Остановили вирус, ага!

Цитата (Sokol22 @ 14.05.2017 - 16:53)

Цитата (ДедСекрет @ 14.05.2017 - 16:39) Цитата (assmouse @ 14.05.2017 - 16:32) Цитата (Алфиринос @ 14.05.2017 - 18:31) Насчет обновить винду - а не мелкософт случайно ли запустил этот вирус не? Втихаря. Для старых своих систем, что бы у людей не было выбора и пришлось десятку ставить. Которая живет своей жизнью и плюс ко всему шпионит внаглую запользователем. Че то это подозрительно. Скорее всего в этом замешан мелкософт. Ага, а 300 биткоинов - штраф за пиратку Вопрос знающим - если у меня в роутере отключена возможность внешнего пингования - риск снижается? Поскольку я в логах не вижу, чтобы кто-то долбился на указанные порты. да,снижает, если у вас не белый ип и на роутере хотя бы включен нат то вы практически в безопасности, ну с учетом того что не будите шастать по сайтам всяким плохим и открывать левые письма Видишь ли , по РБК каждые полчаса говорили , что пострадали больше всего МВД , Следственный Комитет , Минздрав , Мегафон и др. Думаешь , там одни профаны работают ? Почти 100 стран ( ! ) пострадали. Не все же там ходили по левым ссылкам ).

Хорошо, а почему тогда не один провайдер не заражен ??? ведь если заразить провайдера то всей его сетке кранты, но пострадали те организации где экономят на ИТ сфере и работают бабы с интеллектом морковки, которые жмякают на картинки с "похудеть с помощью гречки"

Цитата (novvel @ 14.05.2017 - 17:00)

Касается, если обновления не ставил на винду.

Ок. Спасибо.

Цитата (7FL @ 14.05.2017 - 16:56)

Цитата (Sokol22 @ 14.05.2017 - 16:47) внезапно на весь экран вылез тот красный листок с требованием заплатить 300 баксов в биткоинах по такому -то адресу - и все , не сгонишь никакими уговорами и святой водой (. Не дает смотреть  НИЧЕГО. Все файлы исчезли. Первый раз ненадолго удалось выгнать вымогателей. Во второй раз выгнали и надеемся на новых установленных "касперов". А это как-то для домашнего компа актуально? Не скачивая и не устанавливая ничего, только браузер в интернете?

мы фильм смотрели дома , сверху на фильм наложился красный листок - и все , кино кончилось (. А вечером телеканал РБК показал этот листок и стал сообщать все подробности.

Цитата (Sokol22 @ 14.05.2017 - 17:08)

мы фильм смотрели дома , сверху на фильм наложился красный листок - и все , кино кончилось (. А вечером телеканал РБК показал этот листок и стал сообщать все подробности.

Ясно. Вроде обновляется всё. Хотя в принципе жалко было бы фотки, в основном. Но они и локально лежат и в облаке.

Ну раз пошли с хабры перепосты, вот с двачевской шапки хуй-пойми какого треда по счету, в целом годно:
ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
http://www.catalog.update.microsoft.com/Se....aspx?q=4012215
http://www.catalog.update.microsoft.com/Se....aspx?q=4012212
-----------------------------------
Для Windows 7: SMBv1 отрубается на семёре через ps командой
(запускать от имени администратора)

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Запустил от имени админа но теперь вообще ноль реакции на команду
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась

Для Windows 10
Третий пик в ОП посте
---------------------------------
Кто не хочет обновятся, просто пишет это в командную строку.

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
echo "Thx, Abu"

---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:

1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

https://geektimes.ru/post/289115/

----
Еще про распространение:

ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.

У тех кто начал эту атаку есть

>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер

Как это работает?

>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.

КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?

В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
---------------------------------
Интерактивная карта распространения вируса в режиме реального времени
https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру
--------------------------------

КОШЕЛЬКИ ХАКЕРОВ
https://blockchain.info/address/13AM4VW2dhx...HkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwue...19p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngo...ijcRdfJNXj6LrLn
--------------------------------
НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:

Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)

Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)

Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение)
---------------------------------
СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК:
https://vk.com/wall-28464698_720473
---------------------------------
В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного.

Видюшка для тех, кто еще не поймал кайфушку!



Это сообщение отредактировал Meeseeks - 14 мая 2017 г. в 17:17

Цитата

Уязвимы только компьютеры под управлением ОС Windows 7-10

XP вроде тоже же. На него мелкие состряпали обнову как раз для этого

Цитата (С2H5OH @ 14.05.2017 - 17:12)

Ну раз пошли с хабры перепосты, вот с двачевской шапки хуй-пойми какого треда по счету, в целом годно: ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7 http://www.catalog.update.microsoft.com/Se....aspx?q=4012215 http://www.catalog.update.microsoft.com/Se....aspx?q=4012212 ----------------------------------- Для Windows 7: SMBv1 отрубается на семёре через ps командой (запускать от имени администратора) Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Запустил от имени админа но теперь вообще ноль реакции на команду так и должно быть. это нормальное поведение. Говорит о том, что команда применилась Для Windows 10 Третий пик в ОП посте --------------------------------- Кто не хочет обновятся, просто пишет это в командную строку. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445" echo "Thx, Abu" --------------------------------- КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН: 1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! 2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ 3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ -------------------------------- Про ВИРУС, распространение и история: Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США. Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет. В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео. В этом наборе есть опасный инструмент DoublePulsar. Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код. https://geektimes.ru/post/289115/ ---- Еще про распространение: ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ. У тех кто начал эту атаку есть >Эксплойты слитые Shadow brokers >Сканнер сети который они сами написали на C/Python >Linux сервер Как это работает? >Скрипт сканнера запускается на Linux сервере >Вбивается определенный IP диапазон или целая страна >Скрипт сканирует диапазон на открытый 445 порт >В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера >эксплойт закачивает файл и запускает его. КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ? В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется. --------------------------------- Интерактивная карта распространения вируса в режиме реального времени https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру -------------------------------- КОШЕЛЬКИ ХАКЕРОВ https://blockchain.info/address/13AM4VW2dhx...HkHSQuy6NgaEb94 https://blockchain.info/address/12t9YDPgwue...19p7AA8isjr6SMw https://blockchain.info/address/115p7UMMngo...ijcRdfJNXj6LrLn -------------------------------- НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ: Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках) Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков) Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение) --------------------------------- СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК: https://vk.com/wall-28464698_720473 --------------------------------- В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного.

ну это нужно в отдельную тему уже

Нашелся интересный изъян в коде:

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

ух сколько ноутов мне принесут в понедельник

Цитата (PeKpyTby @ 14.05.2017 - 17:26)

ух сколько ноутов мне принесут в понедельник

кому то война, а кому то мать родная! да ?

Цитата (LastClick @ 14.05.2017 - 17:20)

Нашелся интересный изъян в коде: Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы. Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов. Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения. Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

С подключением)) Писали уже, читайте весь пост, полезно бывает...

Цитата (ДедСекрет @ 14.05.2017 - 17:28)

Цитата (PeKpyTby @ 14.05.2017 - 17:26) ух сколько ноутов мне принесут в понедельник  кому то война, а кому то мать родная! да ?

а может он и есть вирусописатель????????

Это, я, получается, 2 ляма конторе сэкономил? Надо премию попросить

Цитата (ДедСекрет @ 14.05.2017 - 17:07)

Цитата (Sokol22 @ 14.05.2017 - 16:53) Цитата (ДедСекрет @ 14.05.2017 - 16:39) Цитата (assmouse @ 14.05.2017 - 16:32) Цитата (Алфиринос @ 14.05.2017 - 18:31) Насчет обновить винду - а не мелкософт случайно ли запустил этот вирус не? Втихаря. Для старых своих систем, что бы у людей не было выбора и пришлось десятку ставить. Которая живет своей жизнью и плюс ко всему шпионит внаглую запользователем. Че то это подозрительно. Скорее всего в этом замешан мелкософт. Ага, а 300 биткоинов - штраф за пиратку Вопрос знающим - если у меня в роутере отключена возможность внешнего пингования - риск снижается? Поскольку я в логах не вижу, чтобы кто-то долбился на указанные порты. да,снижает, если у вас не белый ип и на роутере хотя бы включен нат то вы практически в безопасности, ну с учетом того что не будите шастать по сайтам всяким плохим и открывать левые письма Видишь ли , по РБК каждые полчаса говорили , что пострадали больше всего МВД , Следственный Комитет , Минздрав , Мегафон и др. Думаешь , там одни профаны работают ? Почти 100 стран ( ! ) пострадали. Не все же там ходили по левым ссылкам ). Хорошо, а почему тогда не один провайдер не заражен ??? ведь если заразить провайдера то всей его сетке кранты, но пострадали те организации где экономят на ИТ сфере и работают бабы с интеллектом морковки, которые жмякают на картинки с "похудеть с помощью гречки"

Наверное потому, что у провайдеров винда в порядке исключения разве что стоит?

Цитата

В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.

Объясни тупому, как сканер в таком случае узнает что порт открыт, если сканируемый ИП будет слать ответ на рандомный ИП.
Это используют при DDOS и никак при сканировании сети.

Садись два.

На карте Крым почему-то украинский.

https://intel.malwaretech.com/WannaCrypt.html

Цитата (zxr @ 13.05.2017 - 23:28)

а вот в Северной Корее все спокойно. рисовое поле таким вирусом не сломать.

Им даже нефть не нужна.Машины на дровах.Нищету не чем не напугаешь.

Цитата (С2H5OH @ 14.05.2017 - 17:12)

--------------------------------- СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК: https://vk.com/wall-28464698_720473 ---------------------------------

Как же легко и быстро

Цитата (С2H5OH @ 14.05.2017 - 09:08)

[QUOTE=Геныч,14.05.2017 - 11:05] [QUOTE=С2H5OH,14.05.2017 - 10:57] Многие сайты, опираясь на сведения своих аутсайдеров из международной группы экспертов,

аутсайдеров... ну да, аутсайдер фигню не скажет

Цитата (lamEr13 @ 14.05.2017 - 17:03)

Вчера ходил я с утра машину на учет ставить, так в ГАИ сказали, что у них сервера не работают, приходите во вторник.

Это от того, что в пнд у них выходной?
Или они ждут в пнд тотального пиздеца?
Что ж ты не уточнил?!

Цитата (Meeseeks @ 14.05.2017 - 17:16)

Видюшка для тех, кто еще не поймал кайфушку!

родной мой друг, очень часто апдейтер винды даёт сбой, и показывает что нет обновлений. Посему обновляюсь исключительно в ручном режиме и эта шляпа меня не касается

Цитата

Хорошо, а почему тогда не один провайдер не заражен ??

А что заражать у провайдеров на серверах? Картинок с котиками там нет, видео с голыми деффками тоже. Да и у нормального админа там все дыры заткнуты заранее.

Я словил на работе и да, из множеств 1cd он все-таки зашифровал рабочую. Скорее всего в момент бэкапа, потому как бэкапная не стартует (

Цитата (Meeseeks @ 14.05.2017 - 17:16)

Видюшка для тех, кто еще не поймал кайфушку!

Ну да, запускает живой вирус непосредственно на машине... Патч тут причем? Он убирает сетевую уязвимость, в результате которой это ломится удаленно на комп.