WannaCry v.2
Вложения
 | CollectionLog-2017.10.05-14.27.zip (117.8 Кб, 3 просмотров) |
WannaCry
Таки словил я этого зловреда, хотя порты закрыты. Прошу помощи в удалении вируса и его следов.
Как работает вирус WannaCry?
В связи с недавней атакой мне стал интересен алгоритм работы вируса WannaCry. Может быть кто-нибудь.
Делимся опытом встреч с WannaCry(pt)
Профессионалы компьютерной безопасности, рабочие сервис-центров или просто сосед-хакер-ы.
WannaCry
Выскочило окно с сообщением. Что это? Не пытается ли вирус меня нае. ть?
О, да! Здесь есть с чем повозиться 
Вложения
| CollectionLog-2017.10.05-15.07.zip (89.2 Кб, 3 просмотров) |
. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да».
Вирус для «блондинок» Trojan.Click1.25237
Как показал опрос, проведённый среди пользователей Хабрахабра, только половина процента (!) (0,52%) опрошенных пользователей борются с новыми вирусами, отправляя их в техподдержку. Примерно треть лечит «фирменным антивирусом» и почти столько же — бесплатным или пытаются удалить самостоятельно.
Далее рассказ, как боролись с вирусом для «блондинок».
(p.s. Осталось 15 голосов за топик, чтобы получить инвайт на Хабр для хорошего человека. Или 65 голосов в карму, но это менее вероятно)
А началось всё с того, что знакомая пожаловалась: «У меня на флешке какая-то блондиночка с бабочкой!». Оказалось — на флешке autorun.inf, intrsrv.exe (оба скрытые) и файлик «Блондиночка.swf.exe». У всех трёх иконки были в виде розовой бабочки. Ну как блондинке пользователю не нажать, а? Но, странно, ничего не запускается… «Ой, может, на другом компьютере попробовать, да?»
Вот вам и вся «социальная инженерия».
Обычно, Windows отображает только первую часть такого «двойного» расширения, поэтому пользователь думает, что это очередной весёлый видеоролик с участием пышногрудой девицы блондинки. Пол пользователя, как оказалось, значения не имеет.
Под видом «Блондиночки», естественно, скрывался троян. Включённый бесплатный Avast! со свежими базами спокойно дал ему запуститься. Онлайновая проверка «Антивирусом Касперского», «Доктором Вебом» и McAfee уверяла, что всё в порядке. (upd. ESET NOD32 — отдельный привет)
Только Comodo Firewall в режима усиленного анализа заподозрил неладное и предположил, что на флешке может быть вредоносный код. После блокировки «зверя» оказалось, что доступ в локальную сеть теперь закрыт наглухо, остался только Интернет. И на том спасибо.
Отправил письма в техподдержку вышеназванным антивирусописателям. Поначалу обе компании промолчали. На следующий день отправил повторно «Доктору Вебу». Буквально сразу пришло письмо, что запрос поставлен в обработку. Затем пришло ещё 25(!) писем, подтверждающих, что запрос обрабатывается — и каждый раз запросу присваивался новый номер.
Уже вечером троян получил собственное имя Trojan.Click1.25237 и был добавлен в свежее обновление.
Мораль.
1. Бесплатный антивирус без файрволла — бесполезная игрушка.
2. Пользователь, не знающий как себя вести с «блондиночками» — опаснее вируса.
3. Не занимайтесь самолечением (но если Ваш уровень знаний позволяет — на здоровье).
4. Если антивирус не видит вируса — то это не значит, что компьютер «девственно чист».
5. Нашли новый «вирус» — отправьте в базу.
Вот список, куда можно (и нужно!) слать вирус или троян, выловленный в «дикой природе»
(только запакуйте его в архив с паролем «virus»):
p.s. Фото экрана компьютера из Общества слепых, который был заблокирован очередным Winlocker.SMS выложу позднее.
upd 2. Добавил в наш список ClamAV, Comodo (e-mail)
upd 3. Добавил Avast!
Что за вирус я поймал? В папке с поэтичным названием «tikataka» не менее чудное название файла «punamraka.exe»
Вот как его чистить на английском
2. Locate punamraka.exe virus files and uninstall punamraka.exe files program. Follow the screen step-by-step screen instructions to complete uninstallation of punamraka.exe.
3. Reboot computer in SafeMode. [Click to know How to Start Computer in Safe Mode],Clean/delete all punamraka.exeinfected file(s):punamraka.exe and related,or rename punamraka.exe virus files,if the file refused to be deleted,use the tool [Click to find Strong Remove Tool];
4. Delete/Modify any values added to the registry related with punamraka.exe,Exit registry editor and restart the computer [Click to find How to Edit Windows Registry ];
5.Please delete all your IE temp files with punamraka.exe manually,run a whole scan with antivirus program ;
Need help for remove punamraka.exe? Post you problem on Free Virus Remove Help forum URL:http://help.antiviruses123.com.
Название угрозы:
Malware
Имя файла:
[System32Root]\punamraka.exe
Последнее обновление:
23.01.2010
Запускается вместе со стартом системы, и использует специальные функции чтобы скрывать свое присутствие в процессах.
PUNAMRAKA.EXE репорт инфицированных операционных систем:
Windows ME
Windows 98
Windows Vista home Edition
Windows NT
Windows NT
Windows Vista
Windows 98
Детектируется антивирусными программами:
Norton Antivirus: Backdoor.Win32.Rbot.zwp
Rising: AdWare.Win32.Virtumonde.qpr
PCTools: Backdoor.Win32.Hupigon
F-Prot6: Backdoor.Win32.Prorat
Eset: Email-Worm.Win32.Stepaik.c
SecureWeb: Trojan.Win32.AdAgent
Kaspersky: Trojan.WinNT.Bubnix
F-Prot6: Adware.Win32.Adparatus
Rising: Adware.PluginDL
VirusBuster: Trojan.Win32.Generic!SB.0
DrWeb: Backdoor.Win32.Agent
Avast-Commercial: Backdoor.Win32.Rbot.afec
Avast-Commercial: Backdoor.Hupigon.AAAH
Bitdefender: Adware.Agent.gen
TrendMicro: FraudTool.Win32.FakeRean.10
PUNAMRAKA.EXE инфицированные страны:
Philippines
Australia
Israel
France
United Kindom
New Zealand
PUNAMRAKA.EXE методы его передачи:
Windows Vulnerability
USB Disk
Download From website
External Storage Device (USB Device etc.)
Instant Message(MSN,Gtalk,QQ etc.)
Level of Spread:6
Level of Threat:1
Насколько понимаю, это японская поделка.
По идее, CuerIt должен его поймать и решить с ним проблемы.
DevTools для «чайников»
Технологический митап, организованный международным IT-разработчиком Altenar в формате открытого и доверительного разговора про насущные проблемы в области разработки ПО, собрал немало участников из числа начинающих и продвинутых программистов.
Делимся содержанием наиболее интересных докладов.
Наиболее заметным стало выступление независимого WEB-разработчика Антона Грибанова. Он поделился своим опытом использования DevTools. На самом деле, обзорных статей по заявленной тематике для профессионалов немало. С ними легко можно ознакомиться на профильных ресурсах (тык, тык, тык, тык).
Данная статья, прежде всего, обращена к тем, кто еще находится в самом начале своего пути к программистскому Олимпу. Поэтому, если вы матерый разработчик, вас вряд ли заинтересует дальнейшее повествование. Хотя, вы можете поделиться своим богатым жизненным опытом в комментариях к публикации.
Инструменты разработчика (от англ. «development tools» или сокращённо «DevTools») ─ это программы, позволяющие создавать, тестировать и отлаживать (debug) программное обеспечение.
Современные браузеры, Safari, Firefox, Microsoft Edge, Chrome, Яндекс и другие, имеют встроенные инструменты разработчика, позволяющие просмотреть исходный код сайта. Отдельно устанавливать их не требуется. С их помощью можно просматривать и отлаживать HTML сайта, его CSS и Javascript. Также можно проверить сетевой трафик, потребляемый сайтом, его быстродействие и много других параметров.
В правом углу размещенной выше иллюстрации можно увидеть структуру web-страницы и стили, примененные к текущему элементу.
Типичная веб-страница представляет собой текстовый файл в формате HTML, который определяет структуру и контент страницы, а также может содержать ссылки на файлы в других форматах (текст, графические изображения, видео, аудио, базы данных и др.), а также гиперссылки для быстрого перехода на другие веб-страницы или доступа к ссылочным файлам.
Несколько веб-страниц, объединенных общей темой и дизайном, а также связанных между собой ссылками, образуют — веб-сайт. При этом образующие веб-сайт страницы могут находиться на одном или нескольких веб-серверах, которые могут располагаться в одном дата-центре или удаленно друг от друга, зачастую в разных странах.
HTML (англ. HyperText Markup Language) ─ это скелет веб-страницы. Для того, чтобы вся эта история начала двигаться и нужен Javascript (календарики, выпадающее меню, всплывающие окна, анимация и прочее, делается с помощью JS). Для придания странице божеского вида вам понадобится CSS (каскадные таблицы стилей).Представим HTML-документ в простейшей форме:
Про очередных интернет мошенников и как их можно посильно наказать.
Всем доброго времени суток! Сегодня будет очередной пост про интернет мошенников и как их можно посильно наказать.
История началась где то полтора месяца назад.
Тут следует пояснить, что у нас с ним на двоих есть одна PCP винтовка (достаточно дорогая, что бы позволить себе её в одну харю), которую мы пользуем в основном на пикниках для стрельбы по всяческим банкам, но тешим себя мыслью, что когда нить попрем на охоту на утку или байбака)))) Ну и периодически покупаем на нее всяческие всякие сошки, прицелы и прочие тактикульные штучки, коих набрался уже целый чемодан.
Так вот, на том скриншоте вижу я какой то, нереальных размеров ночной прицел и крупным шрифтом написано: цена 1990 рублей. И дальше что бла-бла-бла, оплата при получении.
Я, зная, что даже самые простые ночные прицелы стоят от 20 000 рублей, а уж тем более тепловизоры (а это был именно тепловизор) стартуют и вовсе от 200 000 р. и выше, просто написал ему что это какая то ерунда и что даже время тратить не стоит.
Ну не стоит так не стоит. товарищ спорить не стал и мы благополучно про это забыли.
Но как оказалось забыли мы, но не нас.
И вот с тех самых пор, куда бы я ни пошел, какую бы новость ни читал, эти прицелы начали преследовать уже и меня. Точнее их вездесущие баннеры.
«Сайтом» оказался обычны одностраничник. На нем очень доходчиво расписывается достоинства товара, что это акционная цена и что акция вот-вот закончится. Внизу даже есть реквизиты:
ИНН 7725776121 г.Москва 115114
ул.Шлюзовая набережная 4
Вбиваем в поисковик и видим:
1. Фирма действительно существует.
2. Уставной капитал 200 с лишним миллионов рублей (ого, фирма серьёзная)))).
3. Фирма, по всей видимости, владеет сетью магазинов RESERVED, CROPP, HOUSE, MOHITO т HOMEYOU, возможно помимо всего прочего.
Поиск по отзывам даёт 2 типа результатов:
2. Отзывы «довольных» клиентов неких интернет магазинов с рассказами о том, как им вместо дорогостоящих покупок (прицелы, лазерные уровни, наборы посуды, чехлы для сидений, шторы и т.д.) приходила на почту всякая мелочь.
Здесь можно было бы остановиться, т.к. стало понятно, что под вывеской реально действующей фирмы скрываются (точнее ведут преступную деятельность, не особо то и скрываясь) банальные жулики.
Но мне захотелось понять, как же они работают и почему эту лавочку до сих пор не прикрыли т.к. судя по отзывам много кто писал заявления в полицию.
Здравствуйте Xxxxx Yyyyyyy Zzzzzzz! Ваш заказ и подарок приняты на доставку. Срок прибытия 3-7 дней. Ожидайте СМС с номером заказа!
Ок, переходим на сайт почты, вбиваем трек номер и видим:
Посылка c объявленной ценностью 3 890 ₽ и наложенным платежом 3 890,00 ₽ 347 г
От кого: ООО «Оникс-М»
Куда: Oooooo Ggggggg, 123123
Естественно никто и не планировал забирать посылку.
Теперь немного о том, как данная схема работает и почему обращаться в полицию практически бесполезно:
наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до пяти лет с ограничением свободы на срок до одного года или без такового, либо лишением свободы на срок до пяти лет с ограничением свободы на срок до одного года или без такового.
Только вот согласно примечанию №1 к той же статье: Значительным ущербом в части пятой настоящей статьи признается ущерб в сумме, составляющей не менее десяти тысяч рублей.
То есть в данном действии нет признаков уголовного состава преступления и следовательно в полиции (с большим удовольствием) откажутся возбуждать уголовное дело, а порекомендуют обратиться в суд.
2-ое (интересное) Суд с большой долей вероятности классифицирует это деяние как нарушение Статьи 398 ГК РФ «Последствия неисполнения обязательства передать индивидуально-определенную вещь». А здесь всё просто, Суд обяжет продавца передать Вам купленную вещь, а при её отсутствии (еще бы, прицел то реально стоит аж 230 т.р) возместить уплаченную стоимость и компенсацию «упущенной выгоды». Ну и судебные расходы (которые почти наверняка в несколько раз превысят стоимость «купленой» вещи). И подавать в Суд Вам придется не на ООО «РЕ Трэйдинг» реквизиты которого у нас есть, а на некую ООО «Оникс-М» без указания ИНН, коих в России зарегистрировано аж 53 штуки)))) И мне почему то кажется, если кто либо из потерпевших и решится на подобную «авантюру» то уже на этапе поиска ответчика энтузиазм пропадет окончательно. Тем более, что даже если мы точно узнали нужную нам фирму (что сделать в принципе не так уж и сложно), нужно будет подавать иск по месту нахождения ответчика, а соответственно оплачивать адвокату дорогу и проживание или же ездить на заседания самому, а уж ответчик понимая все это будет стараться растянуть удовольствие по максимуму))) Ну и не следует забывать еще одну вещь, даже если Вы выиграете суд, получите на руки исполнительный лист, нет ни какой гарантии, что к тому моменту фирму банально не «бросят», естественно без денег на счетах и какой бы то ни было собственности на балансе.
Теперь о том, как я в меру своих сил наказал засранцев.
Я скинул адреса их сайтов многим своим знакомым с кратким описанием, что и зачем и попросил заказать что нибудь у них. Откликнулись 18 человек. Всех попросил указывать регионы достаточно удалённые от Москвы, что бы наши «Бизнесмены» попали на более дорогую доставку. Если предположить, что в среднем доставка 1 посылки стоила жуликам 500 р. то всего они лишились 9500 рублей своей незаконной прибыли. И останавливаться я не собираюсь))))