Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
Ваш компьютер атаковал вирус-вымогатель, который атаковал компьютеры по всему миру?
Опрос
275
232
Поделиться
Информация о возможном заражении появилась, в частности, на <<Пикабу>> и форуме <<Касперского. Некоторые пользователи пишут, что, возможно, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor) - он шифрует файлы пользователя, изменяет их расширение (предположительно на .WNCRY) и просит купить специальный расшифровщик за биткоины, иначе файлы будут удалены.
forum.kasperskyclub.ru/index...pic=55543&page=2
pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
geektimes.ru/post/289115/
echo.msk.ru/blog/varlamov_i/1979884-echo/
Microsoft выпустил дополнительную защиту для Windows от вируса-вымогателя WannaCrypt. Об этом RNS сообщили в пресс-службе Microsoft.
<<Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь>>, - сообщили в Microsoft.
https://rns.online/internet/Microsoft-vipustil-dopolnitelnuyu-zaschitu-dlya-Windows-ot-virusa-vimogatelya-WannaCrypt-2017-05-12/
официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Рекомендации по лечению от Лаборатории Касперского:
- Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах <<Лаборатории Касперского>> включен компонент <<Мониторинг системы>>.
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
forum.kasperskyclub.ru/index...pic=55543&page=2
pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
geektimes.ru/post/289115/
echo.msk.ru/blog/varlamov_i/1979884-echo/
Microsoft выпустил дополнительную защиту для Windows от вируса-вымогателя WannaCrypt. Об этом RNS сообщили в пресс-службе Microsoft.
<<Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь>>, - сообщили в Microsoft.
https://rns.online/internet/Microsoft-vipustil-dopolnitelnuyu-zaschitu-dlya-Windows-ot-virusa-vimogatelya-WannaCrypt-2017-05-12/
официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Рекомендации по лечению от Лаборатории Касперского:
- Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах <<Лаборатории Касперского>> включен компонент <<Мониторинг системы>>.
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
Ваш компьютер атаковал вирус-вымогатель, который атаковал компьютеры по всему миру?
Никто меня не атаковал ) Антивирус, кстати, не стоит. Касперский тем более. Перестал он мне нравится совсем.. Перегрузили его уже.
Значит обновление у вас MS17-010 установлено на Windows, или пока до вас вирус ещё не добрался.-)
Не добрался ))
Срочно удалите папку system, тогда точно не доберется! 8-)
Ы.. Ошиблись направлением шутки ) Я хоть и блондинка, но по первому высшему инженер по направлению "информационные технологии" )
Я тут подумываю об электронной подруге...
Скажите, куклы таким вирусам не подвержены? :-)
www.youtube.com/watch?v=GU57vhEg7hM
Скажите, куклы таким вирусам не подвержены? :-)
www.youtube.com/watch?v=GU57vhEg7hM
Вот это тема: www.makemehappy.ru/shop/doll...tvo-italiya.html
Не, с компьютерной интереснее. Она двигается и разговаривать умеет.
Правда, та что на видео ростом всего 60 сантиметров, но изобретатель уже делает новую модель ростом 120 сантиметров.
Заодно она и секретаршей подрабатывать сможет...
Правда, та что на видео ростом всего 60 сантиметров, но изобретатель уже делает новую модель ростом 120 сантиметров.
Заодно она и секретаршей подрабатывать сможет...
filmix.me/dramy/99500-lyudi-humans-serial-2015.html
Люди
Humans
2015 (2 сезона)
Великобритания, США, Швеция
фантастика, драма
Люди
Humans
2015 (2 сезона)
Великобритания, США, Швеция
фантастика, драма
www.world-art.ru/animation/animation.php?id=24
Чобиты (Chobits) 2002, сериал (26 серий), Япония.
Жанр / тематика: комедия, романтика, этти (ecchi - эротика), фантастика.
В Токио из глухой провинции приезжает молодой парень Хидэки Мотосува, чтобы учиться на подготовительных курсах и попытаться ещё раз поступить в колледж. Он мало смыслит в современной технике, но, как и большинство его сверстников, мечтает о своём персокоме. Впрочем, шансы накопить достаточно средств на покупку весьма призрачны. Однажды по пути домой он находит девушку-персокома, лежащую без движения в груде мусора.
После включения персоком могла произнести лишь одно слово: "чи", поэтому Хидэки дал ей имя Чии (Chii). Сосед Хидэки предположил, что Чии - самодельный персоком, и познакомил героя с Минору Кокубундзи, 12-летним гением, специализирующимся на самодельных персокомах. Минору не смог проанализировать Чии и узнать что-либо о её прошлом, но рассказал, что в сети ходит легенда о так называемых чобитах - персокомах со свободной волей.
Основную сюжетную линию произведения составляют попытки героев выяснить природу Чии, а также различные случаи отношений, завязывающихся между людьми и их роботами. Почти каждый из основных героев оказывается вовлечён в ту или иную историю, связанную с нуждой уживаться с людьми или персокомами.
Главные герои - Хидэки и Чии - сталкиваются с необходимостью разобраться в возникающих у них чувствах и, в конце концов, определиться, кем они становятся друг для друга.
Чобиты (Chobits) 2002, сериал (26 серий), Япония.
Жанр / тематика: комедия, романтика, этти (ecchi - эротика), фантастика.
В Токио из глухой провинции приезжает молодой парень Хидэки Мотосува, чтобы учиться на подготовительных курсах и попытаться ещё раз поступить в колледж. Он мало смыслит в современной технике, но, как и большинство его сверстников, мечтает о своём персокоме. Впрочем, шансы накопить достаточно средств на покупку весьма призрачны. Однажды по пути домой он находит девушку-персокома, лежащую без движения в груде мусора.
После включения персоком могла произнести лишь одно слово: "чи", поэтому Хидэки дал ей имя Чии (Chii). Сосед Хидэки предположил, что Чии - самодельный персоком, и познакомил героя с Минору Кокубундзи, 12-летним гением, специализирующимся на самодельных персокомах. Минору не смог проанализировать Чии и узнать что-либо о её прошлом, но рассказал, что в сети ходит легенда о так называемых чобитах - персокомах со свободной волей.
Основную сюжетную линию произведения составляют попытки героев выяснить природу Чии, а также различные случаи отношений, завязывающихся между людьми и их роботами. Почти каждый из основных героев оказывается вовлечён в ту или иную историю, связанную с нуждой уживаться с людьми или персокомами.
Главные герои - Хидэки и Чии - сталкиваются с необходимостью разобраться в возникающих у них чувствах и, в конце концов, определиться, кем они становятся друг для друга.
а вот Антидот решил проблему старым дедовским способом)
Ретроград :-)
По моему наивному мнению, может зажать ногами в мертвой схватке. И самое страшное предположение, у нее в вагине мясорубка.
Засосёт насмерть.
drink-bol писал(а)
И самое страшное предположение, у нее в вагине мясорубка.
Эх, не смотрели Вы "Чобитов". И самое страшное предположение, у нее в вагине мясорубка.
У неё там выключатель питания :-D :-D :-D
Подвержены, они в трансов превращаются))
Таким макаром - скоро компьютерные вирусы половым путем передаваться начнут.
:-D :-D :-D *rofl* *good* *drink*
И появится новая врачебная специальность: кибервенеролог.
вот это поворот..
достаточно правильно настроенного фаера.
я смутно себе представляю настройку самбы на винде, но если в acl только локалка, а при неправильном вводе 3 раза подряд банк на час минимум..
винда 10?)
7ка )) Я не люблю, когда винда сама по себе отсылает инфу обо мне куда-то ))
это меньшее зло)
но в группе риска;-)
но в группе риска;-)
Семерка с криком ура отсылает)
мне гораздо более интересно, неужели у всех есть внешние айпишники, торчащие наружу? сдается, что нет. а значит все традиционно, почта, сайт и т.д. хорошо это или плохо, но сейчас даже проводные провайдеры сажают за нат, что уж говорить про мобильные. так что виноваты опять глупые пользователи.
