В свете последних событий :: Wana decrypt0r :: вирус

knighter

Подробнее

вирус,В свете последних событий,Wana decrypt0r

Еще на тему

В свете последних событий(2802)

Wana decrypt0r(27)

Развернуть

Комментарии 116 14.05.201720:11 ссылка 67.3

У меня сестра на комп словила.
Все фотки похерились за хз сколько времени.
Денег, естественно, никто отсылать не собирается. Но фоток жаль.
Ща можно это дело расшифровать как, или пока не нашли?

$ï* ко*«*»отер Sttfac TeamVte*« Игр* А1*лаг V*tmrt 12 $ л T % -Г ЧИ Vb-лйЛ McdrtG« «пДОкеи 0\N*n»Dcc~ Toe» Г\ л %* (22$25Кз ' •^В^1 AudcgK* $к>т*т\ - CWwaOec- игре Ortk Мт»9 l^enda... Ooops, w 1’ 0 ■ * Phctoxhop ТЫ Wucher Кладбтц« CS6 é* 3 «ЮНШЮТЬ. ¿au see th Payment will be raised on$

Укшуйник 14.05.201720:18 ответить ссылка 7.3

Да если б они обновлялись как положено. Уязвимость то закрыта была.
Но мало того что поставили какую то сборку левую, да еще и обновления вырубили.

Укшуйник 14.05.201720:21 ответить ссылка ↑ 7.4

нет! всё прекрасно работает, даже офис!

Sasha_kera 14.05.201721:02 ответить ссылка ↑ 4.3

Нет. К примеру daz'овский активатор эмулирует как то хитрожопо SLIC и система всегда считает что всё нормуль. По тому ставить обновы можно абсолютно без опаски.

-ЙоЖеГ- 14.05.201721:15 ответить ссылка ↑ 1.6

Считает-то считает, пока не обновится один из системных файлов, уязвимость которого используют для активации. Именно это и происходило трижды несколько лет назад, пока активатор не обновили.

Alucard-666 21.05.201719:37 ответить ссылка ↑ 0.0

Без понятия. На комп в 2014 году ставил данный активатор, перевёл в автоматический режим установки обновлений. И вот недавно смотрел всё нормально, система активирована. Так что врятли мс что то фиксили ибо активация бы поломалась тогда у всех.

-ЙоЖеГ- 21.05.201719:42 ответить ссылка ↑ 0.0

Она у всех и поломалась, я просто не помню точно когда это было.

Alucard-666 21.05.201722:47 ответить ссылка ↑ 0.0

В зависимости от активатора.
Ну,или можно необходимые обновы качать ручками.И ручками же ставить.
Всё подряд качать не надо,иначе ОС охуеет и пошлёт тебя в пеший тур с эротическим уклоном лесополосой до Поднебесной(Нахуй до Китая то есть)
В этом случае службам BITS и Autoupdate можно выставить и ручной запуск.

Ефрейтор Сруль 15.05.201709:41 ответить ссылка ↑ 1.4

Ладно, а какая конкретная обнова то нужна?

Farello 15.05.201716:35 ответить ссылка ↑ 0.0

KB4012212 в данном случае
Можно ознакомиться с этой темой
http://forum.ru-board.com/topic.cgi?forum=62&topic=30531&start=0
Там написано,кого,куда,как и сколько раз

Ефрейтор Сруль 15.05.201717:38 ответить ссылка ↑ 0.0

вредные советы
проще нормальный активатор использовать

OlegYch 15.05.201723:40 ответить ссылка ↑ 0.0

не думаю,что выбор нужных обновлений вручную-вредный совет.
Вот автообновление не всегда бывает полезным.
Не раз приходилось восстанавливать работоспособность систем после накатывания разных обнов.
Помню момент, когда у человека после автоматического накатывания одного апдейта(не помню номер.Что-то,связанное с штатным мелкосовтовским браузером) наебнулась половина установленного софта. На лицензионной системе. На которой же стоял лицензионный, или бесплатный софт. Да, такие люди существуют.
Проблемы, возникающие при обновлениях, не зависят от лицензии\активатора. ИМХО.

