#WanaDecryptor #hack #wncry

Всем привет! Думаю, все наслышаны о вчерашней хакерской атаке на компьютеры под операционной системой Win7. Тема актуальная, так что предлагаю делиться опытом по устранению последствий атаки. Интересно то, что вредоносный код в систему попадает без участия пользователя, т.е. не нужно быть "чайником" и ходить по всем рекламным ссылкам, достаточно просто находиться в сети Интернет либо локальной сети.

После того, как код попал в систему, происходит перезагрузка (отмечаются разные ошибки для перезагрузки, у меня было сообщение от "службы энергосбережения") После перезагрузки начинается самое интересное, система виснет от того, что начинается шифрование файлов, под раздачей большинство известных расширений. Далее появляется окно программы, с предложением внести сумму (200$-600$) и расшифровать файлы (Интересно узнать, злоумышленники честные? Расшифруют, после внесения суммы?)

Для предотвращения:
Эксперты отмечают, что самый простой способ обезопасить себя от атаки #WannaCry - это закрыть порт 445
Так же рекомендуется выполнить обновление системы MS17-010, чтобы закрыть лазейку.


Для тех кто пострадал, остался горький осадок, в виде зашифрованных файлов данных, различных медиа, баз данных и исходников многих известных программ. Кстати, сам конструктор Hiasm тоже перестает работать, так как все файлы .ico шифруются. Расшифровать файлы пока не предоставляется возможности, все в ожидании дешифратора от компании Касперский.

Редактировалось 8 раз(а), последний 2017-05-13 10:49:15

Девушка в мегафоне работает, у них запретили включать компьютеры, мегафон тоже подвергся заражению.

https://geektimes.ru/post/289115/
Желательно читать не только статью, но и комменты, масса полезного.

--- Добавлено в 2017-05-13 13:55:45


Не совсем так. Уязвимость работает только при включенном протоколе SambaV1 и одном из двух случаев:
1) ваш комп напрямую смотрит в Интернет открытым портом 445 (без роутеров, если с роутерами, то тот же порт должен быть проброшен во внешку);
2) В вашей локальной сети уже есть зараженный компьютер. Тогда криптер распространится по всем, до кого сможет достучаться из локалки.

Редактировалось 1 раз(а), последний 2017-05-13 13:55:45

Вирус-вымогатель WannaCry, поразивший десятки тысяч компьютеров по всему миру, удалось остановить благодаря регистрации доменного имени iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, пишет The Guardian.
https://ria.ru/world/20170513/1494242122.html


Редактировалось 3 раз(а), последний 2017-05-13 22:59:34

По коду удалось установить и автора, полиция уже начала поиски.

Это уже тоже неактуально.

https://tjournal.ru/44260-pryamaya-translyaciya-masshtabnaya-kiberataka

sla8a,

Редактировалось 3 раз(а), последний 2017-05-14 01:19:01

Знатоки, научите.
Что надо сделать что бы заразиться этой гадостью, ну или какой либо другой?
Уже 2 года веду разгульный образ жизни, а зараза не пристает, вот зараза.
Что я не так делаю?
Это как в детстве, что бы не попасть на контрольные в школе, зимой ходишь без шапки,
пальто на распашку, мороженное жуешь, а заболеть не получается.

Редактировалось 1 раз(а), последний 2017-05-14 13:35:14

Конкретно этой - практически ничего, она автоматом найдет дыру в твоем компе и пролезет без твоего ведома. Если ты не заразился, значит тебя только роутер дома спас от этого. Собственно, поэтому этот криптор настолько и опасен...

Редактировалось 1 раз(а), последний 2017-05-14 20:20:56

Не знаю как этот, но некоторые вирусы уже используют асимметричное шифрование с рандомным публичным ключом, а приватный ключ отправляют на сервер злоумышленника через Tor и все его следы в системе пользователя удаляют. Без брутфорса ключа (причем для каждого клиента) или доступа к серверу ключей расшифровать невозможно.

Редактировалось 1 раз(а), последний 2017-05-15 12:44:45

В числе первых стал "счастливым" обладателем сего виря (12-0..., 12.05.2017, Win7-32, кабель напрямую к компу, IP не статический).
Спасло то, что заметил его активность практически сразу (по усиленному жужжанию кулеров, не соответствующего текущей нагрузке и изменению файлов на раб.столе в режиме реального времени), отключил компьютер и... разобрал его ))
Скопировал все 3 hdd целиком на заведомо здоровый комп и приступил к оценке масштабов трагедии.
Поскольку заметил активность быстро, до появления сообщения (подмены раб.стола), то зашифрованными оказались только порядка 15-ти файлов с рабочего стола, среди которых было кое-что важное, но не критично. Вручную почистил файлы зловредные, вернул винты на место, загрузился в безопасном режиме, подчистил реестр, перезагрузка в нормальный режим - вируса нет. Заплатка (MS17-010) устанавливаться не захотела, запретил Samb-у, отключил доступ к компу (lanmanServer) и окончательно перешел на новый компьютер, уже с 10-кой и всеми обновлениями, установив на него HiAsm конечно же)
PS. Могло быть гораздо хуже, компьютер работал по несколько дней и на нем хранились рабочие файлы за 5 лет.

Всегда нужно держать в двух экземплярах на разных носителях (и в разных зданиях ) - а если у тебя винчестер накроется?

Лет 12 назад, когда я впервые подключился к инету, ползая по разным ресурсам (в том числе и порно, тогда это было прикольно ops подцепил похожий по интерфейсу вирус. Тоже сказали, типа, все файлы зашифрованы, дай денюжку) Минут десять я чесал репу, потом зашёл через безопасный режим, сделал откат (восстановление системы с последней точки). И забыл про проблему)Но этот вирус ведь другого уровня, надеюсь? Там реально всё шифруется?

Около 300 тыс. пользователей надеются на обратное. Надеялись... Пока не выяснилось, что вирус мало того, что шифрует файлы с помощью пары приватного и публичного ключей, так еще и удаляет все теневые копии дисков, стирает точки восстановления, а файлы бэкапов тоже шифруются.

Серьёзная работа проделана. В новостях говорят, что это привет от товарища Ким Чен Ына. Если так, америкосы точно их разбомбят.