Προσοχή! WannaCry

Zizik · 21 Μαϊου 2017

Να έχει κάνει τα updates στην ώρα τους.

rose.athens said:
Α, και να έχει ΧΡ ή 7...

https://arstechnica.com/security/2017/05/windows-7-not-xp-was-the-reason-last-weeks-wcry-worm-spread-so-widely/

rose.athens · 21 Μαϊου 2017

Αλήθεια, μιλώντας για updates, επειδή έχω μια μανία να τα περνάω αμέσως, δεν έχω βρει σε κανένα από τα pc μου το εν λόγω update. Εκτός αν βρίσκεται σε κάποιο πακέτο και δεν εμφανίζεται χωριστά.

rose.athens · 21 Μαϊου 2017

Εγκατεστημένα updates

To KB4012212 που μας παρέπεμψε με το post του o Mufasa

Κι εδώ η εγκατάστασή του που έκανα τώρα, και που προφανώς δεν υπήρχε στις ενημερώσεις της Microsoft

xenos · 21 Μαϊου 2017

Λίγα λόγια για ΟΛΑ τα προγράμματα κρυπτογράφησης (Truecrypt, veracrypt, wannacry κλπ) για την περίπτωση που κάποιος προσβληθεί από τέτοιας μορφής ιών

Για να γίνει κωδικοποίηση/αποκωδικοποίηση είτε εν γνώση μας, είτε από ιο, απαιτείται κάποιο κλειδί (μερικών εκατοντάδων bytes συνήθως) που θα χρησιμοποιηθεί από τον επιλεγμένο αλγόριθμο κρυπτογράφησης. Αυτό το κλείδι υπάρχει σε κωδικοποιημένη μορφή αποθηκευμένο στο δίσκο (ή στο internet για την περίπτωση ransomware) και χρειάζεται κάποιο password από το χρήστη συνήθως για να αποκωδικοποιηθεί. Με λίγα λόγια το κλειδί αυτό είναι άχρηστο μόνο του.

Το κλειδί αυτό αφού αποκωδικοποιηθεί για να χρησιμοποιηθεί, θα υπάρχει αποθηκευμένο κάπου στη μνήμη ώστε να είναι προσβάσιμο από τον αλγόριθμο κρυπτογράφησης/αποκρυπτογράφησης. Αυτό είναι το αδύνατο σημείο του και από εκεί μπορεί να ανακτηθεί.

Ακόμα και αν έχει σβήσει ο υπολογιστής, υπάρχει περιθώριο να είναι αποθηκευμένο (μέχρι να ξαναανάψει ο υπολογιστής), στο swap file ή στο hibernation file. Οπότε είναι χρήσιμο να κρατηθούν αυτά τα αρχεία χωρίς να γίνει εκκίνηση στα windows (π.χ. με χρήση κάποιο live linux cd)

Επιπρόσθετες πληροφορίες

Γενικές μέθοδοι ερευνών (forensics) για κλειδωμένα αρχεία/δίσκους:

Μέθοδοι (forensics) που έχουν χρησιμοποιηθεί κατά καιρούς για την ανάκτηση αποκωδικοποιημένου κλειδιού (όταν κάποιος χρήστης εν γνώση του κωδικοποιεί για να αποκρύψει πληροφορίες):

firewire attack (ατέλεια ή feature που για λόγους debug του πρωτοκόλλου firewire επιτρέπετε από τον ενσωματωμένο driver των windows η αντιγραφή από τη συσκευή -ακόμα και χωρίς login- ολόκληρου του περιεχομένου της μνήμης του υπολογιστή). Υπάρχει αντίστοιχη δυνατότητα και σε USB σε κατάσταση debug (οι drivers στα windows έχουν system priviledge και τρέχουν με ίδιο επίπεδο με το o/s).
Αντίστοιχη μέθοδος σε android ειναι το πάγωμα του κινητού σε θερμοκρασίες λίγο κάτω του 0, που μέχρι την εκδοση 4, το βάζει σε κατάσταση debug χωρίς διαγραφή μνήμης και επιτρέπει αντιγραφή του περιεχομένου της μνήμης (και του κλειδιού).

υπάρχουν φυσικά και άλλες μέθοδοι, που ξεφεύγουν από τον ενημερωτικό χαρακτήρα του μηνύματος

Μέθοδοι antiforensics (αποτροπής εύρεσης κλειδιού):

Μέθοδοι κατά της ανάκτησης κλειδιού απο swap file: υπάρχει ρύθμιση στο registration για διαγραφή του swap (με την ανάλογη καθυστέρηση) κατά τον τερματισμό (αρκεί να μην κλείσει το ρεύμα).
Απαγόρευση συγκεκριμένων class id για την κατηγορία debug firewire/debug usb
Απενεργοποίηση swap file/hidernation
Απενεργοποίηση SMBv1 (δίνει default πρόσβαση σε όλους τους δίσκους, οπότε πιθανή ανάγνωση swap/hibernation μέσω exploit).

όλα τα παραπάνω είναι μια αρχή. Η προστασία των αρχείων μας απαιτεί πολλή καλή προετοιμασία.

xfader · 22 Μαϊου 2017

rose.athens said:
Αλήθεια, μιλώντας για updates, επειδή έχω μια μανία να τα περνάω αμέσως, δεν έχω βρει σε κανένα από τα pc μου το εν λόγω update. Εκτός αν βρίσκεται σε κάποιο πακέτο και δεν εμφανίζεται χωριστά.

Εγώ έχω την έκδοση Creators Update (version 1703) και δεν χρειάζεται το update.

wizzy · 23 Μαϊου 2017

Δωρεάν εργαλεία από την ESET για την καταπολέμηση των πρόσφατων ransomware.

Η ESET ανακοίνωσε τη διάθεση δύο χρήσιμων εργαλείων για την καταπολέμηση των κρουσμάτων από τις πρόσφατες επιθέσεις ransomware, συμπεριλαμβανομένου του WannaCry (WannaCryptor) καθώς και μίας παραλλαγής του διαβόητου ransomware Crysis ransomware, που ευθύνεται για την προσθήκη των επεκτάσεων .wallet και .onion στα αρχεία που μολύνει.

(η συνέχεια στο link)

abcd · 23 Μαϊου 2017

Microsoft: Νέα κρίσιμη ενημέρωση ασφαλείας για τα Windows XP

abcd · 26 Μαϊου 2017

Προσοχή! WannaCry

Έχω linux, δεν κολλάω τίποτα!

Ναι καλά...

supacoopa · 26 Μαϊου 2017

Το Cybereason RansomFree τι λεει, γνωριζει κανεις;

Υποτιθεται οτι παρεχει (δωρεαν) ασφαλεια εναντια στα εώς τωρα γνωστα ransomware, συμπεριλαμβανομενου του WannaCry.

Φαινεται υποσχομενο, αλλα δεν γνωριζω καθολου την εταιρια Cybereason, ουτε μπορεσα να βρω πληροφοριες για το προγραμματακι αυτο, εκτος απο μια αναφορα στο site του PC Magazine.

Zizik · 26 Μαϊου 2017

Άσε καλύτερα. Πρόσεχε τι ανοίγεις.

xenos · 26 Μαϊου 2017

Πάντως σε ntfs (windows δηλαδή) η λύση είναι να κάνεις μερικά recusrive links, δηλαδή ενφωλιασμένους φακέλους οπότε αν κάποιο πρόγραμμα πάει να προσπελάσει όλους τους φακέλους, θα κολλήσει για μερικές ώρες εκεί.

Code:

Volume c:\

27/12/2014  04:15 ££                36 .superId
14/08/2016  01:44 §£    <DIR>          123
14/08/2016  01:46 §£    <JUNCTION>     124 [c:\]
14/08/2016  01:48 §£    <JUNCTION>     125 [c:\]
14/08/2016  01:49 §£    <JUNCTION>     126 [c:\]
14/08/2016  01:49 §£    <JUNCTION>     127 [c:\]
14/08/2016  01:49 §£    <JUNCTION>     128 [c:\]
14/08/2016  01:49 §£    <JUNCTION>     129 [c:\]
14/08/2016  01:49 §£    <JUNCTION>     130 [c:\]
09/01/2017  03:44 §£    <DIR>          3b40d9c8116b0136e756645c
09/01/2017  03:14 §£    <DIR>          aa7f0ba3509fab019e86b0
01/12/2015  04:47 §£    <DIR>          Acrobat3
01/12/2015  04:51 §£    <DIR>          ADOBEAPP

το τρύκ είναι ότι όλοι αυτοί οι φάκελοι, είναι αναφορές σε έναν δικό μας φάκελο που μέσα περιέχει διάφορα αρχεία δολώματα (jpg,doc,κλπ). Αν κολλήσουμε κάποιο ransomware, θα τα κωδικοποιήσει. Αρκεί λοιπόν περιοδικά να έχουμε ένα util Που να ελέγχει αν μεταβλήθηκαν τα περιεχόμενα του αρχείου για να μας προειδοποιήσει.

Φυσικά ακόμα και χωρίς το util, θα παρατηρήσουμε αυξημένη και αδικαιολόγητη κινητικότητα στο δίσκο.

Αν πάντως πάμε να κάνουμε κανένα

Code:

dir/s c:\

δεν τελειώνει ποτέ.

Όταν το τρυκ γινει γνωστό, οι κατασκευαστές ransomware θσ το προβλέπουν, αλλά υπάρχουν και άλλα countermeasures για τέτοια σκουληκάκια.

abcd · 26 Οκτωβρίου 2017

Προσοχή! Νέο κύμα επιθέσεων ransomware στην Ευρώπη

Zizik · 28 Οκτωβρίου 2017

https://gizmodo.com/britain-publicly-names-north-korea-as-source-of-wannacr-1819911031

O υπουργός ασφαλείας του ΗΒ ανακοίνωσε επίσημα πως το Wannacry προέρχεται απο την κυβέρνηση της Βόρειας Κορέας.

Την περασμένη εβδομάδα ο πρόεδρος της Microsoft έκανε παρόμοια ανακοίνωση:

“I think at this point that all observers in the know have concluded that WannaCry was caused by North Korea using cyber tools or weapons that were stolen from the National Security Agency in the United States”

stampol · 28 Οκτωβρίου 2017

εγω παντως 2 χτυπηματα τα φαγα φεβρουαριο και απριλιο....φυσικά οχι στου σπιτιου...αλλα στης δουλειας! synology και τα γνωστα

οπως και να χει ειναι ταλαιπωρία.

Προσοχή! WannaCry

Zizik

Chauncey Gardiner * tl;dr *

rose.athens

Not in the mood Mod

rose.athens

Not in the mood Mod

xenos

xfader

Segregation supporter

wizzy

Music is our (Supernatural) friend!

abcd

Πρώην Διοικητής ο τροπαιοφόρος

abcd

Πρώην Διοικητής ο τροπαιοφόρος

supacoopa

Zizik

Chauncey Gardiner * tl;dr *

xenos

abcd

Πρώην Διοικητής ο τροπαιοφόρος

Zizik

Chauncey Gardiner * tl;dr *

stampol

Οι θυσίες...

Τελευταια Μηνυματα

Staff online

Μέλη online

ΣΤΑΤΙΣΤΙΚΑ

Share this page

ΣΤΑΤΙΣΤΙΚΑ

Online statistics