Проверяем и защищаем свою систему от Wana decrypt0r 2.0

вот так вирус действует :)

Цитата (zxbaikal @ 15.05.2017 - 05:50)

Установили патч на Windows Server 2008 R2. Патч встал, но после перезагрузки система не запускается. Что делать?

Абсолютно то же самое. Система лицензированная. На ней 1С сервер, последний бэкап неделю назад делали, с тех пор документов с несколько сотен прошло :-(

Вот уж поднасрали мелкомягкие :-(

Цитата (Reciter @ 15.05.2017 - 16:51)

Цитата (zxbaikal @ 15.05.2017 - 05:50) Установили патч на Windows Server 2008 R2. Патч встал, но после перезагрузки система не запускается. Что делать? Абсолютно то же самое. Система лицензированная. На ней 1С сервер, последний бэкап неделю назад делали, с тех пор документов с несколько сотен прошло :-( Вот уж поднасрали мелкомягкие :-(

Загрузился с флешки, вроде все файлы на месте. Буду завтра сохранять диск С:. Запустился с DVD Windows Server 2008 R2, нашла какую то точку востановления за 2015 год. Хрен знает, что там, систему ставил другой человек который уже не работает. Может есть способ удалить этот патч.

Да, многие ринулись ставить патч и нарвались на другую проблему. Дело в том, что эти патчи можно и нужно ставить только в том случае, если были установлены все предыдущие. Вот такая фигня. Конкретно на WS2008R2 у нас системщик просто восстановил 5 системных файлов, которые изменил патч, на предыдущие версии и все заработало. Через командную строку консоли восстановления системы.

Вирус Хуирус. Нехуй расслабляться сидми на сборках и все ОК. А вы думали раз купил то все будет ХОРОШО)???

Цитата (Reciter @ 15.05.2017 - 18:22)

Да, многие ринулись ставить патч и нарвались на другую проблему. Дело в том, что эти патчи можно и нужно ставить только в том случае, если были установлены все предыдущие. Вот такая фигня. Конкретно на WS2008R2 у нас системщик просто восстановил 5 системных файлов, которые изменил патч, на предыдущие версии и все заработало. Через командную строку консоли восстановления системы.

Эх, узнать бы их имена...

Есть пара файлов: один шифрованный, второй целый (из под носа виря вырвал и на яндекс.диск сохранил). Есть вариант подобрать ключ для расшифровки?

Цитата (28e @ 15.05.2017 - 08:22)

Цитата (gvitas @ 14.05.2017 - 18:32) Проверил свой роутер со стороны локалки программой LanSpy Результат открытых портов на картинке. Роутер этот хитрый, имеет две системы. Одну внешнюю для оптики, к которой мне доступ закрыт. Вторая внутренняя, для локалки, с которой я могу делать что угодно. С внешней системой недавно оператор что-то делал, поскольку роутер несколько раз перезагружался.. Подробности мне неизвестны, поскольку с оптикой только недавно познакомился и пока на Вы))) Интересно, насколько в таком случае вероятно проникновения вируса. ИМХО шансы у него равны нулю. открытый Telnet - это примерно как "за-а-а-аходите гости, дорогие!!"

Телнет открыт из локалки. Не факт, что этот же порт открыт в другой среде (оптика), поскольку я уже написал, что у роутера две системы. Одна на оптику, вторая на локалку. Как они меж собой контачат, я пока не въеду.

Поэксперемнтировал быстро на виртуалке.
1 Поставил винду (сборку) Win7sp1 включающий какие то обновы и таблетку вшитую. Ставлю патч что KB4012212 что KB4012215 и.т.п. или из списка ниже.
KB4019264
KB4015549
KB4012218
KB4012215
KB4012212
Верхний включает нижний и т.п., типа матрёшка.
Толку нет, ребуты....череез восставновление оживляется
2. Поставил оригинальную Win7sp1 + таблетка windows loader 2.2.2 -все ок патч встаёт
3. Поставил снова сборку из пункта 1 + UpdatePack7R2 для Windows 7 SP1 (накопительное обновления со времен выхода sp1 по наши дни) и все ок
Только UpdatePack7R2 ставится доолго, за это время можно с нуля переустановить дрова и софт
Вывод, для той обновы, нужен/нужны какие то другие...выходящие ранее..
Ну и сама таблетка решает,видимо
Это сообщение отредактировал wats - 15 мая 2017 г. в 22:21

Запустил сегодня с диска ERD Commander in MSDaRT 7.0 утилиту удаления обновлений. Все показала, а KB4012212 в списке нет. Блин, засада...

забавно наблюдать как люди в попытках защититься от вируса скачивают и устанавливают патчи с ЛЕВЫХ сайтов

Так, а Хрю как защитить?

И супердревний анекдот:

" - Слышали, в соседней конторе такой вирус завелся - так драйвера мышки перепрограммирует, что она по столу сама ездить начинает!
- да фигня, сосед рассказывал - видел вирус, который фокусирует луч монитора, тот прожигает трубку и дырку во лбу юзера!"

Цитата

но стоит сделать одну комнаду из центра меломягких и вообще ВСЕ компы мира сидящие в сети (а это почти все компы) тупо могут ПРЕКРАТИТЬ работу или зашифровать все данные и прекратить работу.

Мне это рассказывали еще 17 лет назад. Не верил ...

После танцев с бубном, удалось таки запустить систему. Ошибка была с oem-drv64.sys. Типа нет цифровой подписи и еще была ошибка в загрузочной записи. Теперь правда запускается с ошибкой 0xc0000142. Завтра буду разбираться.
P.S Еще удалил файл в папке C:\Windows\winsxs\ который отвечает за запуск обновления при перезагрузки (не помню имя).
Это сообщение отредактировал zxbaikal - 17 мая 2017 г. в 13:35

Цитата (kazanec @ 13.05.2017 - 10:49)

Цитата dism /online /norestart /disable-feature /featurename:SMB1Protocol

Вот тут только могут возникнуть проблемы со старым оборудование которые только передачу по SMB1 поддерживают.

Цитата (PomkaFL @ 13.05.2017 - 11:18)

Цитата (ra9mli @ 13.05.2017 - 11:15) Подскажите, а где можно этот вирус подцепить? Хочу прям специально заразить свой комп и глянуть что будет. к заразному с флешкой сходи )

Автозапуски уже давно обрудил со всех дисков. Включая и USB.
Всё-равно, вирус с заражённой флешки запрыгнет?

Цитата (dekokt @ 16.05.2017 - 21:01)

Так, а Хрю как защитить?

Сам на хрюшке.
Танцы с бубнами описаны ТУТа

Цитата (Dedvlz @ 13.05.2017 - 21:16)

Расширения шифруемых файлов: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

Хм, если портянка полная и соответствует истинности, я там не нашёл расширения NRG (это Nero пишет данные на виртуальный диск, который я потом люблю отрывать Алкоголем).
Пошёл фотки писАть на вирт. неровские диски

скажите, или я из избранных понимающих суть? почему все обсуждают какое-то ненужное обновление? нужно бороться с шифровальщиками программами песочницами, пофиг на уязвимости винды.

Решил проблему, когда после обновления винда не грузится (приходится делать откат, но после восстановления - обновы конечно нет в установленных)
Надо решение ?