Wana Decrypt0r

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 09:48

Uwaga na nowe ransomware żądające okupu w BTC!

https://zaufanatrzeciastrona.pl/post/ma ... ale-firmy/
https://sekurak.pl/masowy-atak-na-publi ... ego-ataku/
https://intel.malwaretech.com/botnet/wc ... 4h&bid=all

Co ciekawe, wygląda na to, że program wyświetla na zmianę tylko trzy różne portfele BTC. To może oznaczać, że autorzy nie będą mogli odróżnić, kto bitcoiny wpłacił, a kto nie.

NIE płaćcie okupu! To nic nie da!

Aktualizacja 2017-05-13 08:00

Wczoraj prawdopodobnie udało się zatrzymać automatyczne procesy rozprzestrzeniania się złośliwego robaka, który instalował ransomware. Jeden z badaczy zauważył, że próbka na początku swojego uruchomienia próbuje łączyć się do serwera pod adresem
http://www.iuqerfsodp9ifjaposdfjhgosuri ... ergwea.com

W razie otrzymania informacji, ze taki serwer istnieje, próbka się wyłączała i nie przeprowadzała infekcji. Mógł to być mechanizm wyłączania opracowany przez autorów lub prosty test, czy jest uruchamiana w środowisku laboratoryjnym w celu analizy. Badacze zarejestrowali domenę i w ten prosty sposób sprawili, że wirus na całym świecie przestał infekować komputery.

Aktualizacja 2017-05-13 09:00

Microsoft jednak zaskoczył wszystkich i wydał aktualizację błędu używanego w tym ataku dla Windows XP (także Vista, 2003 i 2008).

Aktualizować windowsy!

Dodano po 3 minutach 15 sekundach:
Co ciekawe, ta domena jest aktywna i ktoś wstawił na niej tekst:

sinkhole.tech - where the bots party hard and the researchers harder.

XD

Postautor: **Bit-els** » sobota, 13 maja 2017, 11:12

Tylko jak on się rozprzestrzenia. Nie ma informacji, że to przez klikanie w zainfekowany załącznik maila

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 11:34

Jest w opisie, wykorzystuje dziurę w sambie.
Wystarczy że jesteś podatny, masz internet i niepozamykane porty. Sam włazi.

Dodano po 27 sekundach:
A w sieci lokalnej ma jeszcze łatwiej.

Postautor: **Bit-els** » sobota, 13 maja 2017, 11:40

To cudownie. Niech żyje Microsoft, niech żyje NSA!

Bit-els pisze: Tylko jak on się rozprzestrzenia. Nie ma informacji, że to przez klikanie w zainfekowany załącznik maila

Tego jeszcze nie za bardzo wiadomo.
W sieci lokalnej wykorzystuje dziurę i rozpowszechnia się bez potrzeby człowieka.
Ale jak wirus dostał się do tych sieci?
Nie chce mi się wierzyć, że w tych wszystkich organizacjach były sobie komputery ze starym OS wystawione z SMB w internet.
Mi to bardziej wygląda na mniej lub bardziej targetowany phishing - czyli hakowanie człowieka. To jest najprostsze.

Swoją drogą, te szpitale były przygotowane na ebolę i inne wirusy, a załatwił je WannaCry...

Postautor: **pm7** » sobota, 13 maja 2017, 12:38

rav3n_pl pisze: W razie otrzymania informacji, ze taki serwer istnieje, próbka się wyłączała i nie przeprowadzała infekcji. Mógł to być mechanizm wyłączania opracowany przez autorów lub prosty test, czy jest uruchamiana w środowisku laboratoryjnym w celu analizy. Badacze zarejestrowali domenę i w ten prosty sposób sprawili, że wirus na całym świecie przestał infekować komputery.

Ponoć już się pojawiła następna wersja, która nie wyłącza się jeżeli ten serwer istnieje.

