Обсуждение:WannaCry

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Ссылки на украинском[править вики-текст]

Почему в русскоязычной ВП в примечаниях даются ссылки на статьи на украинском языке? --Krishna (обс.) 13:25, 13 мая 2017 (UTC)

Ссылки на разных языках, а не только на украинском. Имеют право быть, если там имеется полезная информация.--Лукас (обс.) 13:29, 13 мая 2017 (UTC)
Потому что перевёл человек из Украины из Википедии на украинском. Надо искать замену ссылкам на русском языке. Думаю, вполне в русскоязычных источниках есть не меньше информации, чем в нерусскоязычных. --Brateevsky {talk} 19:16, 13 мая 2017 (UTC)
Да, всё именно так. Вначале перевёл, потом начал добавлять ссылки на русском языке.--Nickispeaki (обс.) 14:17, 14 мая 2017 (UTC)

Распространение[править вики-текст]

130 тыс компьютеров по всему миру, это едва десятая доля процента от всех компьютеров. Пшик. "Вирус атакует …", "Атаке подверглись многие страны …" - страсти то какие. А все-таки, как вирус распространяется? Если заразилось такое небольшое количество машин, то как он вообще на них попал. - Saidaziz (обс.) 15:18, 14 мая 2017 (UTC)

- Каждый тысячный ПК в мире - это совсем не мало. 62.176.24.68 09:12, 15 мая 2017 (UTC)

    • Мало, не мало ладно … так каким образом распространяется вирус? Неужели это настолько сложный вопрос. - Saidaziz (обс.) 10:27, 15 мая 2017 (UTC)
      • С помощью уязвимости в SMB v. 1[1]. — IvAnEss (обс.) 11:44, 15 мая 2017 (UTC)
        • Вирус что сам пересылается по TCPIP и сам получает доступ к соответствующим протоколам на прикладном уровне? У него искусственный интеллект? Там должен быть момент, что кто-то (пользователь) должен что-то запустить. - Saidaziz (обс.) 13:58, 15 мая 2017 (UTC)
          • Да, сам, не нужно ничего запускать. Поселившись на машине он сканирует все видимые с неё компы на предмет открытого порта 445, после чего получает частичный удаленный доступ, копирует свой код и выполняет его на новой машине. В этом и суть, что действий никаких от пользователя не требуется, достаточно иметь уязвимый компьютер и активный экземпляр вируса в локалке (или попасть под скан имея белый айпи). 37.110.34.30 20:19, 15 мая 2017 (UTC)
            • "Поселившись на машине" - откуда он взялся на машине? - Saidaziz (обс.) 03:33, 16 мая 2017 (UTC)
              • Хорошо, давайте по шагам. На первом зараженном компьютере он появился потому, что злоумышленник запустил его там руками. Возможно, это была тестовая среда самого злоумышленника. Участие пользователя было один раз, в самом начале процесса. Дальше (на другие компьютеры) червь распространяется самостоятельно по описанной выше схеме. 37.110.34.30 09:46, 16 мая 2017 (UTC)
                • Хотите сказать, что это не просто вирус - а червь? - Saidaziz (обс.) 10:53, 16 мая 2017 (UTC)
                  • Именно. Это червь-шифровальщик. 37.110.34.30 12:19, 16 мая 2017 (UTC)
                    • Ok, только нужен вменяемый источник, сам не скопированный из данной статьи, о том что это червь. Местные рассуждения к статье не подошьешь. Я немного поискал, из специализированного все какие-то блоги да форумы. - Saidaziz (обс.) 03:35, 17 мая 2017 (UTC)
                    • Имеется АИ на то что wannacry это червь? Из статьи пока запросы об источники сносят, я в войну правок вступать не собираюсь. - Saidaziz (обс.) 03:35, 17 мая 2017 (UTC)

Проверил в настройках Брэндмауэра на трёх компах (XP и 7): порты для SMB доступны только для локальной сети, а не для внешней. И по умолчанию так и стоит. По идее, с такими настройками комп неуязвим, если эта зараза будет стучаться из интернета (если в локалке всё чисто)? И зачем тогда на многих заразившихся машинах эти порты открыты для внешней сети?

