

2-й запуск берёт IP-адрес зараженной машины
и пытается подключиться к порту 445 TCP каждого IP-адреса внутри подсети.

04.

По факту успешного подключается к удаленной машине,
устанавливает соединение и передаёт данные.
Передача данных проходит успешно если не было применено обновление MS 17-010.

05.

tasksche.exe проверяет все диски, внешние накопители,
включая доступные по сети каталоги.

06.

На них ищет файлы с расширениями согласно списка

07.
tasksche.exe криптует найденные файлы используя RSA 2048-bit.

08.

Параллельно с шифровкой файлов, создаёт каталог /Tor,
в него пишет:
/Tor/tor.exe + 9 файлов *.dll.

08-1

Создаёт: taskdl.exe и taskse.exe.

08-2

taskdl.exe с помощью WMIC.exe, vssadmin.exe и cmd.exe
удаляет все временные файлы, рабочие копии и фрагменты файлов использованные при шифровании,
тем самым снижая шансы на самостоятельное восстановление файлов.

08-3

taskse.exe - запускает @wanadecryptor@.exe,
который создаёт окно с требованием об оплате
на 28 языках - в каждой стране на своем.

Изображение

@wanadecryptor@.exe :
Ваши файлы были зашифрованы.
Ваши документы, фотографии, видео, базы данных и прочие файлы больше недоступны,
потому что были зашифрованы.
Наверное, вы пытаетесь найти способ вернуть ваши файлы, но не тратьте время напрасно.
Этого не может сделать никто, кроме нашей шифровальной службы


09.
@wanadecryptor@.exe запускает
/Tor/tor.exe

Новый процесс начинает соединение с узлами Tor.
Таким образом WannaCry сохраняет анонимность,
проводя весь свой трафик через сеть Tor.


.


Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

Re: Распространение КриптоВымогателя WannaCry приостановлено покупкой домена iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.c

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-14 23:44:46

Изумрудный Йожыг :Распространение КриптоВымогателя WannaCry приостановлено


2017-05-15 выйдет версия вымогателя пропатченная на домен

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com :
sinkhole.tech - where the bots party hard and the researchers harder.


Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

Защита от КриптоВымогателя WannaCry

Непрочитанное сообщение Изумрудный Йожыг » 2017-05-15 12:40:13

1.
Поскольку заплатка MicroSoft опубликовал в марте 2017, по итогам атаки 2017-02,
то первым делом надо обновить Windows
и убедиться в установке обновления MS17-010.


2.
Заблокировать входящий трафик по протоколу SMB на порты 139 и 445.


3.
Поскольку КриптоВымогатель WannaCry живой и адаптируется
работать в инете через другие системы Linux, MAC и т.п.


 Признак заражения КриптоВымогателем WannaCry- появление файлов

.

2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d taskse.exe

402751fa49e0cb68fe052cb3db87b05e71c1d950984d339940cf6b29409f2a7c r.wnry
4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79 taskdl.exe

97ebce49b14c46bebc9ec2448d00e1e397123b256e2be9eba5140688e7bc0ae6 t.wnry

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 u.wnry
d5e0e8694ddc0548d8e6b87c83d50f4ab85c1debadb106d6a6a794c3e746f4fa b.wnry
e18fdd912dfe5b45776e68d578c3af3547886cf1353d7086c8bee037436dff4b s.wnry

.



Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

Вирус Petya.A

Непрочитанное сообщение Изумрудный Йожыг » 2017-06-27 20:35:00

На поле виртуального боя вышел вирус Petya.A.
Блокирует компьютеры и вежливо предлагает
оплатить услугу дешифровки файлов: $300 на счёт Bitcoin.

Изображение

 Описание работы вируса Petya версии 2016-04 от Malwarebytes Labs

.

Вирус Petya распространялся как письмо с резюме сотрудника.
HR-специалист получает фальшивое письмо со ссылкой на DropBox,
по которой якобы можно перейти и скачать резюме.
Вот только файл по ссылке является не безобидным текстовым документом,
а самораспаковывающимся архивом с расширением .EXE.

По клику на него открывалась Windows-программа,
требовавшая прав администратора.

Если невнимательный пользователь соглашался,
то программа-установщик показывает «синий экран смерти»:
сообщение о сбое, предлагающее перезагрузить компьютер.

На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован,
и данные можно спасти — например, если выключить компьютер
и подключить жесткий диск к другому, но не загружаться с него.
В этой ситуации все данные можно будет скопировать.

После перезагрузки Petya запускает программу, маскирующуюся под утилиту CHKDSK.
На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его,
причем, как установили исследователи из Malwarebytes Labs, не целиком, а лишь частично.

В «Лаборатории Касперского» в конце марта 2016 года утверждали,
что метод шифрования, применяемый в Petya,
позволяет с помощью специалистов восстановить все данные.

После завершения шифрования MFT (главную таблицу файлов) блокирует систему.
Компьютер показывает красный экран с сообщением
«Вы стали жертвой вируса-вымогателя Petya» и предложением заплатить 300 долларов в биткоинах.
Подробная инструкция, как купить необходимую сумму в биткоинах
и как ее перечислить, содержалась на сайте в «дарквебе».

С начала 2016 года Petya неоднократно видоизменялся.
Существуют версии с желтым оформлением экрана с требованием выкупа,
существуют и такие, где название вируса не указывается.

.



Современная версия Petya, зараженным пользователям
предлагается написать на указанный почтовый адрес
и в обмен на доказательство перечисления средств
получить код для расшифровки жесткого диска.

Petya, перехватывает управление компьютером на самом раннем этапе загрузки.
Она написана высококвалифированными программистами.

Судя по масштабу заражения, вирус доработан и имеет более сложную систему распространения.

На данный момент на указанный счёт поступило более $2300.

Наиболее сильно от вируса Petya.A пострадала Украина.
Среди пострадавших — ЗапорожьеОблЭнерго, ДнепроЭнерго, Киевский метрополитен, Украинские мобильные операторы КиевСтар, LifeCell, УкрТелеКом, магазин Ашан, ПриватБанк, аэропорт Борисполь и другие организации и структуры.


Наиболее простой метод защиты от Petya и аналогичных вирусов-вымогателей
не кликать вложения в письмах от незнакомых людей.

Аватара пользователя
Изумрудный Йожыг
Сообщения: 17
Зарегистрирован: 2017-05-12 11:24:33

C:\windows\perfc.dll ReadOnly - защита от вируса Petya.A компании Symantec.

Непрочитанное сообщение Изумрудный Йожыг » 2017-07-01 00:10:51

1.
Создай пустой текстовый файл.
C:\windows\perfc. (без расширения) или
C:\windows\perfc.dll

2.
Сделай файл доступным только для чтения.

Обнаружив этот файл, Petya.A делает вывод,
что попал на уже обработанный им компьютер и прекращает работу.

Изображение

Security Response


Вернуться в «WW3»