Ефрейтор Сруль 16.05.201701:12 ответить ссылка ↑ 0.3

из-за таких советов в сети ботнеты никогда не переведутся

OlegYch 16.05.201714:38 ответить ссылка ↑ -0.1

А теперь подробней.

Ефрейтор Сруль 16.05.201714:46 ответить ссылка ↑ 0.0

Да и лицензия тоже нормуль, во всяком случае пока, фри ключи на 1-3 месяца ищутся за пару минут

Yoky1941 15.05.201708:44 ответить ссылка ↑ 0.0

Берите хард левый и загрузиться с LIVE-винды с R-Studio пробуйте. Я сам не щупал эту заразу собственно, но чую, что файлы никто и не трогал вообще. Когда спасёте файлы, мочите хард под ноль. Ну тот, который заражали, разумеется.

klon22 14.05.201720:24 ответить ссылка ↑ -7.0

Комп притащили мне. Нащел старый хард, накатил по быстрому винду.
Файлы зашифрованы. Скрытых нет. В каждой папке файл .txt где написано то же что и на экране.
Зашифрованы все доки, архивы, файлы изображений. Только файлы запуска .exe без изменений.
По словам сестры вначале стал вылетать скайрим, потом фотки прекратили просматриваться, потом вылезла сия петрушка.
Отката винды нет. Вирь все точки сохранения потёр.

Укшуйник 14.05.201720:33 ответить ссылка ↑ 1.4

Углубляться не хочу, но очевидный совет дам - если важность потерянного не позволяет экспериментировать, делайте образ диска. Думаю, лишним не будет.

klon22 14.05.201720:46 ответить ссылка ↑ 0.5

дичь какая-то

GoogleХром 14.05.201721:13 ответить ссылка ↑ -2.5

Дичь не дичь, а там реально все зашифровано.
Попытался просканировать утилитой для восстановления удаленных данных. Я ей с полумертвых жестких вытягивал данные.
Ничего. Никаких удаленных файлов нет вообще. Только файлы виря.
Жать, а такая мысля была хорошая)

Укшуйник 14.05.201721:35 ответить ссылка ↑ 0.8

А как утилита называется, если не секрет?

ElPerco 15.05.201707:52 ответить ссылка ↑ 0.2

я раньше юзал "Recover My Files"
хорошо восстанавливает медиа, даже если данные битые
последние версии к сожалению (или нет?) не тестил

в его случае unzip проканает (насколько мне известно из некоторых источников), только pass надо знать от (зашифрованного) архива

vokinsel_psyx 15.05.201711:01 ответить ссылка ↑ 0.0

Слух в интернете был что сья зараза распаковывается обычным unzip

Kologon 15.05.201711:38 ответить ссылка ↑ 0.1

Про R-Studio правильный совет (если HDD, а не SSD, разумеется). Шифруется не существующий файл, а создаётся новый. Вирус на диск кучу мусора пишет, чтобы удалённые файлы затереть, но шанс восстановить хоть что-то из удалённого всё же есть.

Little Horny 15.05.201716:10 ответить ссылка ↑ 0.1

Скопировать зараженные файлы каким-либо образом (LiveCD, другая ОС etc.) идея малоперспективная, но неплохая — если окажется, что пароль один на всех или вычисляется — можно будет восстановить (вирус, насколько я знаю, грозит удалением через несколько дней). На всякий случай следует взять и что-нибудь системное зараженное (если такое есть), ибо точно известное содержимое может чем и поможет узнать пароль.
Других решений кроме защиты или бекапов «до» я не вижу.

perfect mask 14.05.201720:32 ответить ссылка ↑ -3.9

Вроде бы писали, что ключ шифрования если и не уникальный, то не один на всех точно. Так что перспектива расшифровки весьма туманна.