Bit-els pisze: Tylko jak on się rozprzestrzenia. Nie ma informacji, że to przez klikanie w zainfekowany załącznik maila

Czytałem, że rozprzestrzenia się mailowo, a następnie w całych sieciach gdzie ktoś uruchomi wirusa.

Microsoft zdecydował się jednak wydać łatkę dla Windows XP

https://sekurak.pl/pieklo-zamarza-micro ... indows-xp/

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 12:44

Ktoś kiedyś pisał o "wewnętrznym backupie" wingrozy na shadowach:

Behavior:
By using command-line commands, the Volume Shadow copies and backups are removed:

I po kwiatkach...
Zaiste wredne bydle ;]

Dodano po 1 minucie 10 sekundach:

pm7 pisze: Czytałem, że rozprzestrzenia się mailowo, a następnie w całych sieciach gdzie ktoś uruchomi wirusa.

Dokładnie, ale binarka skanuje nie tylko sieć lokalną ale też internet w poszukiwaniu podatnych maszyn.

Postautor: **wdaddy** » sobota, 13 maja 2017, 12:47

pm7 pisze:

Microsoft zdecydował się jednak wydać łatkę dla Windows XP
https://sekurak.pl/pieklo-zamarza-micro ... indows-xp/

Ciekawe ile w tej łatce będzie "dodatków". Np spam o upgradzie do Windows 10, albo kolejny, tym razem bardziej kontrolowany backdoor.

Smierć Windowsom

Wysłane z iPhone za pomocą Tapatalk

Postautor: **pm7** » sobota, 13 maja 2017, 12:47

rav3n_pl pisze: Dokładnie, ale binarka skanuje nie tylko sieć lokalną ale też internet w poszukiwaniu podatnych maszyn.

Też tak czytałem. Ale jak ktoś wystawia na świat niezałatanego Windowsa...

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 12:50

Opis ataku:

Infection vector

One of the confirmed infection vectors is the usage of the ETERNALBLUE exploit directly on machines which have SMB directly exposed to the internet.

The other, at the moment unconfirmed, infection vector appears to be:

1) An e-mail containing a link or a PDF file with a similar link rerieves an .hta file.
For example: hxxp://www.rentasyventas.com/incluir/rk/imagen ... =081525418
2) The .hta file retrieves a payload, which will retrieve or install the malware.
For example: hxxp://graficagbin.com.br/loja/q.hta

Czyli leci mail z PDF zawierającym HTA który pobiera i odpala co trzeba...

Postautor: **Bit-els** » sobota, 13 maja 2017, 13:48

Ale w ten mail trzeba kliknąć? Czy to jakoś "samo" się dzieje.

czyli kompy zwyklych użytkowników mających windę xp i będących stale w necie są narażeni? W takim razie 75 tysięcy kompów to i tak mało..

Postautor: **domator** » sobota, 13 maja 2017, 13:50

rav3n_pl pisze: Co ciekawe, wygląda na to, że program wyświetla na zmianę tylko trzy różne portfele BTC. To może oznaczać, że autorzy nie będą mogli odróżnić, kto bitcoiny wpłacił, a kto nie.

Nie moge w to uwierzyc. Czlowiek czy organizacja dysponujaca wiedza na tyle duza by wypuscic takiego wirusa nie wymyslila ze to bedzie widac ze okup bedzie nieskuteczny? Jaki to problem generowac oddzielny adres dla kazdego kompa nawet jesli to i tak jest fake i platnosc nie prowadzi do odszyfrowania?

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 13:56

Nie jestem pewien jak działa automatyczny podgląd PDFa, czy to wystarczy do "inicjacji" zaszytego HTA.
Głównym wektorem jest chyba jednak automatyczne wbijanie się w dziurę.
Skanowanie IPów trochę trwa, być może robak pobiera zakresy IPów do skanowania z oniona. Przy takiej ilości infekcji może maszyny kontrolne nie wytrzymały ;]
Na pełną analizę trzeba będzie jeszcze poczekać, a już przecież są wersje które infekują dalej nie patrząc na ten "zasinkholowany" adres.
Weź pod uwagę, że to praktycznie 24h od wypuszczenia, żniwa zaczną się w poniedziałek.

