Обсуждение:WannaCry

Проект «Информационные технологии» (уровень I, важность для проекта средняя) Эта статья тематически связана с вики-проектом «Информационные технологии», цель которого — создание и улучшение статей по темам, связанным с информационными технологиями. Вы можете её отредактировать, а также присоединиться к проекту, принять участие в его обсуждении и поработать над требуемыми статьями. I Уровень статьи по шкале оценок проекта «Информационные технологии»: полная Средняя Важность статьи для проекта «Информационные технологии»: средняя

Эта статья выставлялась на удаление и была оставлена. Пояснение причин и соответствующее обсуждение вы можете найти на странице Википедия:К удалению/13 мая 2017. Повторное выставление допустимо лишь при наличии аргументов, не рассмотренных в прошлых номинациях, при изменении обстоятельств вокруг предмета статьи или изменении правил Википедии, в противном случае повторная заявка будет быстро закрыта.

Эта статья содержит текст, переведённый из статьи WannaCrypt из раздела Википедии на украинском языке. Список авторов находится на странице истории правок оригинальной статьи. Информация о включении текстов из других источников и их авторах может быть размещена на странице обсуждения оригинальной статьи.

Почему в русскоязычной ВП в примечаниях даются ссылки на статьи на украинском языке? --Krishna (обс.) 13:25, 13 мая 2017 (UTC)[ответить]

Ссылки на разных языках, а не только на украинском. Имеют право быть, если там имеется полезная информация.--Лукас (обс.) 13:29, 13 мая 2017 (UTC)[ответить]

Потому что перевёл человек из Украины из Википедии на украинском. Надо искать замену ссылкам на русском языке. Думаю, вполне в русскоязычных источниках есть не меньше информации, чем в нерусскоязычных. --Brateevsky {talk} 19:16, 13 мая 2017 (UTC)[ответить]

Да, всё именно так. Вначале перевёл, потом начал добавлять ссылки на русском языке.--Nickispeaki (обс.) 14:17, 14 мая 2017 (UTC)[ответить]

130 тыс компьютеров по всему миру, это едва десятая доля процента от всех компьютеров. Пшик. "Вирус атакует …", "Атаке подверглись многие страны …" - страсти то какие. А все-таки, как вирус распространяется? Если заразилось такое небольшое количество машин, то как он вообще на них попал. - Saidaziz (обс.) 15:18, 14 мая 2017 (UTC)[ответить]

- Каждый тысячный ПК в мире - это совсем не мало. 62.176.24.68 09:12, 15 мая 2017 (UTC)[ответить]

• • Мало, не мало ладно … так каким образом распространяется вирус? Неужели это настолько сложный вопрос. - Saidaziz (обс.) 10:27, 15 мая 2017 (UTC)[ответить]
    • С помощью уязвимости в SMB v. 1[1]. — IvAnEss (обс.) 11:44, 15 мая 2017 (UTC)[ответить]
      • Вирус что сам пересылается по TCPIP и сам получает доступ к соответствующим протоколам на прикладном уровне? У него искусственный интеллект? Там должен быть момент, что кто-то (пользователь) должен что-то запустить. - Saidaziz (обс.) 13:58, 15 мая 2017 (UTC)[ответить]
        • Да, сам, не нужно ничего запускать. Поселившись на машине он сканирует все видимые с неё компы на предмет открытого порта 445, после чего получает частичный удаленный доступ, копирует свой код и выполняет его на новой машине. В этом и суть, что действий никаких от пользователя не требуется, достаточно иметь уязвимый компьютер и активный экземпляр вируса в локалке (или попасть под скан имея белый айпи). 37.110.34.30 20:19, 15 мая 2017 (UTC)[ответить]
          • "Поселившись на машине" - откуда он взялся на машине? - Saidaziz (обс.) 03:33, 16 мая 2017 (UTC)[ответить]
            • Хорошо, давайте по шагам. На первом зараженном компьютере он появился потому, что злоумышленник запустил его там руками. Возможно, это была тестовая среда самого злоумышленника. Участие пользователя было один раз, в самом начале процесса. Дальше (на другие компьютеры) червь распространяется самостоятельно по описанной выше схеме. 37.110.34.30 09:46, 16 мая 2017 (UTC)[ответить]
              • Хотите сказать, что это не просто вирус - а червь? - Saidaziz (обс.) 10:53, 16 мая 2017 (UTC)[ответить]
                • Именно. Это червь-шифровальщик. 37.110.34.30 12:19, 16 мая 2017 (UTC)[ответить]
                  • Ok, только нужен вменяемый источник, сам не скопированный из данной статьи, о том что это червь. Местные рассуждения к статье не подошьешь. Я немного поискал, из специализированного все какие-то блоги да форумы. - Saidaziz (обс.) 03:35, 17 мая 2017 (UTC)[ответить]
                  • Имеется АИ на то что wannacry это червь? Из статьи пока запросы об источники сносят, я в войну правок вступать не собираюсь. - Saidaziz (обс.) 03:35, 17 мая 2017 (UTC)[ответить]

Проверил в настройках Брэндмауэра на трёх компах (XP и 7): порты для SMB доступны только для локальной сети, а не для внешней. И по умолчанию так и стоит. По идее, с такими настройками комп неуязвим, если эта зараза будет стучаться из интернета (если в локалке всё чисто)? И зачем тогда на многих заразившихся машинах эти порты открыты для внешней сети?

Самое важное не написано - какие именно действия пользователя могут привести к заражению (например, подхват заразы при просмотре сайтов, запуск вложений из почты, и т. п.). 62.176.24.68 09:16, 15 мая 2017 (UTC)[ответить]

- Необновление винды и наличие белого IP или зараженных машин в локалке. Вирус сканит 445 порт, в необновленной Виндоус он открыт для SMB v1. Нужно либо отключить сервис, либо закрыть руками порт, либо накатить обновление. Кстати упоминающийся в статье Microsoft Security Bulletin MS17-010 - это не уязвимость, а апдейт, который ее фиксит. 37.110.34.30 09:42, 15 мая 2017 (UTC)[ответить]

А ещё он проверяет наличие на целевом компе бэкдора DoublePulsar — если таковой имеется, то даже если порт SMB, закрыт, ему не помеха — загрузится через этот бэкдор. Кстати, он не сканирует сеть, а генерит адреса случайным образом, что очень умно, как средство против всяких IDS! И вопрос напоследок: может кто-то растолковаать профессионально, причём тут RDP (remote desktop protocol), о котором все пишут? --Tisov (обс.) 22:20, 16 мая 2017 (UTC)[ответить]

А если, например, стоит домашний компьютер, который к локальной сети не подключён, только к интернету, и пользователь ничего сомнительного не скачивает, но при этом винда не обновлена, то есть опасность заразиться? 195.209.140.119 14:42, 16 мая 2017 (UTC)[ответить]

- Атака возможна, только если у пользователя "Внешний IP-адрес» или «Прямой IP-адрес» (этот IP-адрес статический и не меняется). Данную услугу предоставляет провайдер за отдельную плату. Если у пользователя эта услуга не подключена, сетевые черви не могут его атаковать, WannayCry тоже. Надо это добавить в статью. Вот заметка пострадавшего https://olegon.ru/showthread.php?t=27001 109.252.93.52 20:54, 16 мая 2017 (UTC)[ответить]

Ерунда! Как уже сказал выше, он генерит адрес случайным образом. Значит, если ваш провайдер выдаёт вам временный адрес из своего пула, а где-то на одном из 130 тысяч зараженных WCry машин случайно сгенерировался именно ваш, то ждите гонцов с ransomware! --Tisov (обс.) 22:25, 16 мая 2017 (UTC)[ответить]

- У меня дома windows 8.1, услуга "прямой/внешний IP" не подключена. Подключен напрямую, без роутера. Обновления не ставлю, брандмауэр выключен, антивирус не стоит. Почему WannayCry не атаковал меня? На сайте 2ip.ru написано, что порт 139 и 445 закрыты (на других сайтах также пишут). Эта услуга как раз и позволяет, например, создавать сервер у себя, чтобы другие могли подключаться (то есть по-настоящему открывает порты для входящих соединений). 188.65.134.238 06:34, 17 мая 2017 (UTC)[ответить]

Просто наберитесь терпения и wcry к Вам обязательно заглянет! --Tisov (обс.) 06:49, 17 мая 2017 (UTC)[ответить]

Так ведь услуга "внешний IP" позволяет открывать порты, но это ещё не значит, что они по умолчанию открыты. Вы должны ещё сами переадресацию настроить. Или я не прав? К слову, а если подключён "внешний IP", но в то же время стоит патч от Майкрософт с обновлением, червь может атаковать? 195.209.140.119 09:31, 17 мая 2017 (UTC)[ответить]

- Так если порты 139 и 445 закрыты для внешней сети (и нет double pulsar, и в локалке чисто) - то по идее и невозможно заразиться! Или я не прав? 62.176.24.68 07:12, 17 мая 2017 (UTC)[ответить]