twilightsparkle 14.05.201720:38 ответить ссылка ↑ 2.5

Так я и писал что малоперспективно, но что «прокаженный» теряет?
А с учётом того, что вторая версия ( https://geektimes.ru/post/289153 ) просто сменила адрес «стоп-крана», а третья оказалась нерабочей, то и система паролей может оказаться простой.

perfect mask 14.05.201723:09 ответить ссылка ↑ 0.2

А разве ещё никто не пробовал вскрыть тело вируса? Он же должен хранить пороль для каждого файла(кстати, кто-нибудь пробовал оплатить?) или формулу для создания пороля, есть конечно шанс что он всё хранит в интернете, но разве нельзя тогда отследить получателя. Или через кошелёк биткоинов, хоть там всё и анонимно, но раз он заразил всякие сбербанки и т.д. думаю получить его ipшники не проблема(даже с впн можно договориться)

Фиговина 15.05.201708:52 ответить ссылка ↑ -2.1

Сколько зла ещё должно произойти, чтобы ООН сделала хоть какие то меры для полного контроля и отслеживания каждого байта?

Legionarii 15.05.201709:25 ответить ссылка ↑ 1.8

А где словила? Сам сижу на семерке с торрентов, антивируса нет, обновления выключены, но я держусь!

vicarious 14.05.201720:43 ответить ссылка ↑ 0.8

Есть мнение, что чтобы словить зверушку, нужен статический ip

Tamul 14.05.201720:46 ответить ссылка ↑ 0.0

Не. Там серый ip от Билайн.

Укшуйник 14.05.201720:50 ответить ссылка ↑ 0.9

они просто перебором кидают на все Айпишники. На работе проверил, куча запросов из вне, пока полностью закрыл оба порта как из вне, так и внутри сети, советую обновиться.

Sasha_kera 14.05.201721:07 ответить ссылка ↑ 2.0

Что бы словить надо иметь:
открытые порты 135 и 445, включенный древний протокол SMB1
отсутствие перед компьютером NAT со стороны провайдера
отсутствие перед компьютером любого маршрутизатора
отсутствие обновлений винды начиная с января 2017 года
наличие интернета или зараженной локальной сети.

gamambler 14.05.201721:00 ответить ссылка ↑ 3.3

Словить можно только если интернет-кабель в системник воткнут? По воздуху вирус не передаётся? Объясните простому смертному, пжлст.

Ronald McRacist 14.05.201722:35 ответить ссылка ↑ 8.2

Если по воздуху, то он будет стучатся не напрямую, просто в роутер, где он ничего не сможет. Так что да, не передается.

BearDErecto 15.05.201708:50 ответить ссылка ↑ 1.1

Черт, значит зря я винду обновлял. Ну хотя бы наконец-то все важные файлы сохранил в облаке, а то раньше как-то руки не доходили.

Ilnurium 15.05.201713:43 ответить ссылка ↑ 0.0

т.е. роутер\маршрутизатор как презерватив работает?

Алхимик666 15.05.201715:03 ответить ссылка ↑ 0.4

На них по умолчанию все порты закрыты.

gamambler 15.05.201717:11 ответить ссылка ↑ 0.3

Это обидно.

Фашист из Кремля 15.05.201717:19 ответить ссылка ↑ -0.4

А вот по части SMB у меня вопрос...
Моя ОС не знает,кажись о v1
Семёрка Максимальная,копия лицензионного диска,с 1м паком

$ИЯ Администратор: C:\Windows\System32\cmd.exe Microsoft Windows CUersion 6.1.7601] <c> Корпорация Майкрософт (Microsoft Corp.>, 2009. Все права защищены. |C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMBlPr lotocol Система DISM Версия: 6.1.7600.16385 Версия$

Ефрейтор Сруль 15.05.201709:25 ответить ссылка ↑ 0.0

Команда которую ты запускаешь для восьмерки и выше.
Для семерки запусти в Windows PowerShell вот это:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

voron_eril 15.05.201711:10 ответить ссылка ↑ 0.7

Оно создаст значение? Потому что в той ветке тоже нет никакого SMB. Да и вроде достаточно отключить клиент сетей майкрософт и доступ к принтерам в настройках сетевого подключения.

