Вирус на 300 баксов

Aerorus
Zaxar:

У меня после установки этого обновления (Win7 х64), винда перестает грузиться, приходиться откатывать.
Вот это обновление встало-KB3033929, вроде как тоже заплатка от этого вируса.

Это обновление от 9 марта 2015 года, оно не закрывает эксплойт SMB.
Если не ставится обновление, закройте порты и отключите использование протокола SMBv1 как описано выше, по сути решите проблему “на корню”.

Retif:

каким образом порты 135-й и 445 вдруг откроются, если снаружи на них послать какой-то волшебный “командный запрос”?

Значит сначала учим что такое SMB протокол и как он работает, а заодно и для чего используется. Прошу принять во внимание что про порт 135 официальной информации нет.
…microsoft.com/…/direct-hosting-of-smb-over-tcp-ip

Retif:

обычная винда с включенным встренным фаерволом

Попробую в кратце рассказать: протокол SMB использует компания microsoft в служебных целях, да и создан он в общем то в служебных целях. Вашу винду и файрволл на вашей винде тоже создала компания Microsoft.
Другими словами: ваш дом построили microsoft, и дверь с замком и забор с калиткой построили тоже они, надеетесь что у них нет ключей? 😃

Firewall, Брэндмауэр и прочие средства защиты microsoft не защитят вас от системного эксплойта. У microsoft контракт с многими …, в том числе и с нашими, на предоставление данных и доступов к личным машинам пользователей. А SMB это системный протокол, который будет работать всегда, через что угодно и как угодно. Именно с помощью SMB протокола раскрываются личные данные пользователей.
Хотите верьте, хотите нет. Ваша машина, ваши данные. 😃

Retif:

Где такое “по умолчанию” задано вдруг?

Это порты используемые NetBIOS для выхода в сеть. В общем в момент, когда вы отправляли этот пост ваши порты 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP были открыты.
При желании почитайте для чего они используются. Немного служебной информации docs.google.com/document/d/…/edit?usp=sharing

Retif:

Боже мой, ну что за бред-то? Какой роутер по умолчанию перенаправляет порты?

А вы не задумывались о том, как вы выходите в сеть? Думаете трафик от вашей машины к роутеру идет через один порт, а потом роутером перемаршрутизируется на другой порт? С входящим трафиком также 😎

Retif
Aerorus:

Значит сначала учим что такое SMB протокол и как он работает, а заодно и для чего используется.

Не вижу ответа на свой вопрос.

Aerorus:

протокол SMB использует компания microsoft в служебных целях, да и создан он в общем то в служебных целях. Вашу винду и файрволл на вашей винде тоже создала компания Microsoft.
Другими словами: ваш дом построили microsoft, и дверь с замком и забор с калиткой построили тоже они, надеетесь что у них нет ключей?

Firewall, Брэндмауэр и прочие средства защиты microsoft не защитят вас от системного эксплойта. У microsoft контракт с многими …, в том числе и с нашими, на предоставление данных и доступов к личным машинам пользователей. А SMB это системный протокол, который будет работать всегда, через что угодно и как угодно. Именно с помощью SMB протокола раскрываются личные данные пользователей.

Это даже комментировать не хочется. SMB оказывается через все фаерволы наружу торчит, ну-ну.

Aerorus:

Это порты используемые NetBIOS для выхода в сеть. В общем в момент, когда вы отправляли этот пост ваши порты 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP были открыты.

Надо же, а я думал, что я через HTTP свой пост отправлял. Каким боком к нему NetBIOS и прочие 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP и почему они оказались в этот момент открыты (куда открыты-то?), мне решительно непонятно.

Aerorus:

А вы не задумывались о том, как вы выходите в сеть? Думаете трафик от вашей машины к роутеру идет через один порт, а потом роутером перемаршрутизируется на другой порт? С входящим трафиком также

Задумывался. Изнутри наружу да, вопросов нет. Только вот почему “с входящим трафиком также”, когда все порты снаружи на роутере закрыты, мне опять же совершенно непонятно.

Aerorus
Retif:

Не вижу ответа на свой вопрос.

Просторы интернета в помощь, зеваки за последние дни много чего нарыли по этой теме. А полезные ссылки я предоставил в предыдущем посте.
Единственное открытое доказательство всем моим словам выше, то, что этот крипточервяк пролез через все ваши firewall, брэндмауэры, роутеры и прочее.
Если бы вы были правы, такой массовости небыло бы.

Retif:

мне решительно непонятно.

Сеть она предельно проста:
Порты- двери в различные девайсы
Команды- ключи к этим дверям
Пакеты- данные
Протоколы- описание того что можно и что нельзя (или “как ходить через двери”)
Транспорт- средство передающее пакеты
Кодеки- средство сжатия пакетов для передачи согласно протоколу через транспорт

Зная комбинацию, можно засунуть свои манипуляторы хоть в центробанк.
Пример того, как это работает.

Retif
Aerorus:

Просторы интернета в помощь, зеваки за последние дни много чего нарыли по этой теме. А полезные ссылки я предоставил в предыдущем посте.

По полезной ссылке я нигде не нашел, что закрытый снаружи фаерволом SMB каким-то образом вдруг откроется. Процитируйте.

Aerorus:

Единственное открытое доказательство всем моим словам выше, то, что этот крипточервяк пролез через все ваши firewall, брэндмауэры, роутеры и прочее.

А с чего вы взяли, что он в принципе лез через роутеры и фаерволы? Элементарную глупость пользователей, открывших письмо с вирусом еще никто не отменял. А дальше уже по локалке да, через SMB. Про бардак в сетях госкомпаний всем известно.

Aerorus:

Сеть она предельно проста:

Это уже демагогия. Вопрос бы про роутер, который “по умолчанию перенаправляет порты”. А вы начинаете про протоколы, пакеты и т.п.

З.Ы. Из википедии, собственно:

Метод атаки
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1.

Открытым.

Владимир#
Retif:

что закрытый снаружи фаерволом SMB каким-то образом вдруг откроется

Тут я тоже не понял. Ежели порт закрыт, то никаким секретным кодом его не открыть. По вышеприведенной аналогии, мы ставим на дверь изнутри засов и имея ключи (протокол), снаружи дверь мы все равно не откроем. А массовость заражения объясняется просто. 1

Retif:

Про бардак в сетях госкомпаний всем известно.

2 То что по умолчанию эти порты открыты. Сколько юзеров лазили в политику брандмауэра и закрывали все не нужные им порты?

Aerorus
Retif:

закрытый снаружи фаерволом SMB каким-то образом вдруг откроется. Процитируйте.

Придется верить на слово. Закрытая документация. Я ж не настаиваю.

Retif:

А дальше уже по локалке да, через SMB.

Так собственно про это и речь. Ваша локальная сеть это сеть провайдера с тысячами юзеров. Пробить защиту провайдера сложно, ту что дома даже пробивть не нужно, ее можно обойти.

Retif:

З.Ы. Из википедии, собственно:

Понятно.

Владимир#:

Тут я тоже не понял

Владимир#:

мы ставим на дверь изнутри засов

Вы сами ответили на свой вопрос, а “засов” я привел выше по теме. Что и где писать.

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.
Я знаю о чем говорю. Начинается какой-то срач, отвечать более не буду. Вся информация выше по теме, декриптор выложу сюда как только появится.
Тема про NAS с меня.

rrteam

Сегодня на почту прилетело такое письмо… от ESET…

Вы уже слышали про атаку вымогателя WannaCryptor? В пятницу вечером (время выбрано идеально) вредоносная программа зашифровала файлы на десятках тысяч компьютеров по всему миру.
Хорошая новость – ESET NOD32 детектирует и блокирует вирус. Оставайтесь под надежной защитой

Retif
Aerorus:

Придется верить на слово. Закрытая документация. Я ж не настаиваю.

Вы своими словами вводите в заблуждение присутствующих тут посетителей, далеких от ИТ. Так что на их месте я бы вам не верил. Вера - это куда-нибудь в религию.

Aerorus:

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.

Ну да. Верьте мне, потому что я обладаю тайным знанием. Но объяснять никому ничего не буду. Ну-ну, про религию я уже написал выше. Надеюсь, все сделают правильные выводы.

Владимир#
Aerorus:

Вы сами ответили на свой вопрос, а “засов” я привел выше по теме. Что и где писать.

Aerorus:

Сеть она предельно проста:
Порты- двери в различные девайсы
Команды- ключи к этим дверям
Пакеты- данные
Протоколы- описание того что можно и что нельзя (или “как ходить через двери”)

Про “засов” я у Вас не увидел. “Засов” как раз и есть закрытый порт, поэтому никакими ключами открыть не получится.

Forom
Aerorus:

Придется верить на слово. Закрытая документация.

😁

Aerorus:

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.
Я знаю о чем говорю.

Пробейте защиту моего файервола я даже айпишник дам и модель моего девайса (ну чтобы легче было)… 😁

Aerorus
Retif:

Вы своими словами вводите в заблуждение присутствующих тут посетителей, далеких от ИТ

Начнем с того, что в первых же постах я рассказал о том, как закрыть дырки и где что качать и как устанавливать, а где были ВЫ?
Тему того “как это работает” начали ВЫ. и именно от ВАС пошло заблуждение. Можно было просто сказать “Спасибо”.
По большому счету пи*добольство. В который раз убеждаюсь, что “советчики” на*ер никому не сдались.
Пока-пока.

@rrteam

Eset: Если вирус ведет себя как вирус — скорее всего, это вирус

Ну очень понравилось)))

По существу: Есть службы ПК, которые используют определенные порты для своей работы, фактически создавая тунель через firewall и прочее, полный список служб и используемых портов можно посмотреть здесь, а заодно посмотреть, что еще помимо SMB использует порты 135 и 445: msdn.microsoft.com/en-us/library/cc875824.aspx

Владимир#
Aerorus:

Пока-пока.

А про NAS то ждать тему? Там вроде спорить не о чем. Можно живьём всё проверить и пощупать.

Aerorus
Владимир#:

А про NAS то ждать тему?

Aerorus:

Тема про NAS с меня.

Уже пишется.

Retif
Aerorus:

Начнем с того, что в первых же постах я рассказал о том, как закрыть дырки и где что качать и как устанавливать, а где были ВЫ?

Я только сегодня зашел на форум и увидел эту тему и после этого отписался в ней, собственно. Я здесь не часто бываю. Не отрицаю, что в ваших постах есть полезная информация. Но она перемешана с вредной, увы.

Aerorus:

Тему того “как это работает” начали ВЫ. и именно от ВАС пошло заблуждение.

Ну то есть я посмел усомниться в ваших словах? 😁 Вы непогрешимы, вас нельзя критиковать что ли? ))

Aerorus:

Можно было просто сказать “Спасибо”.
По большому счету пи*добольство. В который раз убеждаюсь, что “советчики” на*ер никому не сдались.

Я всю эту информацию и так знал еще в понедельник, не вижу повода говорить вам спасибо. На явные ошибки в ваших словах я указал, аргументировать как-то свои слова вы не можете, зато упорствуете в навязывании своей точки зрения.

rrteam

Коллеги, я вот который раз убеждаюсь, что профессионалы , что в музыке (итд итп), что в IT - одинаковы.
Как простой пользователь (слушатель) из темы подчерпнул некоторые моменты. Спасибо.
Думаю не стоит этими… - пиписьками меряцца.
У каждого свой взгляд.

Wit
rrteam:

Думаю не стоит этими… - пиписьками меряцца.

ойдаладна!
делов то - взять по штангенциркулю, замерить и предъявить с точностью до десятки и исход дуэли будет решен! 😁

а еси сурьёзно, общался вчера тут с мелкомягкими спецами из местной кагэбэ, показал что Павел здесь выложил, сказали - очень умный юноша, делай че он говорит!
так что, из всех тут проповедников и борцов за истину, веры Павлу пока больше всех…

Zaxar
rrteam:

Думаю не стоит этими… - пиписьками меряцца. У каждого свой взгляд.

+100… Ругаться не стоит ибо истину можно и спокойно найти.
Был у меня как то фаервол Оутпост, еще на ХР, он спокойно пропускал “служебную информацию” по умолчанию, соответственно этот крипточервь его бы обошел. Конечно можно настроить и блокировать все порты, но это простым юзерам трудновато.
Информация в этой теме очень пригодилась, Павлу спасибо.

EVIL
Zaxar:

после установки этого обновления (Win7 х64), винда перестает грузиться, приходиться откатывать.

На моем компе данная команда не выполняется. Выдает ошибку. Зато порты закрылись успешно.

Zaxar
EVIL:

На моем компе данная команда не выполняется. Выдает ошибку. Зато порты закрылись успешно.

Какая команда? обновление не ставиться или протокол SMBv1 не закрывается?
Порты и у меня закрылись, а вот на протокол SMBv1 -выдало ошибку.

Tigron

Ребята, кончайте спорить.
Паша не зря упомянул про кодеки. Такая вещь, как двойная инкапсуляция пакет в пакет матрешкой сейчас используется повсеместно. Таким образом практически любой трафик можно замаскировать под безобидный зашифрованный HTTPS, который спокойно пролетит через все защиты даже на протокольном уровне. Собственно похожим образом и работает сеть Tor. Ее очень сложно задушить и при этом не обломать доступ нормальным разрешенным приложениям.

Wit
EVIL:

На моем компе данная команда не выполняется. Выдает ошибку. Зато порты закрылись успешно.

у меня то же самое