Wana Decrypt0r

[michal_m]

@szymon1051, SMB to protokół, Samba na Linuxie to klient tego protokołu

[szymon1051]

ok tak jest samba korzysta z protokołu smb tylko co to zmienia? nic

https://pl.wikipedia.org/wiki/Server_Me ... oko.C5.82y

Może coś tam zmienia, bo na win można skorzystać (jak twierdzi wiki) z NetBIOS i NetBEUI i w tym może są błędy, a na linux jest tylko NetBIOS.

Użykownicy Linuxa nie mają co się bać -Linuxowa samba nie spowoduje na Linuksie wykonania payload'a exploita. Tak się składa ,że nieco obracam się w świecie bezpieczeństwa IT i dziwie się, że na tym forum użytkownicy z taką dużą świadomością jak Wasza sięgają jeszcze po rozwiązania Micro$oftu. Nie mam zamiaru wywoływać tutaj gównoburzy wśród użytkowników. Wiem z jakimi argumentami przemawiającymi za użytkowaniem Win się spotkam. Jednak uczcie się na cudzych błędach na swoich wtedy nie trzeba i dbajcie o bezpieczeństwo.

Win jest bezpieczny po tym jak ktoś znajdzie jakąś dziurę bo dopiero w tedy microsoft ją załata, sami nie sprawdzają .

[michal_m]

Są przypadki kiedy MS nie łata dziur latami mimo, że o niej wiedzą.


Czasami zostawiają tylne furtki dla służb , czasami też exploity od różnych trzyliterowych agencji wyciekają i wtedy jest tak ciekawie jak przy ostatnich wydarzeniach

Ciekawostka
http://thehackernews.com/2015/04/smb-wi ... ility.html

[bl4ck]

Może coś tam zmienia, bo na win można skorzystać (jak twierdzi wiki) z NetBIOS i NetBEUI i w tym może są błędy, a na linux jest tylko NetBIOS.

problemem jest system bo to on windows jest podatny na zrootowanie.

[nnx3]

jesli po 7 dniach zaczyna kasowac dane to warto wykrecic dysk i zrobic backup dysku
zreszta 7 dni to nikt normalny nie kupi bitkoinow w takim czasie, zeby sie zarejestrowac na gielde i wymienic kase na btc i dalej przeslac czas oczekiwania moze byc duzo dluzszy
weryfikatorzy gield sa pazerni na zdjecia i powolni a transfery z bankow tez nie ida pędem a siec BTC stoi
wiec takie 7 dni to byl by kolejny dowod na propagandowe dzialanie wirusa bo sami sobie ograniczaja naplyw srodkow.

[rav3n_pl]

Nie przesadzaj, człowiek z którym nie miałem ze dwa lata kontaktu znalazł mnie jak mu poprzedni robak wjechał do księgowości dzień po infekcji. Jak ktoś chce to kupi szybko.

[szymon1051]

Co jest fajne to że cena btc nie ma większych wahań niż zazwyczaj to może świadczyć że ludzie wiedzą że btc to tylko środek płatniczy który został wykorzystany do pobierania okupu, a nie np część wirusa.

[Chancellor]

To jest ciekawa sprawa, może pojadę spiskiem nieco, ale... Z tego co czytam tu i gdzie indziej wynika, że są tylko trzy adresy do wpłat i przestępcy nie będą w stanie odszyfrować danych, bo nawet jeżeli ktoś zapłaci, nie będą wiedzieli kto. Być może więc wypuszczono tego wirusa po to, żeby ludzie nauczyli się „metodą twardą”, żeby nie płacić okupów, bo to nic nie da. A jak ludzie się nauczą, to autorzy „prawdziwego” ransomware zostaną odcięci od kasy...

[wdaddy]

Być może więc wypuszczono tego wirusa po to, żeby ludzie nauczyli się „metodą twardą”

Czyli zakładałbyś w tym scenariuszu że ta infekcja > 200k komputerów, w dużej części w korporacjach, szpitalach itd, to swego rodzaju zorganizowana akcja jakiegoś Ministerstwa Szkolnictwa ewentualnie Departamentu Walki z Przestepczością...

śmiała koncepcja, ale trochę naciągana według mnie. Przede wszystkim bardzo brzemienna w skutkach, szczególnie jeżeli chodzi o te szpitale w UK, wyłączone urządzenia medyczne itd. Tak czytałem w każdym razie w sieci, że skutki mogą być opłakane. Jakiś przedstawiciel służby zdrowia oświadczył, że na pewno pacjenci ucierpią, i wiele osób może umrzeć z powodu uziemienia aparatury.

Jakby na to nie patrzeć w każdym razie, ciekawa koncepcja, ale chyba zbyt ryzykowna.

[pael]

[pm7]

a co mają załączniki i inne badziewie skoro ten robak wchodzi przez dziurę w SMB(samba udostępnianie plików) nie jest wymagane żadne otwieranie załączników po prostu robak sam wbija do systemu skanuje sieć i wbija dalej do następnych.

Normalne systemy nie wystawiają SMB do Internetu. Wannacry atakuje podwójnie, zarówno zawirusowanymi załącznikami w mailach, jak i przez lukę w SMB.