Метод атаки[править вики-текст]

Самое важное не написано - какие именно действия пользователя могут привести к заражению (например, подхват заразы при просмотре сайтов, запуск вложений из почты, и т. п.). 62.176.24.68 09:16, 15 мая 2017 (UTC)

- Необновление винды и наличие белого IP или зараженных машин в локалке. Вирус сканит 445 порт, в необновленной Виндоус он открыт для SMB v1. Нужно либо отключить сервис, либо закрыть руками порт, либо накатить обновление. Кстати упоминающийся в статье Microsoft Security Bulletin MS17-010 - это не уязвимость, а апдейт, который ее фиксит. 37.110.34.30 09:42, 15 мая 2017 (UTC)

А ещё он проверяет наличие на целевом компе бэкдора DoublePulsar — если таковой имеется, то даже если порт SMB, закрыт, ему не помеха — загрузится через этот бэкдор. Кстати, он не сканирует сеть, а генерит адреса случайным образом, что очень умно, как средство против всяких IDS! И вопрос напоследок: может кто-то растолковаать профессионально, причём тут RDP (remote desktop protocol), о котором все пишут? --Tisov (обс.) 22:20, 16 мая 2017 (UTC)
А если, например, стоит домашний компьютер, который к локальной сети не подключён, только к интернету, и пользователь ничего сомнительного не скачивает, но при этом винда не обновлена, то есть опасность заразиться? 195.209.140.119 14:42, 16 мая 2017 (UTC)

- Атака возможна, только если у пользователя "Внешний IP-адрес» или «Прямой IP-адрес» (этот IP-адрес статический и не меняется). Данную услугу предоставляет провайдер за отдельную плату. Если у пользователя эта услуга не подключена, сетевые черви не могут его атаковать, WannayCry тоже. Надо это добавить в статью. Вот заметка пострадавшего https://olegon.ru/showthread.php?t=27001 109.252.93.52 20:54, 16 мая 2017 (UTC)

Ерунда! Как уже сказал выше, он генерит адрес случайным образом. Значит, если ваш провайдер выдаёт вам временный адрес из своего пула, а где-то на одном из 130 тысяч зараженных WCry машин случайно сгенерировался именно ваш, то ждите гонцов с ransomware! :-)--Tisov (обс.) 22:25, 16 мая 2017 (UTC)

- У меня дома windows 8.1, услуга "прямой/внешний IP" не подключена. Подключен напрямую, без роутера. Обновления не ставлю, брандмауэр выключен, антивирус не стоит. Почему WannayCry не атаковал меня? На сайте 2ip.ru написано, что порт 139 и 445 закрыты (на других сайтах также пишут). Эта услуга как раз и позволяет, например, создавать сервер у себя, чтобы другие могли подключаться (то есть по-настоящему открывает порты для входящих соединений). 188.65.134.238 06:34, 17 мая 2017 (UTC)

Просто наберитесь терпения и wcry к Вам обязательно заглянет! :-)--Tisov (обс.) 06:49, 17 мая 2017 (UTC)
Так ведь услуга "внешний IP" позволяет открывать порты, но это ещё не значит, что они по умолчанию открыты. Вы должны ещё сами переадресацию настроить. Или я не прав? К слову, а если подключён "внешний IP", но в то же время стоит патч от Майкрософт с обновлением, червь может атаковать? 195.209.140.119 09:31, 17 мая 2017 (UTC)

- Так если порты 139 и 445 закрыты для внешней сети (и нет double pulsar, и в локалке чисто) - то по идее и невозможно заразиться! Или я не прав? 62.176.24.68 07:12, 17 мая 2017 (UTC)

62.176.24.68 прав только на 95 % (примерно)! Eternal Blue и DoublePulsar — только две из более чем десятка орудий «цифровой войны», разработынных НБА и опубликованных the Shadow Brockers, и прикрытых обновлением MS17-010 от Microsoft. Сам WCry стремительно мутирует в эти дни — нет гарантии, что завтра не появится версия использующаяя новые эксплойты и уязвимости нулевого дня. Все рекомендации действенны, когда они выполняются одновременно, а не по частям. Обновляйтесь, господа!--Tisov (обс.) 09:35, 17 мая 2017 (UTC)

