Ransomware cu Eternalblue (Spain)

Okjokes · May 14, 2017

Au dat și ei peste un exploit și sunt hackeri...

adba · May 14, 2017

2 hours ago, Okjokes said:

Au dat și ei peste un exploit și sunt hackeri...

Se poate afla cum a ajuns virusul în rețeaua de calculatoare a celor de la Dacia Mioveni? A fost descărcat prin intermediul e-mail-ului de către un angajat?

Sithalkes · May 14, 2017

Probabil ca da. Pentru autentificare, firmele folosesc certificate de securitate care trebuie acceptate/instalate de/in browser iar acestea fiind criptate nu mai sunt accesibile, si deci pa acces. Pa acces, pa activitate.

cretu_dan · May 14, 2017

Vreo tipologie a mail-urilor? Ceva caracteristici?

asswipe · May 14, 2017

200'000 infections but only $32k in ransom so far

8.27 BTC https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

4.0 BTC https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

5.84 BTC https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

New variant with no kill-switch https://blog.comae.io/wannacry-new-variants-detected-b8908fefea7e

Edited May 14, 2017 by asswipe

tjt · May 14, 2017

Partea buna e ca dupa ce se termina toate astea va creste tarifu' si numarul de clienti pentru cei ce sunt in IT Security.

2 hours ago, asswipe said:

200'000 infections but only $32k in ransom so far

8.27 BTC https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

4.0 BTC https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

5.84 BTC https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

E normal, pentru ca din ce am citit pe net nu a existat un target ... pur si simplu s-a trimis random la tot felul de firme, spitale si alte institutii.

"Europol: Atacul cibernetic de vineri a afectat 200.000 de computere din 150 de tari. Numarul va creste puternic luni cand lumea revine la munca"

http://economie.hotnews.ro/stiri-it-21765865-europol-atacul-cibernetic-vineri-afectat-200-000-computere-din-150-tari-numarul-creste-puternic-luni-cand-lumea-revine-munca.htm

miska · May 15, 2017

Nu e nimic nou in afara de exploit. Acest ransomw. nu zboara si nici nu merge singur. Nu are cum intra in ATM pentru ca nu are cine sa dea click pe el. Totusi acest "virus" foloseste un motor de spreading si se raspandeste asa:

De pe root pe partitii secundare pe urma pe stick usb sau pe sdcard telefon, in mediul LAN in retelele ce nu necesita token de acces ca in cazul windows 7 ultimate, el cautand fisiere sharuite pe care le suprascrie cu el insasi dar nu le infecteaza in acelasi timp lansand mesajul de gen "your computer need update" sau alte mesaje pe computerul din LAN pacalind utilizatorul sa execute replicantul ca sa poata incepe procesul de criptare a datelor. Ce este nou? S-a descoperit un procedeu automat de download a virusului la deschiderea unui fisier .txt ! Virusul ataca principalul sistem infectat in unele versiuni (ultimele) printr-un procedeu asemsnator cu procesul de update bazat pe API ce asculta si comunica pe anumite porti deschise cu anumite servere (un server este folosit foarte putin intr-o ora nu mai exista si este inlocuit cu altul asemeni retelei botnet) de pe care se face infectarea propriu-zisa. Daca se face dezinfectia porturile raman deschise si api-ul nu este detectat. Destul aici ca aglomeram, PM pentru cine este interesat de mai multe detalii.

cretu_dan · May 15, 2017

Miska Se spunea aici ca a fost descărcat prin intermediul e-mail-ului. Asa este?

miska · May 15, 2017

Este un spreading. Nu este neaparat nevoie pe email. Poate sa fie un link catre un ebook-document sau altceva. Dupa cum am zis nu functioneaza pe retele LAN windows 7 ultimate, dar lasa urme care pot constitui brese chiar si pe w7u (vezi cum e facut infectorul pdf pt. Bitlocker/Truecrypt). Nu am un sistem infectat sa lucrez dar cred ca se pot recupera 80% din date. De decriptat nici vorba poate doar sn0w...sau nsa :).

Presupun ca acum lucreaza sute de specialisti ca noi sa dormim bine si sa lasam treaba asa cum este, nu are rost sa stim motorul doar nu ne apucam de ransomanit.

u0m3 · May 15, 2017

Daca e cineva interesat de un articol care descrie relativ bine (a se citi "cu multe poze") cum se executa WCry: https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis.

DuTy^ · May 16, 2017

@miska mai documenteazate tinere inainte sa spui numai prostii...

yoyois · May 16, 2017

@miska BroScience!

Cat va mai place sa mancati kkt sa va dati specialisti. De ce nu recunosti ca nu stii si bagi vrajeli de urme de triangulare in retea pdf cu 80% sn0w.

De unde ati aparut?

Poate sunt unii care sunt interesanti si chiar stiu ce e ala ASM si debuger si vector de atac.

PS: Mai are cineva samples/fisierele originale din WannaCry si UIWIX.

Eu am gasit niste binare dar nu sunt multumit. Poate cineva cu insight la un AV/sysadmim.