И до "Сбера" добрались

Не поможет удаление БД, в рф всё на бумаге дублируется...

Тоже Win7 x64. Циклической перезагрузка. Безопасный режим не работает. Восстанавливать через установочный диск?

Отправлено с мобильного приложения - Forum Talker

1С и офис - все что нужно большинству атакованных организации...
Кстати французы ставили ubuntu на машины своего МВД году так в 2008...
Если машина мощная, ставите бесплатный VM и там любая ОС.
Игроманам без винды хана конечно, нехер поощрять бездельников на работе

Удалите пакет обновления через "Восстановление системы" - "Командная строка".
Команды:
DISM /Image:имя диска:\ /Get-Packages
(выделяете пакет и Enter)
DISM /Image:имя диска:\ /Remove-Package /PackageName:(вставляете правой кнопкой мыши)
Получится: DISM /Image:имя диска:\ /Remove-Package /PackageName:Package_for_KB40122121........6.1
После 100% завершения перегрузитесь в систему.

Это сообщение отредактировал Dимс - 13.05.2017 - 16:39

Реально что то нечисто. Шифровальщик должен быть рукотворно запущен. САм он, не приходит и не стартует.

Запускается...

Цитата: "В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код"
https://geektimes.ru/post/289115/

Еще вот из интересного:
"Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов."

Спасибо. Запуск с режимом командной строки тоже не работал. Что интересно, диск с которого винда была установлена, функция "восстановление системы" сказало, что версия не совпадает и ничего не стала делать.
Помог ERD Commander функция автоматического поиска проблем. минута и винда загрузилась. Я уже конкретно в отрицательное настроение ушел перед этим.

Это сообщение отредактировал Crowner - 13.05.2017 - 16:50

Еще
"Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его."

https://geektimes.ru/post/289115/

кто знает, файлы на сетевых дисках он тоже шифрует?

бля, я какой массовый кибер-кипеш пропустил?

А вот и ни хрена, в банкоматах сбера стоит ХРюша, так что не поможет.

а если у меня порты огнестеной закрыты мне качать заплатку?
просто трудности искать на старую хрюшу.
лет 8 уже, как мимо меня все вирусы прошли.

да, была циклическая перезагрузка с предложениями двух вариантов - обычная загрузка и восстановление системы. Безопасного режима не предлагало.
Восстановление системы, судя по всему, откатило ОС к предыдущему рабочему варианту, т.к. режим автообновления был отключен и даже пару файлов из корзины достало, которые перед этим за пару минут удалял.

в панике зашел на свой рабочий сервак 2008, все проверил, вроде все файлы и база 1с на месте, вируса не видно, касперский ничего не обнаружил. обновление безопасности kb3212646 для windows server 2008 уже было установлено в январе. теперь думаю, может ли эта зараза затаиться у какого-то пользователя на рабочем компе, в понедельник он придет на работу, включит его и всем компам в офисе придет кирдык?

Это сообщение отредактировал nikozros29 - 13.05.2017 - 18:05

Если у вас настроена автоматическая синхронизация то небнется ;)

Скорее вопросы к управлению "К" МВД. Ау, как спится?

ставите бесплатный VM и там любая ОС


Это сообщение отредактировал ivanpetro - 13.05.2017 - 18:52

Пардон! Не дочитал...

вон что пишут..
АНАЛИЗ ЗЛОВРЕДА

Изначальный файл mssecsvc.exe запускает другой файл с названием tasksche.exe. Затем проверяется домен-выключатель, после чего создается служба mssecsvc2.0. Эта служба исполняет файл mssecsvc.exe с иной точкой входа, нежели во время первого запуска. Второй запуск получает IP-адрес зараженной машины и пытается подключиться к 445 TCP порту каждого IP-адреса внутри подсети. Когда зловред успешно подключается к удаленной машине, то устанавливается соединение и происходит передача данных. Судя по всему, где-то в процессе этой передачи используется известная уязвимость, которая была закрыта обновлением MS 17-010. На данный момент нету полного понимания трафика SMB, и при каких именно условиях зловред может распространяться, используя дыру в безопасности.

Файл tasksche.exe проверяет все диски, а также расшаренные по сети папки и подсоединенные устройства, которые привязаны к буквам, вроде 'C:/', 'D:/' и т.д. Малварь затем ищет файлы с расширениями, которые перечислены в программе (и приведены ниже), и шифрует их, используя 2048-битное RSA шифрование. Пока файлы шифруются, создается папка 'Tor/', куда кладется файл tor.exe и 9 файлов dll, которые он использует. Дополнительно создаются taskdl.exe и taskse.exe. Первый из них удаляет временные файлы, а второй запускает @[email protected], который показывает пользователю окно с требованием заплатить. Файл @[email protected] отвечает только за вывод сообщения. Шифрование файлов происходит в фоне с помощью tasksche.exe.

Файл tor.exe запускается с помощью @[email protected]. Этот новый процесс начинает соединение с узлами Tor. Таким образом WannaCry сохраняет анонимность, проводя весь свой трафик через сеть Tor.

Что типично для программ-вымогателей, программа также удаляет любые теневые копии на компьютере жертвы, чтобы сделать восстановление еще более сложным. Делается это с помощью WMIC.exe, vssadmin.exe и cmd.exe

И вдогонку вдруг кому интересно
Разрешения, шифруемых файлов:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

На линь VM, и пользуйся хоть виндой, хоть чем...
===
Все патчи в шапке темы (показать):
https://forum.kasperskyclub.ru/index.php?sh...=55543&p=814734

спасибо бро

Не боИсь, основной кипешь начнется послезавтра, с Дальнего Востока пойдет...

Если переустановить винду с форматированием С, поможет убить вирус?

del

Это сообщение отредактировал Kosta555 - 13.05.2017 - 19:36

Плять, не дай Бог!!!
Пока на налике ни разу БСОД не видел, а вы?