62.176.24.68 прав только на 95 % (примерно)! Eternal Blue и DoublePulsar — только две из более чем десятка орудий «цифровой войны», разработынных НБА и опубликованных the Shadow Brockers, и прикрытых обновлением MS17-010 от Microsoft. Сам WCry стремительно мутирует в эти дни — нет гарантии, что завтра не появится версия использующаяя новые эксплойты и уязвимости нулевого дня. Все рекомендации действенны, когда они выполняются одновременно, а не по частям. Обновляйтесь, господа!--Tisov (обс.) 09:35, 17 мая 2017 (UTC)[ответить]

- Вот статья http://www.cybertech.ru/abonent/faq/real_ips.php , цитата оттуда "Пользователи, использующие "частные" адреса, могут в любой момент времени обращаться во всемирную сеть, но при этом другие пользователи всемирной сети не могут прямо обратиться к компьютеру этих пользователей. С одной стороны, использование "частных" адресов в какой то степени ограничивает свободу действий пользователя во всемирной сети, с другой стороны количество "прямых" адресов ограничено, и за их пользование прямо или косвенно приходится дополнительно платить. Ещё одним немаловажным аспектом использования "прямых" адресов является потенциальная угроза злоумышленников из всемирной сети взлома или порчи компьютера пользователя, которая с достаточно высокой вероятностью исключена при использовании "частных" адресов."

Я правильно писал, если услуга "прямой IP" не подключена, то WannaCry и черви не страшны. Надо добавить эту в статью на википедии. 188.65.134.238 12:20, 17 мая 2017 (UTC)[ответить]

Можно включить NAT, например, в роутере. Без белого IP торренты работают хуже. И разве локальный порт SMB по умолчанию смотрит наружу? Это же большая дыра в любом случае, некоторые провайдеры даже блочат эти порты. Столько заражений, наверное, потому что достаточно иметь одну зараженную машину (которую заразили через фишинг или с флешки) и червь распространяется по всей локалке предприятия. Но не думаю, что у многих SMB порты открыты в интернет. 188.162.14.78 13:34, 17 мая 2017 (UTC) deniskx[ответить]

Если внешний IP совпадает с внутренним, то компьютер подключен к интернету напрямую и может быть уязвим для сетевых червей. Тут написано наглядно https://ru.wikibooks.org/wiki/Сетевой_порт/Что_такое_NAT_и_как_определить,_находитесь_ли_вы_за_NAT . Цитата "Обычно такой провайдер предоставляет дополнительную услугу — внешний («белый») IP-адрес за отдельную плату. Без внешнего IP-адреса сделать себе доступный порт нельзя."109.252.93.52 20:23, 24 мая 2017 (UTC)[ответить]

Уважаемый 109.252.93.52.

1. не стоит употреблять жаргон — это вносит путаницу: не существует «белых» и вообще разноцветных IP-адресов. Есть маршрутизируемые или публичные сети, а есть не маршрутизируемые или частные сети и соответствующие им диапазоны IP-адресов (обратите внимание, что утверждение о «серых» IP-адресах дано без АИ, ибо такового не существует). Каждый провайдер решает сам, как именно он без дополнительной платы предоставляет доступ своим клиентам в Интернет: либо динамически выдаёт адреса в частной сети и транслирует их наружу через свои фиксированные публичные адреса, либо динамически выдаёт на время сессии IP-адрес из своего публичного пула каждому отдельному клиенту. Отдельная плата взимается только за фиксированную привязку клиент — публичный IP.
2. Любое сетевое устройство выполняющее роль межсетевого экрана имеет множество функций, среди которых: трансляция адресов (NAT), фильтрация по портам (TCP/UDP), фильтрация по IP-адресам, поддержка Dynamic DNS, DMZ и т. п. В зависимости от сочетания различных настроек этих функций на каждом конкретном устройстве компьютер находящийся «за» межсетевым экраном может оказаться доступным для атаки из Интернета, даже при включённом NAT!
3. Это задача сетевого администратора или офицера информационной безопасности следить, чтобы все уязвимости в каждой конкретной сети были закрыты, не зависимо от ВСЕХ приведённых выше условий. Однако это не значит, что каждый администратор или офицер ИБ обязательно справляется со своей работой ХОРОШО. Таким образом, помимо фактора технической сложности, сюда добавляется «человеческий фактор»;
4. Даже если в вашей сети всё идеально настроено с точки зрения безопасности, а админы «ловят мышей», нет никакой гарантии, что какой-то «альтернативно-одарённый» пользователь не подключится к ней проводом, имея на борту WiFi (или GSM-модем, или Wi-Max и т. п.), подключенный к чужой сети безо всякого NAT и Firewall. Далее, он ловит через незащищённое соединение WCry и начинает заражать все компьютеры в вашей «защищённой» сети, до которых сможет дотянуться! Именно так зачастую и происходят эпидемии в корпоративных сетях.

Поэтому утверждение о том, что наличие NAT делает компьютер неуязвимым к атакам подобным WCry, относится лишь к частному случаю конкретной сети и уповать на него, как на средство защиты — как минимум, неосмотрительно! Я призываю Вас не распространять подобные заблуждения среди наших и без того технически непоголовно-грамотных читателей! Спасибо, --Tisov (обс.) 23:28, 24 мая 2017 (UTC)[ответить]

"либо динамически выдаёт на время сессии IP-адрес из своего публичного пула каждому отдельному клиенту"

А еще может привязать фиксированный публичный IP адрес за конкретным пользователем на совсем, правда сейчас в эпоху дефицита IPv4 это уже редкость. Но раньше, например, Ростелеком так делал по умолчанию для всех бесплатно. Потом перешел на динамику, но IP остались публичными. Платы дополнительной тоже нет. Так что есть две характеристики: внешний/внутренний и статический/динамический. Может взиматься плата за внешний доступ, а может за статику, а может за то и другое. По усмотрению провайдера. 188.162.15.112 18:41, 30 мая 2017 (UTC) deniskx[ответить]

Мой публичный IP, например 109.252.93.52 . Если он совпадает с частным IP (адрес IPv4 ) - то меня может атаковать червь. А если мой частный IP, например, 10.216.**.** , то есть не совпадает с публичным 109.252.93.52, то атака невозможна? Или возможна при каких-то обстоятельствах? Можете описать такие случаи, когда атака возможна, если публичный и частный IP разные? Я говорю про домашний компьютер, в локальной сети он один. Вышенаписанное прочитал, в принципе понял, остался вот этот вопрос. Если сайт, например, 2IP.ru пишет, что порт такой-то закрыт, это не всегда означает, что он действительно закрыт? 31.173.81.32 12:06, 27 мая 2017 (UTC)[ответить]

• Магазин бесплатных консультаций по ИБ закрыт на учёт. Обращайтесь в специализированные организации, либо изучайте матчасть самостоятельно! --Tisov (обс.) 20:29, 27 мая 2017 (UTC)[ответить]

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимости, которые украли у Агентства национальной безопасности США[22][23]. Позднее,15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США "первичным источником вируса", и заявил, что «Россия здесь совершенно ни при чём»[24][25]. 22,23,24 и 25 были ссылки на источники.

В чем дело? Viriko (обс.) 07:16, 16 мая 2017 (UTC)[ответить]

Также интересно, с какой стати была удалена следующая информация, подтверждённая источниками и фактами:

16 мая Александр Гостев, являющийся главным антивирусным экспертом Лаборатории Касперского, опубликовал на своей странице в Facebook версию о причастности к созданию червя северокорейской хакерской группировки Lazarus. По его словам, код, обнаруженный в черве, совпадает с кодами предыдущих троянских вирусов, созданными этой группировкой^[1]. Также версию о возможном участии этой хакерской группировки в атаке 12 мая подтвердил агентству Reuters эксперт антивирусной компании Symantec^[2]. Ранее группировка Lazarus атаковала платёжную систему SWIFT, компанию Sony Pictures^[3] и Центральный банк Бангладеш^[4].

Потому что эта версия обвиняет не американцев? Лучше уж удалите слова Путина о том, что спецслужбы США являются «первичным источником вируса», потому что, во-первых, Путин не эксперт и его слова не являются авторитетными для энциклопедической статьи, и во-вторых, эти слова искажают истину, так как спецслужбы США всего лишь обнаружили уязвимость и написали программу для её использования, но эту программу с вирусом-вымогателем Wanna Cry совместили не они, и вирус запустили также не они. Фриц Финкель (обс.) 22:50, 16 мая 2017 (UTC)[ответить]

Я не вижу причин не назвать автором WannaCry хоть самого Папу Римского. Почему это должна быть КНДР? Кто-то хочет оправдать ракетно-ядерный удар по ней? В статье Reiters так забавно написано:

<quote>A researcher from South Korea's Hauri Labs said on Tuesday their own findings matched those of Symantec (SYMC.O) and Kaspersky Lab, who said on Monday that some code in an earlier version of the WannaCry software had also appeared in programs used by the Lazarus Group, identified by some researchers as a North Korea-run hacking operation. </quote>

А кто сказал, что Lazarus Group - это отряд северокорейских кибердиверсантов? Про них ровным счётом ничего не известно. Правда, дальше поправляются:

<quote>"The similarities we see between malware linked to that group and WannaCry are not unique enough to be strongly suggestive of a common operator," FireEye researcher John Miller said.</quote>

А теперь главное - оба заявителя, Касперский и Симантек, сделали такой очуешительный вывод только из ОДНОГО коротенького твита сотрудника Google, который якобы нашел одинаковые участки кода в вредоносном ПО Lazarus Group и WannaCry. Не поддавайтесь на спекуляции и скоропалительные выводы без должного официального подтверждения Security-компаний. --winterheart 23:11, 16 мая 2017 (UTC)[ответить]

Ну хорошо, давайте тогда либо уберём слова про Северную Корею и оставим лишь про саму Lazarus Group, либо оставим и про Северную Корею, но укажем атрибуцию мнения — что-то типа «которая по словам такого-то является связанной с Северной Кореей» — и, может быть, можно добавить в скобках «(но информация об этом не подтверждена)». Можно добавить и ту поправку, которую вы далее привели. В конце концов, в статье же не утверждается, что это точно так и есть. Указывается лишь, что «такой-то на основании таких-то фактов заявил следующее». Иначе тогда, как я сказал, и слова Путина надо убрать. Потому что, во-первых, он не эксперт и не авторитетный источник, а во-вторых, он исказил истину. Нет никаких доказательств того, что американские спецслужбы запустили вирус. Они нашли уязвимость в Windows, а эту информацию у них украли хакеры и применили в своих целях. Поэтому я вам могу так же ответить: «Не поддавайтесь на спекуляции и скоропалительные выводы». Тем более, Путин — политик, находящийся в недружественных отношениях с США и потому, мягко говоря, не является беспристрастным и непредвзятым источником. Плюс, его слова противоречат вашим. Он утверждает, что «Россия не при чём». Но если о Lazarus Group ничего не известно, то они могут быть и русскими хакерами. К тому же одинаковые участки кода — это не такой уж незначительный факт. Установление родства по ДНК по этому же принципу работает и сомнений мало у кого вызывает. Фриц Финкель (обс.) 23:39, 16 мая 2017 (UTC)[ответить]

Чувак, что ты вообще несешь за политику? Большинство ransomware несут в себе один и тот же код - библиотеку или exe-шник GPG, но никому это не дает права утверждать, что авторы GPG являются распространителями вредоносного кода. Кроме того, существует обширный черный рынок вредоносного ПО и каталог АНБ тому пример. Почему тогда код, который разработан в АНБ, вдруг стал "северокорейским"? --winterheart 00:21, 17 мая 2017 (UTC)[ответить]

«Чувак, что ты вообще несешь за политику? Большинство ransomware несут в себе один и тот же код — библиотеку или exe-шник GPG, но никому это не дает права утверждать, что авторы GPG являются распространителями вредоносного кода.»

Ну пусть так я не спорю. Только это уже ВП:ОРИСС, а Википедия компилирует информацию из вторичных авторитетных источников. Впрочем, я дописал абзац про Lazarus на основе статьи из Reuters. Теперь, надеюсь, там эта точка зрения представлена более нейтрально и непредвзято.

«Я не вижу причин не назвать автором WannaCry хоть самого Папу Римского.»

Если будут какие-то достаточные свидетельства, чтобы выдвигать такие гипотезы. И что-то не припомню, чтобы Папа Римский уже ранее неоднократно был уличён в хакерских атаках и взломе банковских систем. Фриц Финкель (обс.) 00:51, 17 мая 2017 (UTC)[ответить]

"Наступила неделя гонения на КНДР. Количество хакерских атак из КНДР выросло вдвое". Вы не очень хорошо компилируете вторичные источники, раз выдаете за 100%-верное утверждение робкие предположения специалистов кибербезопасности, раздутые громкими заголовками голословных СМИ. --winterheart 01:01, 17 мая 2017 (UTC)[ответить]

Где я что-то выдавал за "100%-верное утверждение"? Считаю это клеветой. Фриц Финкель (обс.) 09:17, 17 мая 2017 (UTC)[ответить]

«Почему это должна быть КНДР? Кто-то хочет оправдать ракетно-ядерный удар по ней?»

