Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.

Ladomir

Вирус-вымогатель WannaCry

Рекомендуемые сообщения

В итоге его комп нахватал кучу всякой вирусни, хорошо что безобидной.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

а как жеж еще. учатся на своих ошибках. Не правда ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Цитата

Начиталась на работе смешных историй, посмеялась втихую, но это я еще не знала, что меня ждет дома. Ключ от квартиры только у меня - это важно, вобщем прихожу домой, смотрю мой ноутбук еще работает. Дело в том, что уходя на работу я оставляла закачку, которая мне очень нужна и очень длинна, а дома оставались мои коты на хозяйстве. Заглядываю в ноутбук и вижу найденную через поиск майл ру страницу газеты "Коммерсантъ" и готовый начать закачиваться браузер Амиго. Первой пришла мысль: ничего ж себе, а если я завтра оставлю ноутбук они откроют бизнес? Ну что хочется сказать: в интернет могут быть не только мошенники, но и коты. Причем одно не исключает другого!

 

2 минуты назад, ░▒▓▒░ сказал:

Нихера никто не учится, раз такое постоянно происходит.

 

 

ООО. Я мог бы написать целую поэму о не очень умных юзерах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, ░▒▓▒░ сказал:

В итоге его комп нахватал кучу всякой вирусни, хорошо что безобидной.

 

Скорей не вирусни, а Adware программ. Ну и вирусни не исключено, но чаще всего программы которые находят антивирусы после заражения, классифицируются как рекламные (Adware иными словами).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Короче, есть три пути распространения вирусов, вообще вирусов, не только этого конкретного.

 

1. Вы сами скачали и запустили exe-файл, (вот числе из e-mail.)

 

2. Атака по локальной сети с другого заражённого компа или бука с Windows,

(на всякий случай - если у вас дома несколько компов и или буков и все они подключены к

одному роутеру проводами или wifi, то вот в этой локальной сети возможны атаки одного устройства на другое)

 

3. Прямая атака через интернет на белый IP. Актуально только если у вас нет роутера, а провод провайдера заведён

прямо в комп и этот комп - единственный кто получает инет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Только я в этом случае не могу понять, как крупные организации то попали, там что почтовые сервера exeшники не режут, юзеры с полными правами сидят и ставят себе кто чего горазд?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
27 минут назад, ░▒▓▒░ сказал:

Короче, есть три пути распространения вирусов, вообще вирусов, не только этого конкретного.

 

1. Вы сами скачали и запустили exe-файл, (вот числе из e-mail.)

 

2. Атака по локальной сети с другого заражённого компа или бука с Windows,

(на всякий случай - если у вас дома несколько компов и или буков и все они подключены к

одному роутеру проводами или wifi, то вот в этой локальной сети возможны атаки одного устройства на другое)

 

3. Прямая атака через интернет на белый IP. Актуально только если у вас нет роутера, а провод провайдера заведён

прямо в комп и этот комп - единственный кто получает инет.

 

1. Запуск файлов .JS, .VBS, .EXE
2. Запуск текстовых документов из писем с OLE объектами, внутри вирус либо документ с макросом. У меня на работе переносится иногда вирус, который заражает doc, docx файлы добавляя OLE объект внутрь. Kaspersky хорошо реагирует
3. Посещение сайтов без антивирусной защиты, маловероятно

4. Атака на открытые порты, брутфорс RDP ваших серверов

 

http://dentnt.windowsfaq.ru/?p=2493

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если говорить о расширениях файлов, то WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:

.lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Ladomir сказал:

Если говорить о расширениях файлов, то WannaCry зашифровывает файлы и документы со следующими расширениями, добавляя .WCRY в конце названия файла:

.lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Список не полный. Вирус еще шифрует базы данных, в моем случае тронул файлы fdb, но не затронул бэкапы fbk )))0)

 

https://pastebin.com/xZKU7Ph1

 

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, queyron сказал:

но не затронул бэкапы fbk )))0)

в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Только что, AMA3OH сказал:

в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить.

От шабашка, не проще взять самый примитивный бытовой NAS (на нем виндовый вирус точно не запустится) и настроить прогу для резервного копирования, скажем, раз в сутки, с хранением бэкапов за две недели.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

иногда вытаскиваю на свет старые софты, и когда они находятся на винтах, флешках... защита частенько глушит там. А вот на двд- уже ничего сделать не могут. 

Архивирую на 3 источниках, разных. Имел горький опыт лет 10 назад. За полторы сутки восстановил, с тех пор - стал умнее. И когда наступал момент критический, то легко вытаскивал на свет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
30 минут назад, queyron сказал:

Список не полный. Вирус еще шифрует базы данных

Ну я привел список файлов актуальных для большинства домашних пользователей.
А так да WannaCry шифрует много чего: PDF, текстовые файлы, базы данных, фотографии, музыка, видео и даже  файлы образов, архивы и пр. (полный список включает 166 расширений)

 

Результаты анализов

VirusTotal анализ >>

 

Цитата

WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.

WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange

Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd    [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper    "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

У меня на одном из компьютеров 7-ка, а на ещё одном даже XP до сих пор стоит.

Что поможет защититься от этого вируса? А то я не читал подробности.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

дыры залатать. Даже на хрюшу выпустили, хотя и не поддерживают его.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, AMA3OH сказал:

так может он сидел за чужим компом? к примеру, недруга своего, или последний день на работе был...

Напомнило.

 

 


Едут двое, водитель и пьяный пассажир на заднем сидении. 
Пассажир просыпается и говорит: 
— Я закурю! 
— Да пожалуйста. 
Закурил, ему стало плохо. 
— Хреново мне, слушай я блевать буду! 
— Блюй на здоровье! 
Пассажил наблевал. Никак не угомонится и говорит. 
— Слушай, мне ссать охота, а ноги не держат, давай я прямо здесь? 
— Конечно! — разрешает водитель. 
Пассажир поссал, расслабился, закурил снова и говорит. 
— Какое хорошее у вас такси, все можно. Курить, ссать, блевать. 
— Я не таксист, а сотрудник службы «трезвый водитель» — отвечает водитель. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
14 минут назад, Grigory сказал:

Что поможет защититься от этого вируса?

Самый простой обезопасить себя от атаки — это закрыть порт 445.

Надо только знать, что порт 445 используется Windows для совместной работы с файлами. Закрытие этого порта не мешает соединению ПК с другими удаленными ресурсами, однако другие ПК не смогут подключиться к данной системе.

Block_My_Ports.bat

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

К слову этот шифратор сегодня обрушился в основном на Китай. 
Не потому ли, что там очень популярна Windows XP?

 

Из инструментов есть еще "NoMoreCry Tool" от CCN-CERT, который предотвращает заражение шифровальщиком WannaCry 2.0 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

потому что пираток много. Да и всех хотят на десятку столкнуть. Сейчас десятка меня полностью устраивает, хотя в самом начале была настолько сырая, что мой ноут жестко с ним конфликтовал. Откатывался не раз на восьмерку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, ░▒▓▒░ сказал:

Бред какой-то, зачем закрывать порт, если ты и так за натом.

 

 

NAT придумали не как защиту от чего бы то ни было, и рассматривать его как защиту крайне опрометчиво (IPv6, teredo — не слышали? ).

01.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мелкомягкие определенно склоняют к 10

 

А 10 встаёт на путь ИОС. Всё закрывается, настройки минимизируются, от пользователя остаётся только либо соглашаться, либо соглашаться. Например сейчас в хомке нельзя отключать автоапдейт, в про тоже полностью не отключается. Это только начало

e67.png

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты