autoua
×
Autoua.netФорумІнформатика та побутова електроніка

Новый вирус-шифровальщик Wanna Cry (32/33)

Достоевский ***
33 года за рулем, Київ <--> Білогородка
Сообщения: 6474
С нами с 31.08.2001

Re: Новый вирус-шифровальщик Wanna Cry [Re: WEWE]
      24 октября 2017 в 22:50 Гілками

да, понеслась пока по 4-м странам

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
старый писатель *
Киев
Сообщения: 924
С нами с 04.03.2016

Re: Новый вирус-шифровальщик Wanna Cry [Re: 3bsv]
      24 октября 2017 в 22:53 Гілками

Спасибо!

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ***
52 года, Киев
Сообщения: 7502
С нами с 27.12.2007

Re: Новый вирус-шифровальщик Wanna Cry [Re: WEWE]
      24 мая 2018 в 15:05 Гілками

СБУ попереджає про можливу масштабну кібератаку на державні структури та приватні компанії напередодні фіналу Ліги Чемпіонів - See more at: https://ssu.gov.ua/ua/news/1/category/2/view/4823#.YgMRyliV.dpbs

Краткая статья с хабра https://habr.com/company/jetinfosystems/blog/359210/
Более полнаная с сиськи https://blog.talosintelligence.com/2018/05/VPNFilter.html

Змінено eugene_za (16:08 24/05/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
IesuiT **
Киев
Сообщения: 48120
С нами с 09.06.2004

Re: Новый вирус-шифровальщик Wanna Cry [Re: eugene_za]
      24 мая 2018 в 15:20 Гілками

eugene_za 24.05.2018 15:05 пишет:

СБУ попереджає про можливу масштабну кібератаку на державні структури та приватні компанії напередодні фіналу Ліги Чемпіонів - See more at: https://ssu.gov.ua/ua/news/1/category/2/view/4823#.YgMRyliV.dpbs



чет как-то поздно, американцы отрапортовали что пофиксили (умеют фиксить) эту заразу и вроде распространение заблокировали, в твиттере читал, попадется ссылка, кину.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ***
27 лет за рулем, Ukraine
Сообщения: 8081
С нами с 30.07.2005

Re: Новый вирус-шифровальщик Wanna Cry [Re: YURAS]
      24 мая 2018 в 15:55 Гілками

Как же они ее пофиксят, если атака нацелена на роутеры и NAS-ы ?
https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware

Змінено codex (15:55 24/05/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
IesuiT **
Киев
Сообщения: 48120
С нами с 09.06.2004

Re: Новый вирус-шифровальщик Wanna Cry [Re: codex]
      24 мая 2018 в 16:14 Гілками

codex 24.05.2018 15:55 пишет:

Как же они ее пофиксят




В ответ на:

ФБР заблокувало мережу з 500 тисяч WiFi-роутерів, зламаних хакерською групою Fancy Bear, яку пов'язують з Російською Федерацією. Ці роутери були заражені шкідливою програмою VPN Filter. Про це повідомляє УНН з посиланням на The Daily Beast.



сторінка


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ***
27 лет за рулем, Ukraine
Сообщения: 8081
С нами с 30.07.2005

Re: Новый вирус-шифровальщик Wanna Cry [Re: YURAS]
      24 мая 2018 в 16:24 Гілками

Читать западные новости, в переводе на наших сайтах - себя не уважать. Во-первых не Wi-Fi роутеры, а просто роутеры. Во-вторых, ФБР не девайсы заблокировало, а центральный сервер. Но это не значит, что не надо свой роутер проверить
https://arstechnica.com/information-tech...d-with-malware/

Змінено codex (16:26 24/05/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
IesuiT **
Киев
Сообщения: 48120
С нами с 09.06.2004

Re: Новый вирус-шифровальщик Wanna Cry [Re: codex]
      24 мая 2018 в 16:26 Гілками

codex 24.05.2018 16:24 пишет:

Читать западные новости, в переводе на наших сайтах - себя не уважать. ФБР не идевайсы заблокировало, а центральный сервер. Но это не значит, что не надо свой роутер проверить
https://arstechnica.com/information-tech...d-with-malware/



там 500 000 и написано, у этих нету, а у других было что роутер просто перезапустить необходимо.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ***
27 лет за рулем, Ukraine
Сообщения: 8081
С нами с 30.07.2005

Re: Новый вирус-шифровальщик Wanna Cry [Re: YURAS]
      24 мая 2018 в 16:33 Гілками

У Симантека все подробно расписано. Просто перезапустить не достаточно.

