neprihlásený Nedeľa, 23. júla 2017, dnes má meniny Oľga   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Internet pred šifrujúcim červom WannaCry zachránil nepochopiteľný kill switch, aktivovali ho náhodou

Značky: bezpečnosťWindowsInternetWannaCry / WannaCrypt

DSL.sk, 13.5.2017


Ďalšie rozširovanie nebezpečného červa WannaCry dočasne v noci na dnes zastavila aktivácia mechanizmu zabudovaného v červe umožňujúca priamo tvorcami červa zastaviť jeho šírenie, tzv. kill switchu.

Kuriózne aktiváciu uskutočnil bezpečnostný expert ale náhodou bez toho, aby vedel že ide o takýto mechanizmus.

WannaCry

Červ označený WannaCry, WannaCrypt alebo WanaCrypt0r 2.0 sa začal intenzívne šíriť v piatok. Detailné prvé informácie o červe sme priniesli v tomto článku.

Tento škodlivý kód je mimoriadne nebezpečený, keď dokáže napádať zraniteľné Windows počítače bez súčinnosti užívateľa a môže sa tak šíriť a šíri sa ako červ. Využíva pritom nebezpečnú zraniteľnosť v implementácii protokolu SMB pre sieťové zdieľanie priečinkov vo Windows, ktorá bola prítomná vo všetkých verziách Windows od XP.

Okrem spôsobu šírenia je nebezpečný aj dopadom, keď ide o vydierajúci ransomvér. Po infikovaní počítača tak zašifruje súbory užívateľa a požaduje výkupné. Podľa ustálených informácií je výkupné 300 dolárov, pričom sa má zaplatiť v mene Bitcoin.

Po dokončení šifrovania červ zobrazí okno s výzvou na zaplatenie, zmení pozadie pracovnej plochy a upozornenie pridá v podobe textového súboru aj do každého priečinka so zašifrovanými súbormi. Šifrované súbory majú koncovku .WCRY alebo .WNCRY.


Screenshot okna s informáciami škodlivého kódu, kliknite pre zväčšenie (obrázok: Kaspersky Lab)



SMB je prístupný cez viacero portov, podľa dostupných informácií analyzované verzie červa útočia cez najčastejšie využívaný TCP port 445.

Náhodná aktivácia kill switchu

V kóde červa bola objavená zvláštna doména iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, ktorú červ kontaktoval.

Po jej detekovaní si ju zaregistroval bezpečnostný expert vystupujúci pod prezývkou Malware Tech.

V čase registrácie nevedel aký účel plní, priznal.



Analýza ale ukázala, že táto doména reálne funguje ako mechanizmus pre zastavenie šírenia červa. Podľa MalwareBytes sa totiž červ po spustení na novom infikovanom systéme pokúsi doménu kontaktovať a ak existuje, skončí. Zrejme teda ani nezašifruje súbory na tomto počítači ani sa ďalej nepokúša infikovať ďalšie systémy.


Kód v červe implementujúci kill switch, kliknite pre zväčšenie (obrázok: Malware Tech / Talos)



V akom čase presne k aktivácii kill switchu prišlo nie je jasné, bolo to ale podľa informácií Malware Tech evidentne v neskorých poludňajších až podvečerných hodinách.

Prečo tvorcovia červa, ktorí sú evidentne finančne motivovaní, takýto mechanizmus do červa zabudovali a to špeciálne bez zaregistrovania domény nimi a možnosťou ho aktivovať kýmkoľvek nie je zatiaľ jasné.

Podľa názoru experta, ktorý si doménu zaregistroval, by mohlo ísť o nepodarenú ochranu pred analýzou červa bezpečnostnými expertami. Niektoré izolované prostredia pre analýzu škodlivého kódu totiž podľa neho prekladajú každú doménu na IP adresu tohto sandboxu. Zabudovaný mechanizmus tak zabráni analýze v takomto prostredí. Či ide o skutočný dôvod tvorcu červa ale zatiaľ nie je potvrdené.

Mechanizmus v každom prípade umožnil aspoň dočasne zastaviť šírenie červa. Samozrejme nie je ale vylúčené, že sa objaví nová verzia bez tohto kill switchu.

Aktualizujte Windows XP

Zneužívaná zraniteľnosť sa nachádza vo všetkých verziách Windows od XP. Pre verzie Windows Vista a všetky vyššie podporované verzie bola už v marci, mesiac pred zverejnením zraniteľnosti, vydaná aktualizácia opravujúca túto zraniteľnosť. Odkazy na stiahnutie môžete nájsť v oznámení Microsoftu MS17-010.

Chyba nebola opravená v už nepodporovaných systémoch Windows XP, Windows 8 a Windows Server 2003.

Vzhľadom na vážnosť situácie ale Microsoft v noci na dnes vydal aj aktualizácie pre tieto tri operačné systémy. Sťahovať ich je možné z catalog.update.microsoft.com.

Rozsah

Infekcie prvotných počítačov boli podľa niektorých zdrojov realizované cez emailovú phishingovú kampaň, k dispozícii zatiaľ nie sú bližšie informácie a tieto informácie zatiaľ nie sú potvrdené. V každom prípade hlavné šírenie využíva mechanizmus červa, keď sa infikované počítače snažia infikovať ostatné počítače.

Podľa dostupných informácií sa červ snaží atakovať jednak ďalšie počítače na náhodných IPv4 adresách na Internete a jednak všetky IP adresy v lokálnej sieti.

Červ tak dokáže efektívne a rýchlo infikovať veľký počet počítačov vo firmách a iných organizáciách, ktoré z rozličných dôvodov nemajú aktualizované svoje počítače a vírus sa dostane aspoň do jedného počítača na lokálnej sieti.

Viaceré antivírusové spoločnosti v piatok hovorili o rádovo viacerých desiatkach tisíc až stotisícke nimi detekovaných útokov respektíve infekcií. Aký je celkový počet infekcií zatiaľ nie je známe.

Postihnuté boli podľa dostupných informácií ale viaceré organizácie, viaceré zdravotnícke zariadenia vo Veľkej Británii, FedEx, španielsky telekomunikačný operátor Telefónica, ruské ministerstvo vnútra, nemecké železnice.

Počet infikovaných počítačov, ktoré červ infikoval od registrácie domény, môže odhaliť práve doména kill switchu, keď infikované počítače kontaktujú predmetnú doménu. Expert, ktorý si ju zaregistroval, potvrdil, že IP adresy počítačov kontaktujúcich webový server zbiera a poslal ich aj FBI. FBI tak bude môcť notifikovať obete.

Štatistiky zatiaľ ale nezverejnil.

Minimálne zatiaľ neplaťte

Odporúčania ako sa pred červom zabezpečiť sme priniesli v piatkovom článku. V prvom rade je potrebné mať nainštalovanú aktualizáciu Windows a vhodné je nemať povolené pripojenie na SMB porty z Internetu, najmä teda TCP 445 ale tiež UDP a TCP 137 až 139.

Užívatelia, ktorí sú pripojení cez typické domáce pripojenie cez domáci router, nemajú typicky povolené pripojenie z Internetu na tieto porty na počítačoch v sieti. Ak si samozrejme ale sami nenastavili presmerovanie portov.

Definitívne odporúčania pre užívateľov, ktorí sa stali obeťami a ich súbory sú zašifrované, zatiaľ k dispozícii nie sú. Na zaplatenie majú podľa tvrdení v informáciách červa ešte niekoľko dní a vhodným riešením môže byť počkať na jasnejšie informácie. V niektorých scenároch to môže vyústiť do straty možnosti získať späť súbory, v prípade tohto červa ale existujú pochybnosti či zaplatenie bude viesť k získaniu súborov.

Chyby v šifrovaní umožňujúce súbory odšifrovať zatiaľ odhalené neboli. Presná použitá schéma šifrovania nie je jasná, používa sa pri ňom podľa niektorých zdrojov aj RSA-2048.

Pochybnosť, či vírus po zaplatení odšifruje súbory, vzniká z niektorých zatiaľ dostupných informácií. Viaceré informácie totiž naznačujú, že červ používa len malý počet rozličných Bitcoin adries na ktoré sa platí a viacero užívateľov je tak vyzývaných platiť na tú istú adresu.

Nie je jasné ako by tvorcovia červa mohli platby rozlišovať, vedieť kto zaplatil a podľa toho súbory odšifrovať. Podľa Bleeping Computer majú byť v jeho verzii červa napevno zakódované len tri Bitcoin adresy.

Bleeping Computer nechal pokusné PC infikovať červom, pričom zatiaľ výkupné nezaplatil. Na adrese, na ktorú červ na jeho infikovanom PC vyzýva na zaplatenie, je už pritom viacero platieb. Červ ale súbory odmieta odšifrovať a zrejme na odšifrovanie nestačí ak na danú adresu prišla akákoľvek platba v požadovanej výške. Ako by červ ale mohol identifikovať platbu od konkrétneho užívateľa a ako rozlišuje či niektorá z platieb je od daného užívateľa nie je jasné a zrejme to možné nie je. Správanie červa zistené Bleeping Computer by tak mohlo znamenať, že súbory v skutočnosti neodšifruje.

Samotná funkčnosť odšifrovania je ale podľa Microsoftu prítomná, keď na ukážku červ niektoré súbory odšifruje zadarmo.

PC môže byť infikované a nevidno to

Vzhľadom na funkčnosť kill switchu môže byť počítač infikovaný bez toho, aby to užívateľ vedel.

Po aktivácii kill switchu totiž červ ďalšiu činnosť nerealizoval, nezašifroval súbory a užívateľa tak neupozornil na svoju prítomnosť.

Užívateľom Windows je tak pre istotu odporúčané uskutočniť antivírusový sken systému. Špecializovaný nástroj zrejme zatiaľ nie je k dispozícii, červa pravdepodobne už detekujú viaceré antivírusy a podľa oznámenia Microsoftu po včerajšej aktualizácii 1.243.297.0 aj Windows Defender. Vyčerpávajúci zoznam antivírusov už detekujúcich červa ale nie je k dispozícii.

Máte počítač infikovaný týmto červom? Kontaktujte nás na redakcia at dsl.sk


      Zdieľaj na Twitteri



Najnovšie články:

Bitcoin nasadzuje významné vylepšenie, okrem iného umožní bežné malé platby
Nový zaujímavý mimozemský signál? Opäť zo satelitu
4ka dáva do septembra bezplatne neobmedzené dáta, aj v sieti Orange
Prvý diel Game of Thrones pirátsky pozretý viac ako 90 miliónov krát
Stargate nezaostane za Star Trekom, prichádza nový zvláštny seriál
Pre PC prichádza efektívny akcelerátor umelej inteligencie, od Intelu na USB kľúči
Bitcoin temer isto dostane významný upgrade, zabrániť tomu môže už iba sabotáž
Štátne blokovanie webu bude technicky neúčinné. Načo sa zavádza?
Kultový Terminátor 2 príde v 4K na Blu-ray
Termínom SpaceX sa nedá veriť, opäť evidentne oddialila let na Mars


Diskusia:
                               
 

Vzrušujúce
Odpovedať Známka: 8.6 Hodnotiť:
 

a hlavne ta aktualizacia pre WinXP, ktory je uz 3 roky nepodporovany :O
Odpovedať Známka: 8.6 Hodnotiť:
 

Aj tak ju asi momentálne zo serverov MS nestiahneš.
Čaká sa na www.catalog.update.microsoft.com..

Idem si radšej pustiť debakel slovenských hokejistov.


Odpovedať Známka: 6.4 Hodnotiť:
 

da sa stiahnut, je to KB4012598
http://dopice.sk/jzY
Odpovedať Známka: 10.0 Hodnotiť:
 

neviete nahodou ktore subory to v XP patchuje, abych len mohol kuknut ci ich moje XP obsahuje, kedze ich server nefacha :P
Odpovedať Známka: 7.5 Hodnotiť:
 

vyzera ze to patchuje srv.sys hlavne
Odpovedať Známka: 10.0 Hodnotiť:
 

No vidite chlpci ja som vam to hovoril ze nemate prechadzat na tie nove XPcka, ale ostat pri bezpecnyh a rokmi preverenych 98mickach.
Odpovedať Známka: 8.4 Hodnotiť:
 

Hroza,sok,zdesenie, ajvana kraj!
Odpovedať Známka: 1.7 Hodnotiť:
 

Tak vista a vyssie boli opravene ale nepodporovany 8 nie?
Cize teraz 7 bol opraveny a 8 nie ci ako to mam chapat?
Odpovedať Známka: 10.0 Hodnotiť:
 

Pôvodne v marci Windows 8 aktualizovaný nebol, keďže už nebol oficiálne podporovaný. Windows 8.1 áno, rovnako ako Windows 7 a v tom čase ešte aj Windows Vista.

Aktualizáciu pre Windows 8 popri XP preto Microsoft sprístupnil teraz.
Odpovedať Známka: 8.9 Hodnotiť:
 

Ak nemáš Windows 10 internetové porno by som nepozeral.
Odpovedať Známka: 0.9 Hodnotiť:
 

Ked pravidelne jebes, tak porno nepotrebujes. Napr. ja sa pravidelne jebem s Windows 10
Odpovedať Známka: 6.4 Hodnotiť:
 

Tak to si riadne jeßnuty.
Odpovedať Známka: 2.7 Hodnotiť:
 

jeßnuty? Ich verstehe nicht
Odpovedať Známka: 10.0 Hodnotiť:
 

Lenže na Viste bol bug, ktorý zablokokoval služby Windows Update (donekonečna zisťoval či existujú nové updaty) niekedy v auguste 2016. Takže aj tam by som bol s tým fixom (či ho Visty majú alebo nemajú nainštalovaný) opatrný. Služba Windows update tam proste nefungovala korektne posledný rok podpory.
Odpovedať Známka: -3.3 Hodnotiť:
 

To nebol bug ale vlastnosť. Podobné problémy nastali aj pri WinXP. Microsoft chcel jednoducho znechutiť užívateľov aby prešli na najnovší Windows.
Odpovedať Známka: 8.1 Hodnotiť:
 

nahodou, na XP co som nedavno instaloval do virtualky, instalacia aktualizacii bola rychla a bezproblemova. vsetkych cca 110 aktualizacii sa stiahlo aj nainstalovalo behom 15 minut. na win 7 sp1 bez integrovanych aktualizacii by to bola asi robota na cely den.
Odpovedať Známka: 10.0 Hodnotiť:
 

Po veľkej kritike opravili aktualizácie na WinXP. K Viste a Win7 sa ešte nedostali. Alebo sa na to vykašľali.
Odpovedať Známka: 8.0 Hodnotiť:
 

Rovnaká chyba je na win 7, treba stiahnuť ručne akualizácie aktualizačného programu.
Odpovedať Známka: 7.8 Hodnotiť:
 

Virusy robia antivirusove firmy - majú na to špeciálne oddelenia. Bodka.
Odpovedať Známka: -3.1 Hodnotiť:
 

Sme radi, že si nám to povedal. Bez teba by sme žili v klame.
Odpovedať Známka: 7.1 Hodnotiť:
 

Píše sa to botka. T ako úplná blbosť.
Odpovedať Známka: 6.5 Hodnotiť:
 

Skôr polobotka.
Odpovedať Známka: 10.0 Hodnotiť:
 

Dobra robotka.
Odpovedať Známka: 10.0 Hodnotiť:
 

keď to napíšeš ako iróniu tak sa to nemôže stať
Odpovedať Hodnotiť:
 

"Nahodou" tu domenu nasiel, a este lepsie si ju aj registroval a "nahodou" zistil ze ho tym zastavi.
Kazdopadne by som preveril ci autorom nie je prave tento expert.
Odpovedať Známka: 0.0 Hodnotiť:
 

nie, nahodou cital kod, a zistil ze taka domena neexistuje, tak si ju registroval, a potom odhalil ze to stoplo cerva
Odpovedať Známka: 6.7 Hodnotiť:
 

Vtipne by bolo, keby vírus po zaregistrovaní súbory vymazal.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ale koho nenapadlo, ze docasne zastavenie sirenia je len dymova clona, je priekazne zdokumentovane dokonale jednoznacne.
Odpovedať Známka: 4.3 Hodnotiť:
 

Smola.
Ani novú Janku Hospodárovú, ani wifi vo veľkom kancli nevytvoríš. Dsl si žije vlastným životom...
Odpovedať Známka: 10.0 Hodnotiť:
 

Takze keby bolo bozich prikazani skutocne, ako uvadzaju niektore pramene, tolko, kolko mesiacov, trebalo by objavit uz len to s Muskom a plachetnickou.
Odpovedať Známka: 3.3 Hodnotiť:
 

Najlepsi je 5. riadok odspodu v tom kvazi-zdrojaku - "detonate()" :D
Odpovedať Známka: 6.4 Hodnotiť:
 

Bezpecnostni experti vraj v povodnych zdrojakoch identifikovali aj povodnu deklaraciu - "spriekazni()".
Odpovedať Známka: -1.2 Hodnotiť:
 

choď už s tým tvojim spriekazovaním kdesi
Odpovedať Známka: 7.1 Hodnotiť:
 

Na margo spomenutého pojmu "Kdesi", musím pre dobro Syntaxterrora konštatovať, že sa jedná o pojem priekazne ambivalentný a preto je z fakultatívneho hľadiska v snahe rezultovanej z nutnosti zachovania kontinuity rozpravy možné považovať diskusie na dsl.sk za adekvátny ekvivalent cieľa určenia a tak v prípade, že Syntaxterror nepôjde nikam vlastne priekazne splní zadanú požiadavku na presun "kdesi".
Odpovedať Známka: 1.1 Hodnotiť:
 

kdesi - inam, s výnimkou tu
Odpovedať Známka: 10.0 Hodnotiť:
 

V odbornej diskusii treba specifikovat jednoznacne s výnimkou ktoreho tu z tu, tu a tu.
Odpovedať Známka: 6.7 Hodnotiť:
 

Avšak odbornosť musí byť jednoznačne preukázateľná. Takže spomenutá poznámka je nepodstatná.
Odpovedať Hodnotiť:
 

Vycentruj(); :-D
Odpovedať Hodnotiť:
 

ten kto do cerva pisal tu adresu ma asi dlhe prsty alebo problemy s klbami - na spodny riadok ani nesiahol (zxcvbnm)
Odpovedať Známka: 7.1 Hodnotiť:
 

"Počet infikovaných počítačov, ktoré červ infikoval od registrácie domény, môže odhaliť práve doména kill switchu, keď infikované počítače kontaktujú predmetnú doménu. Expert, ktorý si ju zaregistroval, potvrdil, že IP adresy počítačov kontaktujúcich webový server zbiera a poslal ich aj FBI. FBI tak bude môcť notifikovať obete."

Tu máte dôvod prečo zo zvedavosti neotvárať ten link v prehliadači manuálne, vyhnete sa tak návšteve mužov v čiernom u vás doma.
Odpovedať Známka: 5.7 Hodnotiť:
 

Neskoro, stalo sa tak zo zvedavosti. :D

Odpovedať Hodnotiť:
 

Najdete tu https://gist.github.com/ rain-1/989428fa5504f378b993ee6efbc0b168
Odpovedať Známka: 0.0 Hodnotiť:
 

Mám tu nejaký adware, občas sa mi otvárajú stránky, napríklad http://professional. pcgamer.site, googlil som a skúsil stiahnuť AdCleaner ale sken a vymazanie nepomohlo
Odpovedať Známka: 3.3 Hodnotiť:
 

pouzi tieto 2 softy, ak nepomoze, napis na forum viry.cz

http://dopice.sk/ix3
http://dopice.sk/jAo
Odpovedať Známka: 10.0 Hodnotiť:
 

Čau, dík že si ma poslal do známej pice, AdWare Cleaner som už skúšal a nepomohol. Skúsim Junkware. Som zaregistrovaný na fóre víry a mám ich na pamäti, vždy pomohli :-)
Odpovedať Hodnotiť:
 

Zrejme to bude nejakým rozšírením v Chrome, ktoré sa aktualizovalo, skúsim postupne deaktivovávať.
Odpovedať Hodnotiť:
 

TatraBanka ma zas nejaku technicku odstavku. Mna by zaujimalo, ze ci to ma nieco spolocne s tym ransomwarom, lebo na internete je popisane, ze bankomaty nejakej cinskej banky boli chycene tymto virusom, cize nevylucujem, kedze TatraBanka ma IT department s hlavami vykradnutymi, ze aj oni funguju este na starych windowsoch. Ved uz len ten ich adobe-flash-onlinebanking hovori volaco.
Odpovedať Známka: 8.7 Hodnotiť:
 

btw bankomaty maju windows XP. Minule som to fotil v eurovei ako vyskocila chybova hlaska.
Odpovedať Známka: 5.0 Hodnotiť:
 

imgur.com/NmIqxGh
Odpovedať Známka: 7.1 Hodnotiť:
 

Len reklama sa zobrazuje pomocou Windows XP, GUI je pomocou vlastného OS.

http://dopice.sk/jAF

- Sajfa
Odpovedať Známka: -7.5 Hodnotiť:
 

Bankomaty nemaju Windows XP ale nieco ako
Windows Embedded Standard 2009 / POSReady 2009 (ktore su zalozene na XP SP3) a su plne podporovane. Teda su k dispozicii aktualizacie aspon do Jan / Apr 2019.
Odpovedať Známka: 10.0 Hodnotiť:
 

údajne sa objavil nový kill switch ?
tinyurl.com/lkudm5g


Odpovedať Známka: 10.0 Hodnotiť:
 

HM! Mne z tych tweetov vypliva skor to, ze po aktivovani prveho killswitchu vysla nova verziatoho ransomware s novym killswitchom, ktory uz teda tiez aktivovali (a mozeme sa imho tesit na tretiu verziu )
Odpovedať Známka: 10.0 Hodnotiť:
 

A je tu aj toto : A patched (non recompiled) variant with *NO* kill-switch is out there too.

Teda mame verziu bez killswitchu.
Odpovedať Známka: 10.0 Hodnotiť:
 

no tým pádom bude "nezastavitelný"

Odpovedať Známka: 10.0 Hodnotiť:
 

Kaspersky si len robí reklamu, oni za to môžu lebo sú z Ruska a sú to Rusi, teda oni sú tí zlý a dobrí v jednom. Sú rusi!!
pre nechápavých ešte raz sú to rusi
Odpovedať Známka: 6.0 Hodnotiť:
 

zlí a šíria zlo
Odpovedať Hodnotiť:
 

ale nič proti rusom
Odpovedať Hodnotiť:
 

Rusom
Odpovedať Hodnotiť:
 

U Rasii net nikakych granic.
Odpovedať Hodnotiť:
 

Zaujmiave casy. Predstavme si pouzivatela, ktory
1. legalny Win10 moze byt vnimany ako keylogger a/alebo sluzba, ktoru z osobnych dovodov nechce pouzivat.
2. updatovany Win (od XP vyssie) moze nasat keylogger/backdoor skrz legalny update, tiez ho nechce updatovat.
3. neupdatovany Win moze stiahnut aj cez zatvoreny port malware
Cize - ako zostat na konzervativnom Windowse a zaroven mat data v bezpeci ?
Moze to byt castejsia offline zaloha, napr na prapodivne DVD. Ale aj tam sa teoreticky moze zalohovat malware.
Jasne, ze sa nejedan o zalohu filmov, hudby a ineho lahko znovunadobudnutelneho materialu. Skor o fotky, pripadne co je dolezitejsie - pracovne data.
Pokial uzivatel pracuje vylucne pod Win z dovodu ze je nuteny pracovat v aplikaciach beziacich len pod Win, sa to da riesit cez unix host a vmware ? Alebo existuje lepsie riesenie ?
PS: praca zahrnuje internet, cize offline pracovny PC nie je riesenie.
Odpovedať Známka: 3.3 Hodnotiť:
 

xpcka vies patchnut offline a zo sedmicky vies telemetriu vytiahnut
Odpovedať Známka: 10.0 Hodnotiť:
 

Aká je pravdepodobnosť, že zajtra to zašifruje tisícky PC naprieč štátnou správou, ktorá ma často (školy) verejné IPčky pre každý PC... ? Žeby sa to "tu u nás" ešte masovo nestalo, lebo v čase keď útok začal, boli už všetci zamestnanci doma a PC vypnuté?

Zajtra ráno to všetci zapnú. Niektorí experti nahadzovali na NET decoy (deravý PC proste na verejnom nete) a infikovaný bol za 3 minúty!
Odpovedať Známka: 6.0 Hodnotiť:
 

Kľúčová otázka znie úplne inak. Hore je napísané: Bonifác - pošli kvety. OK, som Bonifác, takže kde mám tie kvety? :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

ty nedostanes kvety. ty mas poslat kvety. dnes ich ma poslat zofka.
Odpovedať Hodnotiť:
 

Zaujimalo by ma co by chalanisko robil keby registracia tej domeny spustila nejaku este destrukcnejsiu cinnost. Trosku lahkovazne bez hlbsej analyzy ovplyvnit desiatky tisic ludi.. Kazdopadne super ze mu to vyslo :)
Odpovedať Známka: 10.0 Hodnotiť:
 

nerobil by nic. registracia domeny nie je trestna. prinjhorsom by mal len zmiesane pocity.
Odpovedať Hodnotiť:
 

v katalógu updatov microsoftu ten KB4012598 nie je k dispozícii pre WIN7. Znamená to, že tento windows je ok?
Odpovedať Hodnotiť:
 

tak pre win 7 je to toto http://dopice.sk/jAB
Odpovedať Hodnotiť:
 

nie, znamena to, ze pre win 7 (ako aj pre dalsie podporovane systemy) vysiel patch uz v marci.
Odpovedať Hodnotiť:
 

pravdepodobne to bol velmi nepodareny pokus o anti-debug ochranu proti nastrojom na "simulaciu" internetu (program, ktory sa tvari, ako http server pre lubovolnu domenu, loguje vsetky requesty a odpoveda na vsetky nejakym dummy responsom), ktore obcas analytici pouzivaju na zistovanie, ake requesty program robi..,

ak na request na nejaku nezmyselnu adresu, ktora by za normalnych okolnosti nemala existovat dojde odpoved, virus usudi, ze nie je na normalnom internete, a odmietne komunikovat so svojim CnC serverom aby neprezradil informacie
Odpovedať Známka: 6.0 Hodnotiť:
 

Dobry den,
akosi vela o tom viete. Poslite nam info kde byvate.

NotNSA
Odpovedať Hodnotiť:
 

Mne sa lubi tento preklep:

Tento škodlivý kód je mimoriadne nebezpečený, ...

nebe z pečený

z nebe pečený holuby padajú
Odpovedať Známka: 10.0 Hodnotiť:
 

300 dolarov? Mali tam dat nejaku sumu typu 15-20 dolarov, zarobili by urcite viac.
Odpovedať Známka: 10.0 Hodnotiť:
 

a povolit tatrapay
Odpovedať Známka: 10.0 Hodnotiť:
 

Teraz som sa mrkol na tú bitcoin peňaženku a majú tam už cez 10 bitcoinov. :) to je cca 17000€ čož je pekná suma a určite to podporí tvorcov ransomware aby pokračovali v tom čo robia.
Odpovedať Hodnotiť:

Pridať komentár