Archief - Wannacry virus

Cycloon · 30 jun 2017

Gray zei:
...

Ik had geen andere reactie verwacht. Oh je legt de link naar een echt fysiek virus. Knap.

Nu ben ik plots overtuigd (not) dat bedrijven ten rechte ten onder moeten gaan aan malafide praktijken en menselijk geproduceerde malafide stukjes software. Het is niet dat pc virussen, zoals virussen in de natuur, spontaan ontstaan :crazy:

.

Het zal duren tot er wat idioten of overheden door middel van zero days exploits hele infrastructuren platleggen (elektriciteitsproductie, waterproductie, verkeersinfrastructuur).

Nee, je kan je niet 100% beschermen, dit is puur terrorisme. Geen enkel middel gaat je volledig beschermen.

Ik heb de indruk dat jij een hardware-mannetje bent die ergens een infrastructuur van 3 pc's moet onderhouden. In die situaties is het erg gemakkelijk om je windows machines automatisch te laten updaten, ja...

Inv · 30 jun 2017

https://arstechnica.com/security/20...s-sowing-wiper-not-profit-seeking-ransomware/

"The ransomware was a lure for the media," he wrote. "This version of Petya actually wipes the first sectors of the disk like we have seen with malwares such as Shamoon." He went on to write: "We believe the ransomware was in fact a lure to control the media narrative, especially after the WannaCry incidents, to attract the attention on some mysterious hacker group rather than a national state attacker like we have seen in the past in cases that involved wipers such as Shamoon."

Gray · 30 jun 2017

Cycloon zei:
Ik had geen andere reactie verwacht. Oh je legt de link naar een echt fysiek virus. Knap.

Nu ben ik plots overtuigd (not) dat bedrijven ten rechte ten onder moeten gaan aan malafide praktijken en menselijk geproduceerde malafide stukjes software. Het is niet dat pc virussen, zoals virussen in de natuur, spontaan ontstaan .

Het zal duren tot er wat idioten of overheden door middel van zero days exploits hele infrastructuren platleggen (elektriciteitsproductie, waterproductie, verkeersinfrastructuur).

Nee, je kan je niet 100% beschermen, dit is puur terrorisme. Geen enkel middel gaat je volledig beschermen.

Ik heb de indruk dat jij een hardware-mannetje bent die ergens een infrastructuur van 3 pc's moet onderhouden. In die situaties is het erg gemakkelijk om je windows machines automatisch te laten updaten, ja...

Ik heb decennia lang ervaring in de security wereld, dus weet zeer goed hoe het er aan toe gaat, of net niet aan toe gaat, net daarom dat ik het zeg.
Security komt alleen maar op de voorgrond als het te laat is, zoals nu, voor de rest van het jaar is "security" de lastpost, de pretbederver, en als er moet bespaard worden is het op security want dat brengt niks op en kost alleen maar geld (tenzij het te laat is natuurlijk dan komen de traantjes)

Het huidige internet is een jungle en "daders" vinden om zo het probleem stoppen, good luck, lukt u niet en is ook zinloos.
Gelijk wie die malafide stukjes software maakt, noem ze idioten, terroristen, whatever,.. ze zijn er en ze gaan niet weg.
De anonimiteit van cryptocurrency en het huidige internet maakt dat ransomware big business en een blijver is.

btw: Ik zeg niet dat security-updates "onmiddellijk" moeten geïnstalleerd worden zoals de thuispc, dat doen wij ook niet, maar wel zo snel mogelijk. (en dat hoeft geen 5 weken te duren).
Ik kom soms klanten tegen die meer dan een jaar achterstand hebben met updates op hun dmz-servers... 'ahja, die zijn we vergeten" Tja...dat zijn diegene die vroeg of laat het nieuws halen.

ElvisP · 30 jun 2017

GarDux zei:
Volgens de blog van microsoft benodigde de nieuwe ransomware een nieuwe update om de gaten te dichten, en logischer wijze ook nieuwe Defender updates. Dit spreekt wel hun bewering tegen dat het virus ook gebruikt maakt van het eerder gedicht lek genaamd EternalBlue, en een tweede genaamd EternalRomance.

new-ransomware-old-techniques-petya-adds-worm-capabilities/

Je haalt wat dingen door elkaar denk ik. Deze variant gebruikt weldegelijk EternalBlue, net als WannaCry. Daarvoor werd in maart al een Windows update uitgebracht.
De "updates" die jij aanhaalt dichten geen gaten maar zijn gewoon nieuwe definitions/signatures voor antivirus software waardoor het de ransomware kan detecteren en tegenhouden voor het uitgevoerd wordt. Dit werd door Microsoft en andere antivirus bedrijven pas uitgebracht ná het verspreiden van de malware, aangezien ze het pas dan zelf kunnen analyseren en ingrijpen. Antivirus definitions worden (meestal) gewoon automatisch geïnstalleerd.

Gray zei:
btw: Ik zeg niet dat security-updates "onmiddellijk" moeten geïnstalleerd worden zoals de thuispc, dat doen wij ook niet, maar wel zo snel mogelijk. (en dat hoeft geen 5 weken te duren).

Hangt een beetje af van de omgeving en afweging van risico zeker. Sommige bedrijven installeren critical en security updates gewoon vanaf ze er zijn omdat potentiële problemen (wat ook niet meer zo veel gebeurt ivm vroeger) minder erg zijn dan bvb 3 weken kwetsbaar zijn voor critical exploits.

TriCore9 · 1 jul 2017

ElvisP zei:
Je haalt wat dingen door elkaar denk ik. Deze variant gebruikt weldegelijk EternalBlue, net als WannaCry. Daarvoor werd in maart al een Windows update uitgebracht.
De "updates" die jij aanhaalt dichten geen gaten maar zijn gewoon nieuwe definitions/signatures voor antivirus software waardoor het de ransomware kan detecteren en tegenhouden voor het uitgevoerd wordt. Dit werd door Microsoft en andere antivirus bedrijven pas uitgebracht ná het verspreiden van de malware, aangezien ze het pas dan zelf kunnen analyseren en ingrijpen. Antivirus definitions worden (meestal) gewoon automatisch geïnstalleerd.

Hangt een beetje af van de omgeving en afweging van risico zeker. Sommige bedrijven installeren critical en security updates gewoon vanaf ze er zijn omdat potentiële problemen (wat ook niet meer zo veel gebeurt ivm vroeger) minder erg zijn dan bvb 3 weken kwetsbaar zijn voor critical exploits.

Ik had heel die blog gelezen inclusief de dissasembly die er tussen stond, maar het kan zijn dat ik tijdens het verloop er van iets foutief heb opgevat. In het begin van de blog stond dat ze een nieuwe patch hadden gemaakt, inclusief de updates voor de antivirus systemen. Ik weet trouwens maar al te goed hoe een antivirus werkt... Het is niet meer dan logisch dat je geen herkenningsmiddelen kan toevoegen aan de database als je niets hebt om het te herkennen. :wtf:

Ze hadden het ook over het uitschakelen van SMB als extra maatregel voor zij die het nodig hebben, of nodig vinden. Maar ik ga die blog niet opnieuw lezen en heb deze ook niet meer gelezen na de eerste maal.

ElvisP · 1 jul 2017

GarDux zei:
Ik had heel die blog gelezen inclusief de dissasembly die er tussen stond, maar het kan zijn dat ik tijdens het verloop er van iets foutief heb opgevat. In het begin van de blog stond dat ze een nieuwe patch hadden gemaakt, inclusief de updates voor de antivirus systemen. Ik weet trouwens maar al te goed hoe een antivirus werkt... Het is niet meer dan logisch dat je geen herkenningsmiddelen kan toevoegen aan de database als je niets hebt om het te herkennen. Ze hadden het ook over het uitschakelen van SMB als extra maatregel voor zij die het nodig hebben, of nodig vinden. Maar ik ga die blog niet opnieuw lezen en heb deze ook niet meer gelezen na de eerste maal.

Dus het kan zijn dat je iets fout hebt opgevat en je wil het niet opnieuw lezen.. Geen probleem, maar waarom dan moeite doen om nog verder vol te houden dat er toch een "nieuwe patch" zou zijn en nog rap even onvolledige info ivm SMB vermelden waaruit blijkt dat je op dat vlak ook niet 100% mee bent? Lijkt me zo nutteloos..

TriCore9 · 1 jul 2017

ElvisP zei:
Dus het kan zijn dat je iets fout hebt opgevat en je wil het niet opnieuw lezen.. Geen probleem, maar waarom dan moeite doen om nog verder vol te houden dat er toch een "nieuwe patch" zou zijn en nog rap even onvolledige info ivm SMB vermelden waaruit blijkt dat je op dat vlak ook niet 100% mee bent? Lijkt me zo nutteloos..

Het is altijd nutteloos om te posten op plaatsen waar er server beheerders, en mensen zitten uit de PC wereld die niets van elkaar afweten en kunnen weten. Er word uiteindelijk altijd op elkaar neergekeken omdat iedereen denkt alles te weten. Dat is ook de reden waarom IRC chats over OSS zo een hell zijn om tussen te zitten. Ik stel nu niet dat u zo iemand bent.

To protect our customers, we released cloud-delivered protection updates and made updates to our signature definition packages shortly after. These updates were automatically delivered to all Microsoft free antimalware products, including Windows Defender Antivirus and Microsoft Security Essentials.

Om onze gebruikers te beschermen hebben we updates geleverd voor de via de cloud gebaseerde bescherming, en hebben we kort er na updates gemaakt voor onze herkennings (let. handtekening) paketten. Deze updates werden automatisch geleverd aan al de gratis Microsoft antimalware producten, inclusief Windows Defender Antivirus en Microsoft Security Essentials.

het kan dus zijn dat ik die Cloud gebaseerde bescherming foutief heb opgevat naarmate ik het artikel eerst zat uit te lezen om dan pas hier te posten. Er staat uitdrukkelijk een "EN" om de twee te scheiden. een scheiding tussen de signature definities die logischer wijze pas na het kunnen bestuderen van een virus aangemaakt kunnen worden, en de cloud bescherming.

Bewerking:
en het is nu wel duidelijk dat SMB uitschakelen nuttig is voor kwetsbare machines die nog extra bescherming nodig hebben, en niet echt voor diegene die de patch hebben.

ElvisP · 1 jul 2017

Het was zeker niet m'n bedoeling om zo over te komen en ik dacht dat m'n eerste reactie vrij neutraal was en niet aanvallend/neerbuigend ofzo maar is misschien anders over gekomen..

Cloud-delivered protection updates gaat ook over endpoint protection, niet over Windows updates zoals bvb MS17-010, wat echt een patch is in de betekenis zoals het normaal gebruikt wordt, dat bedoelde ik gewoon.
Ivm SMB, je kan niet gewoon "SMB" op zijn geheel uitschakelen in een Windows netwerk aangezien er vanalles afhankelijk van is . Maar er zijn verschillende versies, en het grote probleem zit in het hopeloos verouderde SMBv1. Het is sowieso best om die versie volledig uit te schakelen (wat ook al langer aangeraden wordt) omdat er misschien nog andere exploits mogelijk zijn die nu nog niet gekend zijn. Maar omdat er nog altijd systemen zijn die gebruik maken van SMBv1 is dat niet altijd mogelijk, en daar is patchen dan echt wel vereist aangezien MS17-010 de kwetsbaarheid in SMBv1 fixt, zonder het onbruikbaar te maken.

TriCore9 · 1 jul 2017

ElvisP zei:
Het was zeker niet m'n bedoeling om zo over te komen en ik dacht dat m'n eerste reactie vrij neutraal was en niet aanvallend/neerbuigend ofzo maar is misschien anders over gekomen..

Cloud-delivered protection updates gaat ook over endpoint protection, niet over Windows updates zoals bvb MS17-010, wat echt een patch is in de betekenis zoals het normaal gebruikt wordt, dat bedoelde ik gewoon.
Ivm SMB, je kan niet gewoon "SMB" op zijn geheel uitschakelen in een Windows netwerk aangezien er vanalles afhankelijk van is . Maar er zijn verschillende versies, en het grote probleem zit in het hopeloos verouderde SMBv1. Het is sowieso best om die versie volledig uit te schakelen (wat ook al langer aangeraden wordt) omdat er misschien nog andere exploits mogelijk zijn die nu nog niet gekend zijn. Maar omdat er nog altijd systemen zijn die gebruik maken van SMBv1 is dat niet altijd mogelijk, en daar is patchen dan echt wel vereist aangezien MS17-010 de kwetsbaarheid in SMBv1 fixt, zonder het onbruikbaar te maken.

Mijn excuses dan ook, moest ik dan ook fout overgekomen zijn. Begrijp me niet verkeerd, ik weet veel over, en kan veel op computers maar ik weet ook niet alles (niemand weet alles, noch de server beheerders, noch de gewone programmeurs, enz.). De klassieke betekenis van een patch tegenover hoe ik het had geschreven. Ik zal het onthouden en er op letten. Op deze manier lossen we tenminste nog de problemen op, in vergelijk met elkaar gewoon tegen te werken.

da_flux · 1 jul 2017

GarDux zei:
Bewerking:
en het is nu wel duidelijk dat SMB uitschakelen nuttig is voor kwetsbare machines die nog extra bescherming nodig hebben, en niet echt voor diegene die de patch hebben.

ElvisP zei:
Het was zeker niet m'n bedoeling om zo over te komen en ik dacht dat m'n eerste reactie vrij neutraal was en niet aanvallend/neerbuigend ofzo maar is misschien anders over gekomen..

Cloud-delivered protection updates gaat ook over endpoint protection, niet over Windows updates zoals bvb MS17-010, wat echt een patch is in de betekenis zoals het normaal gebruikt wordt, dat bedoelde ik gewoon.
Ivm SMB, je kan niet gewoon "SMB" op zijn geheel uitschakelen in een Windows netwerk aangezien er vanalles afhankelijk van is . Maar er zijn verschillende versies, en het grote probleem zit in het hopeloos verouderde SMBv1. Het is sowieso best om die versie volledig uit te schakelen (wat ook al langer aangeraden wordt) omdat er misschien nog andere exploits mogelijk zijn die nu nog niet gekend zijn. Maar omdat er nog altijd systemen zijn die gebruik maken van SMBv1 is dat niet altijd mogelijk, en daar is patchen dan echt wel vereist aangezien MS17-010 de kwetsbaarheid in SMBv1 fixt, zonder het onbruikbaar te maken.

Running SMB1 is like taking your grandmother to prom: she means well, but she can't really move anymore. Also, it's creepy and gross

Haha, en je hoeft dus SMB niet volledig uit te schakelen je kan gewoon overstappen op SMBv2 of 3 het kan dan wel zijn dat je "problemen" hebt met je printer, NAS of ander apparaat via SMB te benaderen.
Op je NAS zal je dit nog snel kunnen aanpassen maar niet alle oudere printers ondersteunen een hogere SMB versie.

TriCore9 · 1 jul 2017

da_flux zei:
Haha, en je hoeft dus SMB niet volledig uit te schakelen je kan gewoon overstappen op SMBv2 of 3 het kan dan wel zijn dat je "problemen" hebt met je printer, NAS of ander apparaat via SMB te benaderen.
Op je NAS zal je dit nog snel kunnen aanpassen maar niet alle oudere printers ondersteunen een hogere SMB versie.

En dat bedoel ik dus met het gedrag wat ik had geinsinueerd. :crazy:

Je schakeld indien nodig wel degelijk SMB uit, maar dan V1. Zoals exact aangeraden door Microsoft indien de patch nog niet geinstalleerd werd. Met zelfs een link naar de uitleg er over.

ElvisP · 1 jul 2017

Als je nu weet dat er meerdere versies zijn, dan is "SMB uitschakelen" toch duidelijk niet correct, of op z'n minst onvolledig, aangezien dat impliceert dat alle versies uitgeschakeld moeten worden.
Geen idee waarom ik hier eigenlijk nog op reageer.. Je doet precies wat andere mensen je in deze topic al eerder hebben verweten. Je weet er wel iets over, maar duidelijk ook niet echt heel diepgaand. Wat op zich totaal niet erg is, maar het wordt wel irritant als je dan toch blijft doorgaan in een poging om te tonen dat je gelijk had en alles eigenlijk al van te voren wist.

TriCore9 · 1 jul 2017

En ik ben het beu om die typische domme gedragingen van mensen in zo een topics als dit te zien en lezen.

ElvisP zei:
Als je nu weet dat er meerdere versies zijn, dan is "SMB uitschakelen" toch duidelijk niet correct, of op z'n minst onvolledig, aangezien dat impliceert dat alle versies uitgeschakeld moeten worden.

Ik had het artikel volwaardig gelezen, en ik wist over de versies. Ik ga er dus ook van uit dat mensen dat artikel ook gelezen hadden eer ze ooit maar zouden pogen om er iets aan toe te voegen. Als dat laatste het geval had geweest dan hadden ze geweten waar ik het over had. Dus nu vallen diegene die het niet gelezen hadden door de mand. Het is heel simpel aangetoond nu.

ElvisP zei:
Geen idee waarom ik hier eigenlijk nog op reageer..

Omdat je van goede wil bent. En mensen die van goede wil zijn en in de reële wereld buiten het internet om een sociale vaardigheid hebben, zullen dat soms (niet altijd) ook op het internet toepassen.

ElvisP zei:
Je doet precies wat andere mensen je in deze topic al eerder hebben verweten. Je weet er wel iets over, maar duidelijk ook niet echt heel diepgaand. Wat op zich totaal niet erg is, maar het wordt wel irritant als je dan toch blijft doorgaan in een poging om te tonen dat je gelijk had en alles eigenlijk al van te voren wist.

Dat is de fout die er gemaakt werd. beweringen maken over wat iemand weet of niet weet, want als je iemand niet persoonlijk kent kan je amper ooit op enige wijzen iets weten over elkaar. Ik wist het wel van te voren, ik ga nooit maar ook nooit op iets in waar ik niets van af weet, of waar ik niets over volg. Het eerste voorval lag inderdaad gedeeltelijk aan mij, en dat had ik toegegeven - en toch blijft het een geldig iets om te pogen. tegelijkertijd werden er trouwens ook foute beweringen gemaakt door anderen die ik genegeerd had om alles af te laten koelen.

Het probleem met veel mensen die in die wereld werken is hun denken dat ze zoveel meer zijn tegenover een "gewone" mens, en dat gedrag ken ik op het gebied van chats en forums al veel jaren. Veel van die personen hebben een probleem met het online gedoe, en zitten op een one track mind te teren. Server beheerders die het opnemen tegen programmeurs, Hackers die het opnemen tegen de andere twee... en allen weten ze het zo extreem veel beter en kijken ze op elkaar neer . Maar hun kennis gebied is in veel gevallen niet compatibel. een server beheerder weet bijvoorbeeld in veel gevallen amper iets over de echte werking van hun software t.o.v een programmeur, etc. Extreem onaangenaam volk. velen van hen zijn in hun gedachten zo gefocust op hun eigen specialisatie dat ze over elkaar heen gaan. Dat is trouwens iets wat ik al lang geleden wou uiten, maar uit fatsoen niet deed.

Ik weet ook niet alles, maar heb tenminste het fatsoen om mijn fouten toe te geven, of aan te willen tonen dat anderen er een foute redenering aan over houden.

da_flux · 2 jul 2017

GarDux zei:
En dat bedoel ik dus met het gedrag wat ik had geinsinueerd.
Je schakeld indien nodig wel degelijk SMB uit, maar dan V1. Zoals exact aangeraden door Microsoft indien de patch nog niet geinstalleerd werd. Met zelfs een link naar de uitleg er over.

ElvisP zei:
Als je nu weet dat er meerdere versies zijn, dan is "SMB uitschakelen" toch duidelijk niet correct, of op z'n minst onvolledig, aangezien dat impliceert dat alle versies uitgeschakeld moeten worden.
Geen idee waarom ik hier eigenlijk nog op reageer.. Je doet precies wat andere mensen je in deze topic al eerder hebben verweten. Je weet er wel iets over, maar duidelijk ook niet echt heel diepgaand. Wat op zich totaal niet erg is, maar het wordt wel irritant als je dan toch blijft doorgaan in een poging om te tonen dat je gelijk had en alles eigenlijk al van te voren wist.

Ik weet niet wat er verkeerd is aan mijn post maar ElvisP antwoord al wat ik anders zou antwoorden...

GarDux zei:
En ik ben het beu om die typische domme gedragingen van mensen in zo een topics als dit te zien en lezen.

Dan blijf je beter weg van publieke fora.

Als je er niet tegen kan dat mensen je soms verkeerde uitspraken corrigeren.
We weten ook wel dat je niet alles kan weten en zijn hier allemaal om bij te leren je moet je niet altijd zo aangevallen voelen.

Mijn ervaring komt btw uit de praktijk.

TriCore9 · 2 jul 2017

da_flux zei:
Ik weet niet wat er verkeerd is aan mijn post maar ElvisP antwoord al wat ik anders zou antwoorden...

De toon van uw post. Dat is heel duidelijk niet gewoon een post zoals die van ElvisP.

da_flux zei:
Dan blijf je beter weg van publieke fora.

Ik heb in al die jaren dat ik op dit forum zit nog geen enkel probleem gehad met de mensen hier tot het begin van 2017 aan, omdat er toen duidelijk mensen bij zijn gekomen die niet kunnen lezen, of niet beseffen hoe hun posts overkomen of in elkaar zitten. Tough luck.

da_flux zei:
Als je er niet tegen kan dat mensen je soms verkeerde uitspraken corrigeren.
We weten ook wel dat je niet alles kan weten en zijn hier allemaal om bij te leren je moet je niet altijd zo aangevallen voelen.

De fouten die ik echt maak geef ik ook direct toe. Dat kan iedereen lezen en zien. Het laatste voorval was een probleem rond semantiek en mogelijk zelfs pragmatiek en in hoe verre je dat alles kan drijven.

We weten ook wel dat je niet alles kan weten en zijn hier allemaal om bij te leren je moet je niet altijd zo aangevallen voelen.

dat schrijf jij nadat ik zonder problemen mijn eigen fouten toegaf, omdat je er niet tegen kan waneer ik anderen dan weer op hun fouten wijs die meestal te maken hebben met hun toon, manier van posten, of het duidelijk nie gelezen hebben van de posts.

Ik hoop dat de off-topic hierbij gelaten kan worden, want de off-topic bevestigd toch alleen maar wat ik al dacht over de meeste mensen binnen die beroepen.

da_flux · 3 jul 2017

Ik denk echt dat jij dingen ziet die er niet zijn.

Sent from my ONEPLUS A5000 using Tapatalk

TriCore9 · 3 jul 2017

da_flux zei:
Ik denk echt dat jij dingen ziet die er niet zijn.

Sent from my ONEPLUS A5000 using Tapatalk

Kinderachtig. En bevestiging van hoe belachelijk de meeste mensen zijn binnen zo een topics.

Archief - Wannacry virus

Cycloon

Legacy Member

Inv

Legacy Member

Gray

Legacy Member

ElvisP

Legacy Member

TriCore9

Legacy Member

ElvisP

Legacy Member

TriCore9

Legacy Member

ElvisP

Legacy Member

TriCore9

Legacy Member

da_flux

Legacy Member

TriCore9

Legacy Member

ElvisP

Legacy Member

TriCore9

Legacy Member

da_flux

Legacy Member

TriCore9

Legacy Member

da_flux

Legacy Member

TriCore9

Legacy Member