Май 2017 — ООО "КиК"

• Есть только две бесконечные вещи: Вселенная и глупость. Хотя насчет Вселенной я не уверен.
  
• Только дурак нуждается в порядке — гений господствует над хаосом.
  
• Теория — это когда все известно, но ничего не работает. Практика — это когда все работает, но никто не знает почему. Мы же объединяем теорию и практику: ничего не работает... и никто не знает почему!
  
• Есть только два способа прожить жизнь. Первый — будто чудес не существует. Второй — будто кругом одни чудеса.
  
• Образование — это то, что остаётся после того, как забывается всё выученное в школе.
  
• Все мы гении. Но если вы будете судить рыбу по её способности взбираться на дерево, она проживёт всю жизнь, считая себя дурой.
  
• Только те, кто предпринимают абсурдные попытки, смогут достичь невозможного.
  
• Я не знаю, каким оружием будет вестись третья мировая война, но четвёртая — палками и камнями.
  
• Воображение важнее, чем знания. Знания ограничены, тогда как воображение охватывает целый мир, стимулируя прогресс, порождая эволюцию.
  
• Бессмысленно продолжать делать то же самое и ждать других результатов.
  
• Ты никогда не решишь проблему, если будешь думать так же, как те, кто ее создал.
  
• Тот, кто хочет видеть результаты своего труда немедленно, должен идти в сапожники.
  
• Все знают, что это невозможно. Но вот приходит невежда, которому это неизвестно — он-то и делает открытие.
  
• Жизнь — как вождение велосипеда. Чтобы сохранить равновесие, ты должен двигаться.
  
• Разум, однажды расширивший свои границы, никогда не вернется в прежние.
  
• Морскую болезнь вызывают у меня люди, а не море. Но, боюсь, наука еще не нашла лекарства от этого недуга.
  
• Человек начинает жить лишь тогда, когда ему удается превзойти самого себя.
  
• Стремись не к тому, чтобы добиться успеха, а к тому, чтобы твоя жизнь имела смысл.
  
• Математика — это единственный совершенный метод водить самого себя за нос.
  
• Чем больше моя слава, тем я больше тупею; и таково, несомненно, общее правило.
  
• Если вы хотите вести счастливую жизнь, вы должны быть привязаны к цели, а не к людям или к вещам.
  
• Международные законы существуют только в сборниках международных законов.
  
• При помощи совпадений Бог сохраняет анонимность.
  
• Единственное, что мешает мне учиться, — это полученное мной образование.
  
• Я пережил две войны, двух жён и Гитлера.
  
• Вопрос, который ставит меня в тупик: сумасшедший я или все вокруг меня?
  
• Я никогда не думаю о будущем. Оно приходит само достаточно скоро.
  
• Самое непостижимое в этом мире — это то, что он постижим.
  
• Человек, никогда не совершавший ошибок, никогда не пробовал ничего нового.
  
• Все люди лгут, но это не страшно, никто друг друга не слушает.
  
• Если теория относительности подтвердится, то немцы скажут, что я немец, а французы — что я гражданин мира; но если мою теорию опровергнут, французы объявят меня немцем, а немцы — евреем.
  
• Вы думаете, всё так просто? Да, всё просто. Но совсем не так.
  
• Воображение — это самое главное, оно является отражением того, что мы притягиваем в свою жизнь.
  
• Я слишком сумасшедший, чтобы не быть гением.
  
• Чтобы пробить стену лбом, нужен или большой разбег, или много лбов.
  
• Если вы что-то не можете объяснить шестилетнему ребёнку, вы сами этого не понимаете.
  
• Логика может привести Вас от пункта А к пункту Б, а воображение — куда угодно...
  
• Чтобы выигрывать, прежде всего нужно играть.
  
• Никогда не запоминайте то, что вы можете найти в книге.
  
• Если беспорядок на столе означает беспорядок в голове, то что же тогда означает пустой стол?

В пятницу 12 мая множество компьютеров по всему миру оказались заражены опасным червем, известным под именем WannaCry. Специалисты компании «Доктор Веб» тщательно изучают эту вредоносную программу, но уже сейчас готовы поделиться некоторыми результатами своего исследования.

Вредоносная программа, известная под названием WannaCry, представляет собой сетевого червя, способного заражать компьютеры под управлением Microsoft Windows без участия пользователя. Антивирус Dr.Web детектирует все компоненты червя под именем Trojan.Encoder.11432. Его распространение началось примерно в 10 утра 12 мая 2017 года. Червь атакует все компьютеры в локальной сети, а также удаленные интернет-узлы со случайными IP-адресами, пытаясь установить соединение с портом 445. Обосновавшись на инфицированном компьютере, червь самостоятельно пытается заразить другие доступные машины — этим и объясняется массовость эпидемии. Сама вредоносная программа имеет несколько компонентов, троянец-энкодер — лишь один из них.

Сетевой червь

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, червь завершает свою работу. Некоторые СМИ сообщали, что эпидемию WannaCry удалось остановить, зарегистрировав этот домен: к моменту начала распространения троянца он был свободен якобы из-за оплошности злоумышленников. На самом деле анализ троянца показывает, что он будет работать и распространяться на компьютерах, имеющих доступ к локальной сети, но не имеющих подключения к Интернету. Поэтому об остановке эпидемии говорить пока преждевременно.

После запуска троянец регистрирует себя в качестве системной службы с именем mssecsvc2.0. При этом червь чувствителен к параметрам командной строки: если указан какой-либо аргумент, он пытается настроить автоматический перезапуск службы в случае возникновения ошибки. Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Успешно стартовав на инфицированной машине, червь начинает опрашивать узлы, доступные в локальной сети зараженной машины, а также компьютеры в Интернете со случайными IP-адресами. Он пытается соединиться с портом 445. Если ему удалось установить соединение, червь предпринимает попытку заразить эти компьютеры с использованием уязвимости в протоколе SMB.

Дроппер

Дроппер — это компонент, предназначенный для установки в операционную систему вредоносного исполняемого файла. Дроппер червя WannaCry содержит большой защищенный паролем ZIP-архив, в котором хранится зашифрованный файл с троянцем-энкодером, обои Рабочего стола Windows с требованиями злоумышленников, файл с адресами onion-серверов и именем кошелька для приема биткойнов, а также архив с программами для работы в сети Tor. Дроппер запускается из тела червя, устанавливается в систему, после чего пытается запустить свою копию в виде системной службы со случайным именем. Если это не удается, он выполняется, как обычная программа. Основная задача дроппера — сохранить на диск содержимое архива, а также расшифровать и запустить шифровальщик.

Троянец-шифровальщик

Энкодер Trojan.Encoder.11432 шифрует файлы со случайным ключом. В файле сохраняются сведения о длине зашифрованного ключа, сам зашифрованный ключ, информация о типе шифрования и размере исходного файла. В процессе шифрования создается файл f.wnry — в нем сохраняется список файлов, которые троянец может расшифровать в тестовом режиме.

Троянец содержит в себе авторский декодер, который удаляет на зараженном компьютере теневые копии и отключает функцию восстановления системы. Он меняет обои Рабочего стола Windows на графический файл следующего содержания:

Затем он распаковывает приложения для работы с сетью Tor (или скачивает их из сети) и соединяется с onion-серверами, адреса которых указаны в конфигурации троянца. Оттуда он получает имя кошелька для приема криптовалюты Bitcoin и записывает его в конфигурацию. Для обмена данными с onion-серверами Trojan.Encoder.11432 использует собственный протокол.

Декодер позволяет расшифровать несколько тестовых файлов, список которых хранится в файле f.wnry. Приватный ключ, необходимый для их расшифровки, хранится в одном из компонентов вредоносной программы. Поэтому их можно расшифровать даже без использования самого троянца. Однако расшифровка тестовых и всех остальных файлов выполняется с использованием разных ключей. Следовательно, никаких гарантий успешного восстановления поврежденных шифровальщиком данных даже в случае оплаты выкупа не существует.

К сожалению, в настоящее время расшифровка поврежденных Trojan.Encoder.11432 файлов не представляется возможной.

Признаки заражения

Признаками заражения червем WannaCry являются:

• наличие системной службы "mssecsvc2.0" (видимое имя - "Microsoft Security Center (2.0) Service");
• наличие файла троянца-энкодера C:\WINDOWS\tasksche.exe, предыдущий экземпляр вредоносной программы хранится в файле C:\WINDOWS\qeriuwjhrf.

Что делать в случае заражения

• во избежание распространения инфекции изолировать зараженные машины и ПК с ценными данными от компьютерных сетей;
• сохранить резервную копию информации на отдельные носители, которые после этого должны храниться отключенными от любых компьютеров.

С предварительным техническим описанием червя можно ознакомиться по ссылке.

Оригинал статьи - https://news.drweb.ru/show/?i=11294&lng=ru&c=14

В пятницу 12 мая компьютеры по всему миру начал атаковать шифровальщик Trojan.Encoder.11432, известный также как WannaCry, WannaCryptor, WanaCrypt0r, WCrypt, WCRY и WNCRY. Пострадали правительственные и коммерческие организации, а также частные лица. Пользователи программных продуктов Dr.Web были и остаются в безопасности.

Самая первая известная Dr.Web модификация троянца (Wanna Decryptor 1.0) поступила на анализ в вирусную лабораторию «Доктор Веб» 27 марта 2017 года в 07:20 и в тот же день в 11:51 была добавлена в вирусные базы.

Шифровальщик Trojan.Encoder.11432, известный как WannaCry, начал активно распространяться в пятницу вечером, а к выходным поразил компьютеры крупнейших организаций по всему миру.

«Доктор Веб» получил его образец 12 мая в 10:45 утра и добавил в вирусные базы Dr.Web.

До добавления записи в базу троянец определялся Dr.Web как BACKDOOR.Trojan.

Сам троянец представляет собой многокомпонентный шифровальщик, получивший наименование Trojan.Encoder.11432. Он включает в себя четыре компонента: сетевого червя, дроппер шифровальщика, шифровальщик и авторский расшифровщик.

Trojan.Encoder.11432 шифрует файлы на зараженном компьютере и требует выкуп за расшифровку. Деньги необходимо перевести на указанные электронные кошельки в криптовалюте Bitcoin.

Причиной массового распространения троянца стала уязвимость протокола SMB. Этой уязвимости подвержены все операционные системы Windows младше 10 версии. Для наших пользователей Trojan.Encoder.11432 не представлял угрозы с самого начала своего распространения.

Чтобы исключить попадание этого троянца на ваши компьютеры, мы рекомендуем следующее:

• установить обновление для вашей операционной системы MS17-010, доступное по адресу technet.microsoft.com/en-us/library/security/ms17-010.aspx, а также все текущие обновления безопасности;
• обновить антивирус;
• закрыть с помощью брандмауэра атакуемые сетевые порты (139, 445);
• отключить атакуемый и уязвимый сервис операционной системы;
• запретить установку и запуск нового ПО (исполняемых файлов);
• убрать лишние права пользователей (права на запуск и установку нового ПО);
• удалить ненужные сервисы в системе;
• запретить доступ к сети Tor.

Оригинал статьи - https://news.drweb.ru/show/?i=11290&lng=ru&c=14