Предохраняемся от Пети с Мишей

И чо будет?
А ничего не будет. Даже если ты его запустишь под вайном от рута (надо быть полным дебилом для этого), вирус скорее всего споткнется об отсутствие какой-нить библиотеки и отвалится.

А че 445 порт все еще бэкдорится? Вроде на момент хрюнделя была такая проблема. Позже должны были пофиксить. Разве что пэйлоадом можно атаковать 7ки и выше. Но тут юзверь сам по себе туп.

Хотя можно зарядить его как апдейт фокса\или пдфку, перешить адрес с *частопосещаемыйсайт* на нужныйи ловить мышей

Это сообщение отредактировал Bambezia - 28.06.2017 - 10:33

дайте ссылку на волшебный PDF, уж очень сильно офис желает отдохнуть.

Шутка если что )))))

Более дельно тут расписано - https://habrahabr.ru/company/infosecurity/blog/331788/

У нас вроде ребята уже всё сделали. Обновы свежие через WSUS, файлики-пустышки на компы разнесли, порты закрыты известным корпоративным решением.

Это сообщение отредактировал Solmar - 28.06.2017 - 10:25

agaiwer
ну так его и самому собрать можно, чё

Это какая программа такое делает ? на линуксе или винде ?

Шо такое Тырнет ?

Не порите, батенька, хуйню.

1. Вирусу, в частности, модифицированному WannaCry - совершенно поебать, где находятся шифруемые файлы, на дисках, или в облаке, как совершенно правильно было выше замечено.

2. Устанавливать все обновления майкрософт - я ебал такое щастье. Мало того, что когда тебе нужно что-то срочно сделать, но включается ебучее обновление и вся система встаёт колом, так эти мудаки умудряются ещё и некорректные обновления выпускать. Через пару дней они конечно исправляются и даже извиняются, но тебе-то от этого легче что-ли?

3. Открывание или не открывание вложений к этому вирусу не относится. Заражение происходит сразу, как только ткнул мышью в письмо. Огромная дыра в SMB была закрыта MS ещё в марте, но только для win7 и выше. Патч для XP, на которой кстати работает большинство банкоматов, появился только постфактум.

4. Толку от этого - ноль целых, ноль десятых.

5. Ну хоть это более правильно. Только и тут напрасно панику развёл. Проверка дисков происходит каждый раз при неправильном выключении компьютера (от сети). А вот совет твой - мне просто подарок какой-то, винт MHDD после таких блядских советов проверять.

6. Гра-а-амотный какой! А просто патч на локальную машину установить слабо? На: https://forum.kasperskyclub.ru/index.php?sh...c=55543&page=71

Что касаемо остального, то как ребята надеялись на "авось", так и после WannaCry, подумали, что пронесло. И никто, сцуко, жопу не поднял, и пальцем по клаве не ударил, чтобы скачать и установить патч.

Долбоёбы, бля ©.

Это сообщение отредактировал Boojum - 28.06.2017 - 10:44

Линуксоиды совсем озверели, уже под вайном пытаются вирусы запустить.

А че пытаются, это же весело запустить какой нибуть блокировщик под вайном. Хотя бы ради пункта "А я смог"

Данный вирус ничего так не меняет, просто добавляет пару идентификационных (для себя) файлов, скачивает новый, исполняет, пытается биться через SMB по сети и мастербут кодирует. Такой метод хорош против классических вирусов-шифровальщиков когда пофайлово кодировка идёт.

1. Информацию о том что на данный момент шифруется только диск C взял с уже познакомившихся с этим вирусом.
2. Без комментариев.
3. При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:

• открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe;
• загрузка шифровальщика по адресу french-cooking[.]com;
• на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta
• подключение зараженного компьютера к адресам 111.90.139[.]247, coffeeinoffice[.]xyz;
• распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
• заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.

Пс. Не мое но доверять информации у меня нет оснований.

4. Возможно
6. Патчи закрывают только уязвимость SMB Рассылку писем и авторизацию по сети они не закрывают.

Это сообщение отредактировал kottor45 - 28.06.2017 - 10:46

VampirBFW

спасибо. недавно всё переустановил и репу чесал - "что-то надо ещё!".

1. Профиль пользователя необязательно находится на C:
Вообще пофигу, если права позволяют - где угодно файлы зашифрует.

1. Потому что диск С: блять это обычно первый раздел. Точнее, второй.
2. пропустим
3. Очень уж интересно, каким образом, особенно при наличии абсолютно любого антивируса в системе, этот товарищ будет пытаться прописаться в MBR? Щаззз! Тем более, что на большинстве современных систем (8-10) уже давно GPT.

"получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB" он уже не может, поскольку уязвимость уже закрыта. И чё дальше?

Я для важной инфы тупо запретил запись и изменения, оставил права только для чтения
Не проверял, насколько это надежно, но по идее должно прокатить

я семерку не обновлял ни разу за пару лет, надо? Обновил, тогда она у меня глюканула, там обнова была специфическая, читал об этом, назад откатил и все заработало, после этого отключил обнову, надо обновить? опасаюсь как бы опять с этой обновой херня какая-нить не прилетела

у нас в конторе была подобная хрень еще за полгода до wannacry, печаль была в том что вся инфа хранится на серваках, даже личный диск - и тот сетевой, в компах только голые вин7 и ссд на 60 гигов, посреди рабочего дня начали шифроваться все подряд файлы в общих папках на серваках, думал все хана, но ниче - админы за пару часов как то разрулили и все заработало.

Да как разрулили - бэкапы были просто у них а то бы все

России врат ли стоит бояться...страны наиболее пораженные вирусом Petya:

В конце 90-х я на отдельных дискетах держал целую коллекцию вирусов - хобби у меня такое было. Кто-то марки собирал, кто-то монеты, а я вирусы.
Потом забросил это дело, т.к. дискеты стали заканчиваться, а вирусов стало слишком много...
Но когда незадолго до 2008-го года, я окончательно и бесповоротно пересел на линукс, то захотел вспомнить старое увлечение. И накачал всяких вирусов под линукс. Уж я и мануалы читал, и компилировал их как только мог - 2 недели все вечера только ими и занимался. ОДИН я осилил скомпилить без ошибок! Но после запуска он заругался на слишком новый gcc и выпал в осадок.
Нет у меня больше хобби...

Не пользуюсь виндой уже лет десять. В гробу я видал вашего Петю.

Мои комментарии к статье:

1. сетевые диски так же без проблем шифруются. Происходит шифрование папок, к которым идет обращение. Подозреваю, что с облачными дисками произойдет та же ситуация - при синхронизации в облаке оригинальные файлы заменятся зашифрованными.
Так же эти программы ищут на компьютере базы 1С, бэкапы акрониса.

2. Перезагрузки компьютера нет! Они работают в фоне сразу после запуска и добавляются в различные места автозагрузки.

да нифига рега не слетела, только что обновился)))

У меня помимо антивируса-файрвола всегда наготове бэкап-версии: образ системного диска со всеми программами и настройками, а так же копии важнейших данных. Все находится на внешнем диске, не подключенном к компу. Действия с важнейшими паролями совершаются в виртуалке. Кроме этого там ничего не совершается. Сами пароли тоже запаролены в специальной базе. Раньше еще и база паролей находилось на виртуальном диске, зашифрованном стойким алгоритмом, но я подумал, это такая паранойя чересчур даже для меня. Я ж не Пентагон, меня специально ломать не будут.