- Вот статья http://www.cybertech.ru/abonent/faq/real_ips.php , цитата оттуда "Пользователи, использующие "частные" адреса, могут в любой момент времени обращаться во всемирную сеть, но при этом другие пользователи всемирной сети не могут прямо обратиться к компьютеру этих пользователей. С одной стороны, использование "частных" адресов в какой то степени ограничивает свободу действий пользователя во всемирной сети, с другой стороны количество "прямых" адресов ограничено, и за их пользование прямо или косвенно приходится дополнительно платить. Ещё одним немаловажным аспектом использования "прямых" адресов является потенциальная угроза злоумышленников из всемирной сети взлома или порчи компьютера пользователя, которая с достаточно высокой вероятностью исключена при использовании "частных" адресов."

Я правильно писал, если услуга "прямой IP" не подключена, то WannaCry и черви не страшны. Надо добавить эту в статью на википедии. 188.65.134.238 12:20, 17 мая 2017 (UTC)

Можно включить NAT, например, в роутере. Без белого IP торренты работают хуже. И разве локальный порт SMB по умолчанию смотрит наружу? Это же большая дыра в любом случае, некоторые провайдеры даже блочат эти порты. Столько заражений, наверное, потому что достаточно иметь одну зараженную машину (которую заразили через фишинг или с флешки) и червь распространяется по всей локалке предприятия. Но не думаю, что у многих SMB порты открыты в интернет. 188.162.14.78 13:34, 17 мая 2017 (UTC) deniskx

Если внешний IP совпадает с внутренним, то компьютер подключен к интернету напрямую и может быть уязвим для сетевых червей. Тут написано наглядно https://ru.wikibooks.org/wiki/Сетевой_порт/Что_такое_NAT_и_как_определить,_находитесь_ли_вы_за_NAT . Цитата "Обычно такой провайдер предоставляет дополнительную услугу — внешний («белый») IP-адрес за отдельную плату. Без внешнего IP-адреса сделать себе доступный порт нельзя."109.252.93.52 20:23, 24 мая 2017 (UTC)

Без причин удалена следующая информация[править вики-текст]

14 мая президент и главный юрисконсульт компании Microsoft Брэд Смит заявил, что данный вирус использовал уязвимости, которые украли у Агентства национальной безопасности США[22][23]. Позднее,15 мая президент РФ Владимир Путин напомнил об этих словах руководства Microsoft, назвав спецслужбы США "первичным источником вируса", и заявил, что «Россия здесь совершенно ни при чём»[24][25]. 22,23,24 и 25 были ссылки на источники.

В чем дело? Viriko (обс.) 07:16, 16 мая 2017 (UTC)


Также интересно, с какой стати была удалена следующая информация, подтверждённая источниками и фактами:

16 мая Александр Гостев, являющийся главным антивирусным экспертом Лаборатории Касперского, опубликовал на своей странице в Facebook версию о причастности к созданию червя северокорейской хакерской группировки Lazarus. По его словам, код, обнаруженный в черве, совпадает с кодами предыдущих троянских вирусов, созданными этой группировкой[1]. Также версию о возможном участии этой хакерской группировки в атаке 12 мая подтвердил агентству Reuters эксперт антивирусной компании Symantec[2]. Ранее группировка Lazarus атаковала платёжную систему SWIFT, компанию Sony Pictures[3] и Центральный банк Бангладеш[4].

