WannaCry на ноуте! Помогите...


Страницы: (4) 1 2 [3] 4	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

Noriffik

18.05.2017 - 23:07

Статус: Offline

Приколист

Регистрация: 18.05.13
Сообщений: 365

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

К сведению, по состоянию на вторник было уже три модификации. Третья самая стрёмная, т.к. не имеет этого выключателя

Это сообщение отредактировал Noriffik - 18.05.2017 - 23:07

[^]

fdenisk

18.05.2017 - 23:07

Статус: Offline

Ярила

Регистрация: 9.11.12
Сообщений: 3583

Цитата (Meeseeks @ 18.05.2017 - 22:49)

Форум "каспера".
Сообщений там более чем НО, они того стоят.
Там дохуя вариантов разобрано.

з.ы.: я в воскресение сто с лишним страниц пережевал))

Спасибо большое, читаю... думал спать лягу))

[^]

Spiteful73

18.05.2017 - 23:07

Статус: Offline

Ярила

Регистрация: 17.04.13
Сообщений: 2949

Цитата

Никак не дешифруешь,только откат если были точки восстановления.Вирусня разные ключи использует от одного компа к другому не подойдут и лекарства для дешифровки не будет никогда.Только накатывать новую систему и ставить патч от МС.

Точки восстановления, если имеются в виду штатные виндовса, никак тебе не помогут. (предположим вирус их не тронул). Систему они тебе вернут, но документы, фото и т. д. они никак не затрагивают.

[^]

Meeseeks

18.05.2017 - 23:11

-1

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (Spiteful73 @ 19.05.2017 - 02:56)

Цитата

Зачем снимать хард и втыкать его в другую машину, если ему уже пиздец?
Запустишь хард, шифрование продолжится.
Смысл?

Имеется ввиду подцепить хард вторым диском, а не грузится с него. В таком случае для того что бы продолжилось шифрование, необходимо будет запустить с этого винта вирус. Если инфу тупо копировать, ничего не запуская то вирус не заработает.

Ясно.
Это не панацея.
Все зависит то того, насколько быстро ты обнаружил вирус.
На видео показано, как с какой скоростью он работает.

[^]

~~Макс1313~~

18.05.2017 - 23:13

Статус: Offline

Весельчак

Регистрация: 19.05.16
Сообщений: 140

Цитата (Kaitur @ 18.05.2017 - 22:53)

интересно а если на комп с этим Ваннакраем поставить амиго и все подобное и еще пару китайских браузеров... кто победит?

Мусье знает толк в извращениях...

Это сообщение отредактировал Макс1313 - 18.05.2017 - 23:14

[^]

Meeseeks

18.05.2017 - 23:14

-1

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (fdenisk @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 22:49)

Спасибо большое, читаю... думал спать лягу))

Паранойя, вещь заразная))
Как и вирус

[^]

Meeseeks

18.05.2017 - 23:15

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (Spiteful73 @ 19.05.2017 - 03:07)

Цитата

Да нет...
Он их (точки восстановления) тронул...
В противном случае, паники бы столько не было.

[^]

Meeseeks

18.05.2017 - 23:18

-1

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (Noriffik @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

К сведению, по состоянию на вторник было уже три модификации. Третья самая стрёмная, т.к. не имеет этого выключателя

Есть ссылка на третий патч?
Они эту только уязвимость прикрыли или что то еще добавили?

[^]

~~Ancifero~~	18.05.2017 - 23:20 [ показать ] 1
Статус: Offline Продам гараж Регистрация: 25.05.12 Сообщений: 12434	Просто забейте. Расшифровать Ванна Сри не получится. Шифровщики были и раньше. И многие до сих пор не дождались дешифратора. нужно смирится и впредь, думать головой, а не кичится в интернетиках какой ты крутой и "пять лет сижу без антивируса и файервола".
	[^]

Noriffik

18.05.2017 - 23:22

Статус: Offline

Приколист

Регистрация: 18.05.13
Сообщений: 365

Цитата (Meeseeks @ 18.05.2017 - 23:15)

Цитата (Spiteful73 @ 19.05.2017 - 03:07)

Цитата

Да нет...
Он их (точки восстановления) тронул...
В противном случае, паники бы столько не было.

Цитата

После того как запустился компонент шифровальщика (tasksche.exe), он копирует себя в новую папку со случайно сгенерированным названием, расположенную в папке COMMON_APPDATA на зараженном компьютере. Затем он пытается добавить себя в автозапуск:

reg.exe add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v “RANDOM_CHARS” /t REG_SZ /d ‘\’C:\ProgramData\FOLDER\tasksche.exe\’’ /f

Затем шифровальщик предпринимает следующие действия:

1. Использует команду Windows «icacls» для получения полного доступа ко всем файлам системы жертвы:

• icacls. /grant Everyone:F /T /C /Q

2. Удаляет все резервные копии (теневые копии), найденные в системе, следующими двумя способами:

• vssadmin.exe vssadmin delete shadows /all /quiet
• WMIC.exe wmic shadowcopy delete

3. Препятствует загрузке компьютера в безопасном режиме:

• bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit.exe bcdedit /set {default} recoveryenabled no

4. Удаляет все бекап-каталоги:

• wbadmin.exe wbadmin delete catalog –quiet

5. Создает запись в реестре Windows, указывая на папку, содержащую шифровальщик:

• [HKEY_CURRENT_USER\Software\WanaCrypt0r]

6. Скрывает корзину, используя команду ATTRIB:

• attrib +h +s c:$RECYCLE

7. Используя cmd команду echo, он создает VBS-скрипт для генерации файла .lnk, указывающего на файловый декриптор:

SET ow = WScript.CreateObject(“WScript.Shell”)
SET om = ow.CreateShortcut(“C:\@[email protected]”)
om.TargetPath = “C:\@[email protected]”
om.Save

8. Наконец, WannaCry пытается убить различные процессы баз данных, чтобы иметь возможность получить доступ к файлам баз данных и зашифровать их:

‘taskkill.exe /f /im mysqld.exe’
‘taskkill.exe /f /im sqlwriter.exe’
‘taskkill.exe /f /im sqlserver.exe’
‘taskkill.exe /f /im MSExchange*’
‘taskkill.exe /f /im Microsoft.Exchange.*’

Атака семейства шифровальщиков WannaCry: анализ ситуации и готовность к следующим атакам
Наиболее полный анализ этой заразы

[^]

Noriffik

18.05.2017 - 23:23

Статус: Offline

Приколист

Регистрация: 18.05.13
Сообщений: 365

Цитата (Meeseeks @ 18.05.2017 - 23:18)

Цитата (Noriffik @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

Есть ссылка на третий патч?
Они эту только уязвимость прикрыли или что то еще добавили?

Нет, в чем и прикол. Действия те же самые, пролаз в систему по 445 порту+использование уязвимости протокола SMB v.1 (апдейт для закрытия выпущен был в марте, для поддерживаемых версий Windows). Для остальных в аварийном порядке выпустили.
Третья версия шифровальщика с доменами не работает.

Это сообщение отредактировал Noriffik - 18.05.2017 - 23:28

[^]

ASK1980	18.05.2017 - 23:25 [ показать ] 1
Статус: Offline Хохмач Регистрация: 24.10.10 Сообщений: 738	Давным давно я запускал процесс, который шифровал 3 новых exe при каждом запуске заражённого файла. В том случае если висел мой резидентный кусок. Остальные файлы можно оставить на время неподвижных мыши и клавиатуры. Как работает современная вирусня я не знаю. Во времена дискет и слабых машин были другие проблемы- влезть на дискету и быстро срабатывать. выручали уязвимая архитектура и полнота документации. А сейчас не каждый программист содержимое биоса считает не затерев. В прочем связь интреснее, а программирование- это онанизм. Не хочу возращаться.распознавание образов было приятной точкой в кодинге. Это сообщение отредактировал ASK1980 - 18.05.2017 - 23:36
	[^]

galinzoga	18.05.2017 - 23:35 [ показать ] 0
Статус: Online Инсайдер Регистрация: 14.07.13 Сообщений: 2469	Если вовремя сдернули винт и на нем остались еще Shdow Copys, то вот этим можно поискать http://www.shadowexplorer.com/uploads/Shad....9-portable.zip
	[^]

merc75

18.05.2017 - 23:54

Статус: Offline

Приколист

Регистрация: 10.05.16
Сообщений: 361

Цитата (Spiteful73 @ 18.05.2017 - 22:12)

Цитата

Ну правильно ж написали, спасти то что еще не зашифровано можно подключив винт к другому компу и скопировать то что осталось доступным. С пораженного винта только читать, ничего не записывать!

Поясните, как можно что-то сохранить без записи?

Я бы на всякий случай все операции либо на отдельном компе, инфу с которого не жалко, либо в виртуалке производил.

Пардон, выразился неудачно. Имел в виду что на зараженный и зашифрованный винт не надо ничего писать.

[^]

Meeseeks

19.05.2017 - 00:01

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (Noriffik @ 19.05.2017 - 03:23)

Цитата (Meeseeks @ 18.05.2017 - 23:18)

Цитата (Noriffik @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

Есть ссылка на третий патч?
Они эту только уязвимость прикрыли или что то еще добавили?

Прикол еще и в другом))
Авторы (более чем уверен) следят за форумами антивирусов и латают дыры на ходу. В противном случае, патчи бы не выпускались столь оперативно.
Чего стоит ожидать в дальнейшем? Убежден, бэкдоров в "винде" достаточно и не известно, сколько их украли (???) с серверов АНБ.
Опять же, доля конспирологии...
Кому это выгодно?
Глупо думать, что парни затеяли такой сыр-бор, ради пары-тройки штук баксов.
И то, с какой скорость они выпускают обновы, говорит о том, что эти атаки, не более чем ширма. На мой взгляд, проводится тестирование-шлифовка-подгонка на массах, для чего то большего.

Интересен этот коммент:

Цитата

Не видел информации — у зараженных какие-нибудь средства защиты стояли, кто-нибудь в курсе?
А то получается, что или пострадавшие организации экономят на защите или средства защиты не справились.
Какое-то странное молчание по этому вопросу.

Сисадмины МВД-ГИБДД, сбера и прочих, такие тупые, что не пропатчили ОС?!
дануна

Входит, что есть что то еще, о чем не сообщается народу.

[^]

Meeseeks

19.05.2017 - 00:04

-1

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (galinzoga @ 19.05.2017 - 03:35)

Если вовремя сдернули винт и на нем остались еще Shdow Copys, то вот этим можно поискать http://www.shadowexplorer.com/uploads/Shad....9-portable.zip

С форума "панды":

Цитата

Затем шифровальщик предпринимает следующие действия:

1. Использует команду Windows «icacls» для получения полного доступа ко всем файлам системы жертвы:

• icacls. /grant Everyone:F /T /C /Q

2. Удаляет все резервные копии (теневые копии), найденные в системе, следующими двумя способами:

• vssadmin.exe vssadmin delete shadows /all /quiet
• WMIC.exe wmic shadowcopy delete

3. Препятствует загрузке компьютера в безопасном режиме:

• bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
• bcdedit.exe bcdedit /set {default} recoveryenabled no

4. Удаляет все бекап-каталоги:

• wbadmin.exe wbadmin delete catalog –quiet

5. Создает запись в реестре Windows, указывая на папку, содержащую шифровальщик:

• [HKEY_CURRENT_USER\Software\WanaCrypt0r]

6. Скрывает корзину, используя команду ATTRIB:

• attrib +h +s c:$RECYCLE

7. Используя cmd команду echo, он создает VBS-скрипт для генерации файла .lnk, указывающего на файловый декриптор:

SET ow = WScript.CreateObject(“WScript.Shell”)
SET om = ow.CreateShortcut(“C:\@[email protected]”)
om.TargetPath = “C:\@[email protected]”
om.Save

8. Наконец, WannaCry пытается убить различные процессы баз данных, чтобы иметь возможность получить доступ к файлам баз данных и зашифровать их:

‘taskkill.exe /f /im mysqld.exe’
‘taskkill.exe /f /im sqlwriter.exe’
‘taskkill.exe /f /im sqlserver.exe’
‘taskkill.exe /f /im MSExchange*’
‘taskkill.exe /f /im Microsoft.Exchange.*’

Так что, про теневые копии можно забыть.

[^]

Shadowraven

19.05.2017 - 00:17

Статус: Offline

Приколист

Регистрация: 30.01.15
Сообщений: 212

Цитата (Meeseeks @ 18.05.2017 - 23:01)

И то, с какой скорость они выпускают обновы, говорит о том, что эти атаки, не более чем ширма. На мой взгляд, проводится тестирование-шлифовка-подгонка на массах, для чего то большего.

Ну да, пользовательское тестирование. только в глобальном масштабе. Что же тогда в продакшен выкатят...

[^]

ipv4

19.05.2017 - 00:19

Статус: Offline

Ярила

Регистрация: 4.11.09
Сообщений: 7277

Цитата (fdenisk @ 18.05.2017 - 21:36)

Может снять хардец и подрубить его к компу своему? Каспер вроде как его уже "знает".

А не судьба загрузиться с той же флэшки с Kaspersky AntiViral Toolkit (как-то так он называется), отлечиться (при неактивной вирусе), а потом сохранить то, что осталось?

P.S. Ну или загрузка с любой линукс флэшки и копирование сохранившейся информации куда-нибудь?

Это сообщение отредактировал ipv4 - 19.05.2017 - 00:27

[^]

OldGarry

19.05.2017 - 07:50

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3017

Цитата (Meeseeks @ 19.05.2017 - 00:01)

Цитата (Noriffik @ 19.05.2017 - 03:23)

Цитата (Meeseeks @ 18.05.2017 - 23:18)

Цитата (Noriffik @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

Есть ссылка на третий патч?
Они эту только уязвимость прикрыли или что то еще добавили?

