#779 de Skynet
#767 Y otros 4 meses dejándote en ridiculo también? Mis respuestas no van con aire de superioridad ni nada, cuento lo que veo.
#774 Varios user ya han mal interpretado mis palabras por no tener un mínimo de compresión lectora, algo falla en la educación de nuestro país. Yo no he dicho en ningún momento que sean perfectos. A diario reciben miles de ataques, por pura estadística alguno se cuela. Y sino estoy muy equivocado nunca he hecho referencia a un ataque ddos. Para casos como el que ocurrió ayer están mucho mejor preparados y el de ayer no fue un ataque ddos(?) (que también son los que mejor preparados están). Es como decir que españa tiene el mejor futbol a nivel mundial y querer negarlo o que los americanos son unos paquetes al futbol, son realidades. (algo típico español también, es que la realidad no suele gustar).
Te imaginas la cantidad de problemas que tendría españa si recibiera el mismo porcentajes de ataques que los yankes? Je.
#783Marysaid:Te imaginas la cantidad de problemas que tendría españa si recibiera el mismo porcentajes de ataques que los yankes? Je.
Y eso lo sabe el 14 por ciento de la gente
Bueno venga, para aportar algo al tema:
- Script (en Python) para comprobar si se ha detenido la propagación en vuestro entorno gracias al killswitch: https://gist.github.com/dfirfpi/54cae73f590be7e3b06c05436d368f79
#784 Grande la referencia a homer.
No se si el 14%, pero cualquier persona con un mínimo de materia gris si. Me habían avisado que el foro era un lugar hostil, pero no me imaginaba que tanto. Dejo este thread que ya empieza a ser contraproducente.
#783 Acusas a Europa de ser más paletos que en EEUU y el fix ha venido de Europa. Seems legit.
Lo mismo no te expresas correctamente, en vez de ser una deficiencia de compresión lectora. Tienes pruebas para decir que EEUU está mejor preparado para un ataque como el de ayer? https://www.google.es/search?q=yahoo+robo+cuentas https://www.google.es/search?q=linkedin+robo+cuentas https://www.google.es/search?q=google+phishing
#788 Déjale, eeuu a la vanguardia, el daño ha sido mayor en la parte europea/asiática por el huso horario. Cuando ha ocurrido el ataque, en EEUU ni se habían despertado.
Supongoq ya estara puesto :/
Vamos a jugar a las suposiciones...
Supón que aquí no hay buenos ni malos, supón que ideas como libertad, ley o justicia no significan absolutamente nada. Supón que aquí sólo importa el dinero y el poder.
Partiendo de esta base supón que hay una empresa llamada Zerodium que paga en dinero negro y de forma anónima a los cibercriminales de todo el mundo para que les vendan a ellos los fallos de seguridad que encuentren. Supón que su fundador se llama Chaouki Bekrar y que vive en Washington (siendo francés) a menos de 100 metros de unas oficinas de la NSA (La Agencia de Seguridad Nacional estadounidense).
Supón ahora que esta empresa, realmente, hace de tapadera para que sea legal que la NSA pague a delincuentes con el dinero del contribuyente americano y supón que lo hace para poder espiarnos a TODOS a su antojo.
Recuerda que para ellos las leyes no existen, por nuestro bien, para proteger la libertad. Y ahora vamos a imaginar...
Imagina que a un país o una potencia no le gusta que otros le espíen y decide tomar medidas. O si lo prefieres, imagina a un simple grupo de hackers al estilo de Mr. Robot, que se hacen llamar The Shadow Brokers y a los que no les hace gracia eso de que los autoproclamados "salvadores del mundo libre" (que llevan casi toda su historia repartiendo misiles de paz y bombas de democracia por todo el globo, allá donde alcancen sus intereses) ahora, encima, puedan traficar impunemente con ciberarmas.
Imagina que hace bien poco este curioso grupo consiguió hackear a la propia NSA, filtrando por el camino los fallos de seguridad y las herramientas que esta servicial agencia de seguridad nacional americana usa para poder espiarnos a TODOS por nuestro propio bien y para proteger la libertad, la democracia, el mundo libre y todo eso...
Ya casi para acabar, imagina que Microsoft, al hacerse pública la filtración y ver expuestos los "fallos" que la NSA sabía de antemano, publican varios boletines informativos de seguridad. Uno de ellos con fecha de 14 de Marzo y código de seguimiento MS17-010 donde viene recogido uno de los "errores" más sonados.
Por último, imagina que un grupo de ciberdelincuentes, de esos que venden fallos de seguridad al mejor postor, como los del principio del todo, decide usar ese fallo en concreto ya publicado para propagar un virus en los ordenadores que aún no se hayan actualizado. Un virus de tipo logic bomb que permanece latente hasta que llegado un determinado momento actúa y se transforma en un ransomware que cifra los archivos de los equipos infectados y pide que pagues un rescate económico si quieres poder volver a usarlos... Jodiendo, entre otros a Telefónica.
En fin... paranoias mías... :tinfoil:
PD: Algunos enlaces de lo dicho con anterioridad, por si alguien quiere caer en la paranoia conmigo.
redmondmag.com/articles/2017/04/17/patched-shadow-broker-exposed-windo
technet.microsoft.com/en-us/library/security/ms17-010.aspx
www.google.nl/search?q=Wcry+MS17-010
Fuente:
https://www.meneame.net/story/vamos-jugar-suposiciones
#790 Toma, te hará falta, https://www.carrefour.es/supermercado/detail/Papel-de-aluminio-100-m/_/R-827617799
Nah enserio yo ya lo dije que mi opinión es que este ataque no busca los bitcoins y que esa es la tapadera, tiene que ser algo mas heavy, no se si lo que tu has puesto o otra cosa pero no un "simple" encriptamiento de las máquinas aunque esto haya supuesto unas perdidas de a saber..
Acabo de oír de refilón en el telediario de la 5 algo así como "Descubrieron que la web desde la que se mandó no estaba registrada, así que la registraron, se metieron en ella, y desprogramaron el virus."
Joder, peor que lo de la interfaz gráfica en Visual Basic xD
#796 al menos intentan informar, no tiene que ser fácil intentar sacar algo cuando no se tiene ni puta idea de nada. Risas aseguradas xdxd.
Ya van 190k infecciones, esperemos que los backups estén sanos. https://intel.malwaretech.com/botnet/wcrypt/?t=1m&bid=all
http://www.elmundo.es/economia/2017/05/13/59172afb268e3ef8198b4674.html
"Se trata de un dominio que, cuando se conectan a él los equipos infectados, el virus no cifra los archivos, se desactiva automáticamente y se desinfecta."
Eso es posible o se han hecho la picha un lio?
El dominio del que hablan digo yo que es donde activaron el kill switch, pero que tiene que ver eso con que ahora al entrar ahi se limpian los equipos solos?
#798 Está "bien". Virus es un termino demasiado amplio, tendríamos que hablar de módulos, pero si básicamente es eso.
Realmente no se desinfecta ni se desencripta nada ya que no llega a iniciarse.
#798 Han vuelto a demostrar su periodismo de calidad.
No me voy a meter en la discusión de si llamarlo virus sería correcto, y ni he abierto el artículo, pero solo de lo que citas, "se desactiva automáticamente y se desinfecta" es una chorrada que demuestra que ni saben de que va un ransomware ni que ha pasado.
Al registrarse el dominio se activó el killswitch, con lo que el ransomware dejó de propagarse, pero todos los equipos infectados siguen igual y no tiene pinta de que vaya a cambiar (y de haber sido así, alguna fuente más fiable lo habrá anunciado antes que el mundo).
explotar eternalblue & doublepulsar para obtener
una shell de empire/meterpreter en windows 7/2008
https://www.exploit-db.com/docs/41897.pdf
Ataque como tal..
recibes un informe.pfd.exe de una dirección de correo que no conozco, y como soy gilipollas y no verifico nada.. y como tengo el panda instalado y "me siento seguro"..
configurar el servidor de correo para que no permita recibir *.exe es una locura claro.. actualizar los SO es más locura aun..
Lo que viene siendo un ataque, pero de tonteria.
Parece que se ha quedado algo parado el asunto. ¿Alguna noticia al respecto de que pasará con los miles de terminales encriptados?
He leído muchos comentarios que se preguntan como funciona, así que voy a hacer un pequeño resumen de ello por si a alguien le interesa:
El WCry es simplemente el paso final de una cadena de acontecimientos bastante gorda. Todo empieza con la NSA y sus juguetitos, vulnerabilidades de código que no se conocen y que se cotizan a precio de oro en esta era de la ciber-guerra. Ante los ataques de Trump a Siria, el grupo Shadow Brokers decide hacer publico un kit de exploits filtrado de la NSA muy probablemente por el tio que se llevo 50GB de datos hace no mucho (sorry no recuerdo el nombre).
El WCry no es una ransomware diseñado por la NSA, para elllo hay que entender los pasos: Entre los exploits de la NSA tenemos dos que son los que han sido usados para el proposito final de colar el ransomware. Un exploit en el SMB (Server message block) que es basicamente un protocolo de windows que permite tener acceso a redes, compartidos etc... Este es el conocido como EternalBlue, y esto si es un exploit filtrado de la NSA.
Con EternalBlue todo es tan facil como localizar la IP de la persona que quieras infectar, hacer la mochila y entrar sin llamar a la puerta. En esa mochila llevarás un taco para sujetarte la puerta trasera. Aqui es donde entra otra herramienta diseñada por la NSA, DoublePulsar. DoublePulsar es el taco que sujeta la puerta de atrás, un backdoor. REcapitulando, EternalBlue te abre la puerta y DoublePulsar te permite colar a tus amigos en la fiesta.
Una vez estos dos exploits filtrados de la NSA han hecho su trabajo, es la hora de ejecutar el codigo remoto. Aqui es donde llegamos a la parte de WCry, que no habria tenido opcion a entrar si no fuese pon estos dos primeros exploits.
¿Que mierda es eso del kill switch?: Basicamente una vez que EternalBlue y Doublepulsar confirmaban que ya estaban dentro, entonces contactaban con una dirección que estaba sinkholed (es decir, caida). Si el script no tenia respuesta entonces DoublePulsar le pegaba un silbido a WCry, el ransom diseñado por el señor 'X' y este entraba en el sistema. Antes de que todo esto pasara se comprobaba cualquier dispositivo accesible por red, y si EternalBlue era capaz de entrar, se replicaba en todos. Cuando ya no podía replicarse mas entonces empezaba a hacer estas llamadas, y si no habia respuesta, WCry se desplegaba y encriptaba todo.
Y así es como con dos exploits filtrados de la NSA y un ransom se crea el caos, pillando a empresas en bragas.
¿Y por que esto del kill switch? Esto ya es una conjetura personal: Yo creo que realmente este kill switch se hacia para comprobar si el proceso estaba siendo monitorizado/sandboxeado, ya que en ambos casos habría una respuesta a la petición independientemente de si el dominio estaba sinkholed. De todas maneras yo no soy ningún experto en seg. informatica y puedo estar equivocado (lo más probable xD)
Lo realmente procupante no es lo que ha pasado, es lo que la NSA y otros grupos tienen entre manos. Estos dos exploits, en concreto EternalBlue y sus variantes son extremadamente peligrosos! Imaginad lo que tendrán a buen recaudo.
PD: Notese que he omitido algunas cosas y he simplificado conceptos para no liarlo mas. Si estoy equivocado en algo hacedmelo saber xD
#806 sobre lo de las peticiones al dominio, la teoría es buena pero también dicen por ahí que normalmente cuando se comprueba si estás en un sandbox se usan varios dominios, no uno solo, pero vamos que yo tengo menos idea que tu xD
#809 Yo es lo unico que puedo pensar con sentido al respecto de meter algo asi en el código. Lo importante no es el mensaje, si no el camino del mensajero. O al menos por ahí es por donde yo iría si tuviese que comprobar eso exactamente sin depender de librerías o procesos de terceros. Algo que sabes que esta ahi siempre, una simple conexión HTTP y observar la respuesta.
Respecto a lo de varios dominios ni idea, no tengo muy claro el concepto entero para entenderlo creo yo xD Si se hace con varios sera mas como medida de seguridad que como algo necesario.