Ловим WannaCry на живца⁠⁠

В исследовательско-хулиганских целях, решил поставить в виртуалке незащищённую ОС без обновлений, выставить её в интернет и посмотреть, как быстро пожрёт её WannaCry.

Итак, первая жертва. Windows 7 Home Premium SP1.

Ставим её в KVM, отключаем брандмауэр, пробрасываем порты 139 и 445 наружу и проверяем их через canyouseeme.org.

Всё ок, порты открыты, винда торчит незащищённым тылом прямо в интернеты.

Сейчас коварный WannaCry пожрёт её!

Сейчас!

Сейчас.

Сейчас...

Короче, три часа спустя мне надоело и я решил попробовать поймать WannaCry на другого живца.

Итак, ставим W2K8 R2 server, отключаем брандмауэр, пробрасываем порты и ждём.

Ждём. Ждём-ждём-ждём. Ждём.

прошло четыре часа. Пока не отключаю.

Как думаете, коллеги, на что лучше подманивать WannaCry? ~~На мотыля или на бормаша?~~

Похоже, непроверенная инфа, что он заражает, а потом срабатывает сразу массово по таймеру, имеет под собой основания.

Кстати, кто-нибудь нарвался на эту пакость? Или знает того, кто нарвался?

Я пока из первых рук только неофициально от сотрудников Мегафона слышал, что у них проблемы были.

Лига Сисадминов

1.5K пост17.6K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

299792458

6 лет назад

На бухгалтера. 😂

раскрыть ветку

nichtrom

6 лет назад

Не правильно ты Дядя Фёдр вирус ловишь. Ты посади ту которая "ЯЖничего не нажимала. ОНОсамо" тут ты его и поймашь :)
З.Ы. а если серьезно то порты и протокол используемые вирем обыно используется для работы в локальной сети, тобишь самба, тобишь когда набираешь в адресной строке "\\" , да и давно уже народ таким не промышляет, достаточно почты, сайтов, сообщений в соц. сетях с предложением увеличить чего нибудь.

раскрыть ветку

thekrablik

6 лет назад

Пару дней назад просто решил зайти в логи роуетра и обратил внимание на кучу дропнутого порт скана, взял первый ip и просто вбил в браузер и внезапно увидел листинг директории веб сервера апача с зашифрованнами файлами .sage, а листинг был показан потому что вирус переименовал index.php в index.php.sage. Попробовал еще десяток ip, одна была вебка, один роуетр какой то на microtik. Это какой то другой вирус, но сразу понимаешь что теоритически если бы небыло роуетра то могли быть проблемы.