Проверяем и защищаем свою систему от Wana decrypt0r 2.0

Темы по вирусу уже созданы, но я решил создать отдельную, так как мой коммент затерялся бы в обсуждениях, а тут его увидят максимальное количество потенциальных жертв.

Кратко: для атаки используется уязвимость протокола SMBv1. Чтобы заразиться совершенно не нужно посещать порносайты и скачивать торренты. Вирус (червь) работает сам по себе.

Как проверить свою систему, подвержена ли она уязвимости, которую эксплуатирует Wannacry:
- Откройте cmd.exe (коммандную строку)
- Напишите:

- Нажмите Enter
- Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
- Если нет, то установить патчи Microsoft Security Bulletin MS17-010

Уязвимость так-же можно времено закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в коммандной строке:

Установить патчи при этом все равно рекомендуется

Взято с гиктайма

я боюсь все сломать в системном блоке, и боюсь что не будут запускаться все игры. я не буду так делать.

Это сообщение отредактировал FullStalker - 13.05.2017 - 10:52

хитрая жопа, заразить моего старичка решил??
а по теме,ты зайди в любую тему о продуктах мелкософта, создается впечатление,что большая часть яповцев или кодит в машинных кодах под линухом или в приступе паранои вырубили обновления со времен вин95)))

Да, я под линухом )))

Потенциальные жертвы - компьютерные сети крупных предприятий.
Само самой разумеется, что помощь в устранении последствий заражения они будут искать в инкубаторе на яплакал. В субботу.

небось и обновления выключил

Так-то и обычные пользователи могут стать жертвой этой херни.

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

https://meduza.io/news/2017/05/13/rasprostr...aewrwergwea-com

Атака явно не целенаправленная. Целью атаки является не саботаж и шпионские действия, а извлечение прямой прибыли, а это значит, что вирус будет заражать всех до кого дотянется.

Кстати вот мысля: говорили, что заражено ~50 000 компьютеров. По биткоин транзакциям видно, что оплату произвели около 50 раз (или меньше? ну примерно для ровного счета пусть так)

То есть платит каждый тысячный зараженный. После выходных станут понятны истинные последствия. И если число жертв выйдет хотя бы за 1 млн, то выхлоп для хозяина вируса составить $300 000... уже что то....

Это сообщение отредактировал kazanec - 13.05.2017 - 11:05

Не работает)))))))))))

попробуй через wine ))))))))

Для заражения, как пишут на Гиктайме, нужен белый IP адрес..
А раз так, то пофиг на этот вирус.

Блин, точно!!! )))

Подскажите, а где можно этот вирус подцепить? Хочу прям специально заразить свой комп и глянуть что будет.

Тогда ты в безопасности)))))

к заразному с флешкой сходи )

Это сообщение отредактировал PomkaFL - 13.05.2017 - 11:19

а затем он начнет заражать твою локалку со второго интерфейса.
А еще существует проброс портов с роутера на локальный компьютер с серым IP.
Все эти компьютеры Мегафона и прочих компаний по твоему имели белый IP? Тогда им и вирус этот не нужен бы был - сами давно передохли бы.

Винду под виртуалбоксом запусти, там работает.

Дядя, ты дурак? Ты Линукс от Винды отличить не можешь?

Это сообщение отредактировал dabi - 13.05.2017 - 11:24

А моя винда, по ходу, уже пофиксена. Обновил до Win 10 Creators недели две назад. А мож и нет )))

Во всяком случае, не нашел ее в списке уязвимых на сайте майкрософта.

Это сообщение отредактировал Abrazina - 13.05.2017 - 11:29

Мне вот странно, объясните кто в теме. Винда 7 обновляется по своим хотелкам исправно, но указанный патч почему то не был установлен. Хотя он от какого то там марта 17г. Т.е. политика обновления мелкософта кривая?

Это сообщение отредактировал qudesnik - 13.05.2017 - 11:30

дядя, это был сарказм линуховода, не тупи

Это сообщение отредактировал BadDoggyDog - 13.05.2017 - 11:31

Что то должно произойти?

Хы. Роутер с наглухо запертым 445-м портом ни одна мышь не проскочит. Даже троянская.

HLM\SYSTEM\CurrentControlSet\Services\Netbt\Parameters
создаём параметр SMBDeviceEnabled (тип REG_DWORD)
значения: 1 (включен); 0 (выключен - по умолчанию)
Действует на все устройства.
----------------------
Это для Windows XP, ежели чо (лицензионный)

А вообще NetBIOS я после установки масдайки "с детства" отключаю. И шАры терпеть не могу.

ЗЫ. Закрыть к едрене фене порты 139 и 445 наружу и спать спокойно. А то привыкли "делиться", блин..

Это сообщение отредактировал LuckyBiker - 13.05.2017 - 11:36