Нашумевшую уязвимость SMB уже несколько недель эксплуатирует майнер Adylkuzz. / вот это поворот :: SMB :: Adylkuzz :: Wana decrypt0r :: вирусы :: новости

Paascal

Нашумевшую уязвимость SMB уже несколько недель эксплуатирует майнер Adylkuzz.

Как оказалось, шифровальщик WannaCry (он же Wana Decrypt0r, WCry, WannaCrypt0r и WannaCrypt) был отнюдь не единственной малварью, которая эксплуатировала уязвимость в SMB и использовала похищенные у АНБ эксплоиты ETERNALBLUE и DOUBLEPULSAR.

Специалисты компании Proofpoint обнаружили криптовалютный майнер Adylkuzz, который преимущественно занимается майнингом валюты Monero. По данным специалистов, малварь использует точно такой же механизм распространения, как и WannaCry: сканирует SMB-порты, применяет эксплоит ETERNALBLUE и заражает уязвимые системы без ведома пользователей, задействовав DOUBLEPULSAR.

Более того, исследователи уверены, что вредоносная кампания Adylkuzz стартовала гораздо раньше WannaCry, как минимум 2 мая 2017 года, а возможно даже раньше – 24 апреля 2017 года. Adylkuzz не привлек к себе так много внимания, как нашумевший шифровальщик, по той простой причине, что заметить заражение в этом случае гораздо сложнее. Единственные «симптомы», на которые может обратить внимание пострадавший, это замедление работы ПК, так как майнер оттягивает на себя ресурсы системы.По данным специалистов, операторы малвари уже «заработали» порядка $43 000, хотя точное количество пострадавших устройств неизвестно.

Специалисты отмечают, что Adylkuzz в некотором роде защитил пострадавших от него пользователей от атак WannaCry. Дело в том, что заразив систему, майнер закрывает «дырку» в SMB и не позволяет другой малвари воспользоваться брешью.

IICldll.CAC IICIOI/ ipOCO OIQIIt OUU IIIICIIIOI II QlI fC l/U/Lif»
Adylkuzz blocking SMB
© cmd.exe 3620 /c neis/7 ipsec static add interaction name=biock action=biock
■ netsh.exe 3676 netsii ipsec static add filteraction name=block action=block o cmd.exe 3740 /c netsii ipsec static add filter

Еще один вредонос, Uiwix, тоже эксплуатирующий баг в протоколе SMB, появился уже после WannaCry, однако это не делает его менее опасным. Проблему заметили специалисты компании Heimdal Security.

Также как и WannaCry, Uiwix – это шифровальщик, однако в отличие от многочисленных подражателей WannaCry, он действительно шифрует файлы жертв и представляет реальную угрозу. К тому же Uiwix не имеет механизма «аварийного отключения», так что остановить его распространение, зарегистрировав определенный домен, не выйдет.

Сообщается, Uiwix шифрует данные жертв и требует выкуп в размере 0.11943 бикоина (порядка 215 долларов по текущему курсу).

$© MAIN | -> \ EXIT To get the program to decrypt files You need to pay: 0.11943 BTC (~200$) How to pay? Qbitcoin 1. You should click Here to find out how to sign up for a Bitcoin wallet. 2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin: • coincafe.com -$

Специалисты обеих компаний напоминают всем, кто по какой-то причине еще не установил обновление MS17-010, закрывающее брешь в SMB, что это стоит сделать немедленно, а также закрыть 445 порт. Также, учитывая серьезность происходящего, в минувшие выходные компания Microsoft представила экстренные патчи для старых ОС: Windows XP, Windows 8 и Windows Server 2003.

Все честно украдено с xakep.ru

Подробнее
IICldll.CAC IICIOI/ ipOCO OIQIIt OUU IIIICIIIOI II QlI fC l/U/Lif» Adylkuzz blocking SMB © cmd.exe 3620 /c neis/7 ipsec static add interaction name=biock action=biock ■ netsh.exe 3676 netsii ipsec static add filteraction name=block action=block o cmd.exe 3740 /c netsii ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445 ■ netsh.exe 3796 netsii ipsec static add filter filterlist=block any srcmask=32 srcport=0 dstaddr=me dstport=445 protocol=tcp description=445 o cmd.exe 3860 /c netsii ipsec static add rule name=biock policy=netbc filterlist=biock fiiteraction=biock ■ netsh.exe 3916 netsii ipsec static add rule name=biock poiicy=netbc filterlist=biock filteraction=biock o cmd.exe 3980 /c netsii ipsec static set policy name=netbc assign=y ■ netsh.exe 4036 netsii ipsec static set policy name=netbc assign=y o cmd.exe 2556 /c taskkill/f/im msiexev.exe ■ taskkill.exe 2656 taskkill/f/im msiexev.exe o cmd.exe 2748 /c netsii advfirewall firewall delete rule name="Cbrome" ■ netsh.exe 3112 netsii advfirewall firewall delete rule name="Cbrome' o cmd.exe 3476 /c netsii advfirewall firewall delete rule name="Windriver" ■ netsh.exe 3572 netsii advfirewall firewall delete rule name="Windrivern o cmd.exe 3712 /c netsii advfirewall firewall add rule name="Cbromen dir=in program=n%PROGRAMFILES%\Google\Chrome\Application\cbrome.txt" action=allow ■ netsh.exe 3768 netsii advfirewall firewall add rule name="Cbromen dir=in program="C:\Program Files\Google\Chrome\Application\ctirome.txt" action=allow o cmd.exe 3780 /c netsii advfirewall firewall add rule name=nWmdriver" dir=in program=n%PROGRAMFILES%\Hardware Driver Management\windriver.exen action=allow ■ netsh.exe 3928 netsii advfirewall firewall add rule name="Windriver" dir=in program="C:\Program Files\Hardware Driver Management\windriver.exen action=allow services.exe 432 o svchost.exe 548 -k DcomLaundi ■ WmiPrvSE.exe 2956 -secured -Embedding o svchost.exe 2808 -k netsvcs o wuauser.exe 2420 -server ■ cmd.exe 1784 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 2692 taskkill/f/im tidmanager.exe ■ cmd.exe 2804 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3056 taskkill/f/im tidmanager.exe ■ cmd.exe 2776 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3076 taskkill/f/im tidmanager.exe ■ cmd.exe 2796 /c taskkill/f/im tidmanager.exe ■ taskkill.exe 3264 taskkill/f/im tidmanager.exe ■ msiexev.exe 3612 -a cryptomgiit -o stratum+tcp://xmr.crypto-pool.fr:443 -u 49v1 V2suGMS8JyPEU5FTtJRTHQ9Ymra\A/7Mf2btVCTxZuEB8EjjqQz3i8vECu7XCgvUfiW(. ■ cmd.exe 3864 /c taskkill/f/im tidmanager.exe Monero mining command
© MAIN | -> \ EXIT To get the program to decrypt files You need to pay: 0.11943 BTC (~200$) How to pay? Qbitcoin 1. You should click Here to find out how to sign up for a Bitcoin wallet. 2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin: • coincafe.com - Recommended for fast, simple service. Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order • btcdirect.eu - The best place for Europe • other - Or any other convenient for you service 3. Send 0.11943 BTC to Bitcoin address: 16VWXvuc3iF8gDHhfGEpiGaUzKgiGmytYy 4. Ensure your payment information and then Click 'Check Payment' Check Payment
новости,вирусы,Wana decrypt0r,Adylkuzz,SMB,вот это поворот

Еще на тему

новости(11047)

Wana decrypt0r(27)

вот это поворот(635)

Развернуть

Комментарии 44 17.05.201718:13 ссылка 9.7

Если я поставлю обновление MS17-010 на мою семерку, она не захочет обновится до 10-ки?

janklodvandam 17.05.201718:23 ответить ссылка 1.8

Уже - не проще. Время упущено. К тому же пиратки всё равно останутся пиратками.

nonnname 17.05.201718:29 ответить ссылка ↑ 5.3

У всех 7мерок вроде пассиво сохраняется функция апгрейда

ResQ6 17.05.201719:02 ответить ссылка ↑ 0.1

кмс ставишь и уже лицензией стало

dr9vik17.05.201719:16ответить ссылка ↑ -4.9

Нет, не стало. Юридически это пиратка.

agri 17.05.201721:24 ответить ссылка ↑ -2.1

Есть скрытая страница для апдейтов инвалидам по зрению и слуху. И там она принимает даже кмснутые винды.

Unholysvesh 21.05.201715:02 ответить ссылка ↑ 0.0

Не упущено, лазейка есть. Вчера обновили на ноутбуке пиратскую 7-ку на "лицензионную" 10-ку (скорее всего все зависит от того, какой активатор был применен к 7-ке)
Подробности тут http://composs.ru/upgrade-xp-vista-7-8-1-to-windows-10-after-29-07-2016/

Velorien 18.05.201707:29 ответить ссылка ↑ 0.0

Семёрка, как и её вариации, до сих пор самая лучшая ОС среди линейки Шиндовс имхо, Мелкомягкие реально душу в неё вложили, десятка же лишь бледная угловатая копия, которая при этом ничего нового не привносит

Hobotam 17.05.201718:37 ответить ссылка ↑ 3.5

Всему своя эпоха. Когда-то 3.11 была лучшей, потом 98-ая, далее ХР. Семёрка внесла слишком много новых идиом, поэтому до сих пор существуют её противники. А десятку собиратся сделать последней. Пальцы на руках кончились.

nonnname17.05.201719:13ответить ссылка ↑ 0.6

Расслабься, ты споришь с теми же самыми ретроградами которые до последнего не хотели уходить с XP. Процесс повторяется и он будет длиться бесконечно.
Людям реально впадлу потратить аж десять минут времени на изучение нового пуска и интерфейса панели управления. Полагаю что эти же люди из принципа не включают обновления.

wafk 17.05.201721:09 ответить ссылка ↑ 1.7

Стараюсь не спорить ни с кем, в том числе и с ретросексуалами. В каждой эпохе свои успехи.

nonnname 17.05.201721:16 ответить ссылка ↑ 0.2

пишу с хрюши , полет нормальный, мобила кнопочная , просто работает вот и все зачем менять если работает ?

ToptbIGa17.05.201722:15ответить ссылка ↑ -0.3

Кэп намекает что человек до сих пор сидящий на хрюше довольствуется отсутствием поддержки 11 директ икса, огромной кучи свежих версии прог и видимо не в курсе про огромные дыры безопасности которые майкрософт в принципе не будет уже чинить. Даже браузеры начинают отказываться от поддержки хрюши. Даже на моем вшивом предприятии нет компов с ней. Но на реакторе, в среде почти и гиков оказывается все еще есть.
Ты или говноед или используешь комп максимум для контакта и музыки. Ну так скажи, нахуй ты выпячиваешь свое ретроградство если компьютер у тебя используется максимум как терминал вконтактика?

wafk 17.05.201722:35 ответить ссылка ↑ 2.1

че ретроград , че говноед кто выпячивает, твоей логикой так надо типа яблоблядей спрыгивать с одного айфона на другой сразу же как новый анонсировали

ToptbIGa 17.05.201723:25 ответить ссылка ↑ -0.9

Только в отличие от айфона винду у нас пол страны качает бесплатно. Да и выходит она как бы не каждый год.

wafk 17.05.201723:48 ответить ссылка ↑ -0.1

Если ты не ставил обновлений до этого, то лучше даже и не ставить обновление MS17-010, получишь неработающую систему, сваливающуюся в BSOD при загрузке. В этом случае, лучше последовать инструкции по отключению SMBv1.

ManaSensei 17.05.201718:29 ответить ссылка ↑ -3.6

Этим?

1. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=«Block_TCP-135»
2. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445»
3. sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
4. sc.exe config mrxsmb10 start= disabled

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

3убочистка 17.05.201719:13 ответить ссылка ↑ 0.2

чушь
стоит пиратская семёрка сборки 4-5 летней давности, накатил патч, абсолютно никаких проблем не возникло

pony_strapony17.05.201719:17ответить ссылка ↑ 0.9

Протестил на годовалой пиратке 7х64SP1 без обновлений - бсод.

Futter 17.05.201721:24 ответить ссылка ↑ 0.7

Я поставил, нормально работает (сама система старше 2013 года)

StaticX 17.05.201718:43 ответить ссылка ↑ 0.1

И я поставил, винда не запустилась, пришлось сносить апдейт.

Продавец_Кед 17.05.201719:26 ответить ссылка ↑ 0.9

Коммент из поста Коки об этой вирусне

Вообще похуй. Только залезет ко мне на комп его "местние" съедят. Винду как поставил в 2002 так и не переустанавливал. Без антивируса уже более 10 лет. ЦОг^ап КЕТОв 12.May.2017 21:19 ответить V ссылка

Chocolate Cornet17.05.201718:28ответить ссылка -5.4

Дык а уязвимость в SMB котором? Их как 3 версии протокола. SMB 1 как минимум нужно отключать в любом случае.

VoiD32 17.05.201718:32 ответить ссылка 0.2

Первый и есть дырявый

Chocolate Cornet 17.05.201718:35 ответить ссылка ↑ 0.5

Они все дырявые, ибо слушают общеизвестные порты и разрешения у владельца не просят.

nonnname17.05.201719:19ответить ссылка ↑ 0.0

Кто-нибудь объяснит мне что за майнинг? И почему биткоины всякие вообще нужно откапывать? И где они откапываются? Из недр моего харда что ли?

Мануалы и википедии по криптовалюте курить пробовал, но так ничего и не прояснилось.

Apelsinov17.05.201718:39ответить ссылка 1.3

Будешь периодически проверять прогу и отправлять отчёты, за отчёты получать копейку.
В отчёте ты подтверждаешь то ли сумму перевода, то ли ещё что-то, тут я хз.
Сам тоже слабо понимаю.
Но, думаю, сложно таким способом хотя бы отбить стоимость компа. По крайней мере, если не только для этого покупал комп.

Mihatron2012 17.05.201718:48 ответить ссылка ↑ 0.5

Биткоины - валюта из нихуя.
Суть их появления - работа программы-майнера, которая ведет вычисления по определенному алгоритму, сделанному чисто ради того, чтобы загрузить твой комп.
Итогом этих вычислений может стать появление новых биткоинов из того самого нихуя.

Правда сейчас ты получаешь какие то тысячные доли биткоина, и этого не хватит покрыть цену электричества, которое твой комп выжрет работая под полной загрузкой.

Versager 17.05.201718:51 ответить ссылка ↑ 1.2

Если вкратце, то мощности процессора используются для выполнения сложных вычислений, в результате которых генерируются уникальные коды. Собственно эти коды и стоят денег.

Cleric200817.05.201718:51ответить ссылка ↑ 0.1

Твой компьютер используют для решения сложных уравнений, решения которых используются для шифрования пересылаемых по интернету биткоинов, за эти вот решения тебе платят деньги. Или не тебе, если вирус скажем так "авторизован" под васей пупкиным. Тогда пупкину капает с его компьютера и с твоего. Да, майнить самому уже не выгодно, решений этих уравнений осталось очень мало (скажем так, их ограниченое количество, и это можно посчитать), но если решать будут все кроме тебя, то единственные твои затраты будут - время на написание вируса, а потом зараженные ПК будут приносить тебе по чуть чуть денег но постоянно и без затрат

LEXfes17.05.201719:06ответить ссылка ↑ 0.5

Если ко мне пробрался такой вирус-майнер, включив диспетчер задач и посмотрев на загрузку компа я пойму, что что-то не так или они умеют скрывать эту инфу?

Buick 17.05.201720:16 ответить ссылка ↑ 0.2

если ты выучил все свои процессы - да, скорее всего. Но они не отображаются как "myner_byVASYA_$NAGIBATOR$_666.exe" а маскируются под нормальные процессы

LEXfes17.05.201721:43ответить ссылка ↑ 0.1

Чаще всего один из процессов svhost

AshB 17.05.201723:13 ответить ссылка ↑ 0.1

у меня какая то херня как то под каспера шкерилась. Почти удалось, НО маленькая деталь: каспера у меня на этой венде не было))

LEXfes17.05.201723:55ответить ссылка ↑ 0.4

Штирлиц никогда не был так близок к провалу.
Бедный вирусяк...

Versager 18.05.201701:34 ответить ссылка ↑ 0.5

Я так и не понял из всех ответов, что за уравнения комп считает, откуда их берёт и нахера кому-то его результаты. И почему эти биткоины что-то стоят, кто их на доллары меняет?

каракурт17.05.201720:59ответить ссылка ↑ 0.2

Уравнения = код для шифрования по определенному алгоритму. Это все равно что клеить по 200 конвертов в день, и получать за это письма от жарких тянок.

А чего стоит бумага? А чего стоят нолики на банковском счете? Криптовалюта ахиренно надежна и в то же время ее крайне сложно отследить, то есть если при обычной транзакции карта-карта, по факту происходит банк1(вася)-банк2(петя), то есть банки знают что вася дал пете 5 бачей на пивко, и могут в случае чего прикрыть тихонько (гуглите "деньги януковича"), в то время как БК переходят по кошелькам шифровано (уравнения), получатели не имеют имен, и могут обращаться к своим деньгам по определенному алгоритму из разных мест (сложно обьяснить просто), и все переводы подтверждаются ВСЕМИ пользователями биткоина, соответственно спереть деньги не получится. По сути биткоины - это количество решений уравнения, которые распознают другие биткойн-владельцы, и если распознание успешно - значит сделка успешна.

Сложно, непонятно, но круто - так можно сказать как про новый айфон так и про биткоины, так вот биткоины стоят как айфон именно поэтому))

LEXfes 17.05.201721:51 ответить ссылка ↑ 0.6

http://lurkmo.re/Bitcoin

Futter17.05.201721:26ответить ссылка ↑ 0.8

порт 445 закрыт что это значит ? и какой еще порт должен быть закрыт и как их закрывать\ открывать?