Эпидемия червя-шифровальщика
13 May 2017 | Автор: dd |Ну что ж, если вас не пробрал мой рассказ про цпу майнер, работающий на базе эксплоитов разведывательного агентства АНБ, эксплуатирующих уязвимость Windows SMB; то у меня еще большая криптота. Причем в прямом смысле этого слова.
К вам едет шифровальщик.
И вы можете радоваться, ибо за пятницу 12 мая он уже приехал более чем к 75 тысячам компьютеров по всему миру. В том числе, парализовав работу как минимум 16 британских больниц.
Шифровальщик проникает на компьютер через открытые системные порты SMB протокола, фоново шифрует данные, изображения и прочую полезную инфу, после чего выкидывает картинку с предложением перевести сумму в биткоинах, эквивалентную $300. Так что, видимо, биткоин не зря пробил максимум в эти дни, достигнув рекордной стоимости в $1800 за биточек.
Так что размусоливать особо нечего, ибо максимально быстро стоит накатить патч MS17-010 и прикрыть целевую машину с помощью IPS. В локальной сети на компьютерах необходимо отключать уязвимую версию протокола SMBv1 (которой на минуточку под 30 лет, но она все равно продолжает функционировать по дефолту наравне с последующими), оставляя работать последние.
Это конечно очень забавно, особенно в ключе того, что на старом добром SMB базировались практически все черви начала 2Yk века, т.ч с тех пор хорошим тоном является прикрытие фаерволом из вне системных портов Windows систем выше 1024 порта. Но в случае разбора заражений CPU майнером, я с удивлением узнал, что это совершенно неизвестно для большого числа народа трудящегося в интернете. При том, что минимальная безопасность, всегда являлась залогом выживания в инете, поскольку еще в доисторических 2002-2003 года от подъема сетки на Windows до первой атаки проходило от силы полторы-две минуты. А сейчас, полагаю, вирусы уже ждут прям на входе.
З.Ы да, если все пошло не так и таки поймали виря, то судя по всему при криптовании файлов он использует стойкий к брутфорсу пароль WNcry@2ol7
Эпидемия червя-шифровальщика,