Dodano po 43 sekundach:
@domator, nie znamy motywów producenta. Może tu wcale nie chodzi o kasę.

Dodano po 1 minucie 30 sekundach:
Znaczy kasę w ramach okupu.
Dzięki wirusowi bitcoin jest na pierwszych stronach wszędzie.
Może autor jest zapakowany po dach i liczy na dalszy wzrost kursu?

Dodano po 1 minucie 6 sekundach:
A jeżeli szyfrowanie jest przeprowadzane "tylko" trzema kluczami to może je udostępnić za kilka dni. Albo nie ;]

Postautor: **Bit-els** » sobota, 13 maja 2017, 13:57

Sianie chaosu. To plus inwazja islamska na kraje zachodu. Ja tu widzę macki służb.

YouTube · Postautor: **rav3n_pl** » sobota, 13 maja 2017, 13:59

@Bit-els, ty wszędzie widzisz macki służb XD

Postautor: **Bit-els** » sobota, 13 maja 2017, 14:02

A kompy zwykłych kowalskich łączą się teraz automatycznie z MS i łatają dziurę, czy wymaga to jakiejś interwencji użytkownika?

Postautor: **domator** » sobota, 13 maja 2017, 14:09

Bit-els pisze: Sianie chaosu. To plus inwazja islamska na kraje zachodu. Ja tu widzę macki służb.

Balagam cie. Staram sie omijac lukiem Twoje polityczne absurdy siane na forum wiec sie zmiluj i nie strzelaj po okolicy. Wpadlem tu pogadac o wirusach.
No chyba ze to Tusk z Merkel wypuscili wirusa to moge zaczac dykusje

Postautor: **Bit-els** » sobota, 13 maja 2017, 15:01

Jeśli to nie fejk, to grubo się robi

Linia produkcyjna Nissana.
Tylko czy zarządzanie produkcją oddaje się w ręce windowsa?? Nie ma jakiś specjalistycznych systemów?

Postautor: **novymivo** » sobota, 13 maja 2017, 15:34

@Bit-els, To nie fejk, potwierdzone u zrodla, ludzie opuscili fabryke, wszystko padlo, nie mogli montowac aut I co wazne duzo fabryk leci na windowsie.
Premier May ma wlasnie narade z oddzialem Cobra, bedzie sie dzialo

ps- aktualnie prezentuja to jako atak na gospodarke, a ze czasy sa jakie sa, spodziewajcie sie jakis sankcji, ograniczen, nie wiem na czym moga polegac ale bedzie sie dzialo. Poniedzialek moze byc ciekawy,

edit : systemy sa, ale wszystko jest podlaczone do sieci, a siec do internetu

Postautor: **Bit-els** » sobota, 13 maja 2017, 15:46

No właśnie. Co prawda to tylko wyborcza, ale potwierdzają że Renault stoi. Czad.
http://next.gazeta.pl/next/7,151243,218 ... l.html#MT2

W artykule nie ma specjalnego ataku na bitcoina. Na razie.

No właśnie. Co prawda to tylko wyborcza, ale potwierdzają że Renault stoi. Czad.
http://next.gazeta.pl/next/7,151243,218 ... l.html#MT2

W artykule nie ma specjalnego ataku na bitcoina. Na razie.

Renault stoi:
http://mobile.reuters.com/article/amp/idUSKBN1890AK

Ale skoro goście nie mają zamiaru po zapłaceniu okupu odblokować kompów, to co? Budowa systemu informatycznego od początku?
Bo są tylko 3 adresy btc, a nie osobny do każdej zarazonej maszyny.
Chyba że odblokuja wszystko za jakiś czas

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Wana Decrypt0r

Kto jest online

Zaloguj się

Partnerzy

Kurs kryptowalut

Wiadomości

O Polskim Forum Bitcoin

Polecamy

Informacje