Poprawka, ponoć informacje o mailach z tym wirusem były nieprawdziwe według https://zaufanatrzeciastrona.pl/post/ja ... -wannacry/

wyglada ten atak na standardowa False FLag, kreuja problem czarnego Bitka i zaoferuja rozwiazanie (delegalizacja marketow albo takie tam) Bit nie jest tak anonimowy i madry hacker bral by XMR a nie BTC , i Hacing wnosi zazwyczaj jakas etyke, bo ilosc adresow swiadczy ze wplata nic nie da,

najbardziej niewygodny BIT jest dla Bangsterki wiec beda nim trzasc jak drzewkiem jabloni

na plus ze reputacja windy spadnie i Gates od Monsanto dostanie po kieszeni.

W BTC masz ponoć miksery (ponoć bo nie korzystałem i nie wiem czy działają ) które sprawią że te BTC uzbierane na koncie dostanie z innego źródła w zamian z te które dał i będzie miał te BTC i będzie anonimowy (czy jakoś tak to działa).

Posty o mieszarkach zostały wydzielony tutaj: https://forum.bitcoin.pl/viewtopic.php?f=2&t=21282

problemem jest system bo to on windows jest podatny na zrootowanie.

Bardzo zabawne
Nie ma roota w Windows, tylko w Linuksach. Na Windows masz ewentualnie konta administratora i konto system.
W normalnych systemach operacyjnych Linux/Windows nie masz operacji rootowania, bo już masz dostęp do kont administracyjnych.
To Android i podobne systemy mobilne są problematyczne, bo próbują uniemożliwić użytkownikowi dostęp do plików systemowych.

[bl4ck]

Nie ma roota w Windows, tylko w Linuksach. Na Windows masz ewentualnie konta administratora i konto system.

miałem na myśli dostęp do konta administratora\system, root\administrator o to chodziło.

ty dalej jak baba ciągniesz za słówka ogarnij się człowieku.

[pm7]

Ciągle? Jeżeli chodzi o Twoje pomylenie Samby z SMB, to nie je zwróciłem Ci uwagę.

[The Real McCoin]

To jest ciekawa sprawa, może pojadę spiskiem nieco, ale... Z tego co czytam tu i gdzie indziej wynika, że są tylko trzy adresy do wpłat i przestępcy nie będą w stanie odszyfrować danych, bo nawet jeżeli ktoś zapłaci, nie będą wiedzieli kto. Być może więc wypuszczono tego wirusa po to, żeby ludzie nauczyli się „metodą twardą”, żeby nie płacić okupów, bo to nic nie da. A jak ludzie się nauczą, to autorzy „prawdziwego” ransomware zostaną odcięci od kasy...

Też o tym myślałem. To znaczy o tym, że WannaCry może popsuć reputację uczciwym przestępcom. Porządne kampanie ransomware mają profesjonalną pomoc techniczną i dbają o jakość swoich usług - by "klient" był zadowolony. Nawet kiedyś widziałem jak na stronce ktoś robił porównanie tej jakości między różnymi kampaniami. Zdarza się, że autorzy takiego softu są skłonni do negocjacji wysokości zapłaty jak ktoś jest z kraju, gdzie mniej się zarabia. Tacy specjaliści wyciągają nawet kilkadziesiąt milionów dolarów.

Tutaj jest ciekawe podsumowanie amatorszczyzny WannaCry i teoria spiskowa:

Cisco researchers say they’ve found that a “check payment” button in the ransomware doesn’t actually even check if any bitcoins have been sent. Instead, Williams says, it randomly provides one of four answers—three fake error messages or a fake “decryption” message. If the hackers are decrypting anyone’s files, Williams believes it’s through a manual process of communication with victims via the malware’s “contact” button, or by arbitrarily sending decryption keys to a few users to give victims the illusion that paying the ransom does free their files. And unlike more functional and automated ransomware attacks, that janky process provides almost no incentive for anyone to actually pay up. “It breaks the entire trust model that makes ransomware work,” Williams says.

In fact, WannaCry has caused so much damage with such little profit that some security researchers have begun to suspect that it may not be a money-making scheme at all. Instead, they speculate, it might be someone trying to embarrass the NSA by wreaking havoc with its leaked hacking tools—possibly even the same Shadow Brokers hackers who stole those tools in the first place. “I absolutely believe this was sent by someone trying to cause as much destruction as possible,” says Hacker House’s Hickey.

https://www.wired.com/2017/05/wannacry- ... -mistakes/

[wdaddy]

może faktycznie jest tak, że po prostu robal im się wymknął spod kontroli, zanim skończyli nad nim pracę. Ktoś pobrał kod backdoora z "wyciękniętego" repozytorium ciekawostek NSA, zaczął nad nim pracę, był w trakcie i jakoś niefartem mu się uciekło. Dev chciał coś przetestować podłączył się do sieci i się robal wydostał. Głośno myślę... Celowa akcja na narobienie czarnego PR innym złodziejom? Przepraszam

uczciwym przestępcom

mi jakoś nie pasuje. Kto miałby za tym stać, kto teraz weźmie na klatę te szkody, które już powstały. Może macie rację, ale w takim przypadku ja jestem z innego świata, bo mi to nie pasuje.