Потому что эта версия обвиняет не американцев? Лучше уж удалите слова Путина о том, что спецслужбы США являются «первичным источником вируса», потому что, во-первых, Путин не эксперт и его слова не являются авторитетными для энциклопедической статьи, и во-вторых, эти слова искажают истину, так как спецслужбы США всего лишь обнаружили уязвимость и написали программу для её использования, но эту программу с вирусом-вымогателем Wanna Cry совместили не они, и вирус запустили также не они. Фриц Финкель (обс.) 22:50, 16 мая 2017 (UTC)

Спекуляции на тему КНДР[править вики-текст]

Я не вижу причин не назвать автором WannaCry хоть самого Папу Римского. Почему это должна быть КНДР? Кто-то хочет оправдать ракетно-ядерный удар по ней? В статье Reiters так забавно написано:

<quote>A researcher from South Korea's Hauri Labs said on Tuesday their own findings matched those of Symantec (SYMC.O) and Kaspersky Lab, who said on Monday that some code in an earlier version of the WannaCry software had also appeared in programs used by the Lazarus Group, identified by some researchers as a North Korea-run hacking operation. </quote>

А кто сказал, что Lazarus Group - это отряд северокорейских кибердиверсантов? Про них ровным счётом ничего не известно. Правда, дальше поправляются:

<quote>"The similarities we see between malware linked to that group and WannaCry are not unique enough to be strongly suggestive of a common operator," FireEye researcher John Miller said.</quote>

А теперь главное - оба заявителя, Касперский и Симантек, сделали такой очуешительный вывод только из ОДНОГО коротенького твита сотрудника Google, который якобы нашел одинаковые участки кода в вредоносном ПО Lazarus Group и WannaCry. Не поддавайтесь на спекуляции и скоропалительные выводы без должного официального подтверждения Security-компаний. --winterheart 23:11, 16 мая 2017 (UTC)

Ну хорошо, давайте тогда либо уберём слова про Северную Корею и оставим лишь про саму Lazarus Group, либо оставим и про Северную Корею, но укажем атрибуцию мнения — что-то типа «которая по словам такого-то является связанной с Северной Кореей» — и, может быть, можно добавить в скобках «(но информация об этом не подтверждена)». Можно добавить и ту поправку, которую вы далее привели. В конце концов, в статье же не утверждается, что это точно так и есть. Указывается лишь, что «такой-то на основании таких-то фактов заявил следующее». Иначе тогда, как я сказал, и слова Путина надо убрать. Потому что, во-первых, он не эксперт и не авторитетный источник, а во-вторых, он исказил истину. Нет никаких доказательств того, что американские спецслужбы запустили вирус. Они нашли уязвимость в Windows, а эту информацию у них украли хакеры и применили в своих целях. Поэтому я вам могу так же ответить: «Не поддавайтесь на спекуляции и скоропалительные выводы». Тем более, Путин — политик, находящийся в недружественных отношениях с США и потому, мягко говоря, не является беспристрастным и непредвзятым источником. Плюс, его слова противоречат вашим. Он утверждает, что «Россия не при чём». Но если о Lazarus Group ничего не известно, то они могут быть и русскими хакерами. К тому же одинаковые участки кода — это не такой уж незначительный факт. Установление родства по ДНК по этому же принципу работает и сомнений мало у кого вызывает. Фриц Финкель (обс.) 23:39, 16 мая 2017 (UTC)
Чувак, что ты вообще несешь за политику? Большинство ransomware несут в себе один и тот же код - библиотеку или exe-шник GPG, но никому это не дает права утверждать, что авторы GPG являются распространителями вредоносного кода. Кроме того, существует обширный черный рынок вредоносного ПО и каталог АНБ тому пример. Почему тогда код, который разработан в АНБ, вдруг стал "северокорейским"? --winterheart 00:21, 17 мая 2017 (UTC)
«Чувак, что ты вообще несешь за политику? Большинство ransomware несут в себе один и тот же код — библиотеку или exe-шник GPG, но никому это не дает права утверждать, что авторы GPG являются распространителями вредоносного кода.»
Ну пусть так я не спорю. Только это уже ВП:ОРИСС, а Википедия компилирует информацию из вторичных авторитетных источников. Впрочем, я дописал абзац про Lazarus на основе статьи из Reuters. Теперь, надеюсь, там эта точка зрения представлена более нейтрально и непредвзято.
«Я не вижу причин не назвать автором WannaCry хоть самого Папу Римского.»
Если будут какие-то достаточные свидетельства, чтобы выдвигать такие гипотезы. И что-то не припомню, чтобы Папа Римский уже ранее неоднократно был уличён в хакерских атаках и взломе банковских систем. Фриц Финкель (обс.) 00:51, 17 мая 2017 (UTC)
"Наступила неделя гонения на КНДР. Количество хакерских атак из КНДР выросло вдвое". Вы не очень хорошо компилируете вторичные источники, раз выдаете за 100%-верное утверждение робкие предположения специалистов кибербезопасности, раздутые громкими заголовками голословных СМИ. --winterheart 01:01, 17 мая 2017 (UTC)
Где я что-то выдавал за "100%-верное утверждение"? Считаю это клеветой. Фриц Финкель (обс.) 09:17, 17 мая 2017 (UTC)
«Почему это должна быть КНДР? Кто-то хочет оправдать ракетно-ядерный удар по ней?»
Ну разумеется, Лаборатории Касперского и Symantec очень нужно наносить ядерные удары по КНДР. Это ведь именно то, чем интересуются фирмы, производящие программное обеспечение, – политика и ядерные удары. А особенно это нужно южнокорейским компаниям, которые находятся рядом с КНДР и сами пострадают от ядерного удара.Фриц Финкель (обс.) 01:57, 17 мая 2017 (UTC)
Да и какой смысл АНБ делать вирус на основе своей же программы «Eternal Blue», информация о которой ранее уже просочилась и была опубликована в общем доступе хакерами, и тем самым только компрометировать себя? Логичнее уж предположить, что это сделали те, кто хотели скомпрометировать США. А кто сейчас находится в плохих отношениях с США?.. (риторический вопрос) Фриц Финкель (обс.) 09:17, 17 мая 2017 (UTC)
  • Не наша задача оценивать достоверность той или иной версии. Если в авторитетных источниках (ключевое слово: авторитетных) появится версия, что вирус запустил Папа Римский, и эта версия привлечёт внимание вторичных авторитетных источников, мы напишем и про нее. — Алексей Копылов 23:45, 16 мая 2017 (UTC)
    • Вторичные источники раздувают сенсацию на пустом месте, додумывая то, что хотят видеть. Те сообщения, намекавшие на связь между Lazarus и WannaCry, вообще не говорили о принадлежности, ни к КНДР, ни к Lazarus, причем появлялись они как личные заметки частных лиц в социальных сетях. Делайте выводы. --winterheart 00:21, 17 мая 2017 (UTC)
Да не только как личные заметки в социальных сетях. Эксперты разных компаний подтверждают эту версию, на основе собственных независимых исследований.
И потом, вирус остановили таким же путём: какой-то эксперт случайно что-то обнаружил в коде и сделал твит об этом, а потом зарегистрировал домен и остановил вирус. Так что не надо их недооценивать. Фриц Финкель (обс.) 09:20, 17 мая 2017 (UTC)
      • Выскажу моё сугубо личное мнение — это похоже на акцию по привлечению внимания к проблеме cybersecurity awareness и digital espionage по всему миру. Вполне возможно, что сделано какой-то инициативной группой без намерения нажиться. Такие попытки буквально недавно предпринимались отдельными энтузиастами (не помню где точно читал об этом). Истеричная реакция прессы на это событие вполне закономерный итог таких действий, хотя реальный ущерб практически ничтожен. --Tisov (обс.) 09:29, 17 мая 2017 (UTC)

AES[править вики-текст]

Коллега, winter! Вы не правы - там именно симметричный 128-битный AES используется1 - его ключ шифруют публичным RSA-ключом, а приватные отправляют в tor (АИ дам позднее). Верните нам правду! :-)--Tisov (обс.) 23:43, 16 мая 2017 (UTC)

Схема немного другая, сейчас перефразирую в тексте. --winterheart 23:45, 16 мая 2017 (UTC)
Да, вот тут описано.--Tisov (обс.) 23:49, 16 мая 2017 (UTC)

RDP[править вики-текст]

Ещё вопрос: все галдят, что нужно закрывать обязательно RDP (если, например, в Google набрать «wannacry rdp»), только потому, что вот тут первыми 12 мая проанализировали WCry и вскользь заметили, что «Remote Access -Contains a remote desktop related string -Reads terminal service related keys (often RDP related)»? Больше нигде конкретики про RDP не нашёл! --Tisov (обс.) 00:35, 17 мая 2017 (UTC)

Это автоматизированный отчет по подозрительному файлу. Какая-то часть вредоноса использует общие для RDP и SMB функции (например, аутентификации), поэтому упоминание об RDP попало в отчет. По большей части все кричат о закрытии RDP для острастки, конкретных уязвимостей по RDP в WannaCry не используется. --winterheart 00:56, 17 мая 2017 (UTC)
Гран мерси, хотя сомнения остались! --Tisov (обс.) 07:13, 17 мая 2017 (UTC)

Вирус, троян или червь?[править вики-текст]

Коллеги, на основании каких АИ (я таких не нашёл) утверждается, что:

  1. Это загрузочный вирус? Symantec его классифицирует, как троян и червь.
  2. Файлы будут удалены через 7 дней. Где описан механизм удаления?

Спасибо, --Tisov (обс.) 11:05, 17 мая 2017 (UTC)

  • АИ есть в тексте описания атаки. Классификация вытекает из текста довольно однозначно. Symantec явно тупанул называя его трояном. Слишком похожий (обс.) 11:31, 17 мая 2017 (UTC)
    • Можете процитировать конкретный, более авторитетный, чем Symantec, АИ, где об этом говорится, уважаемый у:Слишком похожий? Кроме того, "Классификация вытекает из текста" - явный признак ВП:ОРИСС, что недопустимо в статье. --11:47, 17 мая 2017 (UTC) — Эта реплика добавлена участником Tisov m (о · в)
      • Категории в статье это тоже "явный признак ВП:ОРИСС"? ВП:НДА как бы. Symantec же берёт много информации из их "сообщества", так что авторитетность Symantec как у веб-форума. Впрочем возможно в теле дропа присутствуют троянцы системного уровня. Слишком похожий (обс.) 12:11, 17 мая 2017 (UTC)
        • Причём тут категории? Для включения в категорий не требуются ссылки на АИ, а для утверждения тех или иных фактов в статье они обязательны! Вы конкретно сформулируйте ответы на мои вопросы, если можете:
  1. Где описано, что WCry это загрузочный вирус и как действует его boot loader?
  2. Если сказано, что файлы будут удалены через 7 дней, где описан механизм такого удаления? Или они сами себя удалять будут?
--Tisov (обс.) 15:33, 17 мая 2017 (UTC)

Скачать[править вики-текст]

Где его можно скачать для изучения?

На Github. --Tisov (обс.) 07:59, 18 мая 2017 (UTC)

Компании "отразившие" атаку[править вики-текст]

В статье есть пассаж о компаниях отразивших атаку. Я её удалил прокомментировав Убрал желтизну и пиар про "отразили атаки". "Отразили" только они? А остальные, установившие мартовское обновление?), однако она вновь была восстановлена участниками Раммон и Фриц_Финкель с комментарием Это не желтизна, а информация, подтверждённая АИ. Про остальных, установивших обновление, могут написать или не написать другие источники.

Настаиваю на удалении. Соглашусь что эта информация подтверждённая АИ. Но эта информация бессмысленная и бестолковая - ей не место в статье. Во-первых сейчас на этой теме пиарятся все кому не лень - почитайте профильный Хабрахабр за последнюю неделю. Майкрософт, антивирусные компании, компании производящие софт для бекапов, и прочие стараются засветиться в инфо-пространстве с посылом "а те кто имел последнюю версию нашего продукта - были практически в полной безопасности". Но это не повод совать рекламу в статью. Во-вторых качество многих новостей технического плана в непрофильных СМИ - крайне низкого качества. Да, НТВ имеет бóльшую аудиторию чем тот же Хабр, но это не технический ресурс. Они делают новости для массовой аудитории. Блин, это же мрак писать про Сбербанк и МЧС успешно отразили атаки. Сотни компании "отразили". "Отразили" все компании кто не используют Windows, либо не отключили автоматические обновления. Но упоминать про это в статье о Сбербанке и МЧС только потому что журналист НТВ смог дозвониться в их PR-отделы - ну бред же. ai91 (обс.) 12:06, 19 мая 2017 (UTC)

