--}}
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем

Ваш компьютер атаковал вирус-вымогатель, который атаковал компьютеры по всему миру?

Опрос
274
232
С друзьями на NN.RU
В социальных сетях
Поделиться
moncher
12.05.2017
Информация о возможном заражении появилась, в частности, на <<Пикабу>> и форуме <<Касперского. Некоторые пользователи пишут, что, возможно, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor) - он шифрует файлы пользователя, изменяет их расширение (предположительно на .WNCRY) и просит купить специальный расшифровщик за биткоины, иначе файлы будут удалены.
forum.kasperskyclub.ru/index...pic=55543&page=2
pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
geektimes.ru/post/289115/
echo.msk.ru/blog/varlamov_i/1979884-echo/
Microsoft выпустил дополнительную защиту для Windows от вируса-вымогателя WannaCrypt. Об этом RNS сообщили в пресс-службе Microsoft.
<<Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь>>, - сообщили в Microsoft.
https://rns.online/internet/Microsoft-vipustil-dopolnitelnuyu-zaschitu-dlya-Windows-ot-virusa-vimogatelya-WannaCrypt-2017-05-12/

официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
technet.microsoft.com/en-us/library/security/ms17-010.aspx

Рекомендации по лечению от Лаборатории Касперского:

- Убедитесь, что включили решения безопасности.
- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
- Убедитесь, что в продуктах <<Лаборатории Касперского>> включен компонент <<Мониторинг системы>>.
- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
Ваш компьютер атаковал вирус-вымогатель, который атаковал компьютеры по всему миру?
Нет   114 | 84%
Не знаю   21 | 15%
Да   1 | 1%
Проголосовало участников - 136
КотёноК_С_БантоМ    die_Schlange    Peon    _листва    skaarj    DimidROLL    Публицыст    chsv    RaFaeL    s1aw!ck    GeK65    Снусмумррик    kuzmy4    terri20099    Chiaroscuro    djabel    Elesin    Кот абармот    Saradon    Hurricane    Кошкина радость    VIKINGS    ARTIOM    Crocodile    Новичок :-)    papa-lisi    user_151046942    s47    Dilam    MiG29    kazual    нЭнС    Мари-Хуан    Master of Orion    серёзный человек    tamapa    Aggi    Торпедыч    Iliushka    1May    (amigo)    _бе_    Фаина    HardRock    Тихий Дон    Old Voron    путник51    Geneo    tchainka    Lissa1853    Здесь был мой ник    Юристище    slawe    ipstorm    Falcon    Vilena    PaDlIcK    kostrov    PanovAR    Helga7012    алекс@ндер    -Алексеевич-    Tushkan    Серджо    Lika-003    ШёлМимо    Alkesta    Эндер    sanga    Alex2006    Marthinka    Maxim-K    volli    kokon    вкемвениалгтвук    Зу    High    кулибинн    Links25    Marcth    zxcv    Arcmage    Хахакер    ZhekaNN    linokat    skarabas    Векша    Андрей75    Алексей Макаров    portwein    john mcentire    aleksey080    @lik    Hillerien    qazalecs    Нескафэ(шка)    ТеплушникЭр    раыль    Killy Willy    Illusiann    Echelon    siro4eg    Максим Абрикосов    Palex-2111    Deathmaker    Real sugar    Stanley Tweedle    a.che    БЛС-Толстый    SerGVSV    Тепа    ДобрыйДен    raff    Тёмыч    Юпитерус    (omega)    vp    inna-sun    Michell    androlena    vladmir    Georg74    Йоськин Кот    asknn    minotaur    Nickolaich13    Akeran    POPSODAV    m1ndst0rm    Мебельщик    Николаевна_я    almari5    Заклинательница пчёл    mLen    ЖюлиНиколь    FINIK.NN   
Никто меня не атаковал ) Антивирус, кстати, не стоит. Касперский тем более. Перестал он мне нравится совсем.. Перегрузили его уже.
moncher
12.05.2017
Значит обновление у вас MS17-010 установлено на Windows, или пока до вас вирус ещё не добрался.-)
Не добрался ))
Срочно удалите папку system, тогда точно не доберется! 8-)
Ы.. Ошиблись направлением шутки ) Я хоть и блондинка, но по первому высшему инженер по направлению "информационные технологии" )
Я тут подумываю об электронной подруге...
Скажите, куклы таким вирусам не подвержены? :-)

www.youtube.com/watch?v=GU57vhEg7hM
Не, с компьютерной интереснее. Она двигается и разговаривать умеет.
Правда, та что на видео ростом всего 60 сантиметров, но изобретатель уже делает новую модель ростом 120 сантиметров.

Заодно она и секретаршей подрабатывать сможет...
vladmir
16.05.2017
filmix.me/dramy/99500-lyudi-humans-serial-2015.html
Люди
Humans
2015 (2 сезона)
Великобритания, США, Швеция
фантастика, драма
www.world-art.ru/animation/animation.php?id=24
Чобиты (Chobits) 2002, сериал (26 серий), Япония.
Жанр / тематика: комедия, романтика, этти (ecchi - эротика), фантастика.

В Токио из глухой провинции приезжает молодой парень Хидэки Мотосува, чтобы учиться на подготовительных курсах и попытаться ещё раз поступить в колледж. Он мало смыслит в современной технике, но, как и большинство его сверстников, мечтает о своём персокоме. Впрочем, шансы накопить достаточно средств на покупку весьма призрачны. Однажды по пути домой он находит девушку-персокома, лежащую без движения в груде мусора.

После включения персоком могла произнести лишь одно слово: "чи", поэтому Хидэки дал ей имя Чии (Chii). Сосед Хидэки предположил, что Чии - самодельный персоком, и познакомил героя с Минору Кокубундзи, 12-летним гением, специализирующимся на самодельных персокомах. Минору не смог проанализировать Чии и узнать что-либо о её прошлом, но рассказал, что в сети ходит легенда о так называемых чобитах - персокомах со свободной волей.

Основную сюжетную линию произведения составляют попытки героев выяснить природу Чии, а также различные случаи отношений, завязывающихся между людьми и их роботами. Почти каждый из основных героев оказывается вовлечён в ту или иную историю, связанную с нуждой уживаться с людьми или персокомами.

Главные герои - Хидэки и Чии - сталкиваются с необходимостью разобраться в возникающих у них чувствах и, в конце концов, определиться, кем они становятся друг для друга.
а вот Антидот решил проблему старым дедовским способом)
Ретроград :-)
drink-bol
13.05.2017
По моему наивному мнению, может зажать ногами в мертвой схватке. И самое страшное предположение, у нее в вагине мясорубка.
moncher
13.05.2017
Засосёт насмерть.
drink-bol писал(а)
И самое страшное предположение, у нее в вагине мясорубка.
Эх, не смотрели Вы "Чобитов".
У неё там выключатель питания :-D :-D :-D
Подвержены, они в трансов превращаются))
Steavi
13.05.2017
Таким макаром - скоро компьютерные вирусы половым путем передаваться начнут.
:-D :-D :-D *rofl* *good* *drink*
Steavi
14.05.2017
И появится новая врачебная специальность: кибервенеролог.
Anselm
13.05.2017
вот это поворот..
FreeCat
13.05.2017
достаточно правильно настроенного фаера.
Anselm
13.05.2017
я смутно себе представляю настройку самбы на винде, но если в acl только локалка, а при неправильном вводе 3 раза подряд банк на час минимум..
винда 10?)
7ка )) Я не люблю, когда винда сама по себе отсылает инфу обо мне куда-то ))
это меньшее зло)
но в группе риска;-)
Mapk
14.05.2017
Семерка с криком ура отсылает)
Anselm
13.05.2017
мне гораздо более интересно, неужели у всех есть внешние айпишники, торчащие наружу? сдается, что нет. а значит все традиционно, почта, сайт и т.д. хорошо это или плохо, но сейчас даже проводные провайдеры сажают за нат, что уж говорить про мобильные. так что виноваты опять глупые пользователи.
Ну, я обзоры почитала в т.ч. и на англоязычных сайтах. Пишут, что через порт лезет всё-таки. Ну, может у кого на прямую интернет воткнут )) Или адсл модем ) Мегафон-то жив? А то грят колл-центр не работал ))
Anselm
13.05.2017
на связь это не повлияло, что касается колл-центра, железная елена всегда готова помочь, а наличие винды меня там всегда удивляло.
Как абонент Мегафона - не повлияло, да ))
edgar84
12.05.2017
интересно, как бы мы отвечали, если бы он атаковал или ты ведешь перечень недобитых единиц техники?)))
moncher
12.05.2017
edgar84 писал(а)
или ты ведешь перечень недобитых единиц техники?)))
Именно так.-).
Не все же из под Windows на форум пишут, кто-то из Linux, Android, iOS.
edgar84
13.05.2017
я думаю хакерам на домашние PC более чем наплевать)
нЭнС
13.05.2017
Касперские говорят обратное
более того,про смартфоны настойчиво предупреждают =-O
edgar84
13.05.2017
уходим в подполье. Российские хакеры развлекаются, им после избрания Трампа вообще делать нечего, так хоть как-то развеяться)
Anselm
13.05.2017
наебизнес такой, вот сегодня получил смс откровенно мошеннического содержимого
Готов выкупить %ссылка%. Подпись-Андрей. Номер-ростов, т2. Ссылка "с умом" http.domain.name

Я часто слышу сказки "пришла смс и сразу все пропало". Нажал на ссылку-открылся сайт уже другой с некошерным доменом, на нем написано, что надо лезть в настройки и включить источники (что само по себе странно, а при включении будет отдельный запрос на подтверждение), и скачать apk. Качаю. Хром спрашивает, оно тебе точно надо? Может представлять угрозу. Все равно качаю и запускаю-список прав безумный. дальше него продвинется только совершенный пенек с ушами
нЭнС
14.05.2017
Anselm писал(а)
сегодня получил смс откровенно мошеннического содержимого
Готов выкупить %ссылка%. Подпись-Андрей.

вчера,19:47 получаю c тлф.+79526071809 : "Это Денис,продаёте?Надумали поторговаться,-http.moide.ru/v
(выделенное-ссылка )
Естественно,ни Дениса,ни данного No я знать не знаю,ни покупать,ни продавать в ближайшее время ничего не затевал,соответственно и торговаться мне не с кем и не о чем.Открывать не стал,подозреваю-ссылка ядовита.
Но кто хочет-может исследовать,дарю! ))
Херъ
14.05.2017
Я месяц назад примерно такое же СМС получил, с другого номера, но со своим настоящим именем. Правда, в данный момент не продаю ничего.
kokon
16.05.2017
Сайт там по ссылке "Бесплатные мобильные загрузки: android игры". Приложения не из google-play скачиваются, а прямо с их сайта. Скачал первый попавшийся (виндусом), проверил на вирусы касперычем - вируса нет. В эмулятор андоида игра не установилась. Больше ничего там скачивать не стал.
нЭнС
16.05.2017
kokon писал(а)
В эмулятор андоида игра не установилась.

А в систему проникла,небось(тьфу-3р.ЧЛП)... :-D
Про ВоннаКрай гутарят-он к антивирусникам НИКАКОГО отношения не имеет(значит,невидим для них?),пролазит в бреши системы
FreeCat
16.05.2017
нЭнС писал(а)
Про ВоннаКрай гутарят-он к антивирусникам НИКАКОГО отношения не имеет(значит,невидим для них?)

"брехня-я-я-я" (цы) :-D .. в превый же день "классифицировали" :) ... да и без АВ он блокировался при правильной организации работы и настройках :) .
нЭнС
16.05.2017
FreeCat писал(а)
и без АВ он блокировался при правильной организации работы и настройках

ну,незнай...спецы по комп-безопасности с вами не согласны,кяп.
И уже 4и сутки ежесекундно(! 1комп\сек-израильтяне говорят) продолжаются заражения компов-если и не Вонна Край,то его "клонами" и ему подобными зловредами.
И АВ абсолютно бессильны.
FreeCat
17.05.2017
нЭнС писал(а)
ну,незнай...спецы по комп-безопасности с вами не согласны,кяп.

чьи :-D ? ... на сайтах АВ он уже давно "включён" в спискок :) ...
FreeCat
17.05.2017
нЭнС писал(а)
И уже 4и сутки ежесекундно(! 1комп\сек-израильтяне говорят) продолжаются заражения компов-если и не Вонна Край,то его "клонами" и ему подобными зловредами.

так это не проблема АВ :) .
FreeCat
17.05.2017
нЭнС писал(а)
И АВ абсолютно бессильны.

конечно :-D .. против идиотов, которые открывают всякие вложения и разрешают их исполнение никакие АВ не сработают :-D ... разве что гильотина :-D ...
FreeCat
16.05.2017
Другое дело что большинство пользовтелей сначала нажимают ссылку - а потом думают *crazy* *wall* *fool*
moncher
12.05.2017
<<На данный момент "Лаборатория Касперского" зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России>>, -- отмечают в компании.
https://zona.media/chronicle/hackerss#12426
Anselm
13.05.2017
а теперь наложите график продаж каспера
vp
15.05.2017
moncher писал(а)
в 74 странах по всему миру.

Интересно, как они это подсчитали...
онсельм с мегафону молчит, видать $300 не нашед ишшо
moncher
12.05.2017
Наверно завал от пострадавших клиентов, не до форума.
ожидаемо. с таким персоналом, обирающим мертвых пользователей нн.ру и накручивающим себе голоса - проблемы неминуемы
Anselm
13.05.2017
скучаешь, противный? не запускался вирус ваш, компилял под свое ядро, день-ночь убил-не рОбОтает
moncher
12.05.2017
Началось массовое заражение криптовирусом сети мвд по стране. Точно уже есть в липецкой ,пензенской, калужской областях. На рабочем столе просят 300 баксов. Название вируса @wanadecriptor. На некоторых компах идет отчет до 19 мая.
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.
DARA
13.05.2017
РЖД тоже заразило. Все ходят на ушах.
serzenit
13.05.2017
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.

Ну а как ты хотел, не американские же, они только вирус придумали))
Этому вирусу уже сто лет, ну, полгода точно.. Просто, видимо, кто-то выкупил и в массы запустил )
Anselm
13.05.2017
сеть мвд торчит на внешку портами?
Mapk
14.05.2017
От ментов не убудет)
Dr. Drugs
15.05.2017
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали.

Нет, это не значит, что русские, а значит, что хорошо подготовились. Заглушка вируса переведена на 19 языков, даже на идиш.
nickitoz
16.05.2017
moncher писал(а)
Сообщение о заражении на русском языке, значит вероятно русские хакеры поработали

А ничего, что у вируса база с десятком языком и какой из них отображать в сообщении он берет из настроек ОС? Примечательно, что Ukraine в его базе языков нет, и о чем же это может говорить? Еще примечательнее, что в его базе расширений файлов, подлежащих шифрованию, нет расширений 1С, то есть его разработчики с 1С не знакомы вообще.
Сижу я, значит, за компом под FreeBSD - и тут внезапно меня атакует вирус-вымогатель... --->
(шучу, скриншот на самом деле старый...)
Аскетично как. Кеды штоль ?
Да, это я как-то настраивал... Вроде ещё FreeBSD-6.2
Сейчас посмотрел - дата скриншота 24 апреля 2007 года.
nickitoz
16.05.2017
Скачал вирусов себе на линух.

Распаковал.

Поставил под root.

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

www.yaplakal.com/findpost/59819560/forum1/topic1597178.html
давно ли Монхер кибербезопасностью увлекся?))
www.youtube.com/watch?v=c6tUq0IHVoI
волнуюсь за Владислава Анатольевича и его wiwimacher. $300 ему не найти, если только своего подзащитного грабануть
не его день сегодня)
впрочем предвыборная компания давно в разгаре, наскребут поди
PaDlIcK
13.05.2017
У него хотя связи есть. А вот Олёшку если бомбанет, того, который к небесам ближе - шибздец. Не увидим лет пять.
Небесный подвальный, совпадение?

www.youtube.com/watch?v=VAYGqD1-MeE
moncher
13.05.2017
Ещё совет по защите
Совет говенный, потом проблемы вылезают
FreeCat
15.05.2017
если система новая и не надо доступа к старым сервисам - вполне и это может сработать :) .
У меня несколько коллег жаловались на проблемы с сетью после таких твиков, причем на восьмерках-десятках
FreeCat
16.05.2017
с принтерами?
moncher
16.05.2017
Вредные советы от Микрософт по отключению SMB.
support.microsoft.com/en-us/...dows-server-2012
moncher
13.05.2017
В комментариях в паблике "Подслушано у полиции" замечательная перекличка пострадавших от вируса по городам.
vk.com/wall-28464698_720473
moncher
13.05.2017
Кстати нисколько не удивлён, заходил как-то несколько лет назад в Сормовсий ОВД за справкой,
направили в кабинет, там женщина в погонах включает комп, чтобы справку распечатать, а там блокер экрана с неприличной картинкой. Пришлось ещё раз к ним приходить, когда комп разблокировали.
edgar84
13.05.2017
кто-то очень очень любил порнушку поглядывать в рабочее время
moncher
13.05.2017
МВД Нижнего Новгорода тоже присутствует.
И лучший комментарий ---->
moncher писал(а)
МВД Нижнего Новгорода тоже присутствует.

Где присутствует ?
moncher
14.05.2017
Да, ошибся, посмотрел первый раз мельком, оказывается на самом деле В.Новгород.
вы меня не правильно поняли похоже...
Насколько вообще можно доверять сообщениям в паблике "подслушано в полиции" ?
moncher
15.05.2017
Почему нельзя? Заглянул в портрет Светланы Перегняк,
которая сообщила, что В.Новгород -да 12 мая в 19:37.
Т.е. в В.Новгороде в ОВД прихватили вирус.
В портрете написано место работы, Северо_западное УВДТ, УТ МВД России по СЗФО, и в фотографиях----->

К фото министра приложен текст.
"Министерство внутренних дел Российской Федерации
30 дек 2016
Уважаемые коллеги! Дорогие друзья!
Сердечно поздравляю с наступающим 2017 годом!
Уходящий год был насыщен важными событиями. Прежде всего, он примечателен проведением очередного этапа реформирования МВД России, в рамках которого состоялись структурные преобразования. Передача министерству полномочий миграционной и антинаркотической служб и переход некоторых подразделений органов внутренних дел в структуру недавно созданной Федеральной службы войск национальной гвардии Российской Федерации были продиктованы современными требованиями...."

Нет повода сомневаться, что Светлана Перегняк работает в МВД,
а работник МВД врать не будет. -)

Вы наверное тоже из этой структуры?
Хочешь такую же страничку сделаю но с другими именами и фамилинй ?
Я не из этой структуры, но с информационной безопачностью знаком не по наслышке. Мое мнение - пока больше истерики, чем какого либо урона. Про бардак в МВД тем более рано говорить.
moncher
15.05.2017
Сделай
moncher
15.05.2017
раыль писал(а)
Про бардак в МВД тем более рано говорить.

Почему рано, так и есть, если права не могут выдать и документы на машину оформить из-за вируса.
moncher писал(а)
если права не могут выдать и документы на машину оформить из-за вируса.

Где и с чего ты это взял ?
moncher
15.05.2017
[Привилегированный пользователь 5 уровня] moncher позавчера в 18:37 <<ответить>>
Работа системы выдачи водительских прав в нескольких регионах России парализована из-за вирусной атаки на компьютеры МВД,
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр

Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main ?
Ага
об этом РБК рассказал источник в правоохранительных органах.
как обычно неназванный.

Зы. вот ты сам то на результаты своего опроса посмотри - 100 проголосовало, один заразившийся(ито не факт что именно этим вирусом, а не 100500 всевозможными шифровальщиками)
moncher
16.05.2017
раыль писал(а)
100 проголосовало, один заразившийся

WannaCry поразил каждый 5000-й комп, можно сказать, что на нн.ру выше среднего , число заразившихся.
moncher
13.05.2017
проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
Откройте cmd.exe (коммандную строку)
Напишите:
dism /online /get-packages | findstr KB4012212
Нажмите Enter
Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx
moncher
13.05.2017
Или
SYSTEMINFO.exe | findstr KB4012212
DARA
13.05.2017
moncher писал(а)
dism /online /get-packages | findstr KB4012212

я нажимаю ентер в виндоус 10, и просто строка поиска закрывается, почему?
запускать надо от имени администратора
Elesin
13.05.2017
moncher писал(а)
Откройте cmd.exe (коммандную строку)
C Windows 10 всё довольно просто -- достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:

-- версия 1703, любая сборка
-- версия 1607, сборка 14393.953 или выше
-- версия 1511, сборка 105867.839 или выше
-- версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
DARA
13.05.2017
_листва писал(а)
версия 1607, сборка 14393.953 или выше

у меня версия 1607, сборка 14393.1198 , значит надо что-то обновлять?
нет, ибо 953<1198)
DARA
13.05.2017
согласились, что-то я тормознула с утра, видимо с испугу. Еще свежа память об заархивированном компе на работе и пролитых слезах по восстановлению инфы. Т.к. все тупо переустановили.
резервное копирование - прекрасная идея;-)
DARA
13.05.2017
))) дома есть на работе в принципе все реально важное на сервере. А так кое какая переписка. Фотки по моему. 3 ндфл не тронул. Так уж просто подбивалась , обидно на ровном месте.зато какой урок всему окружению и коллегам рассказала. Интересен факт, что с тех пор мне на почту подобные вирусы пачками идут, что интересно именно с моей поры.тематикой. Те то что я реально могу открыть
drink-bol
13.05.2017
Девушкам считать не обязательно, если жизнь удалась
DARA
13.05.2017
)))) жизнь удалась. Именно потому, что очень хорошо считаю и высчитываю.
/ответы в теме уже нашел
нЭнС
20.05.2017
...ges|findstr KB4012212

Стесняюсь спросить-м.б. я этот значок неправильно ввожу?Нигде не найду его(вертикальная черта)?
%-) Ни один # у меня на W7 не "сыграл"...
moncher писал(а)
Если ни один патч не нахрдится, рекомендуется незамедлительно установить обновление по ссылке
technet.microsoft.com/en-us/library/security/ms17-010.aspx

Зашёл,опять туплю...куды бедному крестьянину податься?? ничего про Win7 не вижу...
moncher
13.05.2017
Россия никому не интересна?
moncher
13.05.2017
Пишут, что самое большое число заражений именно в России и на Тайване.
Видимо потому, что используют левые Windows с блокировкой обновлений.
Anselm
13.05.2017
в тайге медведи без интернету, вот илон запустит спутники wifi.. ситуация изменится
moncher
13.05.2017
Выпилить SMBv1 из системы можно через командную строку.

dism /online /norestart /disable-feature /featurename:SMB1Protocol
SphinX
13.05.2017
Открывая тему, подумал сперва, что речь пойдет про микрокредитные организации и тамошних бравых коллекторов, придумавших новый способ выбивать долги через Интернет)))
У меня даже антивируса не стоит, удолил неделю назад - поскольку мой любимый антивирус убил Яндекс, вот ведь звери (вот где вирус-то, это я про агнитум, что поменялся на яндекс, если кто понимает, что теперь, комод что ли ставить..)
Тем не менее, через критические уязвимости 0-го дня, пролезает только ничтожная часть вирусов. Основную массу сам клиент скачает и запустит в свободное время. Этого типа не жалко..
moncher
13.05.2017
Антивирусы ещё не ловили этот зловред, когда атака началась.
Да они у меня за 20 лет вообще ничего не поймали (раз в месяц скачиваю бесплатную версию для одноразовой проверки, ну это у всех есть). Потому стабильно удивляюсь, где люди эти вирусы вообще берут...
djabel
13.05.2017
Пронесло как-то. Видимо потому что у меня 7-8 основных сайтов которые посещаю на 90% своего времени в интернете.
moncher
13.05.2017
Этому вирусу пофиг какие вы сайты посещаете, он тупо сканирует IP адреса всех компьютеров в сети.
Т.е. по вашему вирус как попадает на комп?
moncher
13.05.2017
Сканирует открытые порты.
"сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.

Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.

Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

Судя по всему, для атаки используется уязвимость протокола SMBv1."

geektimes.ru/post/289115/
Спасибо, почитала ) А то чёт на одну панику в СМИ натыкалась ))
Anselm
13.05.2017
у кого проброшен наружу порт для самбы? просто интересно..
Ну, я на Пикабу почитала.. Народ ловит. Даже терминалы Сбера в Питере словили )) Фотки были.
Anselm
13.05.2017
ловят, но не через порт. принесли на флешке/из почты на один из компов в корпоративной сети, а там уже порты сканирует и так скачет. не вижу никакой проблемы, чтобы доскакать до банкомата
FreeCat
13.05.2017
moncher писал(а)
он тупо сканирует IP адреса всех компьютеров в сети

ага, ага ... пускай попробует через правильно настроенный роутер просканить :-D ...
FreeCat писал(а)
через правильно настроенный роутер

по идее почти все home роутеры(nat) по дефолту режут smb извне. Плюс вроде как некоторые операторы(РТ вроде как) сами режут у себя (smb решето то ещё, не нужны операторам генераторы трафика в виде ботнетов)
FreeCat
14.05.2017
так и есть :) .
Anselm
13.05.2017
скорее никак (читай стандартно) настроенный
FreeCat
14.05.2017
угу :) .
SergN
13.05.2017
Не атаковал.
VIKINGS
13.05.2017
Авраамово лоно.
www.youtube.com/watch?v=yYRJoc5ttxA
papa-lisi
13.05.2017
И не надо его на-ам..
Ну ни как не надо.
Deacon
13.05.2017
А как быть тем, у кого до сих пор win XP/2003?
moncher
13.05.2017
Security Update for WES09 and POSReady 2009 (KB4018466)
www.catalog.update.microsoft.com/Search.aspx?q=KB4018466
Deacon
13.05.2017
Нашел уже. Но всё равно спасибо
Вроде не подцепил эту дрянь.
kokon
13.05.2017
MS17-010
Так эта заплатка в середине марта вышла.
З.Ы. У мну Windows 10 версия 1703, так что пофиг :)
на всякий протер монитор марганцовкой
Хочу знать сколько они заработалиииииииииии ) Но никто не скажет (
moncher
13.05.2017
Вот адреса кошельков куда поступают платежи, пока не много всего 61 транзакция на все три.
Можете отслеживать.
blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Сомневаюсь, что на весь мир у них 3 кошелька. Палевно слишком.
moncher
13.05.2017
Видимо три человека над вирусом работали.-)
"в англоязычных источниках пишут, что взломщики используют ограниченное множество bitcoin-адресов." - как-то так )
RDS
13.05.2017
около 6 тыс долларов
Вряд ли )) Я думаю, что в разы больше. Мало больно 6к баксов для такой атаки ) Вообще, ни о чём. Интересно, сколько баз параллельно с этим слито )
Мой старенький MacBookPro никому не нужен)
moncher
13.05.2017
Просто вы об этом ещё не знаете.
Мне всё равно. Я под Линукс.
moncher
13.05.2017
05.05.2017 Уязвимость в реализации NFS-сервера, поставляемой в ядре Linux
nnet.ru/opennews/art.shtml?num=46503
moncher писал(а)
NFS-сервера

его ещё поднять надо для начала.
Anselm
13.05.2017
а потом на внешку пробросить, а потом получить белый айпишник, что в наше время удается не всем)
Не, ну справедливости ради для уязвимости указанной ТС надо бы тоже белый ип адрес иметь.либо маршрутизатор криво настроенный), либо чтобы кто то притащил заразу извне.
Ключевое отличие двух уязвимостей в том что смб(причем в1) включена по дефолту практически на всех виндах. С нфс это скорее исключение.
Anselm
13.05.2017
не криво, а специально настроенный. в общем все эти страхи про анб оказались очередным враньем
Да, но иногда есть нюансы
habrahabr.ru/post/134638/
Anselm
13.05.2017
1. циски не админят те, кто не отключает такие вещи
2. у провайдера множество клиентов использует 192.168.0.0/24 в качестве локалке
3. простой коммутатор (узел доступа) не предлагает айпишников, их дает брас, но на нем еще больше клиентов, будь на нем прописан указанный маршрут, получилась бы каша
4. к тому же атакующему нужно знать ip или минимум маску подсети, влиять на провайдера и прочее.. это очень круто и будет быстро замечено
5. вобла уже спалилась, когда ее маршруты утекли во внешний интернет, но это отдельная долгая и интересная история, так что кривые маршруты ломают сразу много
moncher
13.05.2017
Якобы пароль для расшифровки файлов, который публикуется в сети.
WNcry@2ol7
moncher
13.05.2017
Пишут что в червяке был kill switch который сейчас активировали -- т.е. распространение имено этой версии прекратилось

twitter.com/GossiTheDog/status/863160534308454400/
moncher
13.05.2017
Если этот криптор использовал эксплоит украденный у АНБ, то мы наверно еще и спасибо должны сказать его авторам (криптора), т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?
moncher писал(а)
т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.

каким образом то ?
Anselm
13.05.2017
низкий уровень развития и грамотности сотрудников
Я про то как он продемонстрировал то.
Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
moncher
14.05.2017
раыль писал(а)
Моншер судя по всему на некий паблик "подслушано полицией" ориентируется, сие не очень верно и правильно.
Ну если даже первый заместитель председателя комитета по обороне и безопасности Совета Федерации Федерального Собрания Российской Федерации возбудился и назвал эту вирусную атаку "кибертерроризмом",
то видимо не защищённость госструктур проявилась вполне отчётливо.
ну потому что это кибертерроризм и есть. Насчет госструктур - их дофига и больше, типа школ,больниц, роспотребнадзоров и прочих чиновников. Естественно там никто особо на заморачивается на тему информационной безопасности (хотя это везде так).
Да и ключевым последствием атаки является потеря информации, а не количество вышедших из строя компьютеров.
moncher
14.05.2017
раыль писал(а)
Насчет госструктур - их дофига и больше, типа школ,больниц, роспотребнадзоров и прочих чиновников. Естественно там никто особо на заморачивается на тему информационной безопасности (хотя это везде так).
Ну в МВД то просто обязаны заморачиваться, люди в погонах, документы не для общего пользования в компьютерах хранятся, а получается даже там бардак.
moncher писал(а)
х, документы не для общего пользования в компьютерах хранятся

Кто вам сказал что документы которые "не для общего пользования" уничтожены или попали в чьи то руки ?
я собственно этого от вас добиваюсь.
так вам, виндовозникам, и надо.
+
пропиетарное дырявое решето.
Какой-то британский уч0ный программист его случайно уже прибил. Но, похоже, временно.
moncher
13.05.2017
die_Schlange писал(а)
Но, похоже, временно.
Да, уже подсуетились.
@kennwhite
Seeing reports of new #WannaCry variant in the wild, ignoring the kill switch.
moncher
13.05.2017
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
-- Darien Huss (@darienhuss) May 12, 2017

Как написал @MalwareTechBlog, когда он регистрировал домен, он не знал, что это приведет к замедлению распространения вируса.

I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
-- MalwareTech (@MalwareTechBlog) May 13, 2017

Чтобы снова начать заражения, злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com .

meduza.io/news/2017/05/13/ra...faewrwergwea-com
Пионеры балуются...
Матёрым волкам - вся это смена домена, примерно как мёртвому горчишник...
moncher
13.05.2017
Ещё не известно кто пионеры, возможно распространители вируса и есть пионеры,
потому, что вся информация по сборке вируса выложена в сети.
Знаете, вирус я и сам могу сочинить.. И мне для этого даже инструкция по сборке не нужна, и сам придумаю. Но - зачем? Сегодня как правило всё стараются монетизировать - а вот тут всё уже куда сложнее будет. Могут даже и закрыть на всякий случай.
Перечислить деньги анонимно кому угодно - вроде проблем нет. А вот обналичить и не спалиться - уже нужен суровый опыт.
Подозреваю, у этих пионеров этот домен в файле hosts прописан...
Мне пофиг. Юбунта как основная а если виртуалку заразит то просто переставлю винду) данных на ней нет.
moncher
13.05.2017
Тем у кого возникает ошибка "Обновление не применимо к этому компьютеру", накатите сначала SP1 (актуально для Windows 7)
Для 32-разрядной ОС (windows6.1-KB976932-X86.exe) 514.7 Мб
Для 64-разрядной ОС (windows6.1-KB976932-X64.exe) 865.4 Мб
download.microsoft.com/downl...KB976932-X86.exe
download.microsoft.com/downl...KB976932-X64.exe
FreeCat
13.05.2017
moncher писал(а)
который закрывает уязвимость сервера SMB

какой же идиот открывает наружу 445-й порт :) ?
а чего там на этом порте и как его заблокировать?
moncher
13.05.2017
Патчи для исправления этой уязвимости можно скачатать на официальном сайте:
technet.microsoft.com/en-us/library/security/ms17-010.aspx

Патч, для старых систем (Windows XP, Winows Server 2003R2)
blogs.technet.microsoft.com/...nacrypt-attacks/
www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Скачать и запустить.
про XP 32 битную не нашел чота(
moncher
14.05.2017
Elantra USA 20 писал(а)
про XP 32 битную не нашел чота(
Вторая строчка сверху
www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
SP3 надо будет установить тогда)
ps спс за полезное и грамотное ведение темы
ошибку выдает...
moncher
14.05.2017
может тоже SP3 установить нужно?
он и установлен
кстати открылось, перегруз, возможно, был с утра))
moncher
14.05.2017
SP3 для Windows XP
www.skaip.su/sp3-dlya-windows-xp
smb - обмен файлами в винде короче. всякие общие папки в сети, общие принтеры и т.д.
tchainka
13.05.2017
Нет. Предохраняться надо :)
moncher
13.05.2017
Анализ работы WannaCry
habrahabr.ru/post/328548/
у меня в клиентах более 2тысяч компьютеров. вирусы вымогатели-шифровальщики вот уже как пару лет как существуют, естественно за это время были случаи, но виноваты в этом только пользуны безответственные. собственно рассылки и т.д. информируют пользователей. попадают только самые тупые - место им метлой улицы подметать.
в этот раз никто не попался.
Deacon
13.05.2017
pirotechnic писал(а)
в этот раз никто не попался.

Дык выходные же. Компы рабочие у всех отключены :))
вчера рабочий день был вроде
Deacon
13.05.2017
всплеск активности под вечер только пошел
kokon
14.05.2017
Виновата неправильно настроенная политика безопасности.
1. У каждого клиента в сети и у сервера, должны быть открыты только необходимые порты.
2. Все клиенты должны под правами пользователя работать, а на сервере должна Active Directory (с контролером домена) быть настроена в соответствии с заданными правами. В этом случае, никакие системные изменения невозможны, и пользователь самостоятельно никакой софт не сможет установить (ни по собственному желанию, ни случайно).
3. Проверка на вирусы всех внешних накопителей, перед тем как пользователь может файл открыть.
4. Запрет на скачивание исполняемых файлов, средствами брендмаура.
5. Проверка всех скаченных из инернета файлов (причем по заданным расширениям). Т.е. например запрет на скачивание торрент-файла или avi (т.е. политика - запрещено скачивать всё, кроме разрешенных форматов). Здесь зависит от специфики предприятия. Как правило достаточно разрешить скачивать архивы, и документы офиса.
6. Вся почта должна получаться в одну выделенную директорию (или в несколько, в зависимости от специфики предприятия), и сразу-же проверяться антивирусом.
7. Если есть торговые или бухгалтерские программы работающие через сервер, то постоянного интернета на этом сервере быть не должно (подключать интернет только в момент обслуживания сервера). Т.е. для таких программ, нужен отдельный сервер.
8. Бэкапы, всех рабочих директорий на сервере и бухгалтерских баз данных.