Ну разумеется, Лаборатории Касперского и Symantec очень нужно наносить ядерные удары по КНДР. Это ведь именно то, чем интересуются фирмы, производящие программное обеспечение, – политика и ядерные удары. А особенно это нужно южнокорейским компаниям, которые находятся рядом с КНДР и сами пострадают от ядерного удара.Фриц Финкель (обс.) 01:57, 17 мая 2017 (UTC)[ответить]

Да и какой смысл АНБ делать вирус на основе своей же программы «Eternal Blue», информация о которой ранее уже просочилась и была опубликована в общем доступе хакерами, и тем самым только компрометировать себя? Логичнее уж предположить, что это сделали те, кто хотели скомпрометировать США. А кто сейчас находится в плохих отношениях с США?.. (риторический вопрос) Фриц Финкель (обс.) 09:17, 17 мая 2017 (UTC)[ответить]

• Не наша задача оценивать достоверность той или иной версии. Если в авторитетных источниках (ключевое слово: авторитетных) появится версия, что вирус запустил Папа Римский, и эта версия привлечёт внимание вторичных авторитетных источников, мы напишем и про нее. — Алексей Копылов 23:45, 16 мая 2017 (UTC)[ответить]
  • Вторичные источники раздувают сенсацию на пустом месте, додумывая то, что хотят видеть. Те сообщения, намекавшие на связь между Lazarus и WannaCry, вообще не говорили о принадлежности, ни к КНДР, ни к Lazarus, причем появлялись они как личные заметки частных лиц в социальных сетях. Делайте выводы. --winterheart 00:21, 17 мая 2017 (UTC)[ответить]

Да не только как личные заметки в социальных сетях. Эксперты разных компаний подтверждают эту версию, на основе собственных независимых исследований.

И потом, вирус остановили таким же путём: какой-то эксперт случайно что-то обнаружил в коде и сделал твит об этом, а потом зарегистрировал домен и остановил вирус. Так что не надо их недооценивать. Фриц Финкель (обс.) 09:20, 17 мая 2017 (UTC)[ответить]

Эксперты по лингвистике намекают, что создатели вируса-вымогателя совсем даже не корейцы. Alexxsun (обс.) 13:15, 26 мая 2017 (UTC)[ответить]

• • • Выскажу моё сугубо личное мнение — это похоже на акцию по привлечению внимания к проблеме cybersecurity awareness и digital espionage по всему миру. Вполне возможно, что сделано какой-то инициативной группой без намерения нажиться. Такие попытки буквально недавно предпринимались отдельными энтузиастами (не помню где точно читал об этом). Истеричная реакция прессы на это событие вполне закономерный итог таких действий, хотя реальный ущерб практически ничтожен. --Tisov (обс.) 09:29, 17 мая 2017 (UTC)[ответить]

Коллега, winter! Вы не правы - там именно симметричный 128-битный AES используется1 - его ключ шифруют публичным RSA-ключом, а приватные отправляют в tor (АИ дам позднее). Верните нам правду! --Tisov (обс.) 23:43, 16 мая 2017 (UTC)[ответить]

Схема немного другая, сейчас перефразирую в тексте. --winterheart 23:45, 16 мая 2017 (UTC)[ответить]

Да, вот тут описано.--Tisov (обс.) 23:49, 16 мая 2017 (UTC)[ответить]

Ещё вопрос: все галдят, что нужно закрывать обязательно RDP (если, например, в Google набрать «wannacry rdp»), только потому, что вот тут первыми 12 мая проанализировали WCry и вскользь заметили, что «Remote Access -Contains a remote desktop related string -Reads terminal service related keys (often RDP related)»? Больше нигде конкретики про RDP не нашёл! --Tisov (обс.) 00:35, 17 мая 2017 (UTC)[ответить]

Это автоматизированный отчет по подозрительному файлу. Какая-то часть вредоноса использует общие для RDP и SMB функции (например, аутентификации), поэтому упоминание об RDP попало в отчет. По большей части все кричат о закрытии RDP для острастки, конкретных уязвимостей по RDP в WannaCry не используется. --winterheart 00:56, 17 мая 2017 (UTC)[ответить]

Гран мерси, хотя сомнения остались! --Tisov (обс.) 07:13, 17 мая 2017 (UTC)[ответить]

Коллеги, на основании каких АИ (я таких не нашёл) утверждается, что:

1. Это загрузочный вирус? Symantec его классифицирует, как троян и червь.
2. Файлы будут удалены через 7 дней. Где описан механизм удаления?

Спасибо, --Tisov (обс.) 11:05, 17 мая 2017 (UTC)[ответить]

• АИ есть в тексте описания атаки. Классификация вытекает из текста довольно однозначно. Symantec явно тупанул называя его трояном. Слишком похожий (обс.) 11:31, 17 мая 2017 (UTC)[ответить]
  • Можете процитировать конкретный, более авторитетный, чем Symantec, АИ, где об этом говорится, уважаемый у:Слишком похожий? Кроме того, "Классификация вытекает из текста" - явный признак ВП:ОРИСС, что недопустимо в статье. --11:47, 17 мая 2017 (UTC) — Эта реплика добавлена участником Tisov m (о • в)[ответить]
    • Категории в статье это тоже "явный признак ВП:ОРИСС"? ВП:НДА как бы. Symantec же берёт много информации из их "сообщества", так что авторитетность Symantec как у веб-форума. Впрочем возможно в теле дропа присутствуют троянцы системного уровня. Слишком похожий (обс.) 12:11, 17 мая 2017 (UTC)[ответить]
      • Причём тут категории? Для включения в категорий не требуются ссылки на АИ, а для утверждения тех или иных фактов в статье они обязательны! Вы конкретно сформулируйте ответы на мои вопросы, если можете:

1. Где описано, что WCry это загрузочный вирус и как действует его boot loader?
2. Если сказано, что файлы будут удалены через 7 дней, где описан механизм такого удаления? Или они сами себя удалять будут?

--Tisov (обс.) 15:33, 17 мая 2017 (UTC)[ответить]

Где его можно скачать для изучения?

На Github. --Tisov (обс.) 07:59, 18 мая 2017 (UTC)[ответить]

В статье есть пассаж о компаниях отразивших атаку. Я её удалил прокомментировав Убрал желтизну и пиар про "отразили атаки". "Отразили" только они? А остальные, установившие мартовское обновление?), однако она вновь была восстановлена участниками Раммон и Фриц_Финкель с комментарием Это не желтизна, а информация, подтверждённая АИ. Про остальных, установивших обновление, могут написать или не написать другие источники.

Настаиваю на удалении. Соглашусь что эта информация подтверждённая АИ. Но эта информация бессмысленная и бестолковая - ей не место в статье. Во-первых сейчас на этой теме пиарятся все кому не лень - почитайте профильный Хабрахабр за последнюю неделю. Майкрософт, антивирусные компании, компании производящие софт для бекапов, и прочие стараются засветиться в инфо-пространстве с посылом "а те кто имел последнюю версию нашего продукта - были практически в полной безопасности". Но это не повод совать рекламу в статью. Во-вторых качество многих новостей технического плана в непрофильных СМИ - крайне низкого качества. Да, НТВ имеет бóльшую аудиторию чем тот же Хабр, но это не технический ресурс. Они делают новости для массовой аудитории. Блин, это же мрак писать про Сбербанк и МЧС успешно отразили атаки. Сотни компании "отразили". "Отразили" все компании кто не используют Windows, либо не отключили автоматические обновления. Но упоминать про это в статье о Сбербанке и МЧС только потому что журналист НТВ смог дозвониться в их PR-отделы - ну бред же. ai91 (обс.) 12:06, 19 мая 2017 (UTC)[ответить]

• Не знаю про МЧС, а со Сбером там вообще смешная история, если публикация опровержениях в Twitter и есть отбитие атаки, то можно смело похерить (цензорский термин)! --Tisov (обс.) 12:46, 19 мая 2017 (UTC)[ответить]
• В целом, звучит разумно. Но есть небольшое «но»… Не то чтобы я хотел оспорить ваши слова, но мне кажется, есть разница между ситуацией, когда «отражение» произошло само собой, в силу обновления Windows или её неиспользования, или если вирус даже не пытался атаковать учреждение, и ситуацией, когда атака действительно произошла, но вирус удалось обезвредить и удалить. Не знаю, какая ситуация имела место в МЧС и Сбербанке, но на РБК, например, приводится следующая информация:

«МЧС России сообщило, что зафиксировало несколько попыток атак на свои компьютеры, но смогло их отразить. Как заявили ТАСС в пресс-службе спасательного ведомства, все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. „Все интернет-ресурсы МЧС России работают в штатном режиме“, — подчеркнул представитель МЧС.»

Это отличается от ситуации, когда никакой попытки заражения даже не было. То есть, сообщается, что атака всё же производилась и была зафиксирована, и если бы не меры защиты, то и компьютеры Сбербанк, и МЧС были бы заражены. Фриц Финкель (обс.) 15:44, 19 мая 2017 (UTC)[ответить]

Быстро удалить. Давайте исходить из метода атаки и энуиклопедической значимости фактов так называемого «отражения атак» в различных организациях. Учитывая метод и скорость заражения вредоносом, никакого героического сопротивления не было и быть не могло. Есть только два враианта: либо меры противодействия, ни одна из которых не выходит за рамки «лучших практик» системного администрирования, приняты заранее — установлены обновления, закрыты порты и т. п. и атака захлебнулась на входе. Либо, атака прошла и организация оказалась в состоянии аварии и всё, что делалось после этого — восстановление систем.

В первом случае медиа-поводом является запись в логах брэндмауэра об автоматической блокировке попытки соединения на 445 порт. Во втором — признание факта неэффективности собственной службы ИТ в области проактивных действий и героизм при ликвидации последствий аварии. О каком ОТРАЖЕНИИ речь, и какова значимость этих фактов?

Единственный герой в этой истории — анонимный блоггер, который включил Kill Switch. И он точно не из МЧС и Сбербанка. --Tisov (обс.) 16:42, 19 мая 2017 (UTC)[ответить]

У нас шаблон по зверью заточен только под Симантек и Лабораторию Касперского. Но вот тут довольно толково изложено про червь от Панды. Может быть имеет смысл доработать шаблон? Alexxsun (обс.) 13:25, 19 мая 2017 (UTC)[ответить]

Коллеги из англовики увидели в скриншоте нарушение Copyright и удалили его с Wikicommons, однако в Wikipedia этот файл остался.

1. Почему в англовики он виден, а тут показывается, как удалённый?
2. Что нам мешает его использовать для иллюстрации к статье, как несвободный но единственный возможный для использования?

Спасибо! --Tisov (обс.) 20:26, 20 мая 2017 (UTC)[ответить]

• Ничего не мешает, залил к нам. — Алексей Копылов 22:35, 20 мая 2017 (UTC)[ответить]

Авторы вируса в суд подадут, что изображение их окна без разрешения используют. :D Фриц Финкель (обс.) 11:39, 21 мая 2017 (UTC)[ответить]

А нельзя эту картинку вставить в шаблон с описанием вируса, как сделано в английской статье? Фриц Финкель (обс.) 15:51, 21 мая 2017 (UTC)[ответить]

• Сделано — Алексей Копылов 18:22, 21 мая 2017 (UTC)[ответить]

Сегодня 27 июня произошла вирусная атака на украинские сайты (банки, почты, даже до кабмина дошло). См.: Україну атакував масовий інтернет-вірус. Следует ли это отразить в статье?--Лукас (обс.) 13:51, 27 июня 2017 (UTC)[ответить]

• Не следует, поскольку это совершенно другой вирус. Dicto⁵ (обс.) 10:28, 28 июня 2017 (UTC)[ответить]
  • Но так как вирусы похожи и используют одну и ту же уязвимость, добавил ссылку в См. также. — Алексей Копылов 15:08, 28 июня 2017 (UTC)[ответить]

По последней правке: участник ссылается на сайт www.securitylab.ru. Сайт securitylab.ru в свою очередь ссылается на этот источник (судя по всему персональный сайт Маркуса Хатчинса), в котором конкретно о WannaCry нет ни слова. Можно ли принимать такой источник? Насколько я понимаю - нет. DiGiTALBERRY (обс.) 10:16, 22 апреля 2019 (UTC)[ответить]

• Маркус обвинялся и признал себя виновным в распространении других вредоносных программ, ещё до своей карьеры в сфере компьютерной безопасности. WannaCry не имеет к этому отношения. Кто-то просто неправильно понял источник. Эта правка уже отменена. — Алексей Копылов 18:47, 22 апреля 2019 (UTC)[ответить]

В статье сказано, что существует надежный метод расшифровки файлов размером до 200 Мб. При этом никаких ссылок на такой метод не дается. Насколько я знаю, никаких "надежных" методов расшифровки нет. Кто-то знает, о каком методе восстановления идет речь? Или просто неудачно построена фраза и подразумевалась описанная в следующей фразе возможность восстановить файлы на неперегружавшемся компьютере? Если так, то это точно не "надежный" метод, особенно по истечении такого количества времени.

• Ссылка есть ([13]). Там сказано: "If the original file size is less than 209,715,200 bytes, or a configurable limit of files is not yet reached, then the malware will use the demo RSA public key, which is hardcoded in the malware. For this key the private key is actually known and can be used to decrypt the content." — Алексей Копылов 23:01, 5 июня 2019 (UTC)[ответить]