Ну, я обзоры почитала в т.ч. и на англоязычных сайтах. Пишут, что через порт лезет всё-таки. Ну, может у кого на прямую интернет воткнут )) Или адсл модем ) Мегафон-то жив? А то грят колл-центр не работал ))
на связь это не повлияло, что касается колл-центра, железная елена всегда готова помочь, а наличие винды меня там всегда удивляло.
Как абонент Мегафона - не повлияло, да ))
интересно, как бы мы отвечали, если бы он атаковал или ты ведешь перечень недобитых единиц техники?)))
edgar84 писал(а)
или ты ведешь перечень недобитых единиц техники?)))
Именно так.-). или ты ведешь перечень недобитых единиц техники?)))
Не все же из под Windows на форум пишут, кто-то из Linux, Android, iOS.
я думаю хакерам на домашние PC более чем наплевать)
Касперские говорят обратное
более того,про смартфоны настойчиво предупреждают =-O
более того,про смартфоны настойчиво предупреждают =-O
уходим в подполье. Российские хакеры развлекаются, им после избрания Трампа вообще делать нечего, так хоть как-то развеяться)
наебизнес такой, вот сегодня получил смс откровенно мошеннического содержимого
Готов выкупить %ссылка%. Подпись-Андрей. Номер-ростов, т2. Ссылка "с умом" http.domain.name
Я часто слышу сказки "пришла смс и сразу все пропало". Нажал на ссылку-открылся сайт уже другой с некошерным доменом, на нем написано, что надо лезть в настройки и включить источники (что само по себе странно, а при включении будет отдельный запрос на подтверждение), и скачать apk. Качаю. Хром спрашивает, оно тебе точно надо? Может представлять угрозу. Все равно качаю и запускаю-список прав безумный. дальше него продвинется только совершенный пенек с ушами
Готов выкупить %ссылка%. Подпись-Андрей. Номер-ростов, т2. Ссылка "с умом" http.domain.name
Я часто слышу сказки "пришла смс и сразу все пропало". Нажал на ссылку-открылся сайт уже другой с некошерным доменом, на нем написано, что надо лезть в настройки и включить источники (что само по себе странно, а при включении будет отдельный запрос на подтверждение), и скачать apk. Качаю. Хром спрашивает, оно тебе точно надо? Может представлять угрозу. Все равно качаю и запускаю-список прав безумный. дальше него продвинется только совершенный пенек с ушами
Anselm писал(а)
сегодня получил смс откровенно мошеннического содержимого
Готов выкупить %ссылка%. Подпись-Андрей.
сегодня получил смс откровенно мошеннического содержимого
Готов выкупить %ссылка%. Подпись-Андрей.
вчера,19:47 получаю c тлф.+79526071809 : "Это Денис,продаёте?Надумали поторговаться,-http.moide.ru/v
(выделенное-ссылка )
Естественно,ни Дениса,ни данного No я знать не знаю,ни покупать,ни продавать в ближайшее время ничего не затевал,соответственно и торговаться мне не с кем и не о чем.Открывать не стал,подозреваю-ссылка ядовита.
Но кто хочет-может исследовать,дарю! ))
Я месяц назад примерно такое же СМС получил, с другого номера, но со своим настоящим именем. Правда, в данный момент не продаю ничего.
Сайт там по ссылке "Бесплатные мобильные загрузки: android игры". Приложения не из google-play скачиваются, а прямо с их сайта. Скачал первый попавшийся (виндусом), проверил на вирусы касперычем - вируса нет. В эмулятор андоида игра не установилась. Больше ничего там скачивать не стал.
kokon писал(а)
В эмулятор андоида игра не установилась.
В эмулятор андоида игра не установилась.
А в систему проникла,небось(тьфу-3р.ЧЛП)... :-D
Про ВоннаКрай гутарят-он к антивирусникам НИКАКОГО отношения не имеет(значит,невидим для них?),пролазит в бреши системы
нЭнС писал(а)
Про ВоннаКрай гутарят-он к антивирусникам НИКАКОГО отношения не имеет(значит,невидим для них?)
Про ВоннаКрай гутарят-он к антивирусникам НИКАКОГО отношения не имеет(значит,невидим для них?)
"брехня-я-я-я" (цы) :-D .. в превый же день "классифицировали" :) ... да и без АВ он блокировался при правильной организации работы и настройках :) .
FreeCat писал(а)
и без АВ он блокировался при правильной организации работы и настройках
и без АВ он блокировался при правильной организации работы и настройках
ну,незнай...спецы по комп-безопасности с вами не согласны,кяп.
И уже 4и сутки ежесекундно(! 1комп\сек-израильтяне говорят) продолжаются заражения компов-если и не Вонна Край,то его "клонами" и ему подобными зловредами.
И АВ абсолютно бессильны.
нЭнС писал(а)
ну,незнай...спецы по комп-безопасности с вами не согласны,кяп.
ну,незнай...спецы по комп-безопасности с вами не согласны,кяп.
чьи :-D ? ... на сайтах АВ он уже давно "включён" в спискок :) ...
нЭнС писал(а)
И уже 4и сутки ежесекундно(! 1комп\сек-израильтяне говорят) продолжаются заражения компов-если и не Вонна Край,то его "клонами" и ему подобными зловредами.
И уже 4и сутки ежесекундно(! 1комп\сек-израильтяне говорят) продолжаются заражения компов-если и не Вонна Край,то его "клонами" и ему подобными зловредами.
так это не проблема АВ :) .
нЭнС писал(а)
И АВ абсолютно бессильны.
И АВ абсолютно бессильны.
конечно :-D .. против идиотов, которые открывают всякие вложения и разрешают их исполнение никакие АВ не сработают :-D ... разве что гильотина :-D ...
Другое дело что большинство пользовтелей сначала нажимают ссылку - а потом думают *crazy* *wall* *fool*
а теперь наложите график продаж каспера
moncher писал(а)
в 74 странах по всему миру.
в 74 странах по всему миру.
Интересно, как они это подсчитали...
онсельм с мегафону молчит, видать $300 не нашед ишшо
Наверно завал от пострадавших клиентов, не до форума.
ожидаемо. с таким персоналом, обирающим мертвых пользователей нн.ру и накручивающим себе голоса - проблемы неминуемы
скучаешь, противный? не запускался вирус ваш, компилял под свое ядро, день-ночь убил-не рОбОтает
Началось массовое заражение криптовирусом сети мвд по стране. Точно уже есть в липецкой ,пензенской, калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая.
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
РЖД тоже заразило. Все ходят на ушах.
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
Ну а как ты хотел, не американские же, они только вирус придумали))
Этому вирусу уже сто лет, ну, полгода точно.. Просто, видимо, кто-то выкупил и в массы запустил )
сеть мвд торчит на внешку портами?
От ментов не убудет)
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
Нет, это не значит, что русские, а значит, что хорошо подготовились. Заглушка вируса переведена на 19 языков, даже на идиш.
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали
А ничего, что у вируса база с десятком языком и какой из них отображать в сообщении он берет из настроек ОС? Примечательно, что Ukraine в его базе языков нет, и о чем же это может говорить? Еще примечательнее, что в его базе расширений файлов, подлежащих шифрованию, нет расширений 1С, то есть его разработчики с 1С не знакомы вообще.
Аскетично как. Кеды штоль ?
Да, это я как-то настраивал... Вроде ещё FreeBSD-6.2
Сейчас посмотрел - дата скриншота 24 апреля 2007 года.
Сейчас посмотрел - дата скриншота 24 апреля 2007 года.
Скачал вирусов себе на линух.
Распаковал.
Поставил под root.
Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.
Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.
Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.
В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...
Распаковал.
Поставил под root.
Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.
Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.
Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.
В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...
www.yaplakal.com/findpost/59819560/forum1/topic1597178.html
давно ли Монхер кибербезопасностью увлекся?))
www.youtube.com/watch?v=c6tUq0IHVoI
www.youtube.com/watch?v=c6tUq0IHVoI
волнуюсь за Владислава Анатольевича и его wiwimacher. $300 ему не найти, если только своего подзащитного грабануть
У него хотя связи есть. А вот Олёшку если бомбанет, того, который к небесам ближе - шибздец. Не увидим лет пять.
Небесный подвальный, совпадение?
www.youtube.com/watch?v=VAYGqD1-MeE
www.youtube.com/watch?v=VAYGqD1-MeE
Совет говенный, потом проблемы вылезают
если система новая и не надо доступа к старым сервисам - вполне и это может сработать :) .
У меня несколько коллег жаловались на проблемы с сетью после таких твиков, причем на восьмерках-десятках
с принтерами?
Вредные советы от Микрософт по отключению SMB.
support.microsoft.com/en-us/...dows-server-2012
support.microsoft.com/en-us/...dows-server-2012
В комментариях в паблике "Подслушано у полиции" замечательная перекличка пострадавших от вируса по городам.
vk.com/wall-28464698_720473
vk.com/wall-28464698_720473
Кстати нисколько не удивлён, заходил как-то несколько лет назад в Сормовсий ОВД за справкой,
направили в кабинет, там женщина в погонах включает комп, чтобы справку распечатать, а там блокер экрана с неприличной картинкой. Пришлось ещё раз к ним приходить, когда комп разблокировали.
направили в кабинет, там женщина в погонах включает комп, чтобы справку распечатать, а там блокер экрана с неприличной картинкой. Пришлось ещё раз к ним приходить, когда комп разблокировали.
кто-то очень очень любил порнушку поглядывать в рабочее время
moncher писал(а)
МВД Нижнего Новгорода тоже присутствует.
МВД Нижнего Новгорода тоже присутствует.
Где присутствует ?
Да, ошибся, посмотрел первый раз мельком, оказывается на самом деле В.Новгород.
вы меня не правильно поняли похоже...
Насколько вообще можно доверять сообщениям в паблике "подслушано в полиции" ?
Насколько вообще можно доверять сообщениям в паблике "подслушано в полиции" ?
Почему нельзя? Заглянул в портрет Светланы Перегняк,
которая сообщила, что В.Новгород -да 12 мая в 19:37.
Т.е. в В.Новгороде в ОВД прихватили вирус.
В портрете написано место работы, Северо_западное УВДТ, УТ МВД России по СЗФО, и в фотографиях----->
К фото министра приложен текст.
"Министерство внутренних дел Российской Федерации
30 дек 2016
Уважаемые коллеги! Дорогие друзья!
Сердечно поздравляю с наступающим 2017 годом!
Уходящий год был насыщен важными событиями. Прежде всего, он примечателен проведением очередного этапа реформирования МВД России, в рамках которого состоялись структурные преобразования. Передача министерству полномочий миграционной и антинаркотической служб и переход некоторых подразделений органов внутренних дел в структуру недавно созданной Федеральной службы войск национальной гвардии Российской Федерации были продиктованы современными требованиями...."
Нет повода сомневаться, что Светлана Перегняк работает в МВД,
а работник МВД врать не будет. -)
Вы наверное тоже из этой структуры?
которая сообщила, что В.Новгород -да 12 мая в 19:37.
Т.е. в В.Новгороде в ОВД прихватили вирус.
В портрете написано место работы, Северо_западное УВДТ, УТ МВД России по СЗФО, и в фотографиях----->
К фото министра приложен текст.
"Министерство внутренних дел Российской Федерации
30 дек 2016
Уважаемые коллеги! Дорогие друзья!
Сердечно поздравляю с наступающим 2017 годом!
Уходящий год был насыщен важными событиями. Прежде всего, он примечателен проведением очередного этапа реформирования МВД России, в рамках которого состоялись структурные преобразования. Передача министерству полномочий миграционной и антинаркотической служб и переход некоторых подразделений органов внутренних дел в структуру недавно созданной Федеральной службы войск национальной гвардии Российской Федерации были продиктованы современными требованиями...."
Нет повода сомневаться, что Светлана Перегняк работает в МВД,
а работник МВД врать не будет. -)
Вы наверное тоже из этой структуры?
Хочешь такую же страничку сделаю но с другими именами и фамилинй ?
Я не из этой структуры, но с информационной безопачностью знаком не по наслышке. Мое мнение - пока больше истерики, чем какого либо урона. Про бардак в МВД тем более рано говорить.
Я не из этой структуры, но с информационной безопачностью знаком не по наслышке. Мое мнение - пока больше истерики, чем какого либо урона. Про бардак в МВД тем более рано говорить.
Сделай
раыль писал(а)
Про бардак в МВД тем более рано говорить.
Про бардак в МВД тем более рано говорить.
Почему рано, так и есть, если права не могут выдать и документы на машину оформить из-за вируса.
moncher писал(а)
если права не могут выдать и документы на машину оформить из-за вируса.
если права не могут выдать и документы на машину оформить из-за вируса.
Где и с чего ты это взял ?
[Привилегированный пользователь 5 уровня] moncher позавчера в 18:37 <<ответить>>
Работа системы выдачи водительских прав в нескольких регионах России парализована из-за вирусной атаки на компьютеры МВД,
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр
Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main ?
Работа системы выдачи водительских прав в нескольких регионах России парализована из-за вирусной атаки на компьютеры МВД,
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр
Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main ?
Ага
об этом РБК рассказал источник в правоохранительных органах.
как обычно неназванный.
Зы. вот ты сам то на результаты своего опроса посмотри - 100 проголосовало, один заразившийся(ито не факт что именно этим вирусом, а не 100500 всевозможными шифровальщиками)
об этом РБК рассказал источник в правоохранительных органах.
как обычно неназванный.
Зы. вот ты сам то на результаты своего опроса посмотри - 100 проголосовало, один заразившийся(ито не факт что именно этим вирусом, а не 100500 всевозможными шифровальщиками)
раыль писал(а)
100 проголосовало, один заразившийся
100 проголосовало, один заразившийся
WannaCry поразил каждый 5000-й комп, можно сказать, что на нн.ру выше среднего , число заразившихся.
проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (коммандную строку)
Напишите:
dism /online /get-packages | findstr KB4012212
Нажмите Enter
Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Откройте cmd.exe (коммандную строку)
Напишите:
dism /online /get-packages | findstr KB4012212
Нажмите Enter
Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Или
SYSTEMINFO.exe | findstr KB4012212
SYSTEMINFO.exe | findstr KB4012212
moncher писал(а)
dism /online /get-packages | findstr KB4012212
dism /online /get-packages | findstr KB4012212
я нажимаю ентер в виндоус 10, и просто строка поиска закрывается, почему?
запускать надо от имени администратора
moncher писал(а)
Откройте cmd.exe (коммандную строку)
Откройте cmd.exe (коммандную строку)
C Windows 10 всё довольно просто -- достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:
-- версия 1703, любая сборка
-- версия 1607, сборка 14393.953 или выше
-- версия 1511, сборка 105867.839 или выше
-- версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
-- версия 1703, любая сборка
-- версия 1607, сборка 14393.953 или выше
-- версия 1511, сборка 105867.839 или выше
-- версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
_листва писал(а)
версия 1607, сборка 14393.953 или выше
версия 1607, сборка 14393.953 или выше
у меня версия 1607, сборка 14393.1198 , значит надо что-то обновлять?
нет, ибо 953<1198)
согласились, что-то я тормознула с утра, видимо с испугу. Еще свежа память об заархивированном компе на работе и пролитых слезах по восстановлению инфы. Т.к. все тупо переустановили.
резервное копирование - прекрасная идея;-)
))) дома есть на работе в принципе все реально важное на сервере. А так кое какая переписка. Фотки по моему. 3 ндфл не тронул. Так уж просто подбивалась , обидно на ровном месте.зато какой урок всему окружению и коллегам рассказала. Интересен факт, что с тех пор мне на почту подобные вирусы пачками идут, что интересно именно с моей поры.тематикой. Те то что я реально могу открыть
Девушкам считать не обязательно, если жизнь удалась
)))) жизнь удалась. Именно потому, что очень хорошо считаю и высчитываю.
/ответы в теме уже нашел
...ges|findstr KB4012212
Стесняюсь спросить-м.б. я этот значок неправильно ввожу?Нигде не найду его(вертикальная черта)?
%-) Ни один # у меня на W7 не "сыграл"...
moncher писал(а)
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Зашёл,опять туплю...куды бедному крестьянину податься?? ничего про Win7 не вижу...
Карта заражений
intel.malwaretech.com/botnet/wcrypt
intel.malwaretech.com/botnet/wcrypt
Россия никому не интересна?
Пишут, что самое большое число заражений именно в России и на Тайване.
Видимо потому, что используют левые Windows с блокировкой обновлений.
Видимо потому, что используют левые Windows с блокировкой обновлений.
в тайге медведи без интернету, вот илон запустит спутники wifi.. ситуация изменится
Выпилить SMBv1 из системы можно через командную строку.
dism /online /norestart /disable-feature /featurename:SMB1Protocol
dism /online /norestart /disable-feature /featurename:SMB1Protocol
У меня даже антивируса не стоит, удолил неделю назад - поскольку мой любимый антивирус убил Яндекс, вот ведь звери (вот где вирус-то, это я про агнитум, что поменялся на яндекс, если кто понимает, что теперь, комод что ли ставить..)
Тем не менее, через критические уязвимости 0-го дня, пролезает только ничтожная часть вирусов. Основную массу сам клиент скачает и запустит в свободное время. Этого типа не жалко..
Тем не менее, через критические уязвимости 0-го дня, пролезает только ничтожная часть вирусов. Основную массу сам клиент скачает и запустит в свободное время. Этого типа не жалко..
Антивирусы ещё не ловили этот зловред, когда атака началась.
Да они у меня за 20 лет вообще ничего не поймали (раз в месяц скачиваю бесплатную версию для одноразовой проверки, ну это у всех есть). Потому стабильно удивляюсь, где люди эти вирусы вообще берут...
Пронесло как-то. Видимо потому что у меня 7-8 основных сайтов которые посещаю на 90% своего времени в интернете.
Этому вирусу пофиг какие вы сайты посещаете, он тупо сканирует IP адреса всех компьютеров в сети.
Т.е. по вашему вирус как попадает на комп?
Сканирует открытые порты.
"сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
Судя по всему, для атаки используется уязвимость протокола SMBv1."
geektimes.ru/post/289115/
"сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
Судя по всему, для атаки используется уязвимость протокола SMBv1."
geektimes.ru/post/289115/
Спасибо, почитала ) А то чёт на одну панику в СМИ натыкалась ))
у кого проброшен наружу порт для самбы? просто интересно..
Ну, я на Пикабу почитала.. Народ ловит. Даже терминалы Сбера в Питере словили )) Фотки были.
ловят, но не через порт. принесли на флешке/из почты на один из компов в корпоративной сети, а там уже порты сканирует и так скачет. не вижу никакой проблемы, чтобы доскакать до банкомата
moncher писал(а)
он тупо сканирует IP адреса всех компьютеров в сети
он тупо сканирует IP адреса всех компьютеров в сети
ага, ага ... пускай попробует через правильно настроенный роутер просканить :-D ...
FreeCat писал(а)
через правильно настроенный роутер
через правильно настроенный роутер
по идее почти все home роутеры(nat) по дефолту режут smb извне. Плюс вроде как некоторые операторы(РТ вроде как) сами режут у себя (smb решето то ещё, не нужны операторам генераторы трафика в виде ботнетов)
так и есть :) .
скорее никак (читай стандартно) настроенный
угу :) .
Не атаковал.
Авраамово лоно.
www.youtube.com/watch?v=yYRJoc5ttxA
www.youtube.com/watch?v=yYRJoc5ttxA
И не надо его на-ам..
Ну ни как не надо.
Ну ни как не надо.
А как быть тем, у кого до сих пор win XP/2003?
Security Update for WES09 and POSReady 2009 (KB4018466)
www.catalog.update.microsoft.com/Search.aspx?q=KB4018466
www.catalog.update.microsoft.com/Search.aspx?q=KB4018466
Нашел уже. Но всё равно спасибо
Вроде не подцепил эту дрянь.
MS17-010
Так эта заплатка в середине марта вышла.
З.Ы. У мну Windows 10 версия 1703, так что пофиг :)
Так эта заплатка в середине марта вышла.
З.Ы. У мну Windows 10 версия 1703, так что пофиг :)
на всякий протер монитор марганцовкой
Хочу знать сколько они заработалиииииииииии ) Но никто не скажет (
Вот адреса кошельков куда поступают платежи, пока не много всего 61 транзакция на все три.
Можете отслеживать.
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Можете отслеживать.
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Сомневаюсь, что на весь мир у них 3 кошелька. Палевно слишком.
Видимо три человека над вирусом работали.-)
"в англоязычных источниках пишут, что взломщики используют ограниченное множество bitcoin-адресов." - как-то так )
около 6 тыс долларов
Вряд ли )) Я думаю, что в разы больше. Мало больно 6к баксов для такой атаки ) Вообще, ни о чём. Интересно, сколько баз параллельно с этим слито )
Мой старенький MacBookPro никому не нужен)
Просто вы об этом ещё не знаете.
Мне всё равно. Я под Линукс.
05.05.2017 Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux
nnet.ru/opennews/art.shtml?num=46503
nnet.ru/opennews/art.shtml?num=46503
moncher писал(а)
NFS-сервера
NFS-сервера
его ещё поднять надо для начала.
а потом на внешку пробросить, а потом получить белый айпишник, что в наше время удается не всем)
Не, ну справедливости ради для уязвимости указанной ТС надо бы тоже белый ип адрес иметь.либо маршрутизатор криво настроенный), либо чтобы кто то притащил заразу извне.
Ключевое отличие двух уязвимостей в том что смб(причем в1) включена по дефолту практически на всех виндах. С нфс это скорее исключение.
Ключевое отличие двух уязвимостей в том что смб(причем в1) включена по дефолту практически на всех виндах. С нфс это скорее исключение.
не криво, а специально настроенный. в общем все эти страхи про анб оказались очередным враньем
Да, но иногда есть нюансы
habrahabr.ru/post/134638/
habrahabr.ru/post/134638/
1. циски не админят те, кто не отключает такие вещи
2. у провайдера множество клиентов использует 192.168.0.0/24 в качестве локалке
3. простой коммутатор (узел доступа) не предлагает айпишников, их дает брас, но на нем еще больше клиентов, будь на нем прописан указанный маршрут, получилась бы каша
4. к тому же атакующему нужно знать ip или минимум маску подсети, влиять на провайдера и прочее.. это очень круто и будет быстро замечено
5. вобла уже спалилась, когда ее маршруты утекли во внешний интернет, но это отдельная долгая и интересная история, так что кривые маршруты ломают сразу много
2. у провайдера множество клиентов использует 192.168.0.0/24 в качестве локалке
3. простой коммутатор (узел доступа) не предлагает айпишников, их дает брас, но на нем еще больше клиентов, будь на нем прописан указанный маршрут, получилась бы каша
4. к тому же атакующему нужно знать ip или минимум маску подсети, влиять на провайдера и прочее.. это очень круто и будет быстро замечено
5. вобла уже спалилась, когда ее маршруты утекли во внешний интернет, но это отдельная долгая и интересная история, так что кривые маршруты ломают сразу много
Якобы пароль для расшифровки файлов, который публикуется в сети.
WNcry@2ol7
WNcry@2ol7
Пишут что в червяке был kill switch который сейчас активировали -- т.е. распространение имено этой версии прекратилось
twitter.com/GossiTheDog/status/863160534308454400/
twitter.com/GossiTheDog/status/863160534308454400/
Если этот криптор использовал эксплоит украденный у АНБ, то мы наверно еще и спасибо должны сказать его авторам (криптора), т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?
moncher писал(а)
т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
каким образом то ?
низкий уровень развития и грамотности сотрудников
Я про то как он продемонстрировал то.
Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
раыль писал(а)
Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
Ну если даже первый заместитель председателя комитета по обороне и безопасности Совета Федерации Федерального Собрания Российской Федерации возбудился и назвал эту вирусную атаку "кибертерроризмом", Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
то видимо не защищённость госструктур проявилась вполне отчётливо.
ну потому что это кибертерроризм и есть. Насчет госструктур - их дофига и больше, типа школ,больниц, роспотребнадзоров и прочих чиновников. Естественно там никто особо на заморачивается на тему информационной безопасности (хотя это везде так).
Да и ключевым последствием атаки является потеря информации, а не количество вышедших из строя компьютеров.
Да и ключевым последствием атаки является потеря информации, а не количество вышедших из строя компьютеров.
раыль писал(а)
Насчет госструктур - их дофига и больше, типа школ,больниц, роспотребнадзоров и прочих чиновников. Естественно там никто особо на заморачивается на тему информационной безопасности (хотя это везде так).
Ну в МВД то просто обязаны заморачиваться, люди в погонах, документы не для общего пользования в компьютерах хранятся, а получается даже там бардак.
Насчет госструктур - их дофига и больше, типа школ,больниц, роспотребнадзоров и прочих чиновников. Естественно там никто особо на заморачивается на тему информационной безопасности (хотя это везде так).
moncher писал(а)
х, документы не для общего пользования в компьютерах хранятся
х, документы не для общего пользования в компьютерах хранятся
Кто вам сказал что документы которые "не для общего пользования" уничтожены или попали в чьи то руки ?
я собственно этого от вас добиваюсь.
так вам, виндовозникам, и надо.
+
пропиетарное дырявое решето.
пропиетарное дырявое решето.
Какой-то британский уч0ный программист его случайно уже прибил. Но, похоже, временно.
die_Schlange писал(а)
Но, похоже, временно.
Да, уже подсуетились. Но, похоже, временно.
@kennwhite
Seeing reports of new #WannaCry variant in the wild, ignoring the kill switch.
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
-- Darien Huss (@darienhuss) May 12, 2017
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
-- MalwareTech (@MalwareTechBlog) May 13, 2017
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .
meduza.io/news/2017/05/13/ra...faewrwergwea-com
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
-- Darien Huss (@darienhuss) May 12, 2017
Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
-- MalwareTech (@MalwareTechBlog) May 13, 2017
Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .
meduza.io/news/2017/05/13/ra...faewrwergwea-com
Пионеры балуются...
Матёрым волкам - вся это смена домена, примерно как мёртвому горчишник...
Матёрым волкам - вся это смена домена, примерно как мёртвому горчишник...
Ещё не известно кто пионеры, возможно распространители вируса и есть пионеры,
потому, что вся информация по сборке вируса выложена в сети.
потому, что вся информация по сборке вируса выложена в сети.
Знаете, вирус я и сам могу сочинить.. И мне для этого даже инструкция по сборке не нужна, и сам придумаю. Но - зачем? Сегодня как правило всё стараются монетизировать - а вот тут всё уже куда сложнее будет. Могут даже и закрыть на всякий случай.
Перечислить деньги анонимно кому угодно - вроде проблем нет. А вот обналичить и не спалиться - уже нужен суровый опыт.
Перечислить деньги анонимно кому угодно - вроде проблем нет. А вот обналичить и не спалиться - уже нужен суровый опыт.
Подозреваю, у этих пионеров этот домен в файле hosts прописан...
Мне пофиг. Юбунта как основная а если виртуалку заразит то просто переставлю винду) данных на ней нет.
Тем у кого возникает ошибка "Обновление не применимо к этому компьютеру", накатите сначала SP1 (актуально для Windows 7)
Для 32-разрядной ОС (windows6.1-KB976932-X86.exe) 514.7 Мб
Для 64-разрядной ОС (windows6.1-KB976932-X64.exe) 865.4 Мб
download.microsoft.com/downl...KB976932-X86.exe
download.microsoft.com/downl...KB976932-X64.exe
Для 32-разрядной ОС (windows6.1-KB976932-X86.exe) 514.7 Мб
Для 64-разрядной ОС (windows6.1-KB976932-X64.exe) 865.4 Мб
download.microsoft.com/downl...KB976932-X86.exe
download.microsoft.com/downl...KB976932-X64.exe
moncher писал(а)
который закрывает уязвимость сервера SMB
который закрывает уязвимость сервера SMB
какой же идиот открывает наружу 445-й порт :) ?
а чего там на этом порте и как его заблокировать?
Патчи для исправления этой уязвимости можно скачатать на официальном сайте:
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Патч, для старых систем (Windows XP, Winows Server 2003R2)
blogs.technet.microsoft.com/...nacrypt-attacks/
www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Скачать и запустить.
technet.microsoft.com/en-us/library/security/ms17-010.aspx
Патч, для старых систем (Windows XP, Winows Server 2003R2)
blogs.technet.microsoft.com/...nacrypt-attacks/
www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Скачать и запустить.
про XP 32 битную не нашел чота(
Elantra USA 20 писал(а)
про XP 32 битную не нашел чота(
Вторая строчка сверху про XP 32 битную не нашел чота(
www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
SP3 надо будет установить тогда)
ps спс за полезное и грамотное ведение темы
ps спс за полезное и грамотное ведение темы
ошибку выдает...
может тоже SP3 установить нужно?
он и установлен
кстати открылось, перегруз, возможно, был с утра))
кстати открылось, перегруз, возможно, был с утра))
SP3 для Windows XP
www.skaip.su/sp3-dlya-windows-xp
www.skaip.su/sp3-dlya-windows-xp
smb - обмен файлами в винде короче. всякие общие папки в сети, общие принтеры и т.д.
Нет. Предохраняться надо :)
Анализ работы WannaCry
habrahabr.ru/post/328548/
habrahabr.ru/post/328548/
у меня в клиентах более 2тысяч компьютеров. вирусы вымогатели-шифровальщики вот уже как пару лет как существуют, естественно за это время были случаи, но виноваты в этом только пользуны безответственные. собственно рассылки и т.д. информируют пользователей. попадают только самые тупые - место им метлой улицы подметать.
в этот раз никто не попался.
в этот раз никто не попался.
pirotechnic писал(а)
в этот раз никто не попался.
в этот раз никто не попался.
Дык выходные же. Компы рабочие у всех отключены :))
вчера рабочий день был вроде
всплеск активности под вечер только пошел
Виновата неправильно настроенная политика безопасности.
1. У каждого клиента в сети и у сервера, должны быть открыты только необходимые порты.
2. Все клиенты должны под правами пользователя работать, а на сервере должна Active Directory (с контролером домена) быть настроена в соответствии с заданными правами. В этом случае, никакие системные изменения невозможны, и пользователь самостоятельно никакой софт не сможет установить (ни по собственному желанию, ни случайно).
3. Проверка на вирусы всех внешних накопителей, перед тем как пользователь может файл открыть.
4. Запрет на скачивание исполняемых файлов, средствами брендмаура.
5. Проверка всех скаченных из инернета файлов (причем по заданным расширениям). Т.е. например запрет на скачивание торрент-файла или avi (т.е. политика - запрещено скачивать всё, кроме разрешенных форматов). Здесь зависит от специфики предприятия. Как правило достаточно разрешить скачивать архивы, и документы офиса.
6. Вся почта должна получаться в одну выделенную директорию (или в несколько, в зависимости от специфики предприятия), и сразу-же проверяться антивирусом.
7. Если есть торговые или бухгалтерские программы работающие через сервер, то постоянного интернета на этом сервере быть не должно (подключать интернет только в момент обслуживания сервера). Т.е. для таких программ, нужен отдельный сервер.
8. Бэкапы, всех рабочих директорий на сервере и бухгалтерских баз данных.
И если все правильно будет настроено, то никакая тупизна пользователя, не сможет сеть уронить, и работу организации остановить.
Разумеется все это, может материальных затрат потребовать. И как-бы руководство организации, должно само решать, что важнее - потеря документов, баз, платить за восстановление всего этого (и не факт что восстановить получится), либо заранее вложиться в безопасность.
1. У каждого клиента в сети и у сервера, должны быть открыты только необходимые порты.
2. Все клиенты должны под правами пользователя работать, а на сервере должна Active Directory (с контролером домена) быть настроена в соответствии с заданными правами. В этом случае, никакие системные изменения невозможны, и пользователь самостоятельно никакой софт не сможет установить (ни по собственному желанию, ни случайно).
3. Проверка на вирусы всех внешних накопителей, перед тем как пользователь может файл открыть.
4. Запрет на скачивание исполняемых файлов, средствами брендмаура.
5. Проверка всех скаченных из инернета файлов (причем по заданным расширениям). Т.е. например запрет на скачивание торрент-файла или avi (т.е. политика - запрещено скачивать всё, кроме разрешенных форматов). Здесь зависит от специфики предприятия. Как правило достаточно разрешить скачивать архивы, и документы офиса.
6. Вся почта должна получаться в одну выделенную директорию (или в несколько, в зависимости от специфики предприятия), и сразу-же проверяться антивирусом.
7. Если есть торговые или бухгалтерские программы работающие через сервер, то постоянного интернета на этом сервере быть не должно (подключать интернет только в момент обслуживания сервера). Т.е. для таких программ, нужен отдельный сервер.
8. Бэкапы, всех рабочих директорий на сервере и бухгалтерских баз данных.
И если все правильно будет настроено, то никакая тупизна пользователя, не сможет сеть уронить, и работу организации остановить.
Разумеется все это, может материальных затрат потребовать. И как-бы руководство организации, должно само решать, что важнее - потеря документов, баз, платить за восстановление всего этого (и не факт что восстановить получится), либо заранее вложиться в безопасность.
пример:
приходит письмо от "якобы клиента", во вложении "акт сверки.zip", в теле просят оплатить оставшийся долг, пароль для зипа говорят, пользун открывает архив, а там жмакает js, который лезет на хитрый сайт и уже от туда цепляет тело. антивирь как правило опаздывает на день-два.
но при выполнении твоих условий только тачка пользуна шифруется. js не запретишь, надо просто профилактическую работу с пользунами вести, кому не помогает - на улицу.
приходит письмо от "якобы клиента", во вложении "акт сверки.zip", в теле просят оплатить оставшийся долг, пароль для зипа говорят, пользун открывает архив, а там жмакает js, который лезет на хитрый сайт и уже от туда цепляет тело. антивирь как правило опаздывает на день-два.
но при выполнении твоих условий только тачка пользуна шифруется. js не запретишь, надо просто профилактическую работу с пользунами вести, кому не помогает - на улицу.
pirotechnic писал(а)
js не запретишь
js не запретишь
можно кстати, именно запуск пользователем js орграничить(js на сайтах причем работать будет)
в большинстве случаев можно
А как он это тело подцепит, если все системные файлы заблокированы на изменения? При всем желании, системные файлы он не сможет изменить под правами пользователя (под этими правами он даже какой нибудь WinRAR установить не сможет или текстовый файл в папку Program Files, Program Data или Windows перемесить). Это при том, что антивурус и фаервол не обратят внимание на этот файл и его подозрительную попытку изменить файлы системы.
а он не меняет системные файлы.
шифрует файлы пользователя
шифрует файлы пользователя
Он не просто шифрует, а еще и систему блокирует и изменения в нее вносит.
Шифровальщик при работе удаляет теневые копии системной командой, затрагивает диск C:.
Т.е. права нужны для выполнения системной команды, у пользователей нет таких прав.
Шифровальщик при работе удаляет теневые копии системной командой, затрагивает диск C:.
Т.е. права нужны для выполнения системной команды, у пользователей нет таких прав.
систему не блокирует, а добавляет.
теневые копии - создатель пользун, их и удаляет.
вообще, я вижу, что ты не сталкивался просто.
теневые копии - создатель пользун, их и удаляет.
вообще, я вижу, что ты не сталкивался просто.
Так в любом случае, резервные копии относятся к системным файлам и удаляет их вирус имея к ним полный доступ. Под контролером домена в локальной сети, права пользователя можно ограничить, так что пользователь теневую копию не создаст и не удалит (ибо она не нужна, если у него прав нет на установку чего бы то ни было).
А вот админам да, доп.работа. Установил систему, установил весь нужный софт - будь добр, сделай после этого резервную копию, под своими правами, на случай сбоя системы.
А резервные копии документов на ПК, вообще не зачем хранить, как и сами важные документы. Для этого сервер есть, где настроен бэкап на дополнительный жесткий диск.
И права доступа к своей директории на сервере у каждого пользователя, только к его папке (для обмена инфой внутри сети, создается расшаренная папка). И все эти папки с файлами, средствами сервера бэкапятся ежедневно (а то и несколько раз в день), на специально установленный жесткий диск.
А доступ этого сервера в интернет - должен быть ограничен, и только админ для тех.обслуживания сервера, в интернет с него выйти может.
Т.е. ломается рабочая станция у пользователя (не важно из-за вируса или из-за железа), все его документы сохранены на сервере. Админу остается только рабочую станцию в порядок привести, установить систему и софт, и подключить ПК к сети. Пользователь даже изменений не заметит.
Конечно не сталкивался, хотя зарекаться не нужно, но стараюсь по-максимуму защититься. Например антивирус и фаервол на домашнем ПК, официально куплены, т.е. не пиратские версии (как и сама система - тоже официально приобретена и постоянно обновляется).
А вот админам да, доп.работа. Установил систему, установил весь нужный софт - будь добр, сделай после этого резервную копию, под своими правами, на случай сбоя системы.
А резервные копии документов на ПК, вообще не зачем хранить, как и сами важные документы. Для этого сервер есть, где настроен бэкап на дополнительный жесткий диск.
И права доступа к своей директории на сервере у каждого пользователя, только к его папке (для обмена инфой внутри сети, создается расшаренная папка). И все эти папки с файлами, средствами сервера бэкапятся ежедневно (а то и несколько раз в день), на специально установленный жесткий диск.
А доступ этого сервера в интернет - должен быть ограничен, и только админ для тех.обслуживания сервера, в интернет с него выйти может.
Т.е. ломается рабочая станция у пользователя (не важно из-за вируса или из-за железа), все его документы сохранены на сервере. Админу остается только рабочую станцию в порядок привести, установить систему и софт, и подключить ПК к сети. Пользователь даже изменений не заметит.
Конечно не сталкивался, хотя зарекаться не нужно, но стараюсь по-максимуму защититься. Например антивирус и фаервол на домашнем ПК, официально куплены, т.е. не пиратские версии (как и сама система - тоже официально приобретена и постоянно обновляется).
не рассказывай мне это, я в отпуск хочу.
вобщем подведу итог - ни один не заразился из моих.
профилактика -сила ;)
вобщем подведу итог - ни один не заразился из моих.
профилактика -сила ;)
pirotechnic писал(а)
js не запретишь
js не запретишь
WSH вполне отключается :) .
в свое время помучился в хп с отключениями, так другое переставало работать, там схема просто такая работы, я не стал свое вносить и бахнул всех на виртуалки, а доступ к каталогам пользователей по скриптам. и волки сыты и овцы целы ;)
pirotechnic писал(а)
в свое время помучился в хп с отключениями, так другое переставало работать
в свое время помучился в хп с отключениями, так другое переставало работать
в самом деле он практически не нужен для реальной работы - а для настройки можно включить на время и опять потом выключить :) .
pirotechnic писал(а)
я не стал свое вносить и бахнул всех на виртуалки, а доступ к каталогам пользователей по скриптам. и волки сыты и овцы целы
я не стал свое вносить и бахнул всех на виртуалки, а доступ к каталогам пользователей по скриптам. и волки сыты и овцы целы
ну можно и так *yes* .