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P **
Киев
Сообщения: 16654
С нами с 10.10.2002

Re: Новый вирус-шифровальщик Wanna Cry [Re: codex]
      24 мая 2018 в 19:24 Гілками

Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Супер писатель! ***
15 лет за рулем, Вышгород
Сообщения: 3880
С нами с 06.02.2012

Re: Новый вирус-шифровальщик Wanna Cry [Re: Andrew82]
      25 мая 2018 в 08:39 Гілками

Andrew82 24.05.2018 19:24 пишет:

Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?



Основная масса проникновений была при использовании известных "дыр" не обновленного софта и как ни странно - дефолтные логины/пароли.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский **
26 лет за рулем, Київ
Сообщения: 6188
С нами с 31.10.2012

Re: Новый вирус-шифровальщик Wanna Cry [Re: Andrew82]
      25 мая 2018 в 09:18 Гілками

Andrew82 24.05.2018 19:24 пишет:

Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?



Конкретно у микротиков была дыра в webfig до версии 6.38.5, потом ее закрыли, в последней прошивке закрыли дыру в smb протоколе, а на пальцах бот ищет окрытый или фильтрованный порт 8291, если находит идут попытки взлома через 80 или 443 webfig в надежде на старую прошивку с уязвимостью или брутфорс по учетке admin.
Зы, на форуме микротика читал срач по поводу некоего пакета с доступном на рв к корневой файловой и примеры скринов с листом файловой структуры зараженного девайса, саппорт как обычно мороз включил на полную.

В домашних сетях такого нарыть можно , пароли от wi-fi мегасложные и крутые а банальный админ\админ торчит в ван порте

Змінено vitaliy_y (09:24 25/05/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
старый писатель *
Киев
Сообщения: 924
С нами с 04.03.2016

Re: Новый вирус-шифровальщик Wanna Cry [Re: codex]
      25 мая 2018 в 12:51 Гілками

А кто подскажет как просмотреть файловую систему микротика, линуксовые команды не помогают, конкретно хочу проверить «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord»

и еще вопрос если обновлю прошивку, но не обнулю до дефолтных настроек ? дыра "закроется" ?
Роутер очень далеко и задефолтиться не очень вариант...


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский **
26 лет за рулем, Київ
Сообщения: 6188
С нами с 31.10.2012

Re: Новый вирус-шифровальщик Wanna Cry [Re: cups]
      25 мая 2018 в 13:23 Гілками

никак, это закрыто, я написал выше про хак пакет который дает доступ к корню, но есть он только у избранных.
Микротик божится что при обновлении прошивки до актуальной все будет ок, насколько оно будет ок в реалиях посмотрим.
Да и, выше 6.41 новые тараканы с бриджами, поэтому снять бэкап обязательно.
Дефолтить не страшно, сливаешь бэкап настроек, прошиваешь, дефолтишь и заливаешь бэкап обратно, для полной уверенности можно прошить через нетинсталл потом залить бэкап

Змінено vitaliy_y (13:25 25/05/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
старый писатель *
Киев
Сообщения: 924
С нами с 04.03.2016

Re: Новый вирус-шифровальщик Wanna Cry [Re: vitaliy_y]
      25 мая 2018 в 13:49 Гілками

Спасибо

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ****
Черкассы
Сообщения: 6362
С нами с 29.06.2005

Re: Новый вирус-шифровальщик Wanna Cry [Re: codex]
      9 июня 2018 в 13:23 Гілками

Список подверженных существенно расширили
https://arstechnica.com/information-tech...han-we-thought/

теперь там кроме прочего есть (памойму их кругом как грязи)
TL-WR741ND
TL-WR841N

де-то в хозяйстве нашелся киевстаровский TL-WR741ND(KS) с древней прошивкой, которая штатно не апгрейдится.

1) кто-то знает, как проверить здоровье?
2) имеет ли смысл как-то извращаться с перепрошивкой, при условии, что он по-прежнему подключен к киевстару?

зы аппарат ни разу не был в сети с дефолтными паролями

UPD Цитата: "Для Киевстара были выпущены специальные брендированные роутеры, которые также включают специальную прошивку с поддержкой TR-069"
Т.е. добавляет вопросов с уязвимостью TR-069

Змінено AZC_ (14:04 09/06/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P **
43 года,
Сообщения: 11709
С нами с 08.06.2015

Re: Новый вирус-шифровальщик Wanna Cry [Re: AZC_]
      9 июня 2018 в 18:13 Гілками

Це вже серйозніше. І слід було очікувати - дешевих tp-link-ів кругом мільйони.

