» »

Našla se je rešitev za WannaCry!

Našla se je rešitev za WannaCry!

Slo-Tech - Počasi se izsiljevalski virus WannaCry, ki je povzročil toliko zmede in težav po svetu, vendarle lomi. Potem ko je 22-letnik iz Velike Britanije ugotovil, kako lahko prepreči širjenje trenutnega seva virusa, če zgolj registrira precej nenavadno domeno, so sedaj raziskovalci spisali orodje za dešifriranje datotek. Toda pozor, deluje le takoj po okužbi, dokler računalnika ponovno ne zaženemo.

Pisec virusa je vedel, da dešifrirnih ključev ne sme zapisati na disk, saj jih lahko v tem primeru kdorkoli obnovi. Zato se na disk zapišejo šifrirani s piščevim javnim ključem, od koder jih seveda ne mogoče prebrati v uporabni obliki. Lahko pa pogledamo, kaj se nahaja v pomnilniku. Orodje WanaKiwi stori točno to. Poišče proces wnry.exe ali wcry.exe in potem iz pomnilnika prebere naključna števila, ki so bila uporabljena pri tvorjenje ključa za šifriranje datotek na disku. Od tod izračuna ključ in jih odklene. To ni pomanjkljivost virusa, temveč je razlog delovanje Windows. Za kar največji uspeh moramo WanaKiwi pognati čim prej po okužbi, nikakor pa ne smemo računalnika ponovno zagnati.

18 komentarjev

Furbo ::

Vse do verzije 3.0 verjetno, ampak good job.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

SeMiNeSanja ::

Kdo pa ni nagonsko ugasnil računalnika po okužbi, da bi preprečil nadaljno širjenje?

Poleg tega, ta zadeva deluje samo na XP in Win7. Bolje kot nič, ampak daleč od prave rešitve.

Drugače pa je danes, teden dni po 'outbreak-u' večina ljudi že pozabila na zadevo.
Prve tri dni so v paniki še delali vsakodnevne varnostne kopije, zdaj je pa že vse po starem, naredijo backup 'ko se glih spomnijo'.

Itak da so si v paniki naložili zadnje posodobitve, zdaj so pa kao varni. In če niso pozabili plačati zadnje položnice, še danes srfajo po netu...

Kot sem rekel: psi lajajo, karavana gre dalje.

V resnici pa se redko kdo zaveda, da je imel zgolj srečo. Še vedno slišiš za osebke, ki imajo računalnik vključen direktno v ponudnikov modem in smatrajo za normalno, če morajo vsake 3 mesece na novo nalagat Windowse. Le kaj bi rekli, če bi vedeli, da je moja namestitev Windows-ov še iz leta 2009 in ves čas samo nadgrajevana, da na mojem omrežju virusa nisem videl, razen kadar sem ga namerno prenesel, da bi se poigral z njim. Verjetno bi trdili, da sem bedak, ker je nujno treba Windows 1x/leto reinštalirat, ker drugače postanejo neznosno počasni...?

Mogoče pa ne bo jokave verzije 3.0?
Ravnokar so leakali nove exploite od CIA, tako da bomo mogoče kmalu videli WannaDie 1.0?

Ampak še kar blodijo naokoli ljudje, ki se posmehujejo tistim, ki ponujajo rešitve, ki preverjeno delujejo (če so pravilno skonfigurirane). Trdijo, da širimo paniko, 'FUD', ponujamo 'Snake Oil' in podobno.

Sem pred časom celo naletel na enega vzdrževalca omrežij, ki je trdil, da so vse te moderne požarne pregrade proč vržen denar, da je čisto dovolj, da se dela backup. Imam ga malo na sumu, da mastno služi z restavriranjem podatkov na računalnikih svojih strank.... Jasno, da mu potem niso všeč rešitve, s katerimi bi si pokvaril stalen vir dohodka...

