Jump to content
DuTy^

Ransomware cu Eternalblue (Spain)

Recommended Posts

2 hours ago, Okjokes said:

Au dat și ei peste un exploit și sunt hackeri...

 

Se poate afla cum a ajuns virusul în rețeaua de calculatoare a celor de la Dacia Mioveni? A fost descărcat prin intermediul e-mail-ului de către un angajat?

Share this post


Link to post
Share on other sites

Probabil ca da. Pentru autentificare, firmele folosesc certificate de securitate care trebuie acceptate/instalate de/in browser iar acestea fiind criptate nu mai sunt accesibile, si deci pa acces. Pa acces, pa activitate.

  • Upvote 1

Share this post


Link to post
Share on other sites

Partea buna e ca dupa ce se termina toate astea va creste tarifu' si numarul de clienti pentru cei ce sunt in IT Security.

 

2 hours ago, asswipe said:

 

E normal, pentru ca din ce am citit pe net nu a existat un target ... pur si simplu s-a trimis random la tot felul de firme, spitale si alte institutii. 

 

"Europol: Atacul cibernetic de vineri a afectat 200.000 de computere din 150 de tari. Numarul va creste puternic luni cand lumea revine la munca"

http://economie.hotnews.ro/stiri-it-21765865-europol-atacul-cibernetic-vineri-afectat-200-000-computere-din-150-tari-numarul-creste-puternic-luni-cand-lumea-revine-munca.htm

 

 

  • Upvote 1

Share this post


Link to post
Share on other sites

Nu e nimic nou in afara de exploit. Acest ransomw. nu zboara si nici nu merge singur. Nu are cum intra in ATM pentru ca nu are cine sa dea click pe el. Totusi acest "virus" foloseste un motor de spreading si se raspandeste asa:

De pe root pe partitii secundare pe urma pe stick usb sau pe sdcard telefon, in mediul LAN in retelele ce nu necesita token de acces ca in cazul windows 7 ultimate, el cautand fisiere sharuite pe care le suprascrie cu el insasi dar nu le infecteaza in acelasi timp lansand mesajul de gen "your computer need update" sau alte mesaje pe computerul din LAN pacalind utilizatorul sa execute replicantul ca sa poata incepe procesul de criptare a datelor. Ce este nou? S-a descoperit un procedeu automat de download a virusului la deschiderea unui fisier .txt ! Virusul ataca principalul sistem infectat in unele versiuni (ultimele) printr-un procedeu asemsnator cu procesul de update bazat pe API ce asculta si comunica pe anumite porti deschise cu anumite servere (un server este folosit foarte putin intr-o ora nu mai exista si este inlocuit cu altul asemeni retelei botnet) de pe care se face infectarea propriu-zisa. Daca se face dezinfectia porturile raman deschise si api-ul nu este detectat. Destul aici ca aglomeram, PM pentru cine este interesat de mai multe detalii.

  • Upvote 7

Share this post


Link to post
Share on other sites

Este un spreading. Nu este neaparat nevoie pe email. Poate sa fie un link catre un ebook-document sau altceva. Dupa cum am zis nu functioneaza pe retele LAN windows 7 ultimate, dar lasa urme care pot constitui brese chiar si pe w7u (vezi cum e facut infectorul pdf pt. Bitlocker/Truecrypt). Nu am un sistem infectat sa lucrez dar cred ca se pot recupera 80% din date. De decriptat nici vorba poate doar sn0w...sau nsa :).

Presupun ca acum lucreaza sute de specialisti ca noi sa dormim bine si sa lasam treaba asa cum este, nu are rost sa stim motorul doar nu ne apucam de ransomanit.

Share this post


Link to post
Share on other sites

@miska BroScience!

 

Cat va mai place sa mancati kkt sa va dati specialisti. De ce nu recunosti ca nu stii si bagi vrajeli de urme de triangulare in retea pdf cu 80% sn0w.

De unde ati aparut?

 

Poate sunt unii care sunt interesanti si chiar stiu ce e ala ASM si debuger si vector de atac.

 

PS: Mai are cineva samples/fisierele originale din WannaCry si UIWIX.

Eu am gasit niste binare dar nu sunt multumit. Poate cineva cu insight la un AV/sysadmim.

Share this post


Link to post
Share on other sites
34 minutes ago, DuTy^ said:

Aveti Droperul?

https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

 

Pe scurt ai:

 

https://transfer.sh/PnDIl/CYBERed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.EXE

https://transfer.sh/ZhnxR/CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.EXE (main dll)

 

Testate intr-un VM windows 10.

 

(atentie va infectati, nu lasati o connexiune internet din 2 motive)

1. Killswitch was sinkholed, virus stop execution.

2. Careful if you have vulnerable devices in your network. (even host-guest VM)!!!

Edited by yoyois

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...