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Киев
Сообщения: 41806
С нами с 03.08.2001

Re: Новый вирус-шифровальщик Wanna Cry [Re: vitaliy_y]
      9 июня 2018 в 18:45 Гілками

vitaliy_y 25.05.2018 09:18 пишет:

Andrew82 24.05.2018 19:24 пишет:

Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?



Конкретно у микротиков была дыра в webfig до версии 6.38.5, потом ее закрыли, в последней прошивке закрыли дыру в smb протоколе, а на пальцах бот ищет окрытый или фильтрованный порт 8291, если находит идут попытки взлома через 80 или 443 webfig в надежде на старую прошивку с уязвимостью или брутфорс по учетке admin.
Зы, на форуме микротика читал срач по поводу некоего пакета с доступном на рв к корневой файловой и примеры скринов с листом файловой структуры зараженного девайса, саппорт как обычно мороз включил на полную.

В домашних сетях такого нарыть можно , пароли от wi-fi мегасложные и крутые а банальный админ\админ торчит в ван порте




Та на один подопечный Микротик ломятся на 8291 упорно уже месяца три.
После первой волны борьбы с злодеями количество попыток за сутки уменьшилось в десятки раз. Но дробятся до сих пор.
Ещё долбятся в беспарольный вайфай, изолированный от всего кроме интернета.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Достоевский ****
Черкассы
Сообщения: 6362
С нами с 29.06.2005

Re: Новый вирус-шифровальщик Wanna Cry [Re: AZC_]
      10 июня 2018 в 13:30 Гілками

AZC_ 09.06.2018 13:23 пишет:


1) кто-то знает, как проверить здоровье?
2) имеет ли смысл как-то извращаться с перепрошивкой




Отвечаю сам (касается всех):
1) Проверить [скорее всего] нельзя (т.е. простыми доступными методами нельзя вычислить)
2) Необходимо перепрошить на последнюю заводскую [или стороннюю] прошивку. Т.е. перейти на прошивку, в которой исправлены уязвимости (если таковая версия имеется).
Т.е. избавиться от уязвимостей, и заодно прибить экземпляр этого самого VPNFilter, если он там сидел у вас.
Общая рекомендация - запретить управление снаружи.

Продублирую тут обновленный список устройств, которые подвержены и могут быть заражены - (new) означает, что этого не было в старом списке:

Asus Devices:
RT-AC66U (new)
RT-N10 (new)
RT-N10E (new)
RT-N10U (new)
RT-N56U (new)
RT-N66U (new)

D-Link Devices:
DES-1210-08P (new)
DIR-300 (new)
DIR-300A (new)
DSR-250N (new)
DSR-500N (new)
DSR-1000 (new)
DSR-1000N (new)

Huawei Devices:
HG8245 (new)

Linksys Devices:
E1200
E2500
E3000 (new)
E3200 (new)
E4200 (new)
RV082 (new)
WRVS4400N

Mikrotik Devices:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)

Netgear Devices:
DG834 (new)
DGN1000 (new)
DGN2200
DGN3500 (new)
FVS318N (new)
MBRN3000 (new)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (new)
WNR4000 (new)
WNDR3700 (new)
WNDR4000 (new)
WNDR4300 (new)
WNDR4300-TN (new)
UTM50 (new)

QNAP Devices:
TS251
TS439 Pro
Other QNAP NAS devices running QTS software

TP-Link Devices:
R600VPN
TL-WR741ND (new)
TL-WR841N (new)

Ubiquiti Devices:
NSM2 (new)
PBE M5 (new)

Upvel Devices:
Unknown Models* (new)

ZTE Devices:
ZXHN H108N (new)

Змінено AZC_ (13:41 10/06/2018)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Киев
Сообщения: 41806
С нами с 03.08.2001

Re: Новый вирус-шифровальщик Wanna Cry [Re: cups]
      10 июня 2018 в 14:01 Гілками

cups 25.05.2018 13:49 пишет:

Спасибо




Примета такая есть - удаленная прошивка маршрутизатора - к дальней дороге.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Autoua.netФорумІнформатика та побутова електроніка
Додаткова інформація
0 користувачів і 1 що побажали залишитися невідомими читають цей форум.

Модератор:  AlMat, Yorc, moderator 

Роздрукувати всю тему

Права
      Ви не можете створювати нові теми
      Ви не можете відповідати на повідомлення
      HTML дозволений
      UBBCode дозволений

Рейтинг:
Переглядів теми: 42807

Оціните цю тему

Перейти в

Правила конференції | Календар | FAQ | Карта розділу | Мобільна версія