Ladomir Опубликовано 14 мая, 2017 Автор Жалоба Share Опубликовано 14 мая, 2017 Только что были два звонка от знакомых, пострадавших от шифратора (скорее всего, именно от этого шифратора). Компьютеры домашние. Первый был подключен к Телплюс через роутер, второй к Билайну, но напрямую... Ссылка на комментарий Поделиться на другие сайты More sharing options...
melifaro Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 21 минуту назад, Ladomir сказал: второй к Билайну, но напрямую... У билайна локалка, один подхватил и понесется. Цитата IPv6, teredo — не слышали? Я на своих компах и роутерах IPv6 отключаю сразу, толку пока особо нет, а все лишнее можно рассматривать как источник потенциальных проблем. Цитата Например сейчас в хомке нельзя отключать автоапдейт, в про тоже полностью не отключается. А может для некоторого среднестатистического, не обремененного знаниями пользователя оно и лучше? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Recruit2 Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 Так файерволл помогает или нет? Вробще инфы нет... Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 3 часа назад, AMA3OH сказал: в следующий раз примется к сведению. Если бэкапы не большие, то нарезай на ДВД-диски. Будут пыжиться, но не смогут перезаписать или изменить. Таки да, надо бы разрулить такой вариант. Писать на DVD-R, с мультисессией. Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 3 часа назад, ░▒▓▒░ сказал: Что значит "в моём случае" ? Ты заразился штоле ? Если домашние машины, то нет. Если на работе, на работе где я работаю ЧП. Ссылка на комментарий Поделиться на другие сайты More sharing options...
HUNTER LIBERTY Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 В 13.05.2017 в 09:27, Ladomir сказал: Теперь и так все кинутся обновлять свои старые винды на десятку, а услуга-то теперь не бесплатна! что-то не кинулся я куда-то обновляться -стояла стоит и будет стоять хрюша Ссылка на комментарий Поделиться на другие сайты More sharing options...
Pangolin Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 А если установить у файла "Только чтение" - поможет от шифрования? для фоток Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 5 минут назад, Pangolin сказал: А если установить у файла "Только чтение" - поможет от шифрования? для фоток Атрибут Read Only помогает только от сидящего напротив монитора пользователя напару с Microsoft Explorer. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 14 мая, 2017 Автор Жалоба Share Опубликовано 14 мая, 2017 Директор Европола Роб Уэйнрайт: кибератака, жертвами которой в пятницу стали более 200 тыс. человек в 150 странах мира, была беспрецедентной по своим масштабам, и предупредил, что в понедельник она может повториться и затронуть еще больше людей. Хотя ранее временная мера задержала распространение вируса, хакеры уже успели обновить свою программу. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ГМО Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе. Ссылка на комментарий Поделиться на другие сайты More sharing options...
AMA3OH Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 10 минут назад, ГМО сказал: ваннакрай название интересное - чуть ли не ванна через край. Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 11 минут назад, AMA3OH сказал: название интересное - чуть ли не ванна через край. Иными словами - хочется плакать, если дословно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Se®gio Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 10 минут назад, AMA3OH сказал: название интересное - чуть ли не ванна через край. Wanna cry (want to cry) - хочу плакать. Если все шифранет, то точно захочется... Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 14 мая, 2017 Жалоба Share Опубликовано 14 мая, 2017 32 минуты назад, ГМО сказал: На хабре пишут что ваннакрай первым делом хреначит теневые копии винды (средствами самой винды). Поэтому виндовые админы имейте еще один ручной бэкап с рандомным расширением, где то на отключенном томе. Да, правда. Вот такими командами с помощью UAC bypass средств: C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet Вот хорошие примеры повышения привилегий чтобы запустить что-нибудь без пароля https://habrahabr.ru/company/pm/blog/328008/ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 15 мая, 2017 Автор Жалоба Share Опубликовано 15 мая, 2017 В общем да, лучшей защитой от заражения остается надежная и продуманная система резервного копирования. И единственный способ вернуть доступ к файлам - это восстановить резервную копию или заплатить выкуп. К сожалению в случае с WCry, нет способа восстановить зашифрованные файлы без доступа к закрытому ключу, сгенерированному шифровальщиком. Поэтому маловероятно, что бесплатный инструмент дешифрования будет доступен для жертв угрозы. Признаки заражения: Спойлер Признаки заражения Реестр HKLM\SOFTWARE\WanaCrypt0r HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\: “” <каталог шифровальщика>\tasksche.exe”” HKLM\SOFTWARE\WanaCrypt0r\wd: “<каталог шифровальщика>” HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “%APPDATA%\Microsoft\Windows\Themes\TranscodedWallpaper.jpg” HKU\S-1-5-21-677641349-3533616285-3951951702-1000\Control Panel\Desktop\Wallpaper: “<каталог шифровальщика>\@WanaDecryptor@.bmp” Файловая система @Please_Read_Me@.txt – размещен во всех папках с зашифрованными файлами @WanaDecryptor@.exe.lnk – размещен во всех папках с зашифрованными файлами %DESKTOP%\@WanaDecryptor@.bmp %DESKTOP%\@WanaDecryptor@.exe %APPDATA%\tor\cached-certs %APPDATA%\tor\cached-microdesc-consensus %APPDATA%\tor\cached-microdescs.new %APPDATA%\tor\lock %APPDATA%\tor\state <каталог шифровальщика>{PAGE_TEXT}000000.eky <каталог шифровальщика>{PAGE_TEXT}000000.pky <каталог шифровальщика>{PAGE_TEXT}000000.res <каталог шифровальщика>\@WanaDecryptor@.bmp <каталог шифровальщика>\@WanaDecryptor@.exe <каталог шифровальщика>\b.wnry <каталог шифровальщика>\c.wnry <каталог шифровальщика>\f.wnry <каталог шифровальщика>\msg\m_bulgarian.wnry <каталог шифровальщика>\msg\m_chinese (simplified).wnry <каталог шифровальщика>\msg\m_chinese (traditional).wnry <каталог шифровальщика>\msg\m_croatian.wnry <каталог шифровальщика>\msg\m_czech.wnry <каталог шифровальщика>\msg\m_danish.wnry <каталог шифровальщика>\msg\m_dutch.wnry <каталог шифровальщика>\msg\m_english.wnry <каталог шифровальщика>\msg\m_filipino.wnry <каталог шифровальщика>\msg\m_finnish.wnry <каталог шифровальщика>\msg\m_french.wnry <каталог шифровальщика>\msg\m_german.wnry <каталог шифровальщика>\msg\m_greek.wnry <каталог шифровальщика>\msg\m_indonesian.wnry <каталог шифровальщика>\msg\m_italian.wnry <каталог шифровальщика>\msg\m_japanese.wnry <каталог шифровальщика>\msg\m_korean.wnry <каталог шифровальщика>\msg\m_latvian.wnry <каталог шифровальщика>\msg\m_norwegian.wnry <каталог шифровальщика>\msg\m_polish.wnry <каталог шифровальщика>\msg\m_portuguese.wnry <каталог шифровальщика>\msg\m_romanian.wnry <каталог шифровальщика>\msg\m_russian.wnry <каталог шифровальщика>\msg\m_slovak.wnry <каталог шифровальщика>\msg\m_spanish.wnry <каталог шифровальщика>\msg\m_swedish.wnry <каталог шифровальщика>\msg\m_turkish.wnry <каталог шифровальщика>\msg\m_vietnamese.wnry <каталог шифровальщика>\r.wnry <каталог шифровальщика>\s.wnry <каталог шифровальщика>\t.wnry <каталог шифровальщика>\TaskData\Tor\libeay32.dll <каталог шифровальщика>\TaskData\Tor\libevent-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libevent_core-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libevent_extra-2-0-5.dll <каталог шифровальщика>\TaskData\Tor\libgcc_s_sjlj-1.dll <каталог шифровальщика>\TaskData\Tor\libssp-0.dll <каталог шифровальщика>\TaskData\Tor\ssleay32.dll <каталог шифровальщика>\TaskData\Tor\taskhsvc.exe <каталог шифровальщика>\TaskData\Tor\tor.exe <каталог шифровальщика>\TaskData\Tor\zlib1.dll <каталог шифровальщика>\taskdl.exe <каталог шифровальщика>\taskse.exe <каталог шифровальщика>\u.wnry C:\@WanaDecryptor@.exe Ссылка на комментарий Поделиться на другие сайты More sharing options...
Gungan Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 Как хорошо когда у тебя рдс и ксен Ссылка на комментарий Поделиться на другие сайты More sharing options...
nickita.mihalckov Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть Ссылка на комментарий Поделиться на другие сайты More sharing options...
Iron Monkey Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 Делайте своевременные бэкапы, господа... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Delta213 Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить.... W 8,1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
asooka Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 2 часа назад, nickita.mihalckov сказал: упор в основном идет на серваки компаний, обычный юзерам, которые обычто не качают и не открывают, можно передохнуть на работе один из пользователей сказал, что у родителей комп подхватил этот вирь (хотя сам лично не видел, может аналогичный шифровальщик), провод был напрямую от провайдера к компу, правда я сомневаюсь, что там был белый ip, но кто знает. 2 часа назад, Delta213 сказал: Файлы шифруются на всех дисках? Или только на системном? Если система регулярно обновлялась (авто обновление включено) антивирус тоже, можно спокойно спать? Суммарно 6+тб, мне столько не забэкапить.... W 8,1 с шифровальщиками, с которыми я сталкивался, шифровали на всех дисках и искали общие папки, шифровали все, до чего могли дотянуться. Автообновление + антивирь конечно резко снижают шансы подхватить гадость, но шанс всеравно есть. Ну а бэкап всеравно не повредит, ведь может жесткий накрыться, или ЧП какое типа пожара (тьфу, тьфу, тьфу). Так что все зависит от того, насколько ценная у вас информация. зы Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ? Я на нескольких компах попытался, чет не прошло, хотя точно лицензия стоит и на sp2 и sp3 пытался, чет не вышло. Ссылка на комментарий Поделиться на другие сайты More sharing options...
F.E.A.R Machine Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 13 минут назад, asooka сказал: Кто-нибудь ставил заплатку на винду XP от этого шифровальщика ? 5 машин sp3 про лиц. без проблем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
queyron Опубликовано 15 мая, 2017 Жалоба Share Опубликовано 15 мая, 2017 15 часов назад выпущен первый инструмент по дешифровке файлов. Единственный минус - нужен приватный ключ RSA. Как пояснил автор, ключ хранится в памяти ОЗУ очень короткое время. В комментариях к твиту люди предлагают дампить память при нажатии кнопки decrypt https://github.com/gentilkiwi/wanadecrypt/releases Ссылка на комментарий Поделиться на другие сайты More sharing options...
asooka Опубликовано 16 мая, 2017 Жалоба Share Опубликовано 16 мая, 2017 18 часов назад, F.E.A.R Machine сказал: 5 машин sp3 про лиц. без проблем. спасиб ) разобрался, ссылка на форуме была для ХП embedded Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ladomir Опубликовано 17 мая, 2017 Автор Жалоба Share Опубликовано 17 мая, 2017 Китайцы высказались (China Daily) "Соединенные Штаты должны признать ответственность за кибератаку WannaCry, а вместо этого они чинят препятствия международным усилиям по противодействию глобальным киберугрозам." "Согласованные усилия по борьбе с киберпреступностью были сдержаны действиями США" "АНБ должно взять на себя часть вины, потому что компьютерный вирус был создан на основании одного из инструментов взлома, который агентство разработало для собственного использования, но который попал в руки киберпреступников". У Wikileaks тоже новая публикация: о двух хакерских инструментах ЦРУ (AfterMidnight и Assassin). Правда на этот раз обошлись без публикации исходных кодов, были выложены только описания самих инструментов. При помощи Assassin можно получить удаленный доступ к системе на базе Windows, собирать и похищать самую разную информацию или устанавливать дополнительное ПО. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Recruit2 Опубликовано 18 мая, 2017 Жалоба Share Опубликовано 18 мая, 2017 Оказывается не все так просто, и есть еще один злопыхатель! Как удалось поймать Adylkuzz В процессе исследования ребята подключили к интернету уязвимый к EternalBlue компьютер и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнера Adylkuzz. Ребята несколько раз повторили операцию подключения чистого компьютера к интернету, результат тот же: примерно через 20 минут он оказывался заражённым вирусом Adylkuzz и подключается к его ботнету. Судя по всему, атака шла с нескольких VPS, которые сканируют интернет и ищут цели с открытым 445-ым портом. https://habrahabr.ru/post/328932/ Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.