Jump to content
Sign in to follow this  
LimeSoft

KIS 17.0.0.611 (e) и актуальная угроза Wana decrypt0r 2.0

Recommended Posts

Доброго времени суток.

Стоит KIS 17.0.0.611 (e).

Сейчас по интернету гуляет шифровальщик использующий уязвимость SMB протокола в винде.

Установить рекомендуемое обновление (винды) возможности нету.

Защищен ли я от этой уязвимости наличием вышеуказанной весрии антивируса?

 

Что сделать дабы не схватить заразу?

Комп сидит в сети через роутер от провайдера (могу подкрутить настройки в нем, если это поможет). Услуга внешнего статичного IP не подключена.

Share this post


Link to post

Спасёт.

А если завтра появится новый вирус, эксплуатирующий новую уязвимость? Не проще устанавливать обновления вовремя?

Share this post


Link to post

Можно узнать, а KAV 2016 с новейшими обновлениями защитить от этого нового вируса?

 

Заранее спасибо за ответ.

Edited by doc11111

Share this post


Link to post

Насколько я себе представляю суть этой угрозы - скорее всего нет.

KIS (если вообще есть детект попытки заражения) - детектит его посредством IDS. Данный компонент в KAV отключен.

Share this post


Link to post
Можно узнать, а KAV 2016 с новейшими обновлениями защитить от этого нового вируса?

 

Заранее спасибо за ответ.

Должен. Как сетевую атаку нет, но деятельность опознать и прекратить должен. Даже если его и нет в базах.

А вообще, для защиты от этого вируса надо устанавливать обновления безопасности для ОС. Оно выпущено ещё в марте!

Share this post


Link to post

Тупой вопрос. Как именно шифруются файлы? Сейчас я представляю себе весь процесс так: через уязвимость в SMB на компьютер пользователя загружается исполняемый файл, который запускается и шифрует файлы. Получается, что если включить в КИС интерактивный режим и поставить программам из группы слабые ограничения запрос на запуск, то КИС должен этот файл отловить при попытке запуска, тк он попадет в группу слабые ограничения?

Share this post


Link to post

В том и дело, что не должен.

 

Запускаться будет сразу доверенное приложение (причем архидоверенное, с подписью MS) c правами опять же доверенного, т.к. инициатором запуска будет уязвимая служба (что собственно и есть соль уязвимости).

А значит, пресечь дыру может либо фикс в ОС, либо сигнатура в IDS (если она есть, ибо с этим тоже не все вероятно так просто).

 

Решение проблемы (IMHO), т.к описания я не видел скорее всего стандартное:

1) отключить уязвимую службу до выпуска фикса, в случае, если в ней нет необходимости, и молиться в случае, если необходимость есть.

2) установить фикс настолько быстро, насколько возможно после его публикации, после чего возможно откатить изменения в п. (1)

 

Share this post


Link to post
Доброго времени суток.

Стоит KIS 17.0.0.611 (e).

Сейчас по интернету гуляет шифровальщик использующий уязвимость SMB протокола в винде.

Установить рекомендуемое обновление (винды) возможности нету.

Защищен ли я от этой уязвимости наличием вышеуказанной весрии антивируса?

 

Что сделать дабы не схватить заразу?

Комп сидит в сети через роутер от провайдера (могу подкрутить настройки в нем, если это поможет). Услуга внешнего статичного IP не подключена.

 

Добрый вечер.

 

Ни один антивирус Вам никогда 100% гарантий не даёт, но даже дело не в этом.

 

Если Вы всё же о программе-вымогателе, которая использовала уязвимость в SMB протоколе, что после было описано в MS17-010 бюллетене, то, допустим, какую-то реализацию антивирус действительно блокирует, но что мешает другим людям написать новую, зная, как "надавить" на данную уязвимость? Не обновив систему, компьютер всё также будет уязвим, поэтому новые умельцы могут вполне обойти брешь в системе, используя ту же уязвимость.

Edited by Sempreno

Share this post


Link to post
Добрый вечер.

 

Ни один антивирус Вам никогда 100% гарантий не даёт, но даже дело не в этом.

 

Если Вы всё же о программе-вымогателе, которая использовала уязвимость в SMB протоколе, что после было описано в MS17-010 бюллетене, то, допустим, какую-то реализацию антивирус действительно блокирует, но что мешает другим людям написать новую, зная, как "надавить" на данную уязвимость?

Уязвимость - это вполне конкретный способ проникновения в систему. Другой способ - это другая уязвимость.

 

Не обновив систему, компьютер всё также будет уязвим, поэтому новые умельцы могут вполне обойти брешь в системе, используя ту же уязвимость.

От другого способа (т.е. от использования ДРУГОЙ уязвимости) старые фиксы ОС не помогут.

Share this post


Link to post
Доброго времени суток.

Стоит KIS 17.0.0.611 (e).

Сейчас по интернету гуляет шифровальщик использующий уязвимость SMB протокола в винде.

Установить рекомендуемое обновление (винды) возможности нету.

Защищен ли я от этой уязвимости наличием вышеуказанной весрии антивируса?

 

Что сделать дабы не схватить заразу?

Комп сидит в сети через роутер от провайдера (могу подкрутить настройки в нем, если это поможет). Услуга внешнего статичного IP не подключена.

 

Virtual Machine - можно использовать для защиты от malware

Ставим гостевую машину Linux отключаем расшаренную папку для защиты основной машины от заражения

На основной машине KIS - на гостевой ставим защиту от руткитов + firewall

Serfing в Inernete из под гостевой виртуальной машины

Гостевую систему можно всегда откатить на любой скриншот при заражении malware ,а основная система будет чиста как слеза младенца.... :D

Share this post


Link to post
Почему?

Судя по описанию http://blog.talosintelligence.com/2017/05/wannacry.html шифровальщик загружает свои файлы mssecsvc.exe tasksche.exe taskdl.exe taskse.exe- они должны попадать в недоверенные.

По той простой причине, что в данном случае файлы шифровальщика будут обрабатываться как и любые другие ограниченные в правах файлы, а значит теряется сама суть уязвимости: создать и запустить на ПК пользователя "левые" бинари вполне можно и сотнями других способов. А суть любой уязвимости именно в том, чтобы запустить шифрование файлов (или любое иное несанкционированное пользователем действие) в обход разрешения пользователя.

Share this post


Link to post
Спасёт.

А если завтра появится новый вирус, эксплуатирующий новую уязвимость? Не проще устанавливать обновления вовремя?

Устанавливаю вовремя все обновления -и винды и кис-а. Обновление закрывающее уязвимость от вируса Wana decrypt как пишут была ещё в марте. И всё же заплатка KB40112212 у меня также как и у других установилась вручную вчера.

Но ведь если оно уже было установлено в марте оно не должно было установится вчера?

Короче какая то тёмная история

Вот кстати прямые ссылки на закрытие дыры

http://interzet.domru.ru/news/13-05-2017/virusnaya-ataka

Edited by Лексей

Share this post


Link to post
Уязвимость - это вполне конкретный способ проникновения в систему. Другой способ - это другая уязвимость.

От другого способа (т.е. от использования ДРУГОЙ уязвимости) старые фиксы ОС не помогут.

 

Подождите, мы сейчас о чём говорим? О wana decryptor 2.0? Он использует уязвимость в SMB протоколе, верно?

 

Человек спрашивает, защищены ли мы конкретно от этого вируса?

 

Что мешает людям создать "новый wana decryptor 3.0" или назвать его как-нибудь по-другому, если он будет использовать абсолютно ту же самую уязвимость в SMB протоколе, но "другим подходом"? Я соглашусь с тем, что это будет уже новая реализация, но не соглашусь с тем, что это новая уязвимость. Основная дырка, которую он будет использовать, будет та же - это уязвимость в SMB. И вполне вероятно, что поведенческий анализ и др. сканеры его не засекут. Не залатав эту дыру, вы оставляете компьютер доступным для атаки относительно известным способом.

 

Edited by Sempreno

Share this post


Link to post
Подождите, мы сейчас о чём говорим? О wana decryptor 2.0? Он использует уязвимость в SMB протоколе, верно?

 

Человек спрашивает, защищены ли мы конкретно от этого вируса?

 

Что мешает людям создать "новый wana decryptor 3.0" или назвать его как-нибудь по-другому, если он будет использовать абсолютно ту же самую уязвимость в smb протоколе + что-то ещё? Я соглашусь с тем, что это будет уже новая реализация, однако, основная дырка, которую он будет использовать, будет та же - это уязвимость в SMB. И вполне вероятно, что поведенческий анализ и др. сканеры его не засекут.

Вопрос был "срочный" для того чтобы понять можно ли выкроить немного времени на "полноценное" устранение уязвимости и апдейта.

KIS установил не только себе, но и друзьям/родителям. Они если и слышали эпидемии шифровальщика то краем неайтишного уха. А поставить апдейты на несколько машин удалённо дело не самое быстрое (уговорить найти время итд).

 

Защиты от конкретного вполне хватило. Спасибо форумчанам и продуктам Kaspersky :rolleyes:

Share this post


Link to post

Может обсуждаемый вирус-шифровальщик попасть на домашние компьютеры, при условии если:

1). На ПК установлена лицензионная Windows 10 PRO 64 bit (автоматическое обновление) + KIS 2016 (автоматическое обновление), подключен кабелем к Wi-Fi роутеру (провайдер Дом.ру).

2). На ноутбуке установлена лицензионная Windows 7 Домашняя 64 bit (автоматическое обновление) + KIS 2017 (автоматическое обновление), подключен по Wi-Fi к Wi-Fi роутеру (провайдер Дом.ру).

 

На обоих компьютерах лицензионный софт. Подозрительные, рекламные, от не знакомых пользователей письма, если и приходят на почту - удаляются не открывая. Кряки, читы, левый софт и т.п. не скачивается.

 

После того, как узнал об этом вирусе-шифровальщике из новостей, выполнил полную проверку на вирусы компьютера - установленным KIS 2016 и ноутбука - установленным KIS 2017 - угроз не обнаружено.

Share this post


Link to post

Так всё же, если залезла зараза(не важно кто виноват), есть решение у Касперского? Или просто советы и предостережения? Например, как-то сынок вымогателя загрузил, во весь экран номер кошелька и не одна кнопка не работала. Так мне помог Kaspersky Rescue Disk 10. Справился в момент. Вот я о чём.

Share this post


Link to post
Так всё же, если залезла зараза(не важно кто виноват), есть решение у Касперского?

Любой антивирусный продукт может обнаружить и удалить данный вирус.

Share this post


Link to post

Мне вообще не очень понятна беспомощность антивирусов в предотвращении криптоатак.

 

По-моему идентифицировать любой криптор можно достаточно однозначно. Ведь его ключевые особенности - массовое чтение и изменение файлов. А тем более - когда производится изменение расширения. Антивирусная программа вполне может обнаружить подобные действия и либо пресечь их либо оповестить пользователя, принудительно перейдя в интерактивный режим. В особенности если будет произведено обращение к стандартным криптобиблиотекам - достаточно указать порог шифрования с их использованием, например больше чем 1 файл в секунду.

 

По крайней мере подавляющее большинство домашних пользователей в своей деятельности могут сами инициировать такие процессы лишь посредством архиватора. Все остальное может смело блочиться антивирусом.

Edited by Andreyka

Share this post


Link to post

 

Прошу более умных людей подсказать. У меня операционка XP Professional версия 2002 Service Pack 3

разрядность 32 (ну да, старьё старьём, так вы бы знали сколько мне лет). Прочёл о "плачущем" вирусе и решил поставить заплату для закрытия уязвимсти. Но:

 

здесь https://technet.microsoft.com/library/security/MS17-010.aspx патча для моей ОС нет

 

а здесь https://blogs.technet.microsoft.com/msrc/20...acrypt-attacks/ я скачивал и пытался ставить все варианты где есть XP, пробовал и русские и английские,

но то "не является приложением" (наверное, разрядность не та), то язык не нравится, то говорит, что версия не та.

 

Откуда скачать заплату?

 

Если что - я клиент Касперского стопятьсот миллионов лет.

Share this post


Link to post

пишет

 

"установленная на данном компьютере версия не соответсвует данному пакету обновления"

Share this post


Link to post
В этой теме у многих касперкий стоял
любая поддерживаемая версия с настройками по умолчанию?

 

Share this post


Link to post
Забыл написать про WannaCry. Вопрос был такой - как быстро KSN справляется с угрозой WannaCry и его модификациями ? В этой теме у многих касперкий стоял https://forum.kasperskyclub.ru/index.php?sh...ptor&page=1 ?

Как добавили в облако, так через 40 секунд и справился.

В этой теме у некоторых бесплатный касперский, у некоторых не настроенный как надо. Пока ни одного случая, когда нормально настроенная ОС и касперский получили заражение не замечено.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.