@linkmeup_chat
Anton Klochkov13.05.2017
07:18:48
07:18:48
Он в ждучем режиме :)))
Alexander13.05.2017
08:59:22
08:59:22
Ребят какой номер апдейта нужен для закрытия уязвимости шифроващика?
Подскажите пожалуйста
Google
Andrey13.05.2017
09:01:52
09:01:52
https://forum.kasperskyclub.ru/index.php?showtopic=55543
Anton Klochkov13.05.2017
09:10:39
09:10:39
xcme13.05.2017
09:12:53
09:12:53
а на 2003 что?
Alexander13.05.2017
09:18:44
09:18:44
Спасибо
Sergey13.05.2017
09:23:19
09:23:19
а на 2003 что?
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/но скачать не дает что то, сайт тупит тормозит и постоянно разные страницы
xcme13.05.2017
09:25:18
09:25:18
там там нет 2003 в списке
торможу
выделенный текст я воспринимаю как рекламу и мозг ее игнорирует на автомате)
Goletsa13.05.2017
09:31:12
09:31:12
MS 17-010 Для OLD GOOD OS
Anton Klochkov13.05.2017
09:50:51
09:50:51
Ну или так :)
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
GoogleAnton Klochkov13.05.2017
10:24:45
10:24:45
Да и на сервера накатили через ссм, не понятно как проспали 14 марта
Andrey13.05.2017
10:26:08
10:26:08
ссм?
Andrey13.05.2017
10:37:10
10:37:10
http://polit.ru/news/2017/05/13/wannacrypt_stops/
xcme13.05.2017
10:40:39
10:40:39
UPDATE [May 12, 2017, 08:05 PM ET]: The spread of the Wana Decrypt0r ransomware has been temporarily stopped after security researcher MalwareTech has registered a hardcoded domain included in the ransomware's source code. Wana Decrypt0r connected to this domain (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) before it started its execution. The check was strange. The ransomware checked if the domain was unregistered, and if it was, it would execute. If it wasn't, it would stop spreading, acting like a kill switch. With MalwareTech registering the domain, the ransomware now does not start anymore. Cisco Talos has confirmed the information.
долго переводят:)
Andrey13.05.2017
10:43:42
10:43:42
а как вирус ответ получал? в hosts прописывался?
Innokentiy13.05.2017
10:57:30
10:57:30
что?
Innokentiy13.05.2017
10:58:20
10:58:20
георгийпетровичрошка.рф
Andrey13.05.2017
11:14:08
11:14:08
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com повешал в dns на локалохост, может тогда апдейты ставить не надо..
Sergey13.05.2017
11:36:47
11:36:47
он же и в интернете работает
для чего вообще выдумали тот домен, на случай недопущения конца света если вдруг вирус выйдет из под контроля?
xcme13.05.2017
11:44:00
11:44:00
скорее всего)
кто-нибудь эксплойт попробовал? у меня не может сломать даже чистую вин7.
Sergey13.05.2017
12:00:02
12:00:02
майкрософт
KorDen13.05.2017
12:00:33
12:00:33
Интересно, кто-нибудь смотрел патчи на содержание телеметрии?
GoogleSergey13.05.2017
12:01:39
12:01:39
2003 то? до и йтосними
KorDen13.05.2017
12:01:42
12:01:42
Многие ведь из-за этих причуд MS автообновление и поотключали
Sergey13.05.2017
12:01:58
12:01:58
я отключил обновление что бы по лимитируемому каналу не качалось
KorDen13.05.2017
12:02:37
12:02:37
Я не только про 2003, я и про MS17-010
Anton Klochkov13.05.2017
12:04:43
12:04:43
https://www.atraining.ru/virus-wannacrypt-measures/
Sergey13.05.2017
12:05:41
12:05:41
говорят уже 600 долларов требует
Andrey13.05.2017
12:13:50
12:13:50
Если всё плохо
Пароль для расшифровки файлов – WNcry@2ol7
Интересно откуда инфа, декриптор значит скоро будет
Andrey13.05.2017
12:14:57
12:14:57
Какой то вирус молодой и зелёный, раз везде один ключ шифрования) ждём апдейтов)
AdminERROR: S client not available
Sergey13.05.2017
12:15:20
12:15:20
дыре 30 лет
Snake13.05.2017
12:15:38
12:15:38
и дыра называется Windows SMB Protocol?
или как он там официально называется
Innokentiy13.05.2017
12:16:12
12:16:12
SMB1
wildmoon13.05.2017
12:16:20
12:16:20
V1
Innokentiy13.05.2017
12:17:22
12:17:22
Cryptography details
encrypted via AES-128-CBC (custom implementation in the binary)
AES key generated with a CSPRNG, CryptGenRandom
AES key is encrypted by RSA-2048 (windows RSA implementation)
https://haxx.in/key1.bin (the ransomware pubkey, used to encrypt the aes keys)
https://haxx.in/key2.bin (the dll decryption privkey) the CryptImportKey() rsa key blob dumped from the DLL by blasty.
вот ключи: https://pastebin.com/SNBdGbJh
про пароль WNcry@2ol7 карманов ляпнул абы что, не разбираясь, но это пароль на декодирование PE-екзешника
Andrey13.05.2017
12:20:45
12:20:45
GoogleInnokentiy13.05.2017
12:21:07
12:21:07
естественно
https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168 — вот тут собрана техническая инфа
Encrypted file format
<64-bit SIGNATURE> - WANACRY!
<length of encrypted key> - 256 for 2048-bit keys, cannot exceed 4096-bits
<encrypted key> - 256 bytes if keys are 2048-bits
<32-bit value> - unknown
<64 bit file size> - return by GetFileSizeEx
<encrypted data> - with custom AES-128 in CBC mode
Andrey13.05.2017
12:23:23
12:23:23
Я помню у касперского реклмама была, что они чуть ли без определений определяли что шифровальщик, и все что он успел зашифровать - каспер такой красиво откатывал назад. но видимо что то пошло не по плану
Malware samples
занятный раздел))))
кто хотел потестить
Snake13.05.2017
15:17:48
15:17:48
@NAT_GTX держи спамера!
Anton Klochkov13.05.2017
15:20:37
15:20:37
kill -kill Serge
Uburro13.05.2017
15:29:31
15:29:31
ну вот, из-за спамера в отпуск захотелось
Innokentiy13.05.2017
17:37:56
17:37:56
ими можно расшировать encryption key
который каждый раз случайный
а дальше уже можно расшифрованным encryption key расшифровать контент
собственно, такая же схема, как и везде
в EFS, например, шифрование точно так же устроено
xcme13.05.2017
17:39:20
17:39:20
Открыть в Telegram