WanaCrypt0r 2.0 Опции

[Cossack-HD]

Авторы WannaCry смогли обойти блокировку

К сожалению, злоумышленники, создавшие вирус-вымогатель WannaCry, сумели обойти способ остановки своего «зловреда». Код вируса усовершенствовали, по сети теперь «гуляет» новая версия «плакальщика». Ранее распространение вируса было заблокировано британским специалистом по кибербезопасности (его Twitter – MalwareTechBlog), который зарегистрировал домен-выключатель iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, название которого содержалось в коде самого вируса. Когда вирус обращался по этому адресу и получал ответ, согласно специальному алгоритму, WannaCry останавливался.

Увы, но сейчас такой метод больше не работает. Эксперты ожидают пик заражений сегодня, 15 мая. И связывают это с началом рабочей недели.

Источник

Причём тут домэн и как это связано с заплаткой для винды?
Как я понял, распространение вируса было заторможено, но теперь он "снова в деле", но винда с обновой всё равно защищена?

[RusStarik]

Cossack-HD, на сколько я понял, в изначальной версии вируса была проверка на ответ с некоего домена, в случае наличия которого, вирус не запускал процедуру архивации. Ну а заплатка винды, вроде бы, прикрывает лишь доступ вирусу через открытые порты, но от "ой, я скачай файлик, а он вирус" не спасёт.

[Cossack-HD]

Cossack-HD, на сколько я понял, в изначальной версии вируса была проверка на ответ с некоего домена, в случае наличия которого, вирус не запускал процедуру архивации. Ну а заплатка винды, вроде бы, прикрывает лишь доступ вирусу через открытые порты, но от "ой, я скачай файлик, а он вирус" не спасёт.

Хмм, а вирус этот вообще определяется антивирем?

[Avel]

Cossack-HD, год назад не определялся, т.к. был обычным яваскиптом ,который докачивал остальные файлы.

[tom-m15]

Дешифратор WannaCry создан, но не всё так просто

Чтобы уберечься от вируса-вымогателя WannaCry, нужно не так уж много — установить необходимые обновления для Windows (или специальный патч для систем, которые более не поддерживаются) и соблюдать простые правила безопасности в Сети. Однако что делать, если компьютер уже пострадал от вредоносной программы, и файлы на нём оказались зашифрованы, а их резервных копий нет? Платить киберпреступникам эксперты по безопасности категорически не советуют — во-первых, эти действия будут только поощрять злоумышленников; во-вторых, нет никакой гарантии, что таким способом можно действительно вернуть доступ к информации, и перечисленная сумма (а это не менее $300) не окажется потраченной зря. Впрочем, на сегодняшний день уже существуют программы, которые позволяют дешифровать закодированные вирусом данные без уплаты выкупа. Одна из них называется WannaKey, но работает она только под Windows XP. Французский исследователь Бенджамин Делпи (Benjamin Delpy) создал на её базе собственный инструмент, который называется WannaKiwi и подходит не только для Windows XP, но также и для Windows Server 2003 и Windows 7. Кроме того, теоретически приложение должно работать на Windows Vista, 2008 и 2008 R2.

Принцип, по которому действует WannaKiwi, аналогичен алгоритму WannaKey. Он основан на том, что после активации вредоносной программы простые числа ключа шифрования сохраняются в компьютере, и WannaKiwi может их найти и по ним восстановить сам ключ. Однако, чтобы это сработало, необходимо применить WannaKiwi как можно скорее после заражения, и при этом не перезагружать компьютер. Если данные условия не будут соблюдены, то необходимые для «реконструкции» ключа компоненты, скорее всего, окажутся перезаписаны, и утилита Бенджамина Делпи окажется бессильна.

Впрочем, пока борцы за компьютерную безопасность искали «лекарство» от WannaCry, вирусописатели также не сидели сложа руки. На днях исследователи обнаружили новый «штамм» вредоноса, который использует тот же механизм распространения, что и пресловутый WannaCry, наделавший немало шума больше недели тому назад. Ему дали название EternalRocks, и он также основан на эксплойте EternalBlue, созданным Агентством национальной безопасности США, но попавшим в руки хакеров. При этом EternalRocks использует ещё шесть инструментов, в том числе EternalChampion, EternalRomance и DoublePulsar. Как утверждают источники, все они также были разработаны в АНБ, и благодаря ним новый вирус сможет распространяться быстрее и поражать большее количество компьютеров. Правда, пока найденные образцы не представляют какой-либо угрозы, так как не содержат в своём коде деструктивных элементов, таких как, к примеру, шифровальщик файлов. Однако это не значит, что впоследствии злоумышленники не смогут удалённо запустить данные механизмы на заражённых машинах.

Источник