Zgodovina sprememb…

marjan_h ::

Pa kje dobiš ta virus? Jaz bi ga zagnal v virtualki pa ga niti z googlom ne najdem, kaj šele da bi ga dobil v priponki maila.

SeMiNeSanja ::

Predvidevajo, da naj bi prvotno bil širjen kot pdf priponka v mailu. Si pa niso čisto gotovi pri tem.

Dejansko sem v četrtek in petek, ko se je zadeva začela, opazil nenadno porast 0day opozoril sandbox analitike. Nisem pa šel probavat, kaj bi tiste 'pocahnane' pdf datoteke naredile, če bi jih dejansko šel odpirat. Sem jih raje pobrisal - ziher je ziher.

Na določenih spletnih mestih se da dobiti vzorce virusa, vendar to ni več tista osnovna varianta, temveč že tisti exe, ki si ga tekom okužbe navlečeš na računalnik.

killa bee ::

Kako pa veš kje je WannaCry dobil števila za kodiranje?

Zgodovina sprememb…

  • spremenilo: killa bee ()

Seljak ::

Torej, da bi se moj sistem okužil z tem virusom bi moral v mailu klikniti na nek pdf ali nek drug predmet za prenos?

tikitoki ::

Odpiranje datotek iz sumljivih in neznanih naslovov, pametna taktika.

Se mi pa zadi skoda, da tlacijo v vsak format funkcionalnosti, ki se jih nato izkorisca za sirjenje virusov.

Jeronimo ::

Če imaš naložen Bitdefender .. je to dovolj dobra zaščita?
JURIŠ !!!
Preko vode do slobode!

s1m0n ::

Trenutno verjetno vsi od ta večjih AVjev zaznajo in blokirajo trenutno obstoječ WannaCry!
Poudarek je na trenutno obstoječ! Kak pride kakšna nova oblika se bo zgodba ponovila.

Zgodovina sprememb…

  • spremenil: s1m0n ()

zenith1 ::

Pač ne odpiraš neznanih mailov, ki začnejo z Hello Sir, I am King of Nepal....

SeMiNeSanja ::

Jeronimo je izjavil:

Če imaš naložen Bitdefender .. je to dovolj dobra zaščita?

Najboljša zaščita je resen skepticizem za vse priponke iz VSEH virov, zlasti pa seveda do tistih, katerih pošiljatelj nam ni znan.

Problem pri teh mailih je njihov ribiški pristop, ki bo mogoče sčasoma postal še bolj prebrisan in nam pošiljal okužene datoteke direktno iz računalnikov naših znancev. Takšne viruse oz. črve smo v preteklosti že videli in prav nobeno čudo nebi bilo, če bi kdo to sparil z izsiljevanjem.

Antivirus je v povprečju nekje okoli 40% uspešen, zato MORAMO vsak mail 2x preveriti, če res želimo (moramo?) odpreti priponko. Če nas kdo načrtno napada, potem zna biti takšno ocenjevanje izredno težavno, nebi pa smelo biti to problem za većino teh avtomatiziranih sporočil.

V podjetjih si lahko zelo pomagajo z dobro antispam rešitvijo. Ker se ta sporočila razpošiljajo množično, so senzorji antispam proizvajalev prvi, ki zaznajo določene vzorce v subjectu ali besedilu sporočila. Ne da bi vedeli, da se gre za škodljivo priponko, nam antispam postavi prvi indikator, da se gre za sporočilo, katerega verjetno ne želimo odpirati.
Tudi ISP-ji bi lahko izboljšali svoje antispam filtriranje za gostujoče stranke.

V glavnem, ni se za zanašati samo na antivirus, še najmanj pa na takega, ki zna škodljivce prepoznati izključno po signaturah.Ti namreč zaznavajo samo stare zadeve in odpovedo že pri najbolj enostavnem 'prepakiranju' škodljive kode.

Po drugi strani pa je 'zdrava pamet' praktično 90% učinkovita pri zaznavanju kaj ni pametno odpirati.
Če kombiniraš zdravo pamet + soliden AV, si že skoraj 95% varen - seveda če si posodobil vse komponente računalnika, redno delaš varnostne kopije vsaj pomembnih podatkov,....ampak po svoje zadnje tudi že nekako sodi pod področje zdrave pameti.

marjan_h ::

V kateri izvršljivi datoteki pa je shranjen virus, če ni .exe?

dronyx ::

Jeronimo je izjavil:

Če imaš naložen Bitdefender .. je to dovolj dobra zaščita?

Sem videl že kar precej okužb z izsiljevalskimi virusi in pri vseh je bil na PC nameščen posodobljen antivirus, tako da to ni nobeno zagotovilo, da se ne boš okužil.

SeMiNeSanja ::

marjan_h je izjavil:

V kateri izvršljivi datoteki pa je shranjen virus, če ni .exe?

V nadaljevanju okužbe imaš seveda opraviti z exe datoteko. Ampak ta je med zadnjimi v verigi.

V bistvu je ves malware na tem področju podoben - nobeden danes ne bo direktno pošiljal .exe datoteke kot priponko, ker to praktično vsi blokirajo na svojih strežnikih (kar poskusi poslati exe datoteko).
Zato se uporabi neko posredniško varianto (.docm, .xlsm, .pdf,...) ki v sebi skriva nek link ali skripto, katera ob odprtju datoteke z interneta prenese in aktivira bolj nevarne komponente, potrebne za črni scenarij.
Seveda pa lahko v mailu tudi dobiš direktni link za katero od grdobij. Takšen link pa lahko naletiš tudi na kakšni spletni strani, lahko celo v prikriti obliki (googlaj "drive-by download").

Glugy ::

Se pravi ne gre toliko za ranljivost kot gre za človeško naivnost. Ne razumem kako da ne izobrazijo ljudi da ne odpirajo sumljivih stvari. Kako da so lahko zaposleni ljudje ki nimajo čist osnovnega znanja pri opravljanju z računalnikom. In kako da se jim nič ne zgodi; kako da se o njih nikol ne govori pa izpostavlja. Uporabljat računalnik je odgovornost.

RegulusDraco ::

zakaj naivnost? greš na spletno stran, izvede se skripta, ki na tvoj sistem naloži exe datoteko in jo požene in voila.....

kaj zavraga ima naivnost tu zraven?

na mail od znanca dobiš dokument, ga odpreš, voila.......
A coding sequence cannot be revised once it's been established.

MrStein ::

po bitki general...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Phantomeye ::

Glugy je izjavil:

Se pravi ne gre toliko za ranljivost kot gre za človeško naivnost. Ne razumem kako da ne izobrazijo ljudi da ne odpirajo sumljivih stvari. Kako da so lahko zaposleni ljudje ki nimajo čist osnovnega znanja pri opravljanju z računalnikom. In kako da se jim nič ne zgodi; kako da se o njih nikol ne govori pa izpostavlja. Uporabljat računalnik je odgovornost.


Vektor okužbe od uporabnika zahteva normalno uporabo računalnika. Sumljivo datoteko je težko zaznat, še posebej če pride od osebe, ki jo poznaš


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najpopularnejši izsiljevalski virus GandCrab zlomljen

Oddelek: Novice / Kriptovalute
147203 (5265) SeMiNeSanja
»

Avtorji stare Petye objavili šifrirne ključe

Oddelek: Novice / Varnost
4113209 (10796) poweroff
»

Locky dobil nov način širjenja

Oddelek: Novice / Kriptovalute
3912540 (9257) Jupito
»

Virus ki zahteva 100 eur za odblokirat windowse (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15444185 (26225) BorutK-73
»

Xp ne morem v sistem?

Oddelek: Pomoč in nasveti
111531 (1319) amigo_no1

Več podobnih tem