virus / прикольные картинки, мемы, смешные комиксы, гифки - интересные посты на SafeReactor / новые посты

Южная КореявирусLinuxErebusвымогательствона золотой бронепоезд

Южнокорейская хостинг-компания заплатила $1 млн разработчикам Linux-версии криптовымогателя Erebus

Провайдер хостинг-услуг из Южной Кореи на днях выплатил разработчикам программы-криптовымогателя Erebus около $1 млн в криптовалюте. С помощью версии Erebus под Linux было заражено 153 сервера c 3400 сайтами. Слава вождю!

,Южная Корея,страны,вирус,Linux,Erebus,вымогательство,на золотой бронепоезд

KupiBaton

вирусLinuxWana decrypt0r

Венда рулит. Линух сосет.
Ps.
Скачал вирусов себе на линух.
Распаковал.
Поставил под root.
Не завелись. Два часа гуглил, оказалось, вместо /usr/local/Ып вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском

knighter

вирусВ свете последних событийWana decrypt0r

DonHenaro

двачтредшотвирус

В свете последних событий. Еще раз.

□ Аноним 13/05/17 Суб 06:35:44 №152962914 ООзо1
И 14921555607100.рпа
>зомби-апокалипсис
>чтобы избежать заражения, надо помазать залупу зеленкой
>двач, не могу найти залупу, сделал все как в шапке, а у меня там какая-то дырка
>поясните для не-медиков, как именно мазать?
>у меня нет зеленки,

Wikipedia

Wana Decrypt0r 2.0песочницавирус

«Нечаянный герой» остановил атаку криптера-вымогателя и предупредил: это не конец.

«Нечаянный герой» остановивший глобальное распространение атаки беспрецедентного криптера-вымогателя с помощью регистрации запутанного доменного имени спрятанного в вредоносной программе предупредил: атака может быть запущена снова.

Криптер-вымогатель использованный в пятничной атаке посеял хаос в организациях включающий в себя FedEX и Telefónica, а также Национальной службе здравоохранения Великобритании, в которой были отменены операции, ренген, результаты тестов и записи пациентов стали недоступными и телефоны не работали.

Но распространение атаки подошло к неожиданному концу, когда один британский исследователь кибер-безопасности представленный в твиттере как @malwaretechblog, с помощью Дэриена Хасса из охранной фирмы Proofpoint, нашел и случайно активировал триггер отключения в вредоносном ПО.

Исследователь, представившийся только как MalwareTech — двадцатидвухлетний из юго-западной Англии, проживающий с родителями и работающий на Kryptos logic, находящейся в Лос Анджелесе компании по разведке кибер-угроз.

«Я отошел пообедать с другом, вернулся около трех часов дня и заметил наплыв новостей о Национальной службе здравоохранения Великобритании и различных пострадавших британских организациях» сказал он The Guardian «Я начал разбираться в этом и тогда я нашел пример вредоносного ПО стоящего за этим и увидел что оно соединяется с определенным доменом, который был не зарегистрирован. Я занял его, не зная что я сделал.»

Киллсвитч глубоко закодирован в вредоносное ПО на случай, если создатель захочет остановить его распространение. Это включало в себя очень длинное бессмысленное доменное имя к которому вредоносное ПО делало реквест, так, словно искало обычный веб-сайт, и если реквест возвращался и показывал что домен в онлайне, то киллсвитч включался бы и вредоносное ПО прекращало распространение. Домен стоил $10.69 и моментально начал регистрировать тысячи соединение каждую секунду.

MalwareTech объяснил покупки домена тем, что его копания следит за ботнетами и с помощью регистрации этих доменов они могут узнать как распространяется ботнет. «Намерение было просто проследить распространение и увидеть сможем ли мы сделать что-нибудь об этом позже. Но мы случайно остановили распространение просто зарегистрировав домен», сказал он. Но последующие часы были «американскими горками эмоций».

«Сначала, кто-то сообщил все наоборот, что мы вызвали заражение регистрацией домена, так что у меня случился мини испуг, пока я не осознал что все было наоборот и мы остановили его», говорит он.

MalwareTech сказал что он предпочитает оставаться анонимным «потому что в этом нет смысла давать мою персональную информацию, очевидно мы работаем против плохих парней и они не будут рады из-за нас».

Он так же сказал что он планирует удержать URL и он с коллегами будет собирать IP и отправлять их в правоохранительные органы, чтобы они могли предупредить зараженных жертв, не все они знают что пострадали.

Он предупредил людей пропатчить их систему, добавив: «Это еще не конец. Атаковавшие поймут как мы остановили это, они поменяют код и затем начнут снова. Включите обновление Windows, обновите и затем перезагрузите компьютер.»

Райан Калембер из Proofpoint сказал что британский исследователь получает «награду нечаянного героя дня». «Они даже не представляли как сильно это должно было замедлить распространение вредоносного ПО.»

Ко времени когда @malwaretechblog зарегистрировал домен было слишком поздно чтобы помочь Европе и Азии, где много организаций пострадали. Но это дало людям в США больше времени чтобы создать иммунитет к атаке пропатчив их системы прежде чем они были инфицированы, сказал Калембер.

Киллсвитч не поможет тем, чьи компьютеры уже заражены криптером и, вероятно, есть другие варианты вредоносного ПО с иными киллсвитчами продолжает распространяться.

Исследователи кибер-безопасности с Лабораторией Касперского зафиксировали более 45,000 атак в 74 странах, включающих Великобританию, Россию, Украину, Индию, Китай, Италию и Египет. В Испании крупные компании, включая телекоммуникационную фирму Telefónica, были заражены.

На вечер пятницы, криптер-попрошайка распространился в Соединенные Штаты и Южную Америку, тем не менее Европа и Россия остаются сильнейшими пострадавшими, по словам исследователей Malware Hunter Team. Министерство внутренних дел России говорит о примерно 1,000 пострадавших компьютерах.

Перевел сам, выкинул пару бесполезных параграфов. Источник:

https://www.theguardian.com/technology/2017/may/13/accidental-hero-finds-kill-switch-to-stop-spread-of-ransomware-cyber-attack

P.S. Сам домен киллсвитч — https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

lolov

Кореяполитика?песочницавирус

grigr

попрошайничествоцыганевирусWana Decrypt0r 2.0

Payment will be raised on 5/15/201/ 16:50:06
Time Loft
•—I n u .-I u
Ooops, your files have been encrypted!
Wliat Happened to My Computer?
|Your important 62cs arc encrypted
Many of your document;, photo;, video;. databa;e; and other file; are no longer acce;;ib!c [because they have been

DonHenaro

Wana decrypt0rвирус

В свете последних событий

dimabam

geekвирусWana decrypt0rпесочница

в свете последних событий

Как ми« оплатить?
Юппаза грооыается только * сил>ой*ал Для получекст асозявлельисй информации Ьаямэте < АЪаз Ъасаяа>.
■Пса-алч-кза, фмрмс текуимо йену биту.оиии и кутал* битхоСкы Дяя мяучат Изоклоп «ы«Ж «форма»« кизиле <Ном? »о Ъиу Ыгсо1гц>.
И'- <лЧ»*кк ч>азюымо сумму м ирсс. ■.хаидамй • леи

koka

Wana decrypt0rвирусgeek

С огромной скоростью распространяется вирус-криптор

Красивая карта с заражёными хостами в реальном времени: https://intel.malwaretech.com/WannaCrypt.html
Вирус похоже использует какую-то хитрую уязвимость винды. MS заявляет, что они её прикрыли ещё в марте. Но пользователь гиктаймса пишет:

Сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.

Заражены куча больниц в Великобритании, испанская Telefonica, Мегафон, российские МВД и СК. Ну и куча всех остальных. рекомендуется врубить фаерволы по максимум или отрубить компьютер.

Для того, чтобы заразиться не надо ничего делать - оно само заразит =). Антивирусы не помогают.

UPD похоже он заразил всех, кого мог заразить - новые заражения практически прекратились. Но ОС лучше обновлять =)
UPD2 ссылка на патч от МС - https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Отличный комментарий!

Как же хорошо быть тупым

Kanarak

12.05.2017, 18:19

ссылка

+51,6