Похоже, массовая эпидемия заражением вируса Wana Crypt0r 2.0, надежно шифрующим файлы в расширение WNCRY. На данный момент все антивирусы бессильны обнаружить зловред. Никто не в силах определить начало заражения, причину. При активном заражении возможны частые "синие экраны", далее вирус окончательно зашифрует все возможные файлы и уведомит вас об этом, предложив заплатить до 600$ за расшифровку. Больше 100,000 всего лишь известных заражений за последние сутки От аналитиков из-за рубежа: Russia, Ukraine, and Taiwan leading. This is huge. В настоящее время известно, что за несколько часов Wana Decrypt0r заразил десятки тысяч машин. Так, по данным специалистов Avast, их количество уже превышает 57 000, а главными целями операторов малвари являются Россия, Украина и Тайвань. Wana Decrypt0r обновился и взял на вооружение эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1. Стоит отметить, что еще в марте 2017 года компания Microsoft представила исправление для проблемы ETERNALBLUE в бюллетене MS17-010, однако, как это всегда и бывает, многие компании и пользователи не спешат устанавливать апдейты. По сути, сейчас мы наблюдаем последствия повсеместного халатного отношения к безопасности. Необходимо поставить критическое обновление MS17-010 для нужной Windows.
P.S. Уже известно о заражении некоторых крупных госкорпораций. В России заражены «Мегафон», Сбербанк и другие
Вирус пробирается в систему через порт 445 при отсутствии патча MS17-010. Тоесть если у вас есть патч MS17-010 или каким то образом закрыт порт 445, то ваше заражение почти нереально, если только вы не скачаете сами исполняемый фаил вируса.
Сообщение отредактировал TanatosX - Суббота, 13.05.17, 13:32
А если поставить это обновление, то офка слетит? i5 2500k/8Gb/MSI R9 280X PS3 120GB Xbox 360 JTAG Единственный эксклюзив, который заставит меня купить nextgen - Chrono cross 2.
Вообще с портом странно. Если чекать через интернет, то написано, что закрыт. Если же через командную строку, то открыт i5 2500k/8Gb/MSI R9 280X PS3 120GB Xbox 360 JTAG Единственный эксклюзив, который заставит меня купить nextgen - Chrono cross 2.
Сперва важная информция которую мне удалось выяснить после детального исследования проблемы. Майнер - лишь симптом. Попадает на компьютер он через Backdoor DOUBLEPULSAR. Сам DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США. На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR. Майнер о котором пойдёт речь в этой теме использует именно этот бэкдор. Но через сам бэкдор на компьютере может появится всё что угодно, так что ждём дальнейшего развития событий. У меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
Решение на данный момент есть только одно: срочно обновить Винду до самых последних обновлений, и по возможности закрыть 445 порт. Microsoft писали, что в недавнем обновлении эксплоит ETERNALBLUE, использующийся этим бэкдором, убрали. Сам бэкдор стучится через 445 порт.
И обратите внимание - в последней версии скачиваемого майнера, его файлы помечены как системные. Так что чтобы их увидеть, не забудьте включить просмотр системных файлов в Свойствах Папки.
Вот здесь вы можете провериться инфицированы ли вы этим бэкдором: www.binaryedge.io/doublepulsar.html
Инфа от пользователя другого ресурса, который уже две недели отчаянно борется с заразой.
Haoose, пишут, что обновой этот бэкдор не убирается, просто через него перестает лезть всякая зараза, вроде декриптора и майнеров. Как выпилить бэкдор полностью - ещё неизвестно. Из обычных пользователей заражены только любители Windows 7 и противники обновлений.
Неплохой щитшторм вышел, главное еще не все сплойты поюзаны, интересно анб деньги брокерам зажало , что они на гитхаб выложили с видео инструкциями 0дей сплойты
Святая 10-ка то защищена или нет ?) Как оказывается просто бэкдоры у анб тырить
aiv, хз, у меня 10. Зашел на сайт от hom1e, пишет, что мой IP заражен Steam: Prichard Battle.net: Spartak #2600 PS 5 DE PC: Xeon E5 2689 3.30 Ghz, RTX 2070 Super 8 GB, 16 GB RAM 1866
aiv, хз, у меня 10. Зашел на сайт от hom1e, пишет, что мой IP заражен
Обновление не выпилит бэкдор, просто через него ничего не пролезет. Возможно у тебя уже спит какая-нибудь зараза, и скоро проснется. У меня пишет, что не заражен. Стоит Win10, регулярно обновляюсь.
Сообщение отредактировал hom1e - Суббота, 13.05.17, 15:37
У меня почему то в реестре вообще нет пунктов с SMB, и команда его не находит в cmd. Не знаю, с чем это связано i5 2500k/8Gb/MSI R9 280X PS3 120GB Xbox 360 JTAG Единственный эксклюзив, который заставит меня купить nextgen - Chrono cross 2.
hom1e, и как теперь почистить то? А то мартовские обновления стояли, ничего не качал, на подозрительные сайты не заходил. Не могу понять как заразило то. Steam: Prichard Battle.net: Spartak #2600 PS 5 DE PC: Xeon E5 2689 3.30 Ghz, RTX 2070 Super 8 GB, 16 GB RAM 1866
Там обычная проверка на открытие порта 445 стоит. Если открыт - пишет что "заражен". Это не значит что комп заражен Порт закройте и спите спокойно. Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb
и как теперь почистить то? А то мартовские обновления стояли, ничего не качал, на подозрительные сайты не заходил. Не могу понять как заразило то.
А с чего ты решил что твой ПК заражён? Возможно твой ip серый, и заражён кто-то другой с таким же ip. Ну или можно сделать как говорит Haoose, просто закрыть порт вручную, и всё. MSI MPG Z490 Gaming Plus Intel Core i7-10700K (3.80GHz) Palit GeForce RTX 3070 GamingPro G.Skill Trident Z 16GB (DDR4, 2x8GB, 3200MHz) SSD 250GB, SSD 500GB, HDD 1TB
Сообщение отредактировал Cloud1983 - Суббота, 13.05.17, 16:53
belak, истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так. У паренька даже в образе винды (!) сидел этот бэкдор. Так что это не просто надоедливый майнер из репака, а реальная бяка.
Сообщение отредактировал hom1e - Суббота, 13.05.17, 17:05
Cloud1983, Я свой реальный адрес вбил, у меня пишел, что приватный IP не прочекать i5 2500k/8Gb/MSI R9 280X PS3 120GB Xbox 360 JTAG Единственный эксклюзив, который заставит меня купить nextgen - Chrono cross 2.
Знакомый сначала тоже панику развёл, что мол заражён и т.д. Поменял ip, проверил порты (445 закрыт), и всё, теперь пишет что здоров =)
ЦитатаIshamael ()
Я свой реальный адрес вбил, у меня пишел, что приватный IP не прочекать
Дело не в том, реальный или не реальный, а просто поменять на другой и проверить. Возможно с компьютером всё в порядке, а люди только зря панику разводят =) MSI MPG Z490 Gaming Plus Intel Core i7-10700K (3.80GHz) Palit GeForce RTX 3070 GamingPro G.Skill Trident Z 16GB (DDR4, 2x8GB, 3200MHz) SSD 250GB, SSD 500GB, HDD 1TB
Сообщение отредактировал Cloud1983 - Суббота, 13.05.17, 17:28