Nerix 15.05.201712:00 ответить ссылка ↑ 0.2

Через панель управления отрубил сетевые принтеры, факсы, сканирование. Это же и есть SMB1 вроде...

Фашист из Кремля 15.05.201717:21 ответить ссылка ↑ -0.3

Словила хз где.
Пишут что пролезает через браузер при посещении сайтов.
Если на семерке не поставлены обновления от марта этого году, где закрыта уязвимость от этого виря, то риск заразиться огромный.
Скрытая скачка, скрытый запуск, скрытое шифрование.

Укшуйник 14.05.201720:51 ответить ссылка ↑ -0.8

Он пролезает не через браузер, а через SMbusv1 или что-то такое(не помню). Серый ип, значит кто-то из вашей подсети заразился и заразил вас т.к. Серые ип-ы извне недоступны, но видны из своей подсети, а вирь стучится проямо по ип.

muted 14.05.201721:01 ответить ссылка ↑ 2.9

Закрыта уязвимость в сервере самбы, чтобы зверюшка не пролезла с локалки. От заражения из инета это никак не спасает. Но пишут (хотя сам не сталкивался), что вообще от подобных зверушек проактивная защита каспера неплохо помогает.

Idler 14.05.201721:38 ответить ссылка ↑ 0.1

от конкретно этого семейства спасает даже стандартный виндовый антивирус с актуальными базами или пизженый нод.

BlackJackBlack 15.05.201700:05 ответить ссылка ↑ 0.0

Не спасает. В базах-то он не сразу появляется. А если зверушку чуть модифицируют?

Idler 15.05.201700:20 ответить ссылка ↑ 0.2

а вот для этого, даже если лень накатывать апдейты, на гиктаймс есть патчи (в т.ч. прямые ссылки) для windows начиная с xp и заканчивая разными версиями 10ки, которые прикрывают эксплойт и предотвращают самовольное попадание вируса извне + здравый смысл, который не позволяет запускать запускать подозрительное говно вне песочницы или изолированной виртуалки.

BlackJackBlack 15.05.201700:28 ответить ссылка ↑ 0.5

Фиговина 15.05.201709:07 ответить ссылка ↑ 25.6

стоит eset с фаерволом (smart security), у фаера поставил интерактивный решим - любое соединение извне запрашивает подтверждение на коннект, аналогично и внутренние проги только с запроса попадают во внешку. вот это контроль, но я всё же не стал выёбываться и вырубил самбу к хуям

vokinsel_psyx 15.05.201711:05 ответить ссылка ↑ 0.0

Стандартный MSE антивирь не спасает. как писал ниже антивири при скане зараженного диска отрапортовали что все чисто и отлично!

Укшуйник 15.05.201709:50 ответить ссылка ↑ 0.0

Любой антивирь вообще от 70% новых появляющихся вирусов в месяц их появления НЕ СПАСАЕТ. В 99% случаев юзера спасает только то, что он словил вирус не первой свежести и он уже есть в базе антивиря. Когда речь заходит о заражённых файлах, то тут всё ещё хуже, а уж о зашифрованных - печаль-тоска. Самое простое - не ловить вирусы, для это достаточно лишь...

Bill Ein 15.05.201722:50 ответить ссылка ↑ 0.2

Два раза в месяц запускать....

Укшуйник 15.05.201723:32 ответить ссылка ↑ 0.1

А вот и нет, достаточно лишь качать всё что нужно с проверенных ресурсов, где контент официальный, и надёжных торрент-трекеров, где админы проверяют все раздачи на предмет вирусов и биткоин-майнеров. А также блокировка всплывающих окон, блокировка рекламы, проверка всех подозрительных файлов, включая пдф, док и архивов на сайтах типа virustotal, не открывать файлы из почты от сомнительных и неизвестных адресат, ну и проверять при установке фришных прог отжаты ли галочки от мэйлрушного говна, а также быть чуть-чуть параноиком и иметь IQ выше 100. А антивирь тут нужен только для проверки чужих флэшек. Казалось бы всё просто, но для 99% юзеров это невыполнимые условия.

Bill Ein 16.05.201701:02 ответить ссылка ↑ 0.1

Вроде как зверушка в локалки попадает с письмами. Так шта, обитателям реактора она вряд ли грозит :)

Idler 14.05.201721:31 ответить ссылка ↑ -3.6

нет.
есть два способа как этот вирус попадает на пк:
1) пользователь качает порно_с_лолями_без_регистрации_и_смс.exe, в котором ВНЕЗАПНО оказывается шифровальщик или открывает письмо от Центральной Налоговой Города Москвы и качает вложения годовой_отчет.js, или скачивает Стас_Михайлов_-_Без_Тебя.exe, при этом пользуясь пираткой без антивируса.

2) пользователь решил что он умнее всех или просто настрадался от кривых апдейтов, тестирование которых Microsoft проводит сразу на пользователях и отключил апдейты. вирус нашел его IP в сети (локальной или интернет), стукнул на 445 порт, увидел, что вход свободен, выполнил экплойт и зашел. пошифровал что хотел и пошел дальше сканить доступные сети и интернеты, проверяя видимые ПК на предмет уязвимости SMB и повторяя вышеописанные действия до победного конца.

BlackJackBlack 15.05.201700:13 ответить ссылка ↑ 1.7

Не совсем. Мало у кого интернетный провод прямо в комп воткнут. Все же за роутерами сидят.

Idler 15.05.201700:24 ответить ссылка ↑ 1.4

роутеры да, вроде пока спасают.

но много народу на 3г/4г модемах.
у меня 3г провайдер давал внешний ip. и в целом это популярная практика.
ну и гипотетически словить можно даже через Hamachi от чувака, с которым играешь в CS/Serious Sam по сетке, через него вполне хорошо все пробрасывается.

BlackJackBlack 15.05.201700:32 ответить ссылка ↑ 0.3

Та сколько мне еще фаерволов ставить, чтобы страх пропал? Страх есть. Вилл Смит врал.

Фашист из Кремля 15.05.201717:25 ответить ссылка ↑ -0.3

что уже делать, хз. Сам в свое время на медио станции шифровальщик ловил, все накрылось.
Зато потом везде стал включать теневое копирование, и если всетаки заразишься, все востановить дело пяти минут.

пoлимер 15.05.201713:33 ответить ссылка ↑ 0.1

Этот шифровальщик трет теневые копии

theyoshi 15.05.201714:39 ответить ссылка ↑ 0.0

Вообще это невероятно круто. Даже сейчас на онлайн-карте чуть ли не каждую секунду новые зараженные появляются. У всего мира огромный онлайн-бугурт уже 2 дня, и никто не знает что делать и как это фиксить.

iCucumber 14.05.201720:42 ответить ссылка 1.4

Все(исключая некоторых) знают, что делать:
1) обновиться
2) вырубить smbus нахрен
3) не сидеть на виндк

muted 14.05.201721:03 ответить ссылка ↑ -6.0

Гы. Отрубить smbus? Скальпелем по материнке?

Idler 15.05.201700:14 ответить ссылка ↑ 2.4

Командой в шелле, блядь

"Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1Protocol" - https://geektimes.ru/post/289153/

muted 15.05.201700:21 ответить ссылка ↑ -2.3

"SMBv1" != "smbus"

BlackJackBlack 15.05.201700:24 ответить ссылка ↑ 3.1

Да, моя вина, но я выше уже писал, что не помню точного названия

muted 15.05.201700:47 ответить ссылка ↑ 0.4

>и никто не знает что делать и как это фиксить.
Можешь сидеть и орать с даунов которые отрубают обновления на винду и говорят что они им не нужны и им норм.
Майкрософт эту дырку правила ещё в мартовских обновах, времени обновится было допизды.

-ЙоЖеГ- 14.05.201721:23 ответить ссылка ↑ 2.0

Какая именно обнова для винды 8.1, сударь, не осчастливите знанием?

Voltage_H 15.05.201720:16 ответить ссылка ↑ -0.1

В мартовском кумулятивном обновлении упоминалось вот это
https://technet.microsoft.com/en-us/library/security/MS17-010

Соответственно качать нужно вот это именно для это фикса проблемы.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213

-ЙоЖеГ- 16.05.201713:30 ответить ссылка ↑ 0.0

Спасибо, мил человек!

Voltage_H 16.05.201722:29 ответить ссылка ↑ -0.1

Бля, это что стёб такой?

Enakin0Skayvoker 14.05.201723:56 ответить ссылка ↑ 0.9

1) то, что майкрософт имеет с продаж винды не так уж много, как некоторым бы хотелось бы верить
2) атака бушует пару дней, а Microsoft выпустил бесплатные апдейты еще в марте на все, что старше чем, емнип, XP, на XP, который уже не поддерживается несколько лет как, выпустил платные патчи (в т.ч. на богом забытую XP x64), которые еще до атаки стал раздавать на халяву.

да, это точно microsoft решил повысить продажи 10ки. заговор раскрыт, расходимся.

BlackJackBlack 15.05.201700:03 ответить ссылка ↑ 1.6

подозрительно что у многих этот апдейт автоматически не стянулся, и его приходилось вручную накатывать

krako 15.05.201715:38 ответить ссылка ↑ 0.1

toxa379 15.05.201700:54 ответить ссылка 12.7

Lal_Paritskiy 15.05.201709:52 ответить ссылка ↑ 3.9

Подключался с жесткого и сканил зараженный диск AVZ и dr.web cureit.
Они, мля, отрапортовали что всё чисто и ничего подозрительного нет!
Перегружал комп и отошел на предмет сортиру, прихожу, а там винда запускается с зараженного диска (хотя зараженный был на интел, а тестовый комп на амд, а обычно винда не может стартануть с другой платформы).
Короч этот трипер запустился, и бодренько начал шифровать второй диск с виндой! Комп с кнопки выключил. Что там пока - не в курсе. Вечером гляну...

Укшуйник 15.05.201708:09 ответить ссылка 1.8

С тех пор его никто никогда не видел..

MadHappens 15.05.201708:59 ответить ссылка ↑ 2.3

дык вроде что интел, что амд - все х64, (ну или i386,586,686) ,будет много ругани про новые устройства, но взлететь взлетит

Kfgjnm 15.05.201709:02 ответить ссылка ↑ 0.0

а там ничего подозрительного и быть не может - шифровальщики не вирусы и уже давно не обнаруживаются антивирусами. Код может рандомно генериться на лету, поэтому сигнатуры у вируса постоянной нет, чтобы пробить ее по базе вирусов, а этот вообще большую часть команд принимает из сети - этих команд нет в коде вируса. Активность проявляет через легитимные средства. WCrypt прописывает себя как службу - антивирусу сложно отличить это от установки программы пользовтелем, скачивает tor - ну может пользователь даунлодер какой поставил, после чего начинает простукивать торсеть для приема команд, а что там он принимает антивирусу по боку вообще. Ну а шифровка воспринимается антивирусом как архивирование - тоже ничего криминального, ктож может подумать, что пользователь ключа не знает.

login____ 15.05.201709:16 ответить ссылка ↑ 2.1

Народ, а хрюша ловит эту хрень ?

neidik 15.05.201709:06 ответить ссылка 0.0

Ловит.

Аюми Мотидзуки 15.05.201709:20 ответить ссылка ↑ 0.1

ловит, но микрософт сделал бесплатным патч на закрытие уязвимости

login____ 15.05.201709:22 ответить ссылка ↑ 0.4

Если отключена служба сетевых папок и принтеров (единственное окно уязвимости в XP) - то нет. У самого XP и полдня посвятил анализу. Качать и ставить патч микрософт нет смысла, потому что он кривой и в доброй трети случаев вызывает краши и требует подстройки руками (накатывание или откат драйверов, особенно хуёво патч валит совместимость с дровами старых материнок).
Что нужно сделать.
Отключить службы "сервер папки обмена" и "маршрутизация и удалённый доступ".
Advanced Port Scanner - бесплатный, скачать с сайта производителя, запустить, убедиться, что порты 135 и 445 не включены.
Или Пуск -> Выполнить команда netstat -a | find "LISTENING" -t во втором столбце посмотреть открытые порты, ещё раз убедиться что 135 и 445 нахуй в XP не нужны и их там нет.

HashMK 15.05.201709:55 ответить ссылка ↑ 0.3

Я так понимаю "чернобль" он уже победил

Фиговина 15.05.201709:11 ответить ссылка 0.2

А у меня после попыток обновить винду она слетела. PROFIT.

Капитан Мразиш 15.05.201709:33 ответить ссылка 1.2

Ты не подхватишь вирус, если у тебя слетела Винда.

03793 15.05.201716:06 ответить ссылка ↑ 2.0

вот тут же писали как расшифровать:
http://joyreactor.cc/post/3101601#comment14227081
"у кого уже зашифрованы файлы можно их восстановить unzip"

проверь, это работает или брешут?

ътъщтшЕжя
bJ
о
го
СО Л СЛ "
W
ш
W ^ ГО
о
m
Й
со с
00 £
w m
(Л
. X И ч < Н 3 • < » Н < 3 4 • Ч < Ч 3 и
г” Э31 I- г3! *г
Ц
Р
»?;î?ïS7ï;î5;tsïî;ï;;ï;ïtîï7ïïtsïïs;3;!îî
* • •• »*»-*»• .1 ^ И И
;Н шШШ1|!|!|fi!i!l!l!|lll||ff [Щз~ !
Э W W о э зччччччччччччччччччччч-чччччччз э з »а

3_6_Not_great_not_terrible 15.05.201709:52 ответить ссылка 0.5

эм. На картинке в шапке пароль к архиву, который выкачивает WCry для подготовки комплекса шифрования и клянчания бабла. Ниже мы можем наблюдать процесс распаковки комплекса - какие-то дата-файлы, исполняемые и локализации для разных языков. Это конечно потрясающе, что мы можем распаковывать вирус вручную, но этот пароль подходит только к установочному архиву.

login____ 15.05.201710:05 ответить ссылка ↑ 3.5

Тут чувак просто узнал про rarjpeg, только с unzip.

phlush 15.05.201712:02 ответить ссылка ↑ 0.1

объясните плиз обывательским языком каким образом можно подхватить этот вирус, я так понимаю что не обязательно открывать "экзешники" с спам писем, и смотреть порно без регистрации и смс?

dv.nik 15.05.201711:02 ответить ссылка 0.4

у тебя на компе есть служба, которая отвечает за шаринг чего только можно. Она работает по нескольким протоколам, в том числе SMBv1. По этому протоколу - клиент стучится на открытый порт, делает запрос, хост отвечает на запрос, выдает нужные файлы, отправляет на печать что надо. Уязвимость в протоколе позволяет заставить службу выполнить любой код на хосте, в том числе вредоносный. Антивирус не чухнет ничего - этож родная служба, у нее все права есть. Для атаки нужен только сокет - доступный айпишник + открытый на входящие порт службы.

