отключил давно нахуй все обновления) и да, завтра я иду снимать всю наличку, ибо ну его нахуй эти компутеры.. хакеры, милые, удалите нахер все БД дебиторов по кредитам пожалуста!
Не поможет удаление БД, в рф всё на бумаге дублируется...
перед запуском патча надо запустить службу "Автоматическое обновление", после установки и перезагрузки, ее можно отключить
Алярм! Алярм! Классная заплатка на Win7 64, после перегруза вылетает BSOD! Помогло восстановление системы.
мож я тоже дурак, но у меня выскочила такая же проблема, два раза пробовал, второй потому что не запустил службу. В итоге винда не запускается, благодаря восстановлению только. Хорошо, что на ноуте тренировался и то мало-мало очко жимануло. Может я что-то не так делаю? Тоже Win7 64.
Тоже Win7 x64. Циклической перезагрузка. Безопасный режим не работает. Восстанавливать через установочный диск?
Сижу на линуксе и в хер мне не встали эти вирусы)))
Так же как и профессиональный софт и многое другое
1С и офис - все что нужно большинству атакованных организации... Кстати французы ставили ubuntu на машины своего МВД году так в 2008... Если машина мощная, ставите бесплатный VM и там любая ОС. Игроманам без винды хана конечно, нехер поощрять бездельников на работе
перед запуском патча надо запустить службу "Автоматическое обновление", после установки и перезагрузки, ее можно отключить
Алярм! Алярм! Классная заплатка на Win7 64, после перегруза вылетает BSOD! Помогло восстановление системы.
мож я тоже дурак, но у меня выскочила такая же проблема, два раза пробовал, второй потому что не запустил службу. В итоге винда не запускается, благодаря восстановлению только. Хорошо, что на ноуте тренировался и то мало-мало очко жимануло. Может я что-то не так делаю? Тоже Win7 64.
Тоже Win7 x64. Циклической перезагрузка. Безопасный режим не работает. Восстанавливать через установочный диск?
Отправлено с мобильного приложения - Forum Talker
Удалите пакет обновления через "Восстановление системы" - "Командная строка". Команды: DISM /Image:имя диска:\ /Get-Packages (выделяете пакет и Enter) DISM /Image:имя диска:\ /Remove-Package /PackageName:(вставляете правой кнопкой мыши) Получится: DISM /Image:имя диска:\ /Remove-Package /PackageName:Package_for_KB40122121........6.1 После 100% завершения перегрузитесь в систему.
Это сообщение отредактировал Dимс - 13 мая 2017 г. в 16:39
Реально что то нечисто. Шифровальщик должен быть рукотворно запущен. САм он, не приходит и не стартует.
Запускается...
Цитата: "В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео. В этом наборе есть опасный инструмент DoublePulsar. Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код" https://geektimes.ru/post/289115/
Еще вот из интересного: "Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов."
Удалите пакет обновления через "Восстановление системы" - "Командная строка". Команды: DISM /Image:имя диска:\ /Get-Packages (выделяете пакет и Enter) DISM /Image:имя диска:\ /Remove-Package /PackageName:(вставляете правой кнопкой мыши) Получится: DISM /Image:имя диска:\ /Remove-Package /PackageName:Package_for_KB40122121........6.1 После 100% завершения перегрузитесь в систему.
Спасибо. Запуск с режимом командной строки тоже не работал. Что интересно, диск с которого винда была установлена, функция "восстановление системы" сказало, что версия не совпадает и ничего не стала делать. Помог ERD Commander функция автоматического поиска проблем. минута и винда загрузилась. Я уже конкретно в отрицательное настроение ушел перед этим.
Это сообщение отредактировал Crowner - 13 мая 2017 г. в 16:50
Еще "Как это работает? Скрипт сканнера запускается на Linux сервере Вбивается определенный IP диапазон или целая страна Скрипт сканирует диапазон на открытый 445 порт В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера эксплойт закачивает файл и запускает его."
Интересно. Вирус гробит ОС, начиная с Vista. Опять на XPюшу переходить?
На Касперском требуют Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB.
SMB (сокр. от англ. Server Message Block) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
А вот и ни хрена, в банкоматах сбера стоит ХРюша, так что не поможет.
Удалите пакет обновления через "Восстановление системы" - "Командная строка". Команды: DISM /Image:имя диска:\ /Get-Packages (выделяете пакет и Enter) DISM /Image:имя диска:\ /Remove-Package /PackageName:(вставляете правой кнопкой мыши) Получится: DISM /Image:имя диска:\ /Remove-Package /PackageName:Package_for_KB40122121........6.1 После 100% завершения перегрузитесь в систему.
Спасибо. Запуск с режимом командной строки тоже не работал. Что интересно, диск с которого винда была установлена, функция "восстановление системы" сказало, что версия не совпадает и ничего не стала делать. Помог ERD Commander функция автоматического поиска проблем. минута и винда загрузилась. Я уже конкретно в отрицательное настроение ушел перед этим.
да, была циклическая перезагрузка с предложениями двух вариантов - обычная загрузка и восстановление системы. Безопасного режима не предлагало. Восстановление системы, судя по всему, откатило ОС к предыдущему рабочему варианту, т.к. режим автообновления был отключен и даже пару файлов из корзины достало, которые перед этим за пару минут удалял.
в панике зашел на свой рабочий сервак 2008, все проверил, вроде все файлы и база 1с на месте, вируса не видно, касперский ничего не обнаружил. обновление безопасности kb3212646 для windows server 2008 уже было установлено в январе. теперь думаю, может ли эта зараза затаиться у какого-то пользователя на рабочем компе, в понедельник он придет на работу, включит его и всем компам в офисе придет кирдык?
Это сообщение отредактировал nikozros29 - 13 мая 2017 г. в 18:05
Сижу на линуксе и в хер мне не встали эти вирусы)))
Так же как и профессиональный софт и многое другое
1С и офис - все что нужно большинству атакованных организации... Кстати французы ставили ubuntu на машины своего МВД году так в 2008... Если машина мощная, ставите бесплатный VM и там любая ОС. Игроманам без винды хана конечно, нехер поощрять бездельников на работе
ставите бесплатный VM и там любая ОС
Это сообщение отредактировал ivanpetro - 13 мая 2017 г. в 18:52
Реально что то нечисто. Шифровальщик должен быть рукотворно запущен. САм он, не приходит и не стартует.
Запускается...
Пардон! Не дочитал...
вон что пишут.. АНАЛИЗ ЗЛОВРЕДА
Изначальный файл mssecsvc.exe запускает другой файл с названием tasksche.exe. Затем проверяется домен-выключатель, после чего создается служба mssecsvc2.0. Эта служба исполняет файл mssecsvc.exe с иной точкой входа, нежели во время первого запуска. Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети. Когда зловред успешно подключается к удаленной машине, то устанавливается соединение и происходит передача данных. Судя по всему, где-то в процессе этой передачи используется известная уязвимость, которая была закрыта обновлением MS 17-010. На данный момент нету полного понимания трафика SMB, и при каких именно условиях зловред может распространяться, используя дыру в безопасности.
Файл tasksche.exe проверяет все диски, а также расшаренные по сети папки и подсоединенные устройства, которые привязаны к буквам, вроде 'C:/', 'D:/' и т.д. Малварь затем ищет файлы с расширениями, которые перечислены в программе (и приведены ниже), и шифрует их, используя 2048-битное RSA шифрование. Пока файлы шифруются, создается папка 'Tor/', куда кладется файл tor.exe и 9 файлов dll, которые он использует. Дополнительно создаются taskdl.exe и taskse.exe. Первый из них удаляет временные файлы, а второй запускает @wanadecryptor@.exe, который показывает пользователю окно с требованием заплатить. Файл @wanadecryptor@.exe отвечает только за вывод сообщения. Шифрование файлов происходит в фоне с помощью tasksche.exe.
Файл tor.exe запускается с помощью @wanadecryptor@.exe. Этот новый процесс начинает соединение с узлами Tor. Таким образом WannaCry сохраняет анонимность, проводя весь свой трафик через сеть Tor.
Что типично для программ-вымогателей, программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com