Вирус на 300 баксов

Владимир#

Ребята из IObit “прикололись”, стоит у меня софтина от них. Вслывает черное окно, первое что бросается в глаза, красная строка с названием шифровальщика и предупреждением что файлы могут быть заблокированы. А если у меня сердце слабое?😉 Детальное прочтение успокаивает. Изменили работу штатного фаервола из-за возможности этого вируса. Посмотрел, да 445 закрыли.
P.S. Тему так тему. Давно хотел NAS. с начала было не шибко актуально, теперь шибко дорого.

avia_tor

Доброго! У меня после установки этого обновления (Win7 х64), винда перестает грузиться, приходиться откатывать.

Такая же фигня

Retif
Aerorus:

Порты 135 и 445 это системные протоколированные порты Microsoft, они открываются и закрываются по командному запросу.

😵
Объясните мне пожалуйста, каким образом порты 135-й и 445 вдруг откроются, если снаружи на них послать какой-то волшебный “командный запрос”?

Даже если это просто обычная винда с включенным встренным фаерволом, а не еще и дополнительно прикрытая роутером тоже с включенным фаерволом.

Aerorus:

да и вообще Firewall это не межсетевой экран

Межсетево́й экра́н, сетево́й экра́н — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами[1].

Другие названия[2]:

Брандма́уэр (нем. Brandmauer) — заимствованный из немецкого языка термин;
Файрво́л (англ. Firewall) — заимствованный из английского языка термин.

Aerorus:

Грубо говоря на firewall по умолчанию задано, что через порт 135 и 445 можно проходить только по протоколу SMB

Где такое “по умолчанию” задано вдруг? 😵

Aerorus:

Гораздо хуже то, что на всех роутерах firewall по умолчанию перенаправляет порты, другими словами вирус стучится на роутер, а уже роутер посылает его вам.

Боже мой, ну что за бред-то? Какой роутер по умолчанию перенаправляет порты?

З.Ы. По теме. Работа под обычным пользователем без прав администратора (от шифровальщика не защитит, но спасет от вирусов, требующих прав админа), включенный UAC, обязательно своевременная установка обновлений Windows, антивирус (да он, всё же нужен, эвристику никто не отменял) и регулярные бекапы (использую внешний USB-диск, который лежит на полке).

Aerorus
Zaxar:

У меня после установки этого обновления (Win7 х64), винда перестает грузиться, приходиться откатывать.
Вот это обновление встало-KB3033929, вроде как тоже заплатка от этого вируса.

Это обновление от 9 марта 2015 года, оно не закрывает эксплойт SMB.
Если не ставится обновление, закройте порты и отключите использование протокола SMBv1 как описано выше, по сути решите проблему “на корню”.

Retif:

каким образом порты 135-й и 445 вдруг откроются, если снаружи на них послать какой-то волшебный “командный запрос”?

Значит сначала учим что такое SMB протокол и как он работает, а заодно и для чего используется. Прошу принять во внимание что про порт 135 официальной информации нет.
…microsoft.com/…/direct-hosting-of-smb-over-tcp-ip

Retif:

обычная винда с включенным встренным фаерволом

Попробую в кратце рассказать: протокол SMB использует компания microsoft в служебных целях, да и создан он в общем то в служебных целях. Вашу винду и файрволл на вашей винде тоже создала компания Microsoft.
Другими словами: ваш дом построили microsoft, и дверь с замком и забор с калиткой построили тоже они, надеетесь что у них нет ключей? 😃

Firewall, Брэндмауэр и прочие средства защиты microsoft не защитят вас от системного эксплойта. У microsoft контракт с многими …, в том числе и с нашими, на предоставление данных и доступов к личным машинам пользователей. А SMB это системный протокол, который будет работать всегда, через что угодно и как угодно. Именно с помощью SMB протокола раскрываются личные данные пользователей.
Хотите верьте, хотите нет. Ваша машина, ваши данные. 😃

Retif:

Где такое “по умолчанию” задано вдруг?

Это порты используемые NetBIOS для выхода в сеть. В общем в момент, когда вы отправляли этот пост ваши порты 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP были открыты.
При желании почитайте для чего они используются. Немного служебной информации docs.google.com/document/d/…/edit?usp=sharing

Retif:

Боже мой, ну что за бред-то? Какой роутер по умолчанию перенаправляет порты?

А вы не задумывались о том, как вы выходите в сеть? Думаете трафик от вашей машины к роутеру идет через один порт, а потом роутером перемаршрутизируется на другой порт? С входящим трафиком также 😎

Retif
Aerorus:

Значит сначала учим что такое SMB протокол и как он работает, а заодно и для чего используется.

Не вижу ответа на свой вопрос.

Aerorus:

протокол SMB использует компания microsoft в служебных целях, да и создан он в общем то в служебных целях. Вашу винду и файрволл на вашей винде тоже создала компания Microsoft.
Другими словами: ваш дом построили microsoft, и дверь с замком и забор с калиткой построили тоже они, надеетесь что у них нет ключей?

Firewall, Брэндмауэр и прочие средства защиты microsoft не защитят вас от системного эксплойта. У microsoft контракт с многими …, в том числе и с нашими, на предоставление данных и доступов к личным машинам пользователей. А SMB это системный протокол, который будет работать всегда, через что угодно и как угодно. Именно с помощью SMB протокола раскрываются личные данные пользователей.

Это даже комментировать не хочется. SMB оказывается через все фаерволы наружу торчит, ну-ну.

Aerorus:

Это порты используемые NetBIOS для выхода в сеть. В общем в момент, когда вы отправляли этот пост ваши порты 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP были открыты.

Надо же, а я думал, что я через HTTP свой пост отправлял. Каким боком к нему NetBIOS и прочие 135/UDP, 137/UDP, 138/UDP, 139/TCP и 445/TCP и почему они оказались в этот момент открыты (куда открыты-то?), мне решительно непонятно.

Aerorus:

А вы не задумывались о том, как вы выходите в сеть? Думаете трафик от вашей машины к роутеру идет через один порт, а потом роутером перемаршрутизируется на другой порт? С входящим трафиком также

Задумывался. Изнутри наружу да, вопросов нет. Только вот почему “с входящим трафиком также”, когда все порты снаружи на роутере закрыты, мне опять же совершенно непонятно.

Aerorus
Retif:

Не вижу ответа на свой вопрос.

Просторы интернета в помощь, зеваки за последние дни много чего нарыли по этой теме. А полезные ссылки я предоставил в предыдущем посте.
Единственное открытое доказательство всем моим словам выше, то, что этот крипточервяк пролез через все ваши firewall, брэндмауэры, роутеры и прочее.
Если бы вы были правы, такой массовости небыло бы.

Retif:

мне решительно непонятно.

Сеть она предельно проста:
Порты- двери в различные девайсы
Команды- ключи к этим дверям
Пакеты- данные
Протоколы- описание того что можно и что нельзя (или “как ходить через двери”)
Транспорт- средство передающее пакеты
Кодеки- средство сжатия пакетов для передачи согласно протоколу через транспорт

Зная комбинацию, можно засунуть свои манипуляторы хоть в центробанк.
Пример того, как это работает.

Retif
Aerorus:

Просторы интернета в помощь, зеваки за последние дни много чего нарыли по этой теме. А полезные ссылки я предоставил в предыдущем посте.

По полезной ссылке я нигде не нашел, что закрытый снаружи фаерволом SMB каким-то образом вдруг откроется. Процитируйте.

Aerorus:

Единственное открытое доказательство всем моим словам выше, то, что этот крипточервяк пролез через все ваши firewall, брэндмауэры, роутеры и прочее.

А с чего вы взяли, что он в принципе лез через роутеры и фаерволы? Элементарную глупость пользователей, открывших письмо с вирусом еще никто не отменял. А дальше уже по локалке да, через SMB. Про бардак в сетях госкомпаний всем известно.

Aerorus:

Сеть она предельно проста:

Это уже демагогия. Вопрос бы про роутер, который “по умолчанию перенаправляет порты”. А вы начинаете про протоколы, пакеты и т.п.

З.Ы. Из википедии, собственно:

Метод атаки
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1.

Открытым.

Владимир#
Retif:

что закрытый снаружи фаерволом SMB каким-то образом вдруг откроется

Тут я тоже не понял. Ежели порт закрыт, то никаким секретным кодом его не открыть. По вышеприведенной аналогии, мы ставим на дверь изнутри засов и имея ключи (протокол), снаружи дверь мы все равно не откроем. А массовость заражения объясняется просто. 1

Retif:

Про бардак в сетях госкомпаний всем известно.

2 То что по умолчанию эти порты открыты. Сколько юзеров лазили в политику брандмауэра и закрывали все не нужные им порты?

Aerorus
Retif:

закрытый снаружи фаерволом SMB каким-то образом вдруг откроется. Процитируйте.

Придется верить на слово. Закрытая документация. Я ж не настаиваю.

Retif:

А дальше уже по локалке да, через SMB.

Так собственно про это и речь. Ваша локальная сеть это сеть провайдера с тысячами юзеров. Пробить защиту провайдера сложно, ту что дома даже пробивть не нужно, ее можно обойти.

Retif:

З.Ы. Из википедии, собственно:

Понятно.

Владимир#:

Тут я тоже не понял

Владимир#:

мы ставим на дверь изнутри засов

Вы сами ответили на свой вопрос, а “засов” я привел выше по теме. Что и где писать.

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.
Я знаю о чем говорю. Начинается какой-то срач, отвечать более не буду. Вся информация выше по теме, декриптор выложу сюда как только появится.
Тема про NAS с меня.

rrteam

Сегодня на почту прилетело такое письмо… от ESET…

Вы уже слышали про атаку вымогателя WannaCryptor? В пятницу вечером (время выбрано идеально) вредоносная программа зашифровала файлы на десятках тысяч компьютеров по всему миру.
Хорошая новость – ESET NOD32 детектирует и блокирует вирус. Оставайтесь под надежной защитой

Retif
Aerorus:

Придется верить на слово. Закрытая документация. Я ж не настаиваю.

Вы своими словами вводите в заблуждение присутствующих тут посетителей, далеких от ИТ. Так что на их месте я бы вам не верил. Вера - это куда-нибудь в религию.

Aerorus:

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.

Ну да. Верьте мне, потому что я обладаю тайным знанием. Но объяснять никому ничего не буду. Ну-ну, про религию я уже написал выше. Надеюсь, все сделают правильные выводы.

Владимир#
Aerorus:

Вы сами ответили на свой вопрос, а “засов” я привел выше по теме. Что и где писать.

Aerorus:

Сеть она предельно проста:
Порты- двери в различные девайсы
Команды- ключи к этим дверям
Пакеты- данные
Протоколы- описание того что можно и что нельзя (или “как ходить через двери”)

Про “засов” я у Вас не увидел. “Засов” как раз и есть закрытый порт, поэтому никакими ключами открыть не получится.

Forom
Aerorus:

Придется верить на слово. Закрытая документация.

😁

Aerorus:

P.S. коллеги, чтобы было понимание, моя работа неразрывно связана с безопастностью сетей и использованием эксплойтов существующего ПО, на “другом” уровне.
Я знаю о чем говорю.

Пробейте защиту моего файервола я даже айпишник дам и модель моего девайса (ну чтобы легче было)… 😁

Aerorus
Retif:

Вы своими словами вводите в заблуждение присутствующих тут посетителей, далеких от ИТ

Начнем с того, что в первых же постах я рассказал о том, как закрыть дырки и где что качать и как устанавливать, а где были ВЫ?
Тему того “как это работает” начали ВЫ. и именно от ВАС пошло заблуждение. Можно было просто сказать “Спасибо”.
По большому счету пи*добольство. В который раз убеждаюсь, что “советчики” на*ер никому не сдались.
Пока-пока.

@rrteam

Eset: Если вирус ведет себя как вирус — скорее всего, это вирус

Ну очень понравилось)))

По существу: Есть службы ПК, которые используют определенные порты для своей работы, фактически создавая тунель через firewall и прочее, полный список служб и используемых портов можно посмотреть здесь, а заодно посмотреть, что еще помимо SMB использует порты 135 и 445: msdn.microsoft.com/en-us/library/cc875824.aspx

Владимир#
Aerorus:

Пока-пока.

А про NAS то ждать тему? Там вроде спорить не о чем. Можно живьём всё проверить и пощупать.

Aerorus
Владимир#:

А про NAS то ждать тему?

Aerorus:

Тема про NAS с меня.

Уже пишется.

Retif
Aerorus:

Начнем с того, что в первых же постах я рассказал о том, как закрыть дырки и где что качать и как устанавливать, а где были ВЫ?

Я только сегодня зашел на форум и увидел эту тему и после этого отписался в ней, собственно. Я здесь не часто бываю. Не отрицаю, что в ваших постах есть полезная информация. Но она перемешана с вредной, увы.

Aerorus:

Тему того “как это работает” начали ВЫ. и именно от ВАС пошло заблуждение.

Ну то есть я посмел усомниться в ваших словах? 😁 Вы непогрешимы, вас нельзя критиковать что ли? ))

Aerorus:

Можно было просто сказать “Спасибо”.
По большому счету пи*добольство. В который раз убеждаюсь, что “советчики” на*ер никому не сдались.

Я всю эту информацию и так знал еще в понедельник, не вижу повода говорить вам спасибо. На явные ошибки в ваших словах я указал, аргументировать как-то свои слова вы не можете, зато упорствуете в навязывании своей точки зрения.

rrteam

Коллеги, я вот который раз убеждаюсь, что профессионалы , что в музыке (итд итп), что в IT - одинаковы.
Как простой пользователь (слушатель) из темы подчерпнул некоторые моменты. Спасибо.
Думаю не стоит этими… - пиписьками меряцца.
У каждого свой взгляд.

Wit
rrteam:

Думаю не стоит этими… - пиписьками меряцца.

ойдаладна!
делов то - взять по штангенциркулю, замерить и предъявить с точностью до десятки и исход дуэли будет решен! 😁

а еси сурьёзно, общался вчера тут с мелкомягкими спецами из местной кагэбэ, показал что Павел здесь выложил, сказали - очень умный юноша, делай че он говорит!
так что, из всех тут проповедников и борцов за истину, веры Павлу пока больше всех…

Zaxar
rrteam:

Думаю не стоит этими… - пиписьками меряцца. У каждого свой взгляд.

+100… Ругаться не стоит ибо истину можно и спокойно найти.
Был у меня как то фаервол Оутпост, еще на ХР, он спокойно пропускал “служебную информацию” по умолчанию, соответственно этот крипточервь его бы обошел. Конечно можно настроить и блокировать все порты, но это простым юзерам трудновато.
Информация в этой теме очень пригодилась, Павлу спасибо.

EVIL
Zaxar:

после установки этого обновления (Win7 х64), винда перестает грузиться, приходиться откатывать.

На моем компе данная команда не выполняется. Выдает ошибку. Зато порты закрылись успешно.