login____ 15.05.201711:11 ответить ссылка ↑ 0.5

Спасибо за ответ. Я как раз использую медиа шар для шаринга папок с фильмами для телевизора, и пиратскую винду без обнов, значит я потенциальная жертва для этого вируса?

dv.nik 16.05.201719:33 ответить ссылка ↑ 0.0

Давай так - в зоне риска все кто не делает бэкапы важных файлов на внешние носители, хранящиеся в помещении, которое не пострадает в случаи пожара\наводнения\других форс мажоров случившихся в помещении где хранятся оригиналы. Все варианты хранения оригиналов данных наебнутся с практически стопроцентной вероятностью. А вот частота наебыванья оригиналов как раз регулируется антивирусами, обновлениями, файерволами, нескачиваниями ничего подозрительного.

login____ 17.05.201707:51 ответить ссылка ↑ 0.0

А если порт закрыт, но обновлений нет (винд хр сп2, древнющая, боюсь ставить 3 пак, а ну наебнется все) - риск есть?

9Tails 20.05.201707:32 ответить ссылка ↑ 0.0

а тебе принципиально каким из шифровальщиков и каким способом заразится? закрытый порт помогает только от сетевой атаки WCry

login____ 21.05.201719:01 ответить ссылка ↑ 0.0

Все верно. желать ничего не нужно. Если на компе открыт вовне 445 порт - он сам к тебе залезет.

voron_eril 15.05.201711:14 ответить ссылка ↑ 0.1

То чувство когда ты линуксоид.

pixelbroks 15.05.201711:06 ответить ссылка -2.1

... когда ты линуксоид и не в курсе событий

https://lists.opensuse.org/opensuse-project/2017-05/msg00035.html

[opensuse-project] Several openSUSE services disabled due to a security breach
From: Richard Brown <RBrownCCB@xxxxxxxxxxxx>
Date: Fri, 12 May 2017 16:38:17 +0200
Message-id: <CAA0b23zL=mOreqO6t4NRH+r6EXjRJgaMAf8Y=+Dg5dDrbOn7VA@mail.gmail.com>
Dear openSUSE Community,
We have been informed of

login____ 15.05.201711:22 ответить ссылка ↑ 4.9

я всё время ржу с друзей, которые говорят "у меня мак/линукс, и мне вирусы похуй"

как хорошо жить если не читать новости )))

chaky 15.05.201720:55 ответить ссылка ↑ 0.6

Народ, наверняка я плохо просмотрел комментарии и не нашел ответа. У меня пиратка вин7. Есть какая-нибудь возможность обновиться?

anvario 15.05.201713:54 ответить ссылка 0.0

Скачай, установи.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

FapTamer 15.05.201714:05 ответить ссылка ↑ 0.0

И который качать ?

Yarii 15.05.201718:23 ответить ссылка ↑ 0.0

Какая система такой и качать.

FapTamer 15.05.201719:28 ответить ссылка ↑ 0.1

Теперь винда не запускается. Даже никакой безопасный режим не помогает. Клёво.

split_love 15.05.201722:47 ответить ссылка ↑ 0.2

Ты не подхватишь вирус, если у тебя слетела Винда.

FapTamer 15.05.201723:19 ответить ссылка ↑ 0.6

У меня закрыты порты 135 и 445 значит сам вирус ко мне не залезет, но могу ли я его другими способами поймать?

Ilay ibalay 15.05.201716:52 ответить ссылка 0.0

Та конечно можешь. В чудесном мире ЭВМ нет ничего невозможного!

login____ 15.05.201717:23 ответить ссылка ↑ 0.4

У меня винда 7 жуткая пиратка, обновления отключены хирургическим путём, система работает уже 5 лет с 2012 года не обновлял, да и сижу через роутер, так что всё ок. Тем кто сидит через роутер бояться нечего!