Работа системы выдачи водительских прав в нескольких регионах России парализована из-за вирусной атаки на компьютеры МВД,
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр
Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр
Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main
вот что меня во всем этом, скажем так, удивляет - это то, что системы вроде баз мвд или (как в Британии) вообще больничные операционные с оборудованием в них - открыто светят аки решето в инет... этож каким нада быть профессиОналом, чтоб так критические ис настраивать?
пппц...
пппц...
А что, так трудно Shadow Defender поставить?
Хлебный квас писал(а)
Shadow Defender
программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным. Shadow Defender
Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe
habrahabr.ru/post/328548/
Имеется ввиду теневая копия как служба восстановления ОС Виндовс. SD же не является службой винды. Да уж если на то пошло, то трудно архивы наиболее важных документов на внешнем диске делать?
не сложно, но 99% пользователей этого не делает.
Как обычно, пока "жареный петух в .опу не клюнет" )))
Нет. На десктопе Линукс. Все важные файлы шифрую и периодически копирую в облако. Об антивирусах и вирусах забыл давно.
Яблочко рулит
Заплати 300 баксов и спи спокойно. Будь мужиком
такое ощущение, что микрософт, сам разработал и внедрил этот вирус.
вирус вряд ли, а бэкдор то специально оставили.
это не бекдур. это - индусы *pardon* .
Процесс заражения компа вирусом.
www.youtube.com/watch?v=fkF4IVW5xiQ
www.youtube.com/watch?v=fkF4IVW5xiQ
А какая связь между заплаткой на smb и запуском вирусняка на локальной машине?
может и атаковал, кто ж его знает. но я по пятницам не подаю.
а если у меня на рабочем столе в углу надпись типо "ахтунг вы пользуетесь не лицензионным виндоусом", мне это дополнение от макрософага установится? или нужно опять лезть чистить обновления чтобы не было этой надписи?
Нет. Патч только что поставил, и он поставился, хотя винда была обновлена и так. Или он накатом из файла встает все равно, независимо от статуса обновления?
Порты у меня закрыты - роутер, на котором нет проброшенных портов + за за НАТом провайдера. А на носителях не принесли, слава богу. Или он так не распространяется?
ЗЫ. 300 бакинских бы не стал платить. Нет у меня данных по такой цене дома. Разве что часть фотографий пропадет. Сейвы от игрушек вряд ли оно шифрует. А так - формат С:\, всего зашифрованного и восстановление из имейджа системы, или накатывание новой.
Порты у меня закрыты - роутер, на котором нет проброшенных портов + за за НАТом провайдера. А на носителях не принесли, слава богу. Или он так не распространяется?
ЗЫ. 300 бакинских бы не стал платить. Нет у меня данных по такой цене дома. Разве что часть фотографий пропадет. Сейвы от игрушек вряд ли оно шифрует. А так - формат С:\, всего зашифрованного и восстановление из имейджа системы, или накатывание новой.
В <<Лаборатории Касперского>> указали на вероятных создателей вируса WannaCry
Ведущий аналитик <<Лаборатории Касперского>> Александр Гостев написал в своем фейсбуке, что за созданием вируса-вымогателя WannaCry, который поразил сотни тысяч компьютеров по всему миру за последние дни, могут стоять хакеры из Северной Кореи.
<<Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышим] в последнее время. Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus>>, -- написал Гостев.
www.gazeta.ru/tech/news/2017/05/15/n_10050497.shtml
Ведущий аналитик <<Лаборатории Касперского>> Александр Гостев написал в своем фейсбуке, что за созданием вируса-вымогателя WannaCry, который поразил сотни тысяч компьютеров по всему миру за последние дни, могут стоять хакеры из Северной Кореи.
<<Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышим] в последнее время. Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus>>, -- написал Гостев.
www.gazeta.ru/tech/news/2017/05/15/n_10050497.shtml
Да могут и они стоять.
Возникает вопрос - что же у вас компьютеры такое говно, на котором каждый упоротый хакер из северной или там южной кореи может устраивать какую угодно вирусную атаку?
Возникает вопрос - что же у вас компьютеры такое говно, на котором каждый упоротый хакер из северной или там южной кореи может устраивать какую угодно вирусную атаку?
Дело не в компьютере, а либо в неграмотности админов либо в их лени (либо в жадности директора предприятия\организации).
Для чего 445 порт, открывать наружу?
Вот "SMB (Server Message Block, работающее через 445 порт) -- это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения".
А это уже с сайта MS: "Описание компонента
Протокол SMB -- это сетевой протокол для общего доступа к файлам, который позволяет приложениям компьютера читать и записывать файлы, а также запрашивать службы серверных программ в компьютерной сети. Протокол SMB может использоваться поверх протокола TCP/IP или других сетевых протоколов. С помощью протокола SMB приложение (или использующий его пользователь) может получать доступ к файлам и другим ресурсам удаленного сервера. Это позволяет приложениям читать, создавать и обновлять файлы на удаленном сервере. Этот протокол может также обмениваться данными с любой серверной программой, которая настроена на получение клиентских запросов SMB. В Windows Server 2012 используется новая версия протокола SMB -- SMB 3.0."
И еще оттуда-же (Общие сведения о протоколе SMB):
Шифрование SMB
Обеспечивает непрерывное шифрование данных SMB и защищает их от перехвата в недоверенных сетях. Не нуждается в новых затратах на развертывание, протоколе IPsec, специализированном оборудовании и ускорителях WAN. Шифрование SMB может быть настроено для отдельных ресурсов или всего файлового сервера и может быть включено для ряда сценариев, при которых данные проходят через недоверенные сети.
...
Для поддержки многоканальности SMB необходимо соблюдать следующие требования.
Минимум два компьютера с Windows Server 2012. Установки дополнительных компонентов не требуется -- эта технология включена по умолчанию....
technet.microsoft.com/ru-ru/library/hh831474(v=ws.11).aspx
Т.е. либо в MS посчитали, что все админы в мире грамотные, и закроют этот порт, и без надобности никогда его не откроют, либо специально такую уязвимость создали, где шифрование и общий доступ к документам, через один порт осуществляется. Вот хакеры и зашифровали файлы с общим доступом...
Для чего 445 порт, открывать наружу?
Вот "SMB (Server Message Block, работающее через 445 порт) -- это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения".
А это уже с сайта MS: "Описание компонента
Протокол SMB -- это сетевой протокол для общего доступа к файлам, который позволяет приложениям компьютера читать и записывать файлы, а также запрашивать службы серверных программ в компьютерной сети. Протокол SMB может использоваться поверх протокола TCP/IP или других сетевых протоколов. С помощью протокола SMB приложение (или использующий его пользователь) может получать доступ к файлам и другим ресурсам удаленного сервера. Это позволяет приложениям читать, создавать и обновлять файлы на удаленном сервере. Этот протокол может также обмениваться данными с любой серверной программой, которая настроена на получение клиентских запросов SMB. В Windows Server 2012 используется новая версия протокола SMB -- SMB 3.0."
И еще оттуда-же (Общие сведения о протоколе SMB):
Шифрование SMB
Обеспечивает непрерывное шифрование данных SMB и защищает их от перехвата в недоверенных сетях. Не нуждается в новых затратах на развертывание, протоколе IPsec, специализированном оборудовании и ускорителях WAN. Шифрование SMB может быть настроено для отдельных ресурсов или всего файлового сервера и может быть включено для ряда сценариев, при которых данные проходят через недоверенные сети.
...
Для поддержки многоканальности SMB необходимо соблюдать следующие требования.
Минимум два компьютера с Windows Server 2012. Установки дополнительных компонентов не требуется -- эта технология включена по умолчанию....
technet.microsoft.com/ru-ru/library/hh831474(v=ws.11).aspx
Т.е. либо в MS посчитали, что все админы в мире грамотные, и закроют этот порт, и без надобности никогда его не откроют, либо специально такую уязвимость создали, где шифрование и общий доступ к документам, через один порт осуществляется. Вот хакеры и зашифровали файлы с общим доступом...
Подставу для северокорейцев сварганили пендосы, имхо. Это как с химоружием в Сирии.
blog.kaspersky.ru/wannacry-ransomware/16147/
Эпидемия шифровальщика WannaCry: что произошло и как защититься
...
Что такое WannaCry?
В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.
В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.
WannaCry: эксплойт и способ распространения
Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.
Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.
После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.
WannaCry: шифровальщик
WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.
Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.
После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.
Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.
Как регистрация домена приостановила заражение и почему это еще не все
Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.
Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.
Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.
Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.
К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
Способы защиты от WannaCry
К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.
Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:
Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы...
Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.
У нас есть отдельный пост с советами для бизнес-пользователей.
===
Эпидемия шифровальщика WannaCry: что произошло и как защититься
...
Что такое WannaCry?
В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.
В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.
WannaCry: эксплойт и способ распространения
Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.
Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.
После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.
WannaCry: шифровальщик
WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.
Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.
После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.
Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.
Как регистрация домена приостановила заражение и почему это еще не все
Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.
Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.
Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.
Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.
К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
Способы защиты от WannaCry
К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.
Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:
Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы...
Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.
У нас есть отдельный пост с советами для бизнес-пользователей.
===
vladmir писал(а)
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие.
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие.
вот тока попадает она на "один компьютер" не потому что использует уязвимость SMB - а потому что какой-то идиот его запускает :) .
Рейтинг основных форумов
Городские форумы
Городской форум
Городской форум для новичков
Нижегородская политика
Жалобная книга
Бабский форум
Мужской
Анонимный медицинский форум
Дурацкие вопросы
Автофорумы
Автофорум главный
Девушка за рулем
ВАЗ форум
4х4 форум
Жалобный
Шевроле Форум
Такси
Автозапчасти
Гаражный форум
KIA-форум
Рено форум
Hyundai Форум
VAG Форум
Форумы покупок
Центр раздач: информационный форум
Глав-Пристрой (со всех форумов, взрослый)
Совместная покупка
Совместная покупка: центральный
Совместная покупка: взрослый
Совместная покупка: вкусный
Совместная покупка: мама и малыш
Совместная покупка: уютный
Совместная покупка: сбор предоплаты, раздачи
Совместная покупка: услуги
Совместная покупка: область
Совместная покупка: Дзержинск
Совместная покупка: Саров
Зарубежные интернет-покупки
Покупаем вместе
Покупаем Вместе: Основной
Покупаем вместе: БОЛЬШОЙ ШОПИНГ (взрослый)
Покупаем вместе: БЕБИ-ШОП (детский)
Покупаем вместе: ДОМОВОЙ
Покупаем вместе: ГАСТРОНОМ
Покупаем вместе: Сбор предоплаты, раздачи
Покупаем Вместе: пристрой
Покупаем Вместе: услуги
Выгодная покупка
Выгодная покупка - общие вопросы
Выгодная покупка - взрослый
Выгодная покупка - детский
Выгодная покупка - сбор предоплаты, раздачи
Выгодная покупка - объявления
Форум закупок
Мой малыш
Мой малыш - Основной
Мой малыш - Объявления. Общий
Мой малыш - Объявления: детская одежда
Мой малыш - Объявления: детская обувь
Мой малыш - Объявления: детский транспорт, игрушки, мебель
Халявный
Халявный (основной)
Котята и др. животные
Элитный (продажа неликвидных товаров)
Услуги
Домоводство
Полезный форум
Бытовые проблемы
Деревенский форум
Домоводство
Цветочный форум
Форум владельцев кошек
Дачный. Основной.
Бытовая Техника
Творческий
Рукоделие основной
Форумы по интересам
Фиолетовый форум
Сделаны в СССР
Музыкальный
Кино форум
Кладоискатели и коллекционеры
Рыболовный
Охотничий
Стильный форум
Флирт, Любовь, Знакомства
Фотофорум
Здоровье
Развитие Человека
Пивной форум
Кулинарный
Парфюмерный
Парфюмерная Лавка
Собачий форум
Собачий форум: Основной
Собачий форум: пристрой животных
Наши Дети
Наши дети
Школьный форум
Особые дети
Технофорумы
Интернет-НН
GPS форум
Мобильный форум
Техно-форум
Технотуса
Проф. и бизнес форумы
Бизнес форум
Фотография
Недвижимость
Банковский форум
Медицина
Форум трейдеров
Бухучет и аудит
Юридический
Подбор персонала
Разработчики ПО
Строительные форумы
Строительный форум (основной)
Окна
Форум электриков
Мебель
Кондиционирования и вентиляция
Форум строительных объявлений
Форум проектировщиков
Все строительные форумы
Туризм, отдых, экстрим
Туризм, отдых, экстрим
Спортивные форумы
Клуб болельщиков
Спортплощадка
Боевые искусства
Велофорумы Нижнего Новгорода
Велофорум Нижнего Новгорода
Путешествия
Нижегородская область
Недвижимость
Недвижимость
Ипотека
Земельный форум
ТСЖ
Садоводческое товарищество
Жилые районы
Автозаводский район
Сормовский район
Мещерское озеро
Все форумы районов
Форумы домов
Корабли
Новая Кузнечиха
Октава ЖК (ул. Глеба Успенского)
Мончегория ЖК
Аквамарин ЖК (Комсомольская пл.)
Сормовская Сторона ЖК
КМ Анкудиновский парк ЖК
Красная Поляна ЖК (Казанское шоссе)
Времена Года ЖК (Кстовский р-он)
Стрижи ЖК (Богородский р-он)
На Победной ЖК (Победная ул., у дома 18)
Окский берег ЖК (п. Новинки)
Цветы ЖК (ул. Академика Сахарова)
Деревня Крутая кп (Кстовский р-он)
Опалиха кп (Кстовский р-он)
Юг мкр. (Южный бульвар)
Гагаринские высоты мкр.
Бурнаковский мкр.
Белый город мкр. (60-лет Октября ул.)
Зенит ЖК (Гагарина пр.)
Седьмое небо ЖК
Все форумы домов
Частные форумы
Свадебный форум
Саровский Клуб Покупателей
Июньские мамочки
Форум безумных идей
Ночной форум
Королевство кривых зеркал
Ищу вторую половинку!
Лютики-цветочки КУПЛЯ-ПРОДАЖА
Отряд стройности
Пчеловодство
Форум ленивых
Волейбольный клуб туристов
Встречи для секса
Буду мамой!
Алкогольный форум
Лютики-цветочки
Котоводство
Форум сексуального опыта
Свободка
Форум модераторов
Форум забаненных
Новый форум модераторов
Отзывы и предложения (техподдержка)
Последние темы форумов
Форум
Тема (Автор)
Ответов
Городской форум
Путин не поедет в Мексику на инаугурацию нового президента Клаудии Шейнбаум
- HumptyDumpty
96
Городской форум для новичков
Для чего меняли трамвайные рельсы по маршрутам 6 и 7 трамваев?
- без смысла
34
Нижегородская политика
Путин предупредил о последствиях ударов по России дальнобойным оружием
- Bonus777
39
Карта сайта | 18+
ООО «Сеть городских порталов»
© 1999 - 2024
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Реклама на NN.RU +7 (831) 261-37-60, reklama52@iportal.ru
Раздел технической поддержки | Для Роскомнадзора и госорганов: juristnn@iportal.ru
Т.к. вы неавторизованы на сайте. Войти.
Т.к. вы не трастовый пользователь. Как стать трастовым.
Т.к. тема является архивной.