Jump to content
Sign in to follow this  
LimeSoft

KIS 17.0.0.611 (e) и актуальная угроза Wana decrypt0r 2.0

Recommended Posts

Устанавливаю вовремя все обновления -и винды и кис-а. Обновление закрывающее уязвимость от вируса Wana decrypt как пишут была ещё в марте. И всё же заплатка KB40112212 у меня также как и у других установилась вручную вчера.

Но ведь если оно уже было установлено в марте оно не должно было установится вчера?

Короче какая то тёмная история

Дома три ноута с win7 лицензионки, обновление виндоус стоит - устанавливать обновления автоматически, обновления приходят

НО установленного kb4012212 НЕТ

его просто нет

 

но мистика, на работе на рабочих станциях win 7 и на серверах 2008 в домене это обновление имеется и установлено в марте.

согласен, история темная

Share this post


Link to post
НО установленного kb4012212 НЕТ

Потому что оно есть в кумулятивных обновлениях, которые выходят 1 раз в месяц.

Share this post


Link to post

Посмотрел на семёрке, там мартовских обновлений вообще нет. Никаких. Похоже, что в апреле все мартовские обновления были удалены, и поставлен новый пакет.

Share this post


Link to post

Директор Майкрософта Брэд Смит уже дал объяснение по поводу данного шифровальщика и сделав вывод

В современном мире атака WannaCry «выявляет тревожную связь между двумя самыми серьезными формами киберугроз — действиями государств и преступных групп

Самая эффективная Защита на сегодняшний день против таких угроз,является не Антивирус,а только Бекап(Резервное копирование файлов).

По оценкам специалистов - это будет не последняя атака своего рода.Так что делайте выводы...

Edited by ***Leeloo***

Share this post


Link to post
По оценкам специалистов - это будет не последняя атака своего рода.

 

Долго ждать не пришлось:

 

Обнаружена новая версия вируса WannaCry.

 

http://www.vesti.ru/doc.html?id=2888288&tid=110762

Edited by effos

Share this post


Link to post

Я бы все же различал модификации малвары, и способы атаки через определенную уязвимость.

Если уязвимость одна, и она у меня закрыта - лично мне без особой разницы, сколько модификаций малвары появится.

Share this post


Link to post
А "как надо" это как? Антивирус должен хорошо защищать и с настройками по умолчанию. :rolleyes:

А с настройками не по умолчанию он защищает отлично. И, для чего тогда нужны настройки вообще?

Share this post


Link to post
Долго ждать не пришлось:

 

Обнаружена новая версия вируса WannaCry.

 

http://www.vesti.ru/doc.html?id=2888288&tid=110762

Это уже просто уже вирус,который нужно открыть,например в почтовом вложении.

Фишка же первого вируса WannaCry,была доставка эксплоита через уязвимость Windows и запуск с привилегированными правами.

В своё время WikiLeaks информировал,что сотрудники АНБ,сделавшие кучу вредоносных программ в целях тотальной слежки и шпионажа - не удержали эту кучу программ и они просочились на просторы интернета и этот вирус WannaCry как раз из этой кучи. Symantec и "Лаборатория Касперского" заявили, что более ранняя версия кода WannaCry появлялась в программах так называемой Lazarus Group, которую многие считают северокорейской хакерской организацией,но Обе компании в то же время подчеркивают, что делать выводы о причастности Северной Кореи к этой массовой кибератаке пока преждевременно. Первая версия этого вируса появилась 10 февраля, и была использована в рамках небольшой кампании рэкета, начавшейся 25 марта. WannaCry 1.0 распространялся при помощи спама и "заминированных" сайтов, но на эту удочку не попался практически никто. Версия 2.0, захватившая компьютеры по всему миру, была практически идентична первой, за исключением модуля, который превращал программу в "червя", способного распространяться самостоятельно. Метка времени создания кода указывает, что он был создан на компьютере в девяти часовых поясах к востоку от Гринвича, что дает основания полагать, что его авторы могли находиться в Японии, Корее, Китае, Индонезии, на Филиппинах или российском Дальнем Востоке. Вирус использует уязвимость в операционной системе Windows, которую Microsoft закрыла еще в марте 2017 года. Противоядие для компьютеров, зараженных WannaCry, пока не выпущено. Программы-вымогатели обычно устанавливаются через документы, распространяемые по электронной почте. Как называется файл-переносчик в случае с WannaCry, пока также не ясно. Полностью исключает возможность заражения установка соответствующего обновления для Windows.

Share this post


Link to post

Пока сотрудники ЛК отвечают что дешифровальщика нет https://forum.kasperskyclub.ru/index.php?sh...5540&page=3

вот эти ребята уже сделали

"WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008." https://www.comss.ru/page.php?id=4047

Сотрудники ЛК -Вам не стыдно? Целый коллектив а не смогли то что сделали двое-Адриен Гинье и Бенжамин Делфи

Edited by Лексей

Share this post


Link to post

 

Я понимаю ещё-не шмогла ЛК ,ну не шмогла. Но ответ что дешифровщика нет был на форуме фанатов Сегодня, 09:01

А между тем вот здесь http://dslnet.ru/showthread.php?t=19109&page=57 Haruhi дала ссылку на дешифровщик аж 19.05.2017, 13:17

Это как понимать? У ЛК собственная гордость не позволяющая постить ссылки на чужие программы даже в таких экстраординарных случаях?

 

Share this post


Link to post
Пока сотрудники ЛК отвечают что дешифровальщика нет https://forum.kasperskyclub.ru/index.php?sh...5540&page=3

вот эти ребята уже сделали

"WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008." https://www.comss.ru/page.php?id=4047

Сотрудники ЛК -Вам не стыдно? Целый коллектив а не смогли то что сделали двое-Адриен Гинье и Бенжамин Делфи

Ой, господи. Когда же люди будут внимательно читать описание утилиты? А то несут всякую дичь порой. Эта утилита может помочь только в том случае, если зараженный компьютер не перезагружался. Во всех остальных случаях эта утилита бесполезна. Как вы понимаете за 5 дней 99% всех пользователей компьютер уже перезагрузили. Так что эта утилита по сути бесполезна.

Share this post


Link to post

Причём только для XP. А для семёрки необходимо, что бы данная утилита использовалась сразу после работы шифровальщика. А не спустя несколько дней. Даже если компьютер и не перезагружался.

Share this post


Link to post

К чему эти визги? Да- разумеется утилита не всесильна. Да, нужны определённые условия. Но всё таки она есть.

А сотрудники ЛК не сделали даже такой. Простите но вот когда они сделают хотя бы такую утилиту тогда и давайте :"Да она помогает только если не перегрузили. Да она помогает только в течении суток"- а пока этого нет не лучше бы не позориться со своими воплями

Edited by Лексей

Share this post


Link to post

Позоритесь только вы, выдавая желаемое за действительное.

Если получится сделать нормальный дешифратор, который может дешифровать файлы без условий, тогда и выложат. Хотя шансы на это очень малы.

Share this post


Link to post
Причём только для XP. А для семёрки необходимо, что бы данная утилита использовалась сразу после работы шифровальщика. А не спустя несколько дней. Даже если компьютер и не перезагружался.
Читать надо не только первое предложение. Вот первое "WannaKey работает только в операционной системе Windows XP". по ссылке https://www.comss.ru/page.php?id=4047 Вы прочли. А там есть ещё и последующее "WanaKiwi работает в операционных системах Windows XP, Windows 7, Windows Vista, Windows Server 2003 и Windows Server 2008." До этого Вы явно не дочитали

 

Share this post


Link to post

Дочитал. Но я читал также исследование симантека, в котором говорится что данный метод применим к windows 7 и 2003 чисто "лабораторных условиях, когда вирус только что отработал.

Share this post


Link to post
К чему эти визги? Да- разумеется утилита не всесильна. Да, нужны определённые условия. Но всё таки она есть.

А сотрудники ЛК не сделали даже такой. Простите но вот когда они сделают хотя бы такую утилиту тогда и давайте :"Да она помогает только если не перегрузили. Да она помогает только в течении суток"- а пока этого нет не лучше бы не позориться со своими воплями

Почему вы так решили? С каждым пользователем, который обращался в техподдержку велась индивидуальная работа. А универсальную утилиту никто не обязан вам делать.

Share this post


Link to post
А сотрудники ЛК не сделали даже такой.
компания сделала и делает все, для того, чтоб такие утилиты не требовались пользователем.

Она выпускает бюлетени с рекомендациями, для повышения защиты и минимизации риска. Компания ни когда не противопоставляет применение антивируса, установке обновлений ОС и выполнении резервного копирования. Последний пункт даже перечислен в Лицензионном Соглашении.

Share this post


Link to post
К чему эти визги? Да- разумеется утилита не всесильна. Да, нужны определённые условия. Но всё таки она есть.

