Как проводилась атака (вирус WCry)?

Если не ошибаюсь, вчера была проведена крупная атака. Вирус WCry распространился на множество компьютеров во всем мире, но как? Говорили, писали, что хакеры отправляли письма по почте, в которых был файл с вирусом, а как ещё распространяли этот вирус? В чем вообще заключается эта атака?
  • Вопрос задан
  • 3133 просмотра
Решения вопроса 4
Jump
@Jump
Системный администратор со стажем.
Шифровальщики как правило распространяются двумя путями -
1)Письмо на почту с вложением - пользователь открывает письмо и запускает шифровальщика.
2)Подбор пароля к серверу терминалов - тупо перебирают популярные пароли на открытом 3389 порту.
Т.е либо социальная инженерия либо перебор паролей в надежде что кто нибудь поставит пароль 123, или qwerty

В данном случае использовалась уязвимость протокола SMB v1 - этот протокол обеспечивает доступ к сетевым папкам, и передачу файлов в сетях. Данная версия давно не используется, и оставлена исключительно для совместимости.

Однако компьютеров у которых 445 порт смотрит наружу практически нет.
Все компьютеры стоят либо за файерволом роутера, либо еще и за NAT'ом.

В результате в большинстве случаев страдали крупные компании - компьютеров много, где-то выставили 445 порт наружу - заразился, и дальше уже по локальной сети кладет всю сеть.
Эта атака по сути не такая уж и крупная. Просто от атаки пострадали крупные корпорации, что и обеспечило пиар.

Уязвимость по сути не страшная - 445 порт просто никогда, никто, не будет светить наружу. В теории.
На практике находятся такие - либо в DMZ файловую шару загонят, либо порты пачкой пробросят, чтобы не париться по одному.
Человеческий фактор.
Ответ написан
Ahen
@Ahen
Универсальный дилетант
https://geektimes.ru/post/289115/

Тут вам и видео, и фото, и как воспользоваться, и как защититься. Бонусом пол тыщи комментариев.
Ответ написан
@antonsr98
Системный Администратор
распространяли через огромнейшую дыру под названием MS Windows
Ответ написан
@snovazabilparol
PHP是世界上最好的编程语言!当之无愧!
но как?


use exploit double_pulsar_smb_445_mswin030708
set payload /home/payloads/wanacry2
set target весь_интернет_особенно_россия
execute exploit -t hack_me_please -T 3000
... [ hacking done ] ...

Как-то так, имхо... Если-что написанное выше отношения к MSF не имеет.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы