Здравствуйте, wildwind, Вы писали:
W>Здравствуйте, SteeLHeaD, Вы писали:
SLH>>Как вирус, даже видя все биткоин — транзакции, поймет, что это именно я? или там при оплате указыввается уникальный код, который включается в биткоин — транзакцию?
W>ID транзакции вполне уникален.
Да, я всё понял.
Смотрите:
Транзакция уникальна не тем, что она идёт на уникальный кошелк, а тем, что она идёт с уникального адреса.
То есть:
1) прямо на зараженном компьютере человека нажимает кнопку "заплатить"
2) после этого этот самый зараженный компьютер совершает транзакцию, котооая характеризуется двумя ID:
ид кошелька НА КОТОРЫЙ заплатиили (их всего 3 штуки) и ID кошелька, С КОТОРОГО заплатили (этот ID уникален для каждого компа и прописан в той самой транзакции — ведь этот комп её и сформировал)
3) После этого комп, на котором была сформирована оплата — уже знает, какую транзакцию "в эфире" битторрент — сети мониторить.
И мониторит её.
Здравствуйте, Anton Batenev, Вы писали:
AB>Здравствуйте, SteeLHeaD, Вы писали:
SLH>> Вот страничка, на которой показывается сколько человек и какие суммы заплатили: SLH>> https://whitesunset.github.io/wannacrypt_balance/
AB>При подобном масштабе бедствия всего 211 транзакций? Однако не густо.
Либо это какие-то не те кошельки, либо ребята срубили где-то $60т. Как-то не айс.
SLH>Господа, я в механизме вируса не понимаю вот чего: SLH>вот у меня на компе — предположим — запустился этот вирус. Всё зашифровалось. Потом я пошел и заплатил. SLH>Как вирус, даже видя все биткоин — транзакции, поймет, что это именно я? или там при оплате указыввается уникальный код, который включается в биткоин — транзакцию? SLH>В общем, если кто уже поймал в экспериментальных целях — расскажите?
Отпишусь и я о плачевном результате: в пятницу брат подхватил эту заразу, итог — год работы скрылся за расширением WNCRY. Работы было много сделано, в следствии чего было принято решение о переводе 300$ в виде биткоинов этим тварям. Со всеми % при переводах и пересчетах сумма составила 20000 рублей. Прошло 3е суток, никакого дешифровщика прислано не было. Сегодня окно вируса пропало, сообщение на рабочем столе тоже пропало, но файлы как были зашифрованы, так и остались!
Обратите внимание, что если у вас установлен соответствующий патч или иным образом блокируется использование данной уязвимости, например, с помощью IPS), то это не значит, что вы неподвержены WannaCry. Шифровальщик и в этом случае сможет быть запущен, но для этого уже понадобится реакция пользователя, привычная для работы классических локеров-вымогателей. Установка патча Microsoft блокирует только удаленное заражение и распространение вредоносного кода.
Здравствуйте, TimurSPB, Вы писали:
SLH>>Господа, я в механизме вируса не понимаю вот чего: SLH>>вот у меня на компе — предположим — запустился этот вирус. Всё зашифровалось. Потом я пошел и заплатил. SLH>>Как вирус, даже видя все биткоин — транзакции, поймет, что это именно я? или там при оплате указыввается уникальный код, который включается в биткоин — транзакцию? SLH>>В общем, если кто уже поймал в экспериментальных целях — расскажите?
TSP>Ничего не высылают. http://kot-de-azur.livejournal.com/1780104.html?media TSP>
TSP>Отпишусь и я о плачевном результате: в пятницу брат подхватил эту заразу, итог — год работы скрылся за расширением WNCRY. Работы было много сделано, в следствии чего было принято решение о переводе 300$ в виде биткоинов этим тварям. Со всеми % при переводах и пересчетах сумма составила 20000 рублей. Прошло 3е суток, никакого дешифровщика прислано не было. Сегодня окно вируса пропало, сообщение на рабочем столе тоже пропало, но файлы как были зашифрованы, так и остались!
Зато теперь прочитает, что такое бэкап и зачем он нужен.
--------------------------------------------------------------
Правильно заданный вопрос содержит в себе половину ответа
Здравствуйте, SteeLHeaD, Вы писали:
W>>ID транзакции вполне уникален.
SLH>Да, я всё понял. SLH>Смотрите:
Не, не так.
Заплатить можно где угодно и как угодно. В частности с одного кошелька можно заплатить за 100 компьютеров. При переводе на кошелек вымогателей человек получает ID транзакции, который будет уникальным для каждой транзакции . Этот ID человек вводит на зараженном компьютере, он пересылается в C&C, там транзакция проверяется, и обратно высылается ключ для расшифровки.
Платить только с зараженного компьютера проблематично. Большинство жертв впервые слышат про BTC. Некоторые шифровальщики работают даже без участия ОС.
Здравствуйте, ShaggyOwl, Вы писали:
SO>Кстати, кто-нибудь натыкался на информацию о стартовом заражении, как оно происходило? SO>Почтовая рассылка?
разве им нужна почтовая рассылка? на основе этого я думал достаточно просто ip жертвы.. скорее всего и почтовую рассылку используют также, но она в данном случае менее эффективна кмк
Здравствуйте, rumit7, Вы писали: R>разве им нужна почтовая рассылка? на основе этого я думал достаточно просто ip жертвы.. скорее всего и почтовую рассылку используют также, но она в данном случае менее эффективна кмк
На входе стоит шлюз, который либо:
1. не винда
2. если винда, то правила фаервола на внешнем интерфейсе для входящих соединений не позволяют слать что попало кому попало.
Т.е. первое заражение в организации происходило по всей видимости не через smb, а уже сразу после в локалке начиналась вакханалия.
Здравствуйте, Stanislaw K, Вы писали:
SK>настройка firewall, закрытие портов блокирует только удаленное заражение и распространение вредоносного кода.
с запуском все намного проще предотвратить — и привычки запускать что ни попадя у большинства пользователей нет, и винда спросит зачем вы это запускаете и антивирусы запускают все подозрительное в песочнице...
Здравствуйте, ShaggyOwl, Вы писали: SO>Здравствуйте, rumit7, Вы писали: R>>разве им нужна почтовая рассылка? на основе этого я думал достаточно просто ip жертвы.. скорее всего и почтовую рассылку используют также, но она в данном случае менее эффективна кмк SO>На входе стоит шлюз, который либо: SO>1. не винда SO>2. если винда, то правила фаервола на внешнем интерфейсе для входящих соединений не позволяют слать что попало кому попало. SO>Т.е. первое заражение в организации происходило по всей видимости не через smb, а уже сразу после в локалке начиналась вакханалия. SO>
SO>Почему спрашиваю — ничего сильно интересного не ожидаю, но хочется полную картину произошедшего в голове иметь.
тут вроде подробнее, но они так-же не смогли установить первоначальный вектор атак:
We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios that we believe are highly possible explanations for the spread of this ransomware:
Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Infection through SMB exploit when an unpatched computer is addressable from other infected machines
Здравствуйте, rumit7, Вы писали:
R>тут вроде подробнее, но они так-же не смогли установить первоначальный вектор атак:
R>
R>We haven’t found evidence of the exact initial entry vector used by this threat, but there are two scenarios that we believe are highly possible explanations for the spread of this ransomware:
R>Arrival through social engineering emails designed to trick users to run the malware and activate the worm-spreading functionality with the SMB exploit
Тоже предположения о email.
Слабенько как-то (фраза we believe себя несколько скомпрометировала), но лучше чем ничего.
О том, что вирус куда-то отправляет что-то, я не читал (хотя, может, пропустил)
О том, что они высылают программу дешифрации — тоже.
Следовательно, программа дешифрации и ключ хранятся на зараженном компьютере. Или возможны другие варианты ?
Если это так (и если они и впрямь что-то присылают при пересылке им $300), то по крайней мере в принципе найти этот код дешифрации и ключ (как и место его хранения) можно, что позволяет написать расшифровщик.
К тому же, как видно из экрана вируса, они дают возможность расшифровать несколько файлов "в виде демо-версии". Конечно, не исключено, что они просто сохранили незашифрованные версии этих файлов где-то.
Здравствуйте, Pavel Dvorkin, Вы писали:
PD> Следовательно, программа дешифрации и ключ хранятся на зараженном компьютере. Или возможны другие варианты ?
Не знаю что именно используется у них, но можно сделать, например так:
Генерится случайный пароль. Пароль шифруется публичным ключом, сохраняется на диск. Шифруется весь контент паролем. Пароль и оригинальный контент уничтожаются и показывается окошко с предложением оплатить. За $300 владелец приватного ключа может расшифровать пароль для дешифровки контента.
PD> Если это так (и если они и впрямь что-то присылают при пересылке им $300), то по крайней мере в принципе найти этот код дешифрации и ключ (как и место его хранения) можно, что позволяет написать расшифровщик.
Ну ассиметричная криптография таки пока ещё не очень ломается.
PD> К тому же, как видно из экрана вируса, они дают возможность расшифровать несколько файлов "в виде демо-версии". Конечно, не исключено, что они просто сохранили незашифрованные версии этих файлов где-то.
Может быть несколько паролей.
Здравствуйте, ·, Вы писали:
PD>> Если это так (и если они и впрямь что-то присылают при пересылке им $300), то по крайней мере в принципе найти этот код дешифрации и ключ (как и место его хранения) можно, что позволяет написать расшифровщик. ·>Ну ассиметричная криптография таки пока ещё не очень ломается.
Может быть и симметричная криптография. Хотя профи могут удаленный ключ восстановить.
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>К тому же, как видно из экрана вируса, они дают возможность расшифровать несколько файлов "в виде демо-версии". Конечно, не исключено, что они просто сохранили незашифрованные версии этих файлов где-то.
Из комментариев к статье:
По поводу кнопки Decrypt информация уже есть. Криптор создаёт два типа файлов: сперва некоторая часть шифруется с использованием 128-битного AES, при этом сгенерированный ключ для расшифровки дописывается непосредственно к криптованному файлу. Файлам, зашифрованным таким способом, криптор даёт расширение .wncyr и именно их потом расшифровывает при нажатии на Decrypt. Основная же масса закриптованного получает расширение .wncry и там уже ключа нет.
При этом шифрование идёт не в самом файле, а сперва на диске создаётся файл, куда кладётся криптованное содержимое, а потом исходный файл удаляется. Соответственно, в течение какого-то времени есть шанс восстановить часть данных при помощи различных undelete-утилит.
Для борьбы с подобными утилитами, криптор постоянно пишет на диск всякий левый мусор, так что место на диске выжирает достаточно быстро.