Цитата

Сисадмины МВД-ГИБДД, сбера и прочих, такие тупые, что не пропатчили ОС?!
дануна

Входит, что есть что то еще, о чем не сообщается народу.

Пойди лучше в тему про супервулкан. Там тебе сразу объяснять- что это всемирный заговор рептилоидов.

Может хватит пытаться выказать осведомленность в сфере- к которой ты и близко не подходил?

[^]

Покусакус	19.05.2017 - 07:51 [ показать ] 0
Статус: Offline Укушу. Регистрация: 29.10.14 Сообщений: 12098	отсоедини винт, подключи к линуксовой машине и скопируй то, что осталось. На линуксе вирус не запустится, там это не код, а бессмысленный набор символов.
	[^]

fdenisk

19.05.2017 - 08:59

Статус: Offline

Ярила

Регистрация: 9.11.12
Сообщений: 3583

Цитата (Покусакус @ 19.05.2017 - 07:51)

отсоедини винт, подключи к линуксовой машине и скопируй то, что осталось. На линуксе вирус не запустится, там это не код, а бессмысленный набор символов.

я не сисадмин и не компьютерный мастер)) у самого винда да каспер. а ставить для этого линуху не хочется. для меня проще лайвСД запилить. или не париться винт перекинуть...
Ответ консультанта (regist) форума Касперского:

fildp13 сказал(а)
Народ, Здрасьте! скажите, винт с заражёного ноута могу нацепить на комп с Каспером 16.0.0.614 ? он его вылечит?

regist сказал(а) 19 Май 2017 - 00:41: Да, разумеется при условие, что базы у вашего каспера обновляются (актуальные). И не путать вылечит с расшифрует.

[^]

fdenisk

19.05.2017 - 09:04

Статус: Offline

Ярила

Регистрация: 9.11.12
Сообщений: 3583

Цитата (ipv4 @ 19.05.2017 - 00:19)

Цитата (fdenisk @ 18.05.2017 - 21:36)

Может снять хардец и подрубить его к компу своему? Каспер вроде как его уже "знает".

Kaspersky Virus Removal Tool

Последние версии
Версия 2015
Спасибо, но, чёт, не хочется)))
*****************
зато дата выпуска баз сегодняшняя, наверно каждый день и дополняют...

Это сообщение отредактировал fdenisk - 19.05.2017 - 09:07

[^]

vantofree	19.05.2017 - 10:22 [ показать ] 1
Статус: Offline Весельчак Регистрация: 8.11.14 Сообщений: 159	Kaspersky Rescue Disk и Dr.Web LiveDisk сделаны на Линуксе. Загружаетесь с диска(флэшки) и копируете что осталось целым, можете проверить на вирусню жесткие диски, покопаться в системных папках и файлах Windows.
	[^]

OldGarry

19.05.2017 - 12:16

Статус: Offline

Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 3017

Цитата (vantofree @ 19.05.2017 - 10:22)

Kaspersky Rescue Disk и Dr.Web LiveDisk сделаны на Линуксе.
Загружаетесь с диска(флэшки) и копируете что осталось целым, можете проверить на вирусню жесткие диски, покопаться в системных папках и файлах Windows.

Вы о чем? 99% юзеров- не знают даже как загрузиться со съемного носителя.

[^]

Meeseeks

19.05.2017 - 12:19

-1

Статус: Offline

Ярила

Регистрация: 25.05.16
Сообщений: 1497

Цитата (OldGarry @ 19.05.2017 - 11:50)

Цитата (Meeseeks @ 19.05.2017 - 00:01)

Цитата (Noriffik @ 19.05.2017 - 03:23)

Цитата (Meeseeks @ 18.05.2017 - 23:18)

Цитата (Noriffik @ 19.05.2017 - 03:07)

Цитата (Meeseeks @ 18.05.2017 - 23:03)

Исправили. Больше он туда не обращается.

Есть ссылка на третий патч?
Они эту только уязвимость прикрыли или что то еще добавили?

Цитата

Сисадмины МВД-ГИБДД, сбера и прочих, такие тупые, что не пропатчили ОС?!
дануна

Входит, что есть что то еще, о чем не сообщается народу.

Пойди лучше в тему про супервулкан. Там тебе сразу объяснять- что это всемирный заговор рептилоидов.

Может хватит пытаться выказать осведомленность в сфере- к которой ты и близко не подходил?

Тебя в ней на хуй послали?!

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 7278
0 Пользователей: