Jump to content
Forumu Destekleyenlere Katılın ×
Paticik Forumları
2000 lerden beri faal olan, çok şukela bir paylaşım platformuyuz. Hoşgeldiniz.

WannaCry


-Bonesoul-

Öne çıkan mesajlar

Laurelin said:


Isin komigi tek bir kisinin cinligi ile durdu bu saldiri


said:
All this code is doing is attempting to connect to the domain we registered and if the connection is not successful it ransoms the system, if it is successful the malware exits. The reason was suggested to be a kill switch in case something goes wrong, but I now believe it to be anti-analysis.

In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox, rather than the real IP address the URL points to; a side effect of this is if an unregistered domain is queried it will respond as if it were registered.

I believe they were trying to query an unregistered domain which would appear registered in certain sandbox environments, then once they are aware they're in a sandbox the malware can exit to prevent analysis. This technique isn't unprecedented and is actually used by the Necurs trojan (they will query 5 totally random domains and if they all return the same IP, it will exit); however, because they used a hardcoded domain, registering it caused all infections globally to believe they were inside a sandbox and exit...thus we initially unintentionally prevented the spread and further ransoming of computers infected with this malware.

One thing that is very important to note is our sinkholing only stops this sample and there is nothing stopping them removing the domain check and trying again, so it's incredibly important that any unpatched systems are patched as quickly as possible. You can now even get a patch for XP.


NSA tier exploitler bole patates adamlarin eline gecince bole oluyormus demek :p tek bir domaini register ederek dunyanin beyni olan kismina baya bir zaman kazandirdi. Yeni saldiri gelirse gene ayni protokolden bizim kamu nasil gg olur belli degil, hos zaten butun adres bilgilerimiz, tapu vs hepsi doalsiyor zaten dunyada halihazir heh




Baya patates duruyor bu hikaye ya, doğrulandı mı hiç kurumlar tarafından?
Link to comment
Sosyal ağlarda paylaş

Sunucularının bakımını yaptığım bir fabrikanın windows sunucusuna da bulaşmış. 300+ kullanıcısı olan bir fabrika ve sanırım birileri şahsi eposta adresinden ttnet faturasını tıklayarak bulaştırmış. İtirafta etti :D

Baya illet etti 2 gündür. Denemediğim anti virüs programı kalmadı. Avast virüsü bulup sildi ve dosyaları decode etti. Şaşırdım doğrusu. Şu toollardan birisiydi de hangisi hatırlamıyorum üzerinden 1 hafta geçti.

https://www.avast.com/ransomware-decryption-tools
Link to comment
Sosyal ağlarda paylaş

µh said:

Laurelin said:


Isin komigi tek bir kisinin cinligi ile durdu bu saldiri


said:
All this code is doing is attempting to connect to the domain we registered and if the connection is not successful it ransoms the system, if it is successful the malware exits. The reason was suggested to be a kill switch in case something goes wrong, but I now believe it to be anti-analysis.

In certain sandbox environments traffic is intercepted by replying to all URL lookups with an IP address belonging to the sandbox, rather than the real IP address the URL points to; a side effect of this is if an unregistered domain is queried it will respond as if it were registered.

I believe they were trying to query an unregistered domain which would appear registered in certain sandbox environments, then once they are aware they're in a sandbox the malware can exit to prevent analysis. This technique isn't unprecedented and is actually used by the Necurs trojan (they will query 5 totally random domains and if they all return the same IP, it will exit); however, because they used a hardcoded domain, registering it caused all infections globally to believe they were inside a sandbox and exit...thus we initially unintentionally prevented the spread and further ransoming of computers infected with this malware.

One thing that is very important to note is our sinkholing only stops this sample and there is nothing stopping them removing the domain check and trying again, so it's incredibly important that any unpatched systems are patched as quickly as possible. You can now even get a patch for XP.


NSA tier exploitler bole patates adamlarin eline gecince bole oluyormus demek :p tek bir domaini register ederek dunyanin beyni olan kismina baya bir zaman kazandirdi. Yeni saldiri gelirse gene ayni protokolden bizim kamu nasil gg olur belli degil, hos zaten butun adres bilgilerimiz, tapu vs hepsi doalsiyor zaten dunyada halihazir heh




Baya patates duruyor bu hikaye ya, doğrulandı mı hiç kurumlar tarafından?


olay doğru ilk saldırı anında belli bir süre engelleniyor sonrasında güncelleme geliyor. link
Ubuntu için wine üzerinden de test etmişler, sudo olarak çalıştırınca /home folderını etkileyebilmiş. samba üzerinden de risk olabilir dedikoduları dönüyordu fakat testlerden bir şey çıkmamış şu ana kadar.
Türkiye'de çok yer etkilenir bu açıktan, işletim sistemini ilk kurduğumuz anda disable update çakan bir milletiz risk büyük.
Link to comment
Sosyal ağlarda paylaş

şu olay tekrar gösterdi neden nsa, cia, fbi vs için backdoor bırakılmaması gerektiğini sistemlerde. (biz biliyoruz da amariganya repulsivecan redneckleri bilmiyor) exploit bile böyle sonuçlanırken backdoor tam vur patlasın çal oynasın olur başkalarının elinde.
GERGE said:

Win 8'e Ocak'tan bu yana guvenlik yamasi gelmemis mi? Belli neden boyle cektigi Windows kullanicilarinin. Debian'a dondum ben, rahatim. Mac'de calistigindan daha fazla oyun Debian ile calisiyor zaten =)

abi yalnız 8.1'e destek devam ediyor bildiğim ama düz 8 service packsiz hali gibi birşey, ondan bıraktılar yani normal. xp'ye de sp'siz haline destek verilmiyordu.
Link to comment
Sosyal ağlarda paylaş

https://en.wikipedia.org/wiki/List_of_Linux_adopters#cite_note-57

şöyle bırakayım şunu da, münih kenditinin 2003 de linux OS geçişini yazacaktım eheh o aklıma geldi ama politik sebeplerden ötürü mart başında 2020 ye kadar win10 kullanımına geçme oylaması olmuş ama oylamada ne sonuç çıktığını bulamadım

mevcutta kullandığım programların tamamını linuxta kullanabiliyor olsaydım çoktan linuxa geçmiştim, ofis programım bile hâlâ openoffice ahah
Link to comment
Sosyal ağlarda paylaş

ofis porgramı değil dekulladnığım diğer uygulamalarda sıkıntı, en basitinden Unity3D, sketchbook kullanmak istediğimde linuxda olmuyor o iş :/

ha ama blender, gimp, openoffice, firefox gibi açık kod destekleyen programlar kullanıyorum ve elimden geldiğince açık kod esaslı programlara öncelik veriyorum
Link to comment
Sosyal ağlarda paylaş

En güzel excel gerçek excel ya, open officeinkini millete kullandırtabilecek olsam belki geçerdim ama şu haliyle zor geliyor.

Ha tabi bide yok ip alamadı yok internete bağlanamadı yok java gerekti kandik kundik işler için elektrikçiler bile windowsta yardımcı olabiliyor. Linux olsa illa ITci olacak gelip müdahale edecek falan zor geliyor. Daha IT ağırlıklı bi şirket olsak düşünürdük belki de şu haliyle windows en kolayı gibi.
Link to comment
Sosyal ağlarda paylaş

×
×
  • Yeni Oluştur...