rednyrg721: Кто на винде и не поставил мартовский патч, тот ССЗБ

(Читать комментарии) - (Добавить комментарий)

rednyrg721
2017-05-12 23:05 (ссылка)

Если система не пропатчена (для WinXP патчей нет, понятное дело) и компьютер виден из интернета напрямую (не через железный роутер), то этот может прилететь и просто так, ну то есть нужно, чтобы кто-то попробовал атаковать, но это может и другой зараженный компьютер - просто сканировать все IP-адреса вслепую.

Но могут и по почте рассылать вдобавок, и через сайты, почему нет. Но массовость сейчас именно потому, что распространяется сам, через дырку в винде.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	anti_myth 2017-05-12 23:15 (ссылка)
	У меня все через роутер. (Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721
2017-05-12 23:31 (ссылка)

Надеюсь, что тогда всё ок (хотя не уверен до конца, роутеры какие-то порты прокидывают по дефолту, не знаю, как конкретно с этим дела обстоят - порт 445 рекомендуют закрыть).

Можно ещё погуглить, как SMB отключить в принципе, оно вроде не особенно нужно на домашнем компе.

(Ответить) (Уровень выше) (Ветвь дискуссии)

	rednyrg721 2017-05-13 05:11 (ссылка)
	"Меня заразило через ADSL роутер. NAT ему не помеха." https://geektimes.ru/post/289115/#comment_10059191 Хмм.. (Ответить) (Уровень выше) (Ветвь дискуссии)

(Анонимно)
2017-05-13 12:18 (ссылка)

там же ниже в коментах разумно предполагают, что атакованный компьютер мог к примеру находиться в dmz роутера. т.е. быть выставлен голой задницей в энторнеты.

потом, многие провайдеры фильтруют протоколы сети майкрософт. наверное, некоторые не фильтруют.

(Ответить) (Уровень выше)

	rednyrg721 2017-05-12 23:33 (ссылка)
	https://ru.wikipedia.org/wiki/Server_Message_Block (Ответить) (Уровень выше)

(Анонимно)
2017-05-13 00:06 (ссылка)

securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/

>Our analysis indicates the attack, dubbed “WannaCry”, is initiated through an SMBv2 remote code execution in Microsoft Windows.

в windows xp нет smb v2

вероятно, писать эксплоит для windows xp в 2017 году экономически невыгодно.

(Ответить) (Уровень выше) (Ветвь дискуссии)

rednyrg721
2017-05-13 00:13 (ссылка)

хз, в Security Bulletin пишут про SMBv1:

>The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.

>Workarounds

>Disable SMBv1

то есть, может быть, этот конкретный вирь и не использует, а может касперские напутали

(Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-05-13 00:28 (ссылка)
	очевидно, что этот конкретный шифровальщик не использует. (Ответить) (Уровень выше) (Ветвь дискуссии)

	rednyrg721 2017-05-13 02:17 (ссылка)
	нашёл подтверждение, так и есть: "No, it doesn't work against XP - I tried. They have no target for XP execution." https://twitter.com/GossiTheDog/status/863100619242053632 (Ответить) (Уровень выше) (Ветвь дискуссии)

	(Анонимно) 2017-05-13 12:19 (ссылка)
	спасибо! (Ответить) (Уровень выше)

(Читать комментарии) -