WannaCry на ноуте! Помогите...

Пару дней назад успел вытащить часть партиции у друзей,
скачал Live CD Q4OS, при помощи Rufus записал на флешку. В биосе ноута
выставил загрузку с USB, загрузился с флешки, подключил выносной HDD и
скопировал что было живое туда. Архив фотографий почти не пострадал,
а документы конечно самыми первыми накрылись медным тазом.
Хорошо что часть нужного осталась в емайлах и на облачных сервисах.

Перезашифруется.
Ему похуй, он всеяден.
А лекарства ты вряд ли дождешься.
хотя...

И какой процесс в чистой системе продолжит его шифровать?

вот это . первое что я бы попробовал ! особо ценное записал бы двд диск. (найти бы еще !)

1. Винт снять.
2. Установить последние апдейты и антивирь на свой комп.
3. Подцепить клиентский винт к своему компу.
4. Снять образ клиентского винта, сохранить на съёмный диск.
5. Отцепить съёмный диск.
6. Вирусяка при шифровке (говорят) удаляет исходные данные стандартными средствами, посему - напустить на него прогу по восстановлению стёртых данных.
7. Восстановить прогой по восстановлению то что было стёрто.
8. В будущем делать бэкапы, себе и своим друзьям/клиентам/знакомым.
Практика более чем 20 ПК: страдают файла с расширением .tib (акронис бэкапы), .lic (лицензии), БОЛЬШИЕ файлы (видеонаблюдение), на виндовс хп умирают системные (падение в БСОД)

Это сообщение отредактировал qudesnik - 18.05.2017 - 22:42

дело не стоит в восстановлении, это ясно сразу.
хочу понять механизм действия вируса. хороший варик с LiveCD. по мне так одно и тоже что к моему компу подцепить.
только надо быть уверенным, что он не продолжит шифрование. даже если не продолжит- нужна БОЛЬШАААЯ флешка для оставшихся файлов (хотя сомневаюсь, что там их осталось)
Сегодня уже не буду препарировать, завтра перейду к практике.

не найдут никакого метода расшифровки, там шифруются файлы ключом 2048бит, лучше пристрелиться, чем это расшифровать. Забудьте, это бред.

Это сообщение отредактировал zeka456 - 18.05.2017 - 22:44

глупое нубское видео. Апдейты винды закрывают сетевую уязвимость, которая используется вирусом для своего сетевого распространения в пределах локальной сети, короче говоря протокол SMBv1. А если аффтырь видео целенаправленно запускает исполняемый код трояна в своем компе - причем тут бля обновления системы?
Куча вирусов ломают себе голову, как успешно самозапуститься в контексте системы, а этот срыватель покровов ему распахивает дверь, заводит его за ручку в покои и самолично укладывает в постель к своей жене.

Ты жесткий диск с вирусом подключать будешь?

Можно теневые копии попробовать поковырять. Говорят, что он отключает механизм их создания, но это не значит, что они сразу же теряются.
Допустим, подключу. И что? Если мой системный антивирус его знает - похуй абсолютно на него.

Это сообщение отредактировал Васяныч - 18.05.2017 - 22:46

Форум "каспера".
Сообщений там более чем НО, они того стоят.
Там дохуя вариантов разобрано.

з.ы.: я в воскресение сто с лишним страниц пережевал))

Это сообщение отредактировал Meeseeks - 18.05.2017 - 22:51

Еще раз прочти вопрос, в ответ на который я прикрутил эту видюшку.

LiveCD рабочий вариант но только то что осталось не тронутым, а это скорее всего немного...
интересно а если на комп с этим Ваннакраем поставить амиго и все подобное и еще пару китайских браузеров... кто победит?

Спасибо большое, нужные строки.
но насчёт шестого пункта сиильно сомневаюсь, но попробую. можно, если в запросе UAC ответили нет.

причем здесь ты вообще? я высказываюсь про видео и его автора. Запостил ты - тебя и цитирую.
Кстати, а какой ответ ты хотел дать этим видео?

На Хабре об этой заразе уже написано довольно много и с разбором что и как оно делается
Программа-шантажист WannaCrypt атакует необновлённые системы

Как защищаться от атаки вируса-шифровальщика «WannaCry»

Анализ шифровальщика Wana Decrypt0r 2.0

Это сообщение отредактировал Noriffik - 18.05.2017 - 22:58

Имеется ввиду подцепить хард вторым диском, а не грузится с него. В таком случае для того что бы продолжилось шифрование, необходимо будет запустить с этого винта вирус. Если инфу тупо копировать, ничего не запуская то вирус не заработает.

Если ты с этого винта не будешь грузиться, то не продолжит, если конечно не запустишь на выполнение зараженный файл. Команды копирования, переноса, удаления вирус не запустят.

Это сообщение отредактировал Spiteful73 - 18.05.2017 - 23:03

Сними винт, подключи на ББ и пролечи. Например AVG его точно ловит и убивает. Я бы после этого слил инфу на ББ (файлы пользователя) и отформатил первый раздел, потом поставил обратно в ноут и проставил свежую винду и ПО и аyтивирь и заплатки и т.д.

Это сообщение отредактировал galinzoga - 18.05.2017 - 23:34

Никак не дешифруешь,только откат если были точки восстановления.Вирусня разные ключи использует от одного компа к другому не подойдут и лекарства для дешифровки не будет никогда.Только накатывать новую систему и ставить патч от МС.

Займи биткоины
Или забей

Как остановить шифровку? Элементарно, Ватсон! Выключить ноут, изъять из него винт и разбираться с его содержимым уже из под не зараженной системы.

Эта зараза сносит все бекапы

Цитата с сайта:

Исправили. Больше он туда не обращается.

Чего вы сретесь то на ровном месте?
Патч закрывает самостятельный доступ дряни на комп через дыру в системе. Собственно пакость этого шифровальщика именно в его самостоятельности, все предыдущие аналоги распространяются по почте "акт сверки.pdf.zip", "повестка.doc.rar" и т.п. вложения. Юзверь редко когда сподобится включить мозг и глянуть внимательно на то, с какого почтовика пришло письмо и тупо его открывает. Ну а дальше бегут к сисадмину только минут через 10 - " а че ето у меня на рабочем столе нихрена не открывается".
Поставил патч можно расслабить булки на время, пока авторы дряни не задействуют еще какую то дырку в системе.
Кроме бекапа либо катаны от веба (не реклама) защиты от этой херни я не знаю. Катана рубит эти сцуки спустя 3-10 файлов.

П.С.
Ни у кого нет реального способа блокировки выполнения js скриптов в Win7 Pro?

Это сообщение отредактировал trihopolus - 18.05.2017 - 23:06