И если все правильно будет настроено, то никакая тупизна пользователя, не сможет сеть уронить, и работу организации остановить.

Разумеется все это, может материальных затрат потребовать. И как-бы руководство организации, должно само решать, что важнее - потеря документов, баз, платить за восстановление всего этого (и не факт что восстановить получится), либо заранее вложиться в безопасность.
пример:
приходит письмо от "якобы клиента", во вложении "акт сверки.zip", в теле просят оплатить оставшийся долг, пароль для зипа говорят, пользун открывает архив, а там жмакает js, который лезет на хитрый сайт и уже от туда цепляет тело. антивирь как правило опаздывает на день-два.
но при выполнении твоих условий только тачка пользуна шифруется. js не запретишь, надо просто профилактическую работу с пользунами вести, кому не помогает - на улицу.
pirotechnic писал(а)
js не запретишь

можно кстати, именно запуск пользователем js орграничить(js на сайтах причем работать будет)
в большинстве случаев можно
kokon
14.05.2017
А как он это тело подцепит, если все системные файлы заблокированы на изменения? При всем желании, системные файлы он не сможет изменить под правами пользователя (под этими правами он даже какой нибудь WinRAR установить не сможет или текстовый файл в папку Program Files, Program Data или Windows перемесить). Это при том, что антивурус и фаервол не обратят внимание на этот файл и его подозрительную попытку изменить файлы системы.
а он не меняет системные файлы.
шифрует файлы пользователя
kokon
14.05.2017
Он не просто шифрует, а еще и систему блокирует и изменения в нее вносит.
Шифровальщик при работе удаляет теневые копии системной командой, затрагивает диск C:.
Т.е. права нужны для выполнения системной команды, у пользователей нет таких прав.
систему не блокирует, а добавляет.
теневые копии - создатель пользун, их и удаляет.
вообще, я вижу, что ты не сталкивался просто.
kokon
15.05.2017
Так в любом случае, резервные копии относятся к системным файлам и удаляет их вирус имея к ним полный доступ. Под контролером домена в локальной сети, права пользователя можно ограничить, так что пользователь теневую копию не создаст и не удалит (ибо она не нужна, если у него прав нет на установку чего бы то ни было).
А вот админам да, доп.работа. Установил систему, установил весь нужный софт - будь добр, сделай после этого резервную копию, под своими правами, на случай сбоя системы.
А резервные копии документов на ПК, вообще не зачем хранить, как и сами важные документы. Для этого сервер есть, где настроен бэкап на дополнительный жесткий диск.
И права доступа к своей директории на сервере у каждого пользователя, только к его папке (для обмена инфой внутри сети, создается расшаренная папка). И все эти папки с файлами, средствами сервера бэкапятся ежедневно (а то и несколько раз в день), на специально установленный жесткий диск.
А доступ этого сервера в интернет - должен быть ограничен, и только админ для тех.обслуживания сервера, в интернет с него выйти может.
Т.е. ломается рабочая станция у пользователя (не важно из-за вируса или из-за железа), все его документы сохранены на сервере. Админу остается только рабочую станцию в порядок привести, установить систему и софт, и подключить ПК к сети. Пользователь даже изменений не заметит.
Конечно не сталкивался, хотя зарекаться не нужно, но стараюсь по-максимуму защититься. Например антивирус и фаервол на домашнем ПК, официально куплены, т.е. не пиратские версии (как и сама система - тоже официально приобретена и постоянно обновляется).
не рассказывай мне это, я в отпуск хочу.
вобщем подведу итог - ни один не заразился из моих.
профилактика -сила ;)
FreeCat
14.05.2017
pirotechnic писал(а)
js не запретишь

WSH вполне отключается :) .
в свое время помучился в хп с отключениями, так другое переставало работать, там схема просто такая работы, я не стал свое вносить и бахнул всех на виртуалки, а доступ к каталогам пользователей по скриптам. и волки сыты и овцы целы ;)
FreeCat
16.05.2017
pirotechnic писал(а)
в свое время помучился в хп с отключениями, так другое переставало работать

в самом деле он практически не нужен для реальной работы - а для настройки можно включить на время и опять потом выключить :) .
FreeCat
16.05.2017
pirotechnic писал(а)
я не стал свое вносить и бахнул всех на виртуалки, а доступ к каталогам пользователей по скриптам. и волки сыты и овцы целы

ну можно и так *yes* .
moncher
13.05.2017
Работа системы выдачи водительских прав в нескольких регионах России парализована из-за вирусной атаки на компьютеры МВД,
проблемы возникли не только при выдаче прав, но и при проведении любых действий с автомобилями, требующих компьютерной регистрации. Так, многие водители по этой причине не могут пройти техосмотр

Подробнее на РБК:
www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main
Aggi
14.05.2017
вот что меня во всем этом, скажем так, удивляет - это то, что системы вроде баз мвд или (как в Британии) вообще больничные операционные с оборудованием в них - открыто светят аки решето в инет... этож каким нада быть профессиОналом, чтоб так критические ис настраивать?
пппц...
А что, так трудно Shadow Defender поставить?
moncher
13.05.2017
Хлебный квас писал(а)
Shadow Defender
программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным.
Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe
habrahabr.ru/post/328548/
Имеется ввиду теневая копия как служба восстановления ОС Виндовс. SD же не является службой винды. Да уж если на то пошло, то трудно архивы наиболее важных документов на внешнем диске делать?
не сложно, но 99% пользователей этого не делает.
Как обычно, пока "жареный петух в .опу не клюнет" )))
Feanor
14.05.2017
Нет. На десктопе Линукс. Все важные файлы шифрую и периодически копирую в облако. Об антивирусах и вирусах забыл давно.
Mapk
14.05.2017
Яблочко рулит
Заплати 300 баксов и спи спокойно. Будь мужиком
=GT=
14.05.2017
такое ощущение, что микрософт, сам разработал и внедрил этот вирус.
вирус вряд ли, а бэкдор то специально оставили.
FreeCat
15.05.2017
это не бекдур. это - индусы *pardon* .
moncher
14.05.2017
Процесс заражения компа вирусом.
www.youtube.com/watch?v=fkF4IVW5xiQ
Deacon
15.05.2017
А какая связь между заплаткой на smb и запуском вирусняка на локальной машине?
может и атаковал, кто ж его знает. но я по пятницам не подаю.
Osss
15.05.2017
а если у меня на рабочем столе в углу надпись типо "ахтунг вы пользуетесь не лицензионным виндоусом", мне это дополнение от макрософага установится? или нужно опять лезть чистить обновления чтобы не было этой надписи?
Ω
15.05.2017
Нет. Патч только что поставил, и он поставился, хотя винда была обновлена и так. Или он накатом из файла встает все равно, независимо от статуса обновления?
Порты у меня закрыты - роутер, на котором нет проброшенных портов + за за НАТом провайдера. А на носителях не принесли, слава богу. Или он так не распространяется?
ЗЫ. 300 бакинских бы не стал платить. Нет у меня данных по такой цене дома. Разве что часть фотографий пропадет. Сейвы от игрушек вряд ли оно шифрует. А так - формат С:\, всего зашифрованного и восстановление из имейджа системы, или накатывание новой.
kokon
16.05.2017
В <<Лаборатории Касперского>> указали на вероятных создателей вируса WannaCry
Ведущий аналитик <<Лаборатории Касперского>> Александр Гостев написал в своем фейсбуке, что за созданием вируса-вымогателя WannaCry, который поразил сотни тысяч компьютеров по всему миру за последние дни, могут стоять хакеры из Северной Кореи.
<<Вы ведь помните еще наших северокорейских грабителей банков через SWIFT и ломателей Sony Pictures? Да, тех самых Lazarus, о которых мы так много [слышим] в последнее время. Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus>>, -- написал Гостев.
www.gazeta.ru/tech/news/2017/05/15/n_10050497.shtml
Да могут и они стоять.
Возникает вопрос - что же у вас компьютеры такое говно, на котором каждый упоротый хакер из северной или там южной кореи может устраивать какую угодно вирусную атаку?
kokon
16.05.2017
Дело не в компьютере, а либо в неграмотности админов либо в их лени (либо в жадности директора предприятия\организации).
Для чего 445 порт, открывать наружу?
Вот "SMB (Server Message Block, работающее через 445 порт) -- это протокол, основанный на технологии клиент-сервер, который предоставляет клиентским приложениям простой способ для чтения и записи файлов, а также запроса служб у серверных программ в различных типах сетевого окружения".
А это уже с сайта MS: "Описание компонента
Протокол SMB -- это сетевой протокол для общего доступа к файлам, который позволяет приложениям компьютера читать и записывать файлы, а также запрашивать службы серверных программ в компьютерной сети. Протокол SMB может использоваться поверх протокола TCP/IP или других сетевых протоколов. С помощью протокола SMB приложение (или использующий его пользователь) может получать доступ к файлам и другим ресурсам удаленного сервера. Это позволяет приложениям читать, создавать и обновлять файлы на удаленном сервере. Этот протокол может также обмениваться данными с любой серверной программой, которая настроена на получение клиентских запросов SMB. В Windows Server 2012 используется новая версия протокола SMB -- SMB 3.0."

И еще оттуда-же (Общие сведения о протоколе SMB):
Шифрование SMB
Обеспечивает непрерывное шифрование данных SMB и защищает их от перехвата в недоверенных сетях. Не нуждается в новых затратах на развертывание, протоколе IPsec, специализированном оборудовании и ускорителях WAN. Шифрование SMB может быть настроено для отдельных ресурсов или всего файлового сервера и может быть включено для ряда сценариев, при которых данные проходят через недоверенные сети.
...
Для поддержки многоканальности SMB необходимо соблюдать следующие требования.
Минимум два компьютера с Windows Server 2012. Установки дополнительных компонентов не требуется -- эта технология включена по умолчанию....
technet.microsoft.com/ru-ru/library/hh831474(v=ws.11).aspx

Т.е. либо в MS посчитали, что все админы в мире грамотные, и закроют этот порт, и без надобности никогда его не откроют, либо специально такую уязвимость создали, где шифрование и общий доступ к документам, через один порт осуществляется. Вот хакеры и зашифровали файлы с общим доступом...
Подставу для северокорейцев сварганили пендосы, имхо. Это как с химоружием в Сирии.
vladmir
16.05.2017
blog.kaspersky.ru/wannacry-ransomware/16147/
Эпидемия шифровальщика WannaCry: что произошло и как защититься
...
Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы...
Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.

Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

У нас есть отдельный пост с советами для бизнес-пользователей.
===
FreeCat
17.05.2017
vladmir писал(а)
Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие.

вот тока попадает она на "один компьютер" не потому что использует уязвимость SMB - а потому что какой-то идиот его запускает :) .
Новая тема
Вы не можете создавать новые темы.
Т.к. вы неавторизованы на сайте. Пожалуйста назовите себя или зарегистрируйтесь.
Список тем
Последние темы форумов
Форум Тема (Автор) Последний ответ Ответов
Мужской Хочу свою соседку   -  Anonim_2 18.09.2024 в 17:56:50 26