  • Не знаю про МЧС, а со Сбером там вообще смешная история, если публикация опровержениях в Twitter и есть отбитие атаки, то можно смело похерить (цензорский термин)! :-)--Tisov (обс.) 12:46, 19 мая 2017 (UTC)
  • В целом, звучит разумно. Но есть небольшое «но»… Не то чтобы я хотел оспорить ваши слова, но мне кажется, есть разница между ситуацией, когда «отражение» произошло само собой, в силу обновления Windows или её неиспользования, или если вирус даже не пытался атаковать учреждение, и ситуацией, когда атака действительно произошла, но вирус удалось обезвредить и удалить. Не знаю, какая ситуация имела место в МЧС и Сбербанке, но на РБК, например, приводится следующая информация:
«МЧС России сообщило, что зафиксировало несколько попыток атак на свои компьютеры, но смогло их отразить. Как заявили ТАСС в пресс-службе спасательного ведомства, все попытки вирусных атак на компьютеры были блокированы, заражению не подвергся ни один компьютер. „Все интернет-ресурсы МЧС России работают в штатном режиме“, — подчеркнул представитель МЧС.»
Это отличается от ситуации, когда никакой попытки заражения даже не было. То есть, сообщается, что атака всё же производилась и была зафиксирована, и если бы не меры защиты, то и компьютеры Сбербанк, и МЧС были бы заражены. Фриц Финкель (обс.) 15:44, 19 мая 2017 (UTC)
X Быстро удалить. Давайте исходить из метода атаки и энуиклопедической значимости фактов так называемого «отражения атак» в различных организациях. Учитывая метод и скорость заражения вредоносом, никакого героического сопротивления не было и быть не могло. Есть только два враианта: либо меры противодействия, ни одна из которых не выходит за рамки «лучших практик» системного администрирования, приняты заранее — установлены обновления, закрыты порты и т. п. и атака захлебнулась на входе. Либо, атака прошла и организация оказалась в состоянии аварии и всё, что делалось после этого — восстановление систем.
В первом случае медиа-поводом является запись в логах брэндмауэра об автоматической блокировке попытки соединения на 445 порт. Во втором — признание факта неэффективности собственной службы ИТ в области проактивных действий и героизм при ликвидации последствий аварии. О каком ОТРАЖЕНИИ речь, и какова значимость этих фактов?
Единственный герой в этой истории — анонимный блоггер, который включил Kill Switch. И он точно не из МЧС и Сбербанка. --Tisov (обс.) 16:42, 19 мая 2017 (UTC)


Примечания[править вики-текст]

Толково написано про Ваню[править вики-текст]

У нас шаблон по зверью заточен только под Симантек и Лабораторию Касперского. Но вот тут довольно толково изложено про червь от Панды. Может быть имеет смысл доработать шаблон? Alexxsun (обс.) 13:25, 19 мая 2017 (UTC)

Иллюстрация[править вики-текст]

Коллеги из англовики увидели в скриншоте нарушение Copyright и удалили его с Wikicommons, однако в Wikipedia этот файл остался.

  1. Почему в англовики он виден, а тут показывается, как удалённый?
  2. Что нам мешает его использовать для иллюстрации к статье, как несвободный но единственный возможный для использования?

Спасибо! --Tisov (обс.) 20:26, 20 мая 2017 (UTC)

Авторы вируса в суд подадут, что изображение их окна без разрешения используют. :D Фриц Финкель (обс.) 11:39, 21 мая 2017 (UTC)
А нельзя эту картинку вставить в шаблон с описанием вируса, как сделано в английской статье? Фриц Финкель (обс.) 15:51, 21 мая 2017 (UTC)