Вверх ↑
Этот топик читают: Гость
Ответов: 315
Рейтинг: 1
#1: 2017-05-13 10:33:02 ЛС | профиль | цитата
#WanaDecryptor #hack #wncry

Всем привет! Думаю, все наслышаны о вчерашней хакерской атаке на компьютеры под операционной системой Win7. Тема актуальная, так что предлагаю делиться опытом по устранению последствий атаки. Интересно то, что вредоносный код в систему попадает без участия пользователя, т.е. не нужно быть "чайником" и ходить по всем рекламным ссылкам, достаточно просто находиться в сети Интернет либо локальной сети.

После того, как код попал в систему, происходит перезагрузка (отмечаются разные ошибки для перезагрузки, у меня было сообщение от "службы энергосбережения") После перезагрузки начинается самое интересное, система виснет от того, что начинается шифрование файлов, под раздачей большинство известных расширений. Далее появляется окно программы, с предложением внести сумму (200$-600$) и расшифровать файлы (Интересно узнать, злоумышленники честные? Расшифруют, после внесения суммы?)

Для предотвращения:
Эксперты отмечают, что самый простой способ обезопасить себя от атаки #WannaCry - это закрыть порт 445
Так же рекомендуется выполнить обновление системы MS17-010, чтобы закрыть лазейку.


Для тех кто пострадал, остался горький осадок, в виде зашифрованных файлов данных, различных медиа, баз данных и исходников многих известных программ. Кстати, сам конструктор Hiasm тоже перестает работать, так как все файлы .ico шифруются. Расшифровать файлы пока не предоставляется возможности, все в ожидании дешифратора от компании Касперский.

Редактировалось 8 раз(а), последний 2017-05-13 10:49:15
карма: 0

0
vip
#1.1контекстная реклама от партнеров
Ответов: 321
Рейтинг: 10
#2: 2017-05-13 12:39:53 ЛС | профиль | цитата
Девушка в мегафоне работает, у них запретили включать компьютеры, мегафон тоже подвергся заражению.
карма: 1

0
Разработчик
Ответов: 4697
Рейтинг: 426
#3: 2017-05-13 13:51:39 ЛС | профиль | цитата
https://geektimes.ru/post/289115/
Желательно читать не только статью, но и комменты, масса полезного.

--- Добавлено в 2017-05-13 13:55:45

GS_Lab писал(а):
достаточно просто находиться в сети Интернет либо локальной сети.

Не совсем так. Уязвимость работает только при включенном протоколе SambaV1 и одном из двух случаев:
1) ваш комп напрямую смотрит в Интернет открытым портом 445 (без роутеров, если с роутерами, то тот же порт должен быть проброшен во внешку);
2) В вашей локальной сети уже есть зараженный компьютер. Тогда криптер распространится по всем, до кого сможет достучаться из локалки.

Редактировалось 1 раз(а), последний 2017-05-13 13:55:45
карма: 10
0
Ответов: 321
Рейтинг: 10
#4: 2017-05-13 22:51:11 ЛС | профиль | цитата
Вирус-вымогатель WannaCry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, пишет The Guardian.
https://ria.ru/world/20170513/1494242122.html

Помимо этого в коде нашли следующее:

Редактировалось 3 раз(а), последний 2017-05-13 22:59:34
карма: 1

0
Ответов: 2193
Рейтинг: 673
#5: 2017-05-14 00:22:33 ЛС | профиль | цитата
Master4eG писал(а):
Помимо этого в коде нашли следующее
По коду удалось установить и автора, полиция уже начала поиски.
XdwtyNfes.png
карма: 10

0
Разработчик
Ответов: 4697
Рейтинг: 426
#6: 2017-05-14 00:25:11 ЛС | профиль | цитата
Master4eG писал(а):
Вирус-вымогатель WannaCry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Это уже тоже неактуально.
tJournal писал(а):
Пишут, что лайфхак с регистрацией «бессмысленного» домена помог остановить лишь первую волну WanaDecrypt0r — тот штамм вируса лишь блокировал файлы на компьютере. Новые версии вируса этот домен игнорируют.

https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka
карма: 10
0
Ответов: 321
Рейтинг: 10
#7: 2017-05-14 01:16:52 ЛС | профиль | цитата
sla8a,
Я думаю это выглядит как-то так.
Блин, полиция уже начала поиски, пора сменить место дислокации, повезло, что остров передвижной
Интересно он(и) собрал(и) себе денег на новую мышку с клавиатурой))


Редактировалось 3 раз(а), последний 2017-05-14 01:19:01
карма: 1

0
Ответов: 817
Рейтинг: 52
#8: 2017-05-14 13:34:05 ЛС | профиль | цитата
Знатоки, научите.
Что надо сделать что бы заразиться этой гадостью, ну или какой либо другой?
Уже 2 года веду разгульный образ жизни, а зараза не пристает, вот зараза.
Что я не так делаю?
Это как в детстве, что бы не попасть на контрольные в школе, зимой ходишь без шапки,
пальто на распашку, мороженное жуешь, а заболеть не получается.

Редактировалось 1 раз(а), последний 2017-05-14 13:35:14
карма: 1

2
Голосовали:ser_davkin, 3042
Разработчик
Ответов: 4697
Рейтинг: 426
#9: 2017-05-14 20:19:44 ЛС | профиль | цитата
-= DriveR =- писал(а):
Что надо сделать что бы заразиться этой гадостью

Конкретно этой - практически ничего, она автоматом найдет дыру в твоем компе и пролезет без твоего ведома. Если ты не заразился, значит тебя только роутер дома спас от этого. Собственно, поэтому этот криптор настолько и опасен...

Редактировалось 1 раз(а), последний 2017-05-14 20:20:56
карма: 10
0
Ответов: 4612
Рейтинг: 746
#10: 2017-05-15 12:44:08 ЛС | профиль | цитата
GS_Lab писал(а):
все в ожидании дешифратора от компании Касперский
Не знаю как этот, но некоторые вирусы уже используют асимметричное шифрование с рандомным публичным ключом, а приватный ключ отправляют на сервер злоумышленника через Tor и все его следы в системе пользователя удаляют. Без брутфорса ключа (причем для каждого клиента) или доступа к серверу ключей расшифровать невозможно.

Редактировалось 1 раз(а), последний 2017-05-15 12:44:45
карма: 26

0
Ответов: 294
Рейтинг: 64
#11: 2017-05-15 14:42:48 ЛС | профиль | цитата
В числе первых стал "счастливым" обладателем сего виря (12-0..., 12.05.2017, Win7-32, кабель напрямую к компу, IP не статический).
Спасло то, что заметил его активность практически сразу (по усиленному жужжанию кулеров, не соответствующего текущей нагрузке и изменению файлов на раб.столе в режиме реального времени), отключил компьютер и... разобрал его ))
Скопировал все 3 hdd целиком на заведомо здоровый комп и приступил к оценке масштабов трагедии.
Поскольку заметил активность быстро, до появления сообщения (подмены раб.стола), то зашифрованными оказались только порядка 15-ти файлов с рабочего стола, среди которых было кое-что важное, но не критично. Вручную почистил файлы зловредные, вернул винты на место, загрузился в безопасном режиме, подчистил реестр, перезагрузка в нормальный режим - вируса нет. Заплатка (MS17-010) устанавливаться не захотела, запретил Samb-у, отключил доступ к компу (lanmanServer) и окончательно перешел на новый компьютер, уже с 10-кой и всеми обновлениями, установив на него HiAsm конечно же)
PS. Могло быть гораздо хуже, компьютер работал по несколько дней и на нем хранились рабочие файлы за 5 лет.
карма: 0

1
Голосовали:Minkovsky
Ответов: 4612
Рейтинг: 746
#12: 2017-05-15 15:40:58 ЛС | профиль | цитата
Quest писал(а):
компьютер работал по несколько дней и на нем хранились рабочие файлы за 5 лет
Всегда нужно держать в двух экземплярах на разных носителях (и в разных зданиях ) - а если у тебя винчестер накроется?
карма: 26

0
Ответов: 75
Рейтинг: 2
#13: 2017-05-15 19:41:24 ЛС | профиль | цитата
Лет 12 назад, когда я впервые подключился к инету, ползая по разным ресурсам (в том числе и порно, тогда это было прикольно ops подцепил похожий по интерфейсу вирус. Тоже сказали, типа, все файлы зашифрованы, дай денюжку) Минут десять я чесал репу, потом зашёл через безопасный режим, сделал откат (восстановление системы с последней точки). И забыл про проблему)Но этот вирус ведь другого уровня, надеюсь? Там реально всё шифруется?
карма: 2

0
Разработчик
Ответов: 4697
Рейтинг: 426
#14: 2017-05-15 22:32:49 ЛС | профиль | цитата
Tri-j писал(а):
Но этот вирус ведь другого уровня, надеюсь?

Около 300 тыс. пользователей надеются на обратное. Надеялись... Пока не выяснилось, что вирус мало того, что шифрует файлы с помощью пары приватного и публичного ключей, так еще и удаляет все теневые копии дисков, стирает точки восстановления, а файлы бэкапов тоже шифруются.
карма: 10
0
Ответов: 75
Рейтинг: 2
#15: 2017-05-16 09:57:14 ЛС | профиль | цитата
Серьёзная работа проделана. В новостях говорят, что это привет от товарища Ким Чен Ына. Если так, америкосы точно их разбомбят.
карма: 2

0
15
Сообщение
...
Прикрепленные файлы
(файлы не залиты)