[szymon1051]

No nic "pora umierać" jak kod może uciec to terminator coraz bliżej, walczyć z maszynami mi się nie chce .

[The Real McCoin]

@szymon1051, jako fan kryptowalut, ciesz się, że przyszłość będzie należała właśnie do nich.
Będziesz płacił w nich okupy, albo nawet Twoje komputery będą kopały krypto w botnecie:

Massive cryptocurrency botnet used leaked NSA exploits weeks before WCry

On Monday, researchers said the same weapons-grade attack kit was used in a much earlier and possibly larger-scale hack that made infected computers part of a botnet that mined cryptocurrency.

Like WannaCry, this earlier, previously unknown attack used an exploit codenamed EternalBlue and a backdoor called DoublePulsar, both of which were NSA-developed hacking tools leaked in mid April by a group calling itself Shadow Brokers. But instead of installing ransomware, the campaign pushed cryptocurrency mining software known as Adylkuzz.

In the course of researching the WannaCry campaign, we exposed a lab machine vulnerable to the EternalBlue attack. While we expected to see WannaCry, the lab machine was actually infected with an unexpected and less noisy guest: the cryptocurrency miner Adylkuzz. We repeated the operation several times with the same result: within 20 minutes of exposing a vulnerable machine to the open web, it was enrolled in an Adylkuzz mining botnet.

Co ciekawe:

The researcher went on to say this overlooked attack may have limited the spread of WannaCry by shutting down SMB networking to prevent the compromised machines from falling into the hands of competing botnets.

https://arstechnica.com/security/2017/0 ... fore-wcry/

[wdaddy]

No nic "pora umierać" jak kod może uciec to terminator coraz bliżej, walczyć z maszynami mi się nie chce .

czemu by miał nie móc..? automatyczne poszukiwanie ofiar i ich infekcja to właściwie główna funkcjonalność każdego robala. Do tego pojawiają się przecież już głosy o amatorszczyźnie samego robaka (kilka postów wyżej, i w sieci), więc dlaczego jakiś członek zespołu który go przygotowywał, nie mógł się okazać takim amatorem i odpalić go w sytuacji która nie gwarantowała odcięcia go od sieci. To dość realny scenariusz, jakkolwiek zabawny nawet Fakt, nie tak "seksowny" jak teoria spiskowa z celowym jego odpaleniem przez jakiegoś uczciwego hackera żeby zrobić czarny PR tym nieuczciwym.

Co do terminatora... wydaje mi się, że jesteśmy bliżej niż dalej, poszperaj haseł w kierunku "Google AI" i ich eksperymenty ze sztuczną inteligencją, robotami itd. Albo Boston Dynamics ich robot Atlas.. Brr też mnie to chyba niepokoi ale to według mnie trend nie do powstrzymania.

[The Real McCoin]

Tym dziwniejsze, że program oferuje odkodowaniu kilku plików za darmo, żeby udowodnić, że jest w stanie.

Tak to działa:

the malware has two hardcoded public keys deployed as part of this ransomware: one is used for the main task of encrypting files, while the other is used to encrypt a small number of files for “demo decryption” — so the ransomware authors can “prove” to victims that they are able to decrypt the files.

Now the malware will enumerate all interesting files based on their extension. If the original file size is less than 209,715,200 bytes, or a configurable limit of files is not yet reached, then the malware will use the demo RSA public key, which is hardcoded in the malware. For this key the private key is actually known and can be used to decrypt the content. For all the other files the victim’s RSA public key, for which the private key has been securely encrypted and stored locally, will be used.

The use of the demo key allows the attackers to decrypt a few files to prove that they are the actual authors. Unfortunately, this does not guarantee that they actually have the required RSA private key to decrypt the victim’s private key that was stored locally.

Z artykułu: "Can files locked by WannaCry be decrypted: A technical analysis"


A teraz hit:

XP i jego serwerowy odpowiednik oberwały najgorzej, bo Microsoft wypuścił łatkę dopiero po ataku

Jak XP to najlepiej mieć najstarszą niełataną wersję:

However, somewhat ironically, computers running exceptionally old versions of XP may actually be able to generate a decryption key.

This is due to a flaw that exists in Windows XP versions SP1 and SP2, and which was patched way back in 2008 in Windows XP SP3, so the percentage of computers still running those versions of the operating system is tiny.

However, those that do still have computers running those systems could exploit a flaw in its pseudo-random number generator (PRNG) that allows someone to predict encryption keys that would be created in the future and, crucially, reveal keys that had been generated in the past.

An individual could exploit this flaw to reveal the decryption key in memory if the malware is still running, and hence free their files from the grip of WannaCry.

[novymivo]

Przez tego robala u mnie w pracy nici z korzystania z www, super, brawo ! Jedyna pozytywna rzecz w miejscu gdzie spedzam pol zycia poszla sie wlasnie walic. Pewnie duzo firm wprowadzi podobne ograniczenia.
ps- a win xp jak jest na co niektorych kompach tak pozostal hahahahaha.