Вирус-вымогатель остановили, зарегистрировав домен с бессмысленным названием Статьи редакции
Вирус-шифровальщик, поразивший десятки тысяч компьютеров по всему миру 12 мая, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса.
По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить. Однако это было явно не в интересах самих злоумышленниников, и «аварийный» домен вообще не был зарегистрирован.
До тех пор, пока запросы к домену продолжали не возвращаться, вирус продолжал работать. Автор @MalwareTechBlod вместе со специалистом из Proofpoint Дэриеном Хассом (Darien Huss) зарегистрировали домен и обнаружили, что распространение прекратилось.
При этом, как пояснил @MalwareTechBlog, всё, что нужно сделать злоумышленникам — это изменить адрес в вирусе, после чего тот продолжит работать. Поэтому вирус не удалось остановить совсем — специалист лишь временно приостановил распространение той версии, что атаковала компьютеры 12 мая.
Масштабная кибератака началась 12 мая: первыми пострадали больницы в Англии, где из-за паралича компьютерных сетей пациентов стали отправлять не туда, куда нужно. Затем атака перекинулась ещё на десятки стран, в том пострадали телекоммуникационные гиганты Испании и Португалии.
Однако больше всего случаев заражения пришлось на Россию. Из крупных организаций вирус-вымогатель затронул МВД, «МегаФон» и Yota. В Сбербанке удалось отбить атаку.
Комментарий недоступен
Через месяц и в Почте России заварушка начнётся.
Когда дискеты с Интернетом завезут
Комментарий недоступен
Подарки которые они заслужили?
Подарочек!)
Комментарий недоступен
Комментарий недоступен
Што
В программировании, системном администрировании и сетевой инфраструктуре понимаю в разы меньше большинства комментаторов в новостях про WannaCry, поэтому попытаюсь через аналогии.
Представь, что WannaCry на компьютере жертвы - химик, варящий мет, и он с сообщниками договорился прекращать варить и валить из лаборатории после определённого сигнала. В изначальной версии вируса этот сигнал был эквивалентен простому факту дозвона на несуществующий номера телефона; специалисты об этом узнали, купили этот номер, дождались звонка от химика, и тем самым остановили его работу.
Химик у Kat Vance же не просто бы дозвонился на номер телефона, но ещё бы и послушал ответ с того конца, сравнил бы услышанное с блокнотом кодовых шифровок, и прекратил бы варить только после получения правильного пароля.
Понятно! Спасибо.
Но если блокнот с кодовыми шифровками хранится в лаборатории химика (WannaCry на компьютере жертвы, откуда и выцепили адрес сайта для остановки вируса), то каким образом химику знать, что ответ с того конца подлинный, а не поддельный?
Kat Vance (или кто-нибудь другой в теме), я наверняка сейчас нагорожу ереси, поэтому поправь(те) если увидишь(те).
Итак, у химика на руках лишь длинная последовательность букв и цифр, в которую должен превратиться правильный ответ с того конца провода после возни с калькулятором (тот самый хэш). Фокус в том, что ввиду сложности шифра превращение ответа в хэш - дело сравнительно быстрое, а обратное - очень сложное и муторное. В результате, даже зная хэш, специалистам придётся основательно повозиться чтобы узнать незашифрованный пароль.
Старый как мир приём на самом деле; вот энциклопедический (и исторический) пример - https://ru.wikipedia.org/wiki/Шифр_Вернама
Комментарий недоступен
Попытки понять статьи по IT и просмотренные в детстве документалки о советском ядерном шпионаже не прошли даром.
Комментарий недоступен
Комментарий недоступен
Щито поделать: TJ - не Хабра, и для большинства простых пользователей дискуссии айтишников похожи на сленг из Eve Online.
Комментарий недоступен
Не сказал бы, всё же ж тут и правда достаточно айтишников (спасибо новостям про Роскомнадзор) - просто надо быть готовым иногда объяснять на пальцах для тех, кто к компьютерам обращается на "Вы", а не на "ты, сука" :)
Когда читал твой пост про анализ комментариев на тж внезапно понял, что я что-то упустил в этой жизни.
Надеюсь, через десять лет молодые люди на меня не будут смотреть как на условного батю, который чето-там в молодости в сегу играл, но ничерта не смыслит в том, как перепрошить андроид.
Выходит, что в ответ на запрос от сервера посылается что-то, к чему применяется алгоритм шифрования и результат сравнивается с тем, что вшито в приложение.
если результат соответствует первоначально вшитой строке, прекращает атакуВ таком случае знание самого результата действительно ничего не даёт.
Я, по-моему, понял. Спасибо.
приложение <...> применяет к ней тот же самый набор необратимых инструкцийПоследнее что непонятно, это где хранится набор инструкций и почему нельзя получить к нему доступ.
Комментарий недоступен
Ну то есть насколько я понял, Kat Vance предлагает отсылать на сервер некий запрос на подлинность, который, после обработки и шифрования на сервере, отсылался бы обратно, верно?
В таком случае, я просто не могу понять, каким образом, если где-то в коде вируса зашит правильный ответ, ну допустим это длинная последовательность символов, почему нельзя её узнать, как узнали доменный адрес.
Ну то есть если предполагается, что на сервер отсылается некий запрос (A), который превращается в шифрованный ответ (B) и отправляется обратно клиенту, а клиент сравнивает его со своим блокнотом где записано (B), достаточно ли это надёжно?
Наверное я что-то упускаю. Ведь можно послать, например, поддельный запрос (A) и узнать ответ (B), а потом подсунуть его клиенту не зная даже алгоритм шифрования и тем самым отключить вирус.
Запрос от клиента не обязательно должен быть как-то связан с самим шифром: клиент может отправить простой запрос пинга на сервер, а сервер уже отправит ему ответный пинг с сообщением (А). При этом, как уже говорил, код может оказаться достаточно трудоёмким для обратной дешифровки из известного специалистам (B) в неизвестный (A), это во-первых.
Во-вторых: имхо, такой подход к "красной кнопке" является куда более надёжным в случае "дозвона на несуществующий номер" - злоумышленники, в отличие от специалистов, коды знают заранее, и сразу смогут отличить, что несуществующий номер купили не свои. На основе этого, кстати, можно вшить в клиент несколько дополнительных строчек, аналогичных функции блокировки симки при неправильном вводе pin-кода (например, после трёх неправильных ответов (А) с сервера клиент, в лучшем случае, обрывает с ним связь; в худшем - полностью выводит заражённый компьютер из строя), что также может сузить простор для действий специалистам.
В-третьих: начинаю думать, что аналогия со смертником на бомбе была бы куда уместней аналогии с химиком-наркодельцом.
Что-то стало понятно, что-то не очень. В любом случае, спасибо за подробные объяснения.
Комментарий недоступен
Так-то это лишняя точка отказа. Да и мало ли, вдруг отследят?
Комментарий недоступен
Комментарий недоступен
Потом нам в кино показывают, как лихо спецслужбы всё решают, находят источник распространения вирусов..
а в итоге даже лечат их гражданские, рассказывая об этом в твиттере
И после этого фсбшники и прочие всё ещё хотят хранить у себя пользовательские данные.
Злые языки только об этом после этого и говорят )))
создав домен *можно остановить* заражение
<EnglishTeacherMode> Так, где в оригинале "can"? Почему прошедшее неопределённое "stopped" переведён инфинитивом "остановить"? Исправить. </EnglishTeacherMode>
Мда, быдлокод всегда остаётся быдлокодом - даже если использует эксплоит от АНБ.
Комментарий недоступен