А сотрудники ЛК не сделали даже такой. Простите но вот когда они сделают хотя бы такую утилиту тогда и давайте :"Да она помогает только если не перегрузили. Да она помогает только в течении суток"- а пока этого нет не лучше бы не позориться со своими воплями

 

Дешифровка - это анализ полученных "непонятных" данных и получение к ним доступа, зная их закрытые и открытые ключи. Восстановление какой-то малой части, да ещё с кучей условий в виде "не перезагружайте компьютер" - это не дешифровка, а способ уменьшить причинённый ущерб, хотя и это неплохо, не спорю.

 

Алгоритма дешифровки действительно пока нет.

Edited by Sempreno

Share this post


Link to post
Доброго времени суток.

Стоит KIS 17.0.0.611 (e).

Сейчас по интернету гуляет шифровальщик использующий уязвимость SMB протокола в винде.

Установить рекомендуемое обновление (винды) возможности нету.

Защищен ли я от этой уязвимости наличием вышеуказанной весрии антивируса?

 

Что сделать дабы не схватить заразу?

Комп сидит в сети через роутер от провайдера (могу подкрутить настройки в нем, если это поможет). Услуга внешнего статичного IP не подключена.

 

Закрой port 445

Service Server - stop если не нужен...

Share this post


Link to post
В том и дело, что не должен.

 

Запускаться будет сразу доверенное приложение (причем архидоверенное, с подписью MS) c правами опять же доверенного, т.к. инициатором запуска будет уязвимая служба (что собственно и есть соль уязвимости).

А значит, пресечь дыру может либо фикс в ОС, либо сигнатура в IDS (если она есть, ибо с этим тоже не все вероятно так просто).

 

По той простой причине, что в данном случае файлы шифровальщика будут обрабатываться как и любые другие ограниченные в правах файлы, а значит теряется сама суть уязвимости: создать и запустить на ПК пользователя "левые" бинари вполне можно и сотнями других способов. А суть любой уязвимости именно в том, чтобы запустить шифрование файлов (или любое иное несанкционированное пользователем действие) в обход разрешения пользователя.

Maratka

Про уязвимость ОС понятно... А с каких пор компонент "Контроль программ" наследует права от доверенного процесса/службы? и те файлы о которых писал Деннис, тоже будут доверенными...

 

Это уже пахнет уязвимостью в самом КИС. Помню на КИС 2011 пару таких багов было, но были исправлены в КИС 2012.

 

Еще раз: Уязвимость в ОС обходит компоненты защиты ОС, включая права Администратора. Но она не должна обходить к примеру компонент "Контроль программ".

 

Edited by kasperskynutzer

Share this post


Link to post
Maratka

Про уязвимость ОС понятно... А с каких пор компонент "Контроль программ" наследует права от доверенного процесса/службы? и те файлы о которых писал Деннис, тоже будут доверенными...

А кто и где написал, что "Контроль программ" наследует права от доверенного процесса/службы?

Share this post


Link to post
А кто и где написал, что "Контроль программ" наследует права от доверенного процесса/службы?

DrunkDriver:

[...] Получается, что если включить в КИС интерактивный режим и поставить программам из группы слабые ограничения запрос на запуск, то КИС должен этот файл отловить при попытке запуска, тк он попадет в группу слабые ограничения?

Денис-НН:

Должен.

Maratka:

В том и дело, что не должен.

Запускаться будет сразу доверенное приложение (причем архидоверенное, с подписью MS) c правами опять же доверенного, т.к. инициатором запуска будет уязвимая служба (что собственно и есть соль уязвимости). [...]

 

Почему?

Судя по описанию http://blog.talosintelligence.com/2017/05/wannacry.html шифровальщик загружает свои файлы mssecsvc.exe tasksche.exe taskdl.exe taskse.exe- они должны попадать в недоверенные.

 

По той простой причине, что в данном случае файлы шифровальщика будут обрабатываться как и любые другие ограниченные в правах файлы, а значит теряется сама суть уязвимости: создать и запустить на ПК пользователя "левые" бинари вполне можно и сотнями других способов. А суть любой уязвимости именно в том, чтобы запустить шифрование файлов (или любое иное несанкционированное пользователем действие) в обход разрешения пользователя.

 

Какoй вывод из данного диалога? Наследование прав?!?

 

К примеру настроянно, что все (если нет доверенной ЦП или нет в базе КСН) попадает в группу Недоверенные. Куда попадут вреданосные файлы, если нет сигнатурного детекта? ... используя данную уязвимость

Edited by kasperskynutzer

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.