Убунта не панацея, на убунте то же есть самба, и через нее убунту можно заблочить наглухо.
И чо будет? А ничего не будет. Даже если ты его запустишь под вайном от рута (надо быть полным дебилом для этого), вирус скорее всего споткнется об отсутствие какой-нить библиотеки и отвалится.
А че 445 порт все еще бэкдорится? Вроде на момент хрюнделя была такая проблема. Позже должны были пофиксить. Разве что пэйлоадом можно атаковать 7ки и выше. Но тут юзверь сам по себе туп.
Хотя можно зарядить его как апдейт фокса\или пдфку, перешить адрес с *частопосещаемыйсайт* на нужныйи ловить мышей Это сообщение отредактировал Bambezia - 28 июн. 2017 г. в 10:33
У нас вроде ребята уже всё сделали. Обновы свежие через WSUS, файлики-пустышки на компы разнесли, порты закрыты известным корпоративным решением.
Это сообщение отредактировал Solmar - 28 июн. 2017 г. в 10:25
обнов с самого начала не ставил, проверился - всё закрыто
В нутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем
Если сеть большая то на всех компах сети нужно все закрывать.
Первое что нужно сделать, это настроить поведенчиские алгоритмы внутренней системы защиты. У меня например при изменении более 10 файлов в течении 30 секунд выполнение программы будет остановлено.
Это какая программа такое делает ? на линуксе или винде ?
Устанавливать все обновления Майкролсофт - Как вы знаете сейчас по миру идет глобальная вирусная атака вирусам Петя и Миша. И исходя из информации из разных источников решил накидать несколько советов как не заразится
1. Не хранить важные данные на диске C (т.е рабочий стол, мои документы и тд). Скорее всего только он и будет зашифрован и в случае заражения данные с него более доступны не будут. Храните данные на облаке, флешке, сетевом диске ну или на на диске D (в крайнем случае)
2. Устанавливать все обновления от Майкрософт. Центр обновления (как многие любят делать) отключать не нужно
3. Не открывать подозрительные вложения из электронной почты даже от знакомых и коллег. Есть информация что вирус распространяется по средствам вложений pdf и от зараженных компьютеров делает рассылку по всем контактам
4. Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
5. Если компьютер внезапно перезапустился и началась проверка дисков немедленно его выключить. Скорее всего он заражен и информацию с нее вытаскивать лучше через Live образы. Саму винду смысла спасать нет
6. Для админов выключить SMB v.1 на уровне домена
Антивирусы на текущий момент не имеют от него 100% защиты и некоторые антивирусные компании сами стали жертвами этих вирусов.
Что касаемо таких больших последствий для Украины то была атака на одну из софтвенных компаний которая занимается документооборотом в результате чего на компьютеры пользователей прилетели обновления с уже встроенным вирусом
Не порите, батенька, хуйню.
1. Вирусу, в частности, модифицированному WannaCry - совершенно поебать, где находятся шифруемые файлы, на дисках, или в облаке, как совершенно правильно было выше замечено.
2. Устанавливать все обновления майкрософт - я ебал такое щастье. Мало того, что когда тебе нужно что-то срочно сделать, но включается ебучее обновление и вся система встаёт колом, так эти мудаки умудряются ещё и некорректные обновления выпускать. Через пару дней они конечно исправляются и даже извиняются, но тебе-то от этого легче что-ли?
3. Открывание или не открывание вложений к этому вирусу не относится. Заражение происходит сразу, как только ткнул мышью в письмо. Огромная дыра в SMB была закрыта MS ещё в марте, но только для win7 и выше. Патч для XP, на которой кстати работает большинство банкоматов, появился только постфактум.
4. Толку от этого - ноль целых, ноль десятых.
5. Ну хоть это более правильно. Только и тут напрасно панику развёл. Проверка дисков происходит каждый раз при неправильном выключении компьютера (от сети). А вот совет твой - мне просто подарок какой-то, винт MHDD после таких блядских советов проверять.
Что касаемо остального, то как ребята надеялись на "авось", так и после WannaCry, подумали, что пронесло. И никто, сцуко, жопу не поднял, и пальцем по клаве не ударил, чтобы скачать и установить патч.
Убунта не панацея, на убунте то же есть самба, и через нее убунту можно заблочить наглухо.
И чо будет? А ничего не будет. Даже если ты его запустишь под вайном от рута (надо быть полным дебилом для этого), вирус скорее всего споткнется об отсутствие какой-нить библиотеки и отвалится.
Линуксоиды совсем озверели, уже под вайном пытаются вирусы запустить.
Убунта не панацея, на убунте то же есть самба, и через нее убунту можно заблочить наглухо.
И чо будет? А ничего не будет. Даже если ты его запустишь под вайном от рута (надо быть полным дебилом для этого), вирус скорее всего споткнется об отсутствие какой-нить библиотеки и отвалится.
Линуксоиды совсем озверели, уже под вайном пытаются вирусы запустить.
А че пытаются, это же весело запустить какой нибуть блокировщик под вайном. Хотя бы ради пункта "А я смог"
обнов с самого начала не ставил, проверился - всё закрыто
В нутри сети Петя распространяется при помощи PsExec и WMI. Учётки добывает себе Mimikatz'ем
Если сеть большая то на всех компах сети нужно все закрывать.
Первое что нужно сделать, это настроить поведенчиские алгоритмы внутренней системы защиты. У меня например при изменении более 10 файлов в течении 30 секунд выполнение программы будет остановлено.
Это какая программа такое делает ? на линуксе или винде ?
Данный вирус ничего так не меняет, просто добавляет пару идентификационных (для себя) файлов, скачивает новый, исполняет, пытается биться через SMB по сети и мастербут кодирует. Такой метод хорош против классических вирусов-шифровальщиков когда пофайлово кодировка идёт.
1. Вирусу, в частности, модифицированному WannaCry - совершенно поебать, где находятся шифруемые файлы, на дисках, или в облаке, как совершенно правильно было выше замечено.
2. Устанавливать все обновления майкрософт - я ебал такое щастье. Мало того, что когда тебе нужно что-то срочно сделать, но включается ебучее обновление и вся система встаёт колом, так эти мудаки умудряются ещё и некорректные обновления выпускать. Через пару дней они конечно иправляются и даже извиняются, но тебе-то от этого легче что-ли?
3. Открывание или не открывание вложений к этому вирусу не относится. Заражение происходит сразу, как только ткнул мышью в письмо. Огромная дыра в SMB была закрыта MS ещё в марте, но только для win7 и выше. Патч для XP, на которой кстати работает большинство банкоматов, появился только постфактум.
4. Толку от этого - ноль целых, ноль десятых.
5. Ну хоть это более правильно. Только и тут напрасно панику развёл. Проверка дисков происходит каждый раз при неправильном выключении компьютера (от сети). А вот совет твой - мне просто подарок какой-то, винт MHDD после таких блядских советов проверять.
Что касаемо остального, то как ребята надеялись на "авось", так и после WannaCry, подумали, что пронесло. И нико, сцуко, жопу не поднял и пальцем по клаве не ударил, чтобы скачать и установить патч.
1. Информацию о том что на данный момент шифруется только диск C взял с уже познакомившихся с этим вирусом. 2. Без комментариев. 3. При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:
• открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe; • загрузка шифровальщика по адресу french-cooking[.]com; • на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta • подключение зараженного компьютера к адресам 111.90.139[.]247, coffeeinoffice[.]xyz; • распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144; • заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.
Пс. Не мое но доверять информации у меня нет оснований.
4. Возможно 6. Патчи закрывают только уязвимость SMB Рассылку писем и авторизацию по сети они не закрывают.
Это сообщение отредактировал kottor45 - 28 июн. 2017 г. в 10:46
1. Информацию о том что на данный момент шифруется только диск C взял с уже познакомившихся с этим вирусом. 2. Без комментариев. 3. При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:
• открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe; • загрузка шифровальщика по адресу french-cooking[.]com; • на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta • подключение зараженного компьютера к адресам 111.90.139[.]247, coffeeinoffice[.]xyz; • распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144; • заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.
Пс. Не мое но доверять информации у меня нет оснований.
4. Возможно 6. Патчи закрывают только уязвимость SMB Рассылку писем и авторизацию по сети они не закрывают.
1. Потому что диск С: блять это обычно первый раздел. Точнее, второй. 2. пропустим 3. Очень уж интересно, каким образом, особенно при наличии абсолютно любого антивируса в системе, этот товарищ будет пытаться прописаться в MBR? Щаззз! Тем более, что на большинстве современных систем (8-10) уже давно GPT.
"получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB" он уже не может, поскольку уязвимость уже закрыта. И чё дальше?
Вот одного не понятно, прошлого раза не хватило, еще есть люди которые патчи безопасности не накатили в прошлый раз?
я семерку не обновлял ни разу за пару лет, надо? Обновил, тогда она у меня глюканула, там обнова была специфическая, читал об этом, назад откатил и все заработало, после этого отключил обнову, надо обновить? опасаюсь как бы опять с этой обновой херня какая-нить не прилетела
у нас в конторе была подобная хрень еще за полгода до wannacry, печаль была в том что вся инфа хранится на серваках, даже личный диск - и тот сетевой, в компах только голые вин7 и ссд на 60 гигов, посреди рабочего дня начали шифроваться все подряд файлы в общих папках на серваках, думал все хана, но ниче - админы за пару часов как то разрулили и все заработало.
у нас в конторе была подобная хрень еще за полгода до wannacry, печаль была в том что вся инфа хранится на серваках, даже личный диск - и тот сетевой, в компах только голые вин7 и ссд на 60 гигов, посреди рабочего дня начали шифроваться все подряд файлы в общих папках на серваках, думал все хана, но ниче - админы за пару часов как то разрулили и все заработало.
Да как разрулили - бэкапы были просто у них а то бы все
Убунта не панацея, на убунте то же есть самба, и через нее убунту можно заблочить наглухо.
И чо будет? А ничего не будет. Даже если ты его запустишь под вайном от рута (надо быть полным дебилом для этого), вирус скорее всего споткнется об отсутствие какой-нить библиотеки и отвалится.
Линуксоиды совсем озверели, уже под вайном пытаются вирусы запустить.
В конце 90-х я на отдельных дискетах держал целую коллекцию вирусов - хобби у меня такое было. Кто-то марки собирал, кто-то монеты, а я вирусы. Потом забросил это дело, т.к. дискеты стали заканчиваться, а вирусов стало слишком много... Но когда незадолго до 2008-го года, я окончательно и бесповоротно пересел на линукс, то захотел вспомнить старое увлечение. И накачал всяких вирусов под линукс. Уж я и мануалы читал, и компилировал их как только мог - 2 недели все вечера только ими и занимался. ОДИН я осилил скомпилить без ошибок! Но после запуска он заругался на слишком новый gcc и выпал в осадок. Нет у меня больше хобби...
1. сетевые диски так же без проблем шифруются. Происходит шифрование папок, к которым идет обращение. Подозреваю, что с облачными дисками произойдет та же ситуация - при синхронизации в облаке оригинальные файлы заменятся зашифрованными. Так же эти программы ищут на компьютере базы 1С, бэкапы акрониса.
2. Перезагрузки компьютера нет! Они работают в фоне сразу после запуска и добавляются в различные места автозагрузки.
У меня помимо антивируса-файрвола всегда наготове бэкап-версии: образ системного диска со всеми программами и настройками, а так же копии важнейших данных. Все находится на внешнем диске, не подключенном к компу. Действия с важнейшими паролями совершаются в виртуалке. Кроме этого там ничего не совершается. Сами пароли тоже запаролены в специальной базе. Раньше еще и база паролей находилось на виртуальном диске, зашифрованном стойким алгоритмом, но я подумал, это такая паранойя чересчур даже для меня. Я ж не Пентагон, меня специально ломать не будут.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
В гробу я видал вашего Петю.
yaplakal.com