Ladomir Жалоба Опубликовано 14 мая, 2017 Только что были два звонка от знакомых, пострадавших от шифратора (скорее всего, именно от этого шифратора). Компьютеры домашние. Первый был подключен к Телплюс через роутер, второй к Билайну, но напрямую... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
melifaro Жалоба Опубликовано 14 мая, 2017 21 минуту назад, Ladomir сказал: второй к Билайну, но напрямую... У билайна локалка, один подхватил и понесется. Цитата IPv6, teredo — не слышали? Я на своих компах и роутерах IPv6 отключаю сразу, толку пока особо нет, а все лишнее можно рассматривать как источник потенциальных проблем. Цитата Например сейчас в хомке нельзя отключать автоапдейт, в про тоже полностью не отключается. А может для некоторого среднестатистического, не обремененного знаниями пользователя оно и лучше? Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Recruit2 Жалоба Опубликовано 14 мая, 2017 Так файерволл помогает или нет? Вробще инфы нет... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 14 мая, 2017 3 часа назад, AMA3OH сказал: в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить. Таки да, надо бы разрулить такой вариант. Писать на DVD-R, с мультисессией. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 14 мая, 2017 3 часа назад, ░▒▓▒░ сказал: Что значит "в моём случае" ? Ты заразился штоле ? Если домашние машины, то нет. Если на работе, на работе где я работаю ЧП. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
HUNTER LIBERTY Жалоба Опубликовано 14 мая, 2017 В 13.05.2017 в 09:27, Ladomir сказал: Теперь и так все кинутся обновлять свои старые винды на десятку, а услуга-то теперь не бесплатна! что-то не кинулся я куда-то обновляться -стояла стоит и будет стоять хрюша Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Pangolin Жалоба Опубликовано 14 мая, 2017 А если установить у файла "Только чтение" - поможет от шифрования? для фоток Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 14 мая, 2017 5 минут назад, Pangolin сказал: А если установить у файла "Только чтение" - поможет от шифрования? для фоток Атрибут Read Only помогает только от сидящего напротив монитора пользователя напару с Microsoft Explorer. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ladomir Жалоба Опубликовано 14 мая, 2017 Директор Европола Роб Уэйнрайт: кибератака, жертвами которой в пятницу стали более 200 тыс. человек в 150 странах мира, была беспрецедентной по своим масштабам, и предупредил, что в понедельник она может повториться и затронуть еще больше людей. Хотя ранее временная мера задержала распространение вируса, хакеры уже успели обновить свою программу. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ГМО Жалоба Опубликовано 14 мая, 2017 На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
AMA3OH Жалоба Опубликовано 14 мая, 2017 10 минут назад, ГМО сказал: ваннакрай название интересное - чуть ли не ванна через край. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 14 мая, 2017 11 минут назад, AMA3OH сказал: название интересное - чуть ли не ванна через край. Иными словами - хочется плакать, если дословно. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Se®gio Жалоба Опубликовано 14 мая, 2017 10 минут назад, AMA3OH сказал: название интересное - чуть ли не ванна через край. Wanna cry (want to cry) - хочу плакать. Если все шифранет, то точно захочется... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 14 мая, 2017 32 минуты назад, ГМО сказал: На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе. Да, правда. Вот такими командами с помощью UAC bypass средств: C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet Вот хорошие примеры повышения привилегий чтобы запустить что-нибудь без пароля https://habrahabr.ru/company/pm/blog/328008/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ladomir Жалоба Опубликовано 15 мая, 2017 В общем да, лучшей защитой от заражения остается надежная и продуманная система резервного копирования. И единственный способ вернуть доступ к файлам - это восстановить резервную копию или заплатить выкуп. К сожалению в случае с WCry, нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному шифровальщиком. Поэтому маловероятно, что бесплатный инструмент дешифрования будет доступен для жертв угрозы. Признаки заражения: Спойлер Признаки заражения Реестр HKLM\SOFTWARE\WanaCrypt0r HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “” <каталог шифровальщика>\tasksche.exe”” HKLM\SOFTWARE\WanaCrypt0r\wd: “<каталог шифровальщика>” HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg” HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<каталог шифровальщика>\@[email protected]” Файловая система @[email protected] – размещен во всех папках с зашифрованными файлами @[email protected] – размещен во всех папках с зашифрованными файлами %DESKTOP%\@[email protected] %DESKTOP%\@[email protected] %APPDATA%\tor\cached-certs %APPDATA%\tor\cached-microdesc-consensus %APPDATA%\tor\cached-microdescs.new %APPDATA%\tor\lock %APPDATA%\tor\state <каталог шифровальщика>{PAGE_TEXT}000000.eky <каталог шифровальщика>{PAGE_TEXT}000000.pky <каталог шифровальщика>{PAGE_TEXT}000000.res <каталог шифровальщика>\@[email protected] <каталог шифровальщика>\@[email protected] <каталог шифровальщика>\b.wnry <каталог шифровальщика>\c.wnry <каталог шифровальщика>\f.wnry <каталог шифровальщика>\msg\m_bulgarian.wnry <каталог шифровальщика>\msg\m_chinese (simplified).wnry <каталог шифровальщика>\msg\m_chinese (traditional).wnry <каталог шифровальщика>\msg\m_croatian.wnry <каталог шифровальщика>\msg\m_czech.wnry <каталог шифровальщика>\msg\m_danish.wnry <каталог шифровальщика>\msg\m_dutch.wnry <каталог шифровальщика>\msg\m_english.wnry <каталог шифровальщика>\msg\m_filipino.wnry <каталог шифровальщика>\msg\m_finnish.wnry <каталог шифровальщика>\msg\m_french.wnry <каталог шифровальщика>\msg\m_german.wnry <каталог шифровальщика>\msg\m_greek.wnry <каталог шифровальщика>\msg\m_indonesian.wnry <каталог шифровальщика>\msg\m_italian.wnry <каталог шифровальщика>\msg\m_japanese.wnry <каталог шифровальщика>\msg\m_korean.wnry <каталог шифровальщика>\msg\m_latvian.wnry <каталог шифровальщика>\msg\m_norwegian.wnry <каталог шифровальщика>\msg\m_polish.wnry <каталог шифровальщика>\msg\m_portuguese.wnry <каталог шифровальщика>\msg\m_romanian.wnry <каталог шифровальщика>\msg\m_russian.wnry <каталог шифровальщика>\msg\m_slovak.wnry <каталог шифровальщика>\msg\m_spanish.wnry <каталог шифровальщика>\msg\m_swedish.wnry <каталог шифровальщика>\msg\m_turkish.wnry <каталог шифровальщика>\msg\m_vietnamese.wnry <каталог шифровальщика>\r.wnry <каталог шифровальщика>\s.wnry <каталог шифровальщика>\t.wnry <каталог шифровальщика>\TaskData\Tor\libeay32.dll <каталог шифровальщика>\TaskData\Tor\libevent-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libevent_core-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libevent_extra-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libgcc_s_sjlj-1.dll <каталог шифровальщика>\TaskData\Tor\libssp-0.dll <каталог шифровальщика>\TaskData\Tor\ssleay32.dll <каталог шифровальщика>\TaskData\Tor\taskhsvc.exe <каталог шифровальщика>\TaskData\Tor\tor.exe <каталог шифровальщика>\TaskData\Tor\zlib1.dll <каталог шифровальщика>\taskdl.exe <каталог шифровальщика>\taskse.exe <каталог шифровальщика>\u.wnry C:\@[email protected] Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Gungan Жалоба Опубликовано 15 мая, 2017 Как хорошо когда у тебя рдс и ксен Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
nickita.mihalckov Жалоба Опубликовано 15 мая, 2017 упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Iron Monkey Жалоба Опубликовано 15 мая, 2017 Делайте своевременные бэкапы, господа... Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Delta213 Жалоба Опубликовано 15 мая, 2017 Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить.... W 8,1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
asooka Жалоба Опубликовано 15 мая, 2017 2 часа назад, nickita.mihalckov сказал: упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть на работе один из пользователей сказал, что у родителей комп подхватил этот вирь (хотя сам лично не видел, может аналогичный шифровальщик), провод был напрямую от провайдера к компу, правда я сомневаюсь, что там был белый ip, но кто знает. 2 часа назад, Delta213 сказал: Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить.... W 8,1 с шифровальщиками, с которыми я сталкивался, шифровали на всех дисках и искали общие папки, шифровали все, до чего могли дотянуться. Автообновление + антивирь конечно резко снижают шансы подхватить гадость, но шанс всеравно есть. Ну а бэкап всеравно не повредит, ведь может жесткий накрыться, или ЧП какое типа пожара (тьфу, тьфу, тьфу). Так что все зависит от того, насколько ценная у вас информация. зы Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ? Я на нескольких компах попытался, чет не прошло, хотя точно лицензия стоит и на sp2 и sp3 пытался, чет не вышло. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
F.E.A.R Machine Жалоба Опубликовано 15 мая, 2017 13 минут назад, asooka сказал: Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ? 5 машин sp3 про лиц. без проблем. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
queyron Жалоба Опубликовано 15 мая, 2017 15 часов назад выпущен первый инструмент по дешифровке файлов. Единственный минус - нужен приватный ключ RSA. Как пояснил автор, ключ хранится в памяти ОЗУ очень короткое время. В комментариях к твиту люди предлагают дампить память при нажатии кнопки decrypt https://github.com/gentilkiwi/wanadecrypt/releases Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
asooka Жалоба Опубликовано 16 мая, 2017 18 часов назад, F.E.A.R Machine сказал: 5 машин sp3 про лиц. без проблем. спасиб ) разобрался, ссылка на форуме была для ХП embedded Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Ladomir Жалоба Опубликовано 17 мая, 2017 Китайцы высказались (China Daily) "Соединенные Штаты должны признать ответственность за кибератаку WannaCry, а вместо этого они чинят препятствия международным усилиям по противодействию глобальным киберугрозам." "Согласованные усилия по борьбе с киберпреступностью были сдержаны действиями США" "АНБ должно взять на себя часть вины, потому что компьютерный вирус был создан на основании одного из инструментов взлома, который агентство разработало для собственного использования, но который попал в руки киберпреступников". У Wikileaks тоже новая публикация: о двух хакерских инструментах ЦРУ (AfterMidnight и Assassin). Правда на этот раз обошлись без публикации исходных кодов, были выложены только описания самих инструментов. При помощи Assassin можно получить удаленный доступ к системе на базе Windows, собирать и похищать самую разную информацию или устанавливать дополнительное ПО. Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Recruit2 Жалоба Опубликовано 18 мая, 2017 Оказывается не все так просто, и есть еще один злопыхатель! Как удалось поймать Adylkuzz В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету. Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом. https://habrahabr.ru/post/328932/ Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты