|
Новый вирус Wana Crypt0r 2.0
|
|
belak
|
Дата: Суббота, 13.05.17, 17:46 | Сообщение # 36 |
 Молчун
|
Цитата hom1e (  ) истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так.
У паренька даже в образе винды (!) сидел этот бэкдор.
Так что это не просто надоедливый майнер из репака, а реальная бяка.
Да,ясно,но выше парень барыжыт и подхватил вроде это Spartak276.Вот и стремно простому смертному. |
| |
| |
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 18:30 | Сообщение # 37 |
 Молчун
|
Haoose, Если поставить,активаха на винде слетит? |
| |
| |
|
|
Haoose
|
Дата: Суббота, 13.05.17, 18:52 | Сообщение # 38 |
 Летописец -AsF-
|
Цитата Saylar23 ( ) активаха на винде слетит?
Активация винды? С чего бы ей слетать? Нет. А вот игры с Denuvo придется активировать заново.
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb |
| |
| |
|
|
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:27 | Сообщение # 40 |
| Молчун
|
Haoose, Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
Сообщение отредактировал Saylar23 - Суббота, 13.05.17, 19:27 |
| |
| |
|
|
Alekcan
|
Дата: Суббота, 13.05.17, 19:35 | Сообщение # 41 |
 Завсегдатай
|
Saylar23, проблема в кривом активаторе винды. Откат или переустановка с последующей нормальной активацией должно помочь. Проблема, насколько я слышал, только на win7, как вариант перейти уже, наконец, на win 10 |
| |
| |
|
|
apheX
|
Дата: Суббота, 13.05.17, 19:35 | Сообщение # 42 |
 Участвующий
|
У меня после установки KB4012212 было "STOP: c0000145 {Application Error} The application was unable to start correctly", винда, соответственно, не грузилась. Пришлось удалять пакет из командной строки. Проблема, вероятно, с активацией винды. Качал давно, возможно, с новыми версиями (активатора или другого метода активации) такого нет. При этом SMBv1 у меня вообще нет, видимо вырезали из образа винды который я когда-то качал. Порт, судя по всему, тоже закрыт. Думаю пронесёт. |
| |
| |
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:37 | Сообщение # 43 |
| Молчун
|
apheX, Не подскажешь весь этот процесс с удалением из командйно строки? |
| |
| |
|
|
apheX
|
Дата: Суббота, 13.05.17, 19:43 | Сообщение # 44 |
| Участвующий
|
Цитата Saylar23 ( ) apheX, Не подскажешь весь этот процесс с удалением из командйно строки?
Ну так банально вбиваем в гугл "STOP: c0000145" и смотрим любой понравившийся гайд. Если, конечно, ошибка такая же. |
| |
| |
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:46 | Сообщение # 45 |
| Молчун
|
apheX, Я так понимаю можно заюзать MSDaRT? |
| |
| |
|
|
Uchenik1984
|
Дата: Суббота, 13.05.17, 19:51 | Сообщение # 46 |
A fan of their children!
|
Цитата Saylar23 ( ) Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
Цитата Alekcan ( ) Откат или переустановка с последующей нормальной активацией должно помочь
У меня похожая трабла была год назад, но без активаторов... (сидел на инсайд превью). Постоянный перегруз после крупной обновы. Решил сносом винды, на чистую обновился и норм всё прошло.
LG 34WL500-B
_ _ _ _ _ _ _ _ _ _ _
MSI GeForce GTX 1080 Armor
AMD Ryzen 7 2700X+PCCooler GI-X6B
Gigabyte B450M DS3H (rev. 1.0)
HyperX Fury 2x8GB DDR4 PC4-25600 HX432C16FB3K2/16
SSD Kingston SSDNow V300-120GB
SSD Crucial BX100-250GB
SSD Crucial BX500-480GB
Toshiba DT01ACA-3TB
FSP FSP700-80GLN
_ _ _ _ _ _ _ _ _ _
Windows 10 Pro |
| |
| |
|
|
apheX
|
Дата: Суббота, 13.05.17, 19:56 | Сообщение # 47 |
| Участвующий
|
Цитата Saylar23 ( ) apheX, Я так понимаю можно заюзать MSDaRT?
Никаким софтом я не пользовался, стандартные средства винды. Конкретно по этому гайду. |
| |
| |
|
|
Atmosphere
|
Дата: Суббота, 13.05.17, 19:57 | Сообщение # 48 |
 Участвующий
|
А как в ручную закрыть этот порт?
И как посмотреть самому в скрытых файлах, есть зараза или нет!
Сообщение отредактировал Atmosphere - Суббота, 13.05.17, 20:02 |
| |
| |
|
|
hom1e
|
Дата: Суббота, 13.05.17, 20:09 | Сообщение # 49 |
 Участвующий
|
Atmosphere, если нет никаких странностей в работе компьютера, то в файлах нет смысла что-то искать. Это если майнер пролезет - начнет грузить процессор, тогда уже надо отлавливать и удалять исполняемый файл.
Добавьте в шапку, что если винда регулярно обновляется, то нечего людям переживать. Этот вирус встряхнул уже весь интернет.
i5 3570, 12GB, GTX 1060, SSD 240 |
| |
| |
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 20:17 | Сообщение # 50 |
| Молчун
|
apheX, Спасибо все сделал,через консольку.И на последок вопрос,сейчас после восстановления,никаких манипуляций не нужно делать?Типо проверять системные файлы и тд?То есть простыми словами,данный откат никак не повлиял на систему критически? |
| |
| |
|
|
apheX
|
Дата: Суббота, 13.05.17, 20:30 | Сообщение # 51 |
| Участвующий
|
Saylar23, я ничего не делал больше, по сути - это же просто удаление ранее установленного пакета обновлений, не думаю, что это может как-то навредить системе. Ну, не считая того, что сама винда остаётся уязвимой для вируса без этого обновления (при условии открытых портов и тд). |
| |
| |
|
|
Saylar23
|
Дата: Суббота, 13.05.17, 20:33 | Сообщение # 52 |
| Молчун
|
apheX, окей,все понял,спасибо ещё раз |
| |
| |
|
|
MOLODO_RUS
|
Дата: Суббота, 13.05.17, 23:57 | Сообщение # 53 |
 Отписавшийся
|
Чутка информации.
1.
Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его.
Доступно только для пользователей
2. по поводу Сбера в гр ВК ответили
3. сам чудом не подхватил по какой причине хз возможно настроенный файвол от Каспера или то что сижу за роутером, а не напрямую.
4. форум касперского https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=92
Win7x64 SP1 / SSD 250GB SAMSUNG EVO 850 /Intel® Xeon®X3440@3.7Ghz / DDR3 12Gb@1500 / GeForce GTX 1080 8Gb @ 2000мгц
Сообщение отредактировал MOLODO_RUS - Воскресенье, 14.05.17, 00:29 |
| |
| |
|
|
roadrunner
|
Дата: Воскресенье, 14.05.17, 00:30 | Сообщение # 54 |
 Летописец -AsF-
|
http://netler.ru/ikt/445.htm |
| |
| |
|
|
AndyLarkin
|
Дата: Воскресенье, 14.05.17, 21:59 | Сообщение # 55 |
 Участвующий
|
Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена
https://vc.ru/n/wannacry-new?from=rss
Работает - поставь плюс +++ |
| |
| |
|
|
Admin
|
Дата: Понедельник, 15.05.17, 08:56 | Сообщение # 56 |
 Летописец -AsF-
|
Парни, скиньте ссылку на скачивание вируса. Хотелось бы поковыряться в его коде, посмотреть что к чему.
Активация игр с защитой Denuvo|Windows Store
Добавить в Skype|Отправить личное сообщение |
| |
| |
|
|
Haoose
|
Дата: Понедельник, 15.05.17, 11:14 | Сообщение # 57 |
| Летописец -AsF-
|
Admin, Доступно только для пользователей
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb |
| |
| |
|
|
Atmosphere
|
Дата: Понедельник, 15.05.17, 14:58 | Сообщение # 58 |
| Участвующий
|
все таки не понимаю. как он может сам залезть и начать работу. ведь есть контроль учетных записей который не даст ему запустится. а без администратора он ничего делать не может. ничего не может.
на обычный комп чтоб он попал это надо так затупить что его сначало скачать а потом запустить. по локалке то еще ладно. поверю. но так как пострадали простые ПС. не знаю. такого не бывает поидее. |
| |
| |
|
|
Haoose
|
Дата: Понедельник, 15.05.17, 15:08 | Сообщение # 59 |
| Летописец -AsF-
|
Atmosphere, все просто. Стучится к тебе по порту SMB, юзает эксплойт который позволяет выполнить код. Код выполняется с правами драйвера, т.е. админа. Тебе самому ничего скачивать и запускать не нужно. Все ж давно описано, почитай )
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb
Сообщение отредактировал Haoose - Понедельник, 15.05.17, 15:09 |
| |
| |
|
|
Admin
|
Дата: Понедельник, 15.05.17, 15:24 | Сообщение # 60 |
| Летописец -AsF-
|
Haoose,
Рахмет, братишка 
Активация игр с защитой Denuvo|Windows Store
Добавить в Skype|Отправить личное сообщение |
| |
| |
|
|
SEYTER
|
Дата: Понедельник, 15.05.17, 15:35 | Сообщение # 61 |
 Как Достоевский
|
глянул кошельки, чето мало заработали они (~30 битков), это всего ~3 ляма рублей, учитывая сколько компов, стран (и важных организаций) заражено. оно того стоило вообще 
i7-6700K | Gigabyte GTX 1080 + PS4 Pro
Профиль Steam| Skype |
| |
| |
|
|
Haoose
|
Дата: Понедельник, 15.05.17, 15:41 | Сообщение # 62 |
| Летописец -AsF-
|
SEYTER, рабочая неделя же только началась. Посмотри что будет через пару дней ) Думаю платить будут больше, но не долго. Т.к. есть сведения что даже после оплаты ты фиг что получишь. Некоторые с пятницы ждут.
Admin, а тебе зачем? Хочешь пропатчить кошельки своими и распространять?
А так вот статьи по разбору функционала:
https://habrahabr.ru/company/pentestit/blog/328606/
https://habrahabr.ru/post/328548/
Там подробно рассказано что червь делает на компе, какие команды выполняет, как прописывается в автозагрузку и т.д.
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb
Сообщение отредактировал Haoose - Понедельник, 15.05.17, 15:53 |
| |
| |
|
|
SEYTER
|
Дата: Понедельник, 15.05.17, 16:00 | Сообщение # 63 |
| Как Достоевский
|
Haoose, мне кажется им самим уже ХочетсяПлакать
i7-6700K | Gigabyte GTX 1080 + PS4 Pro
Профиль Steam| Skype |
| |
| |
|
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 18:56 | Сообщение # 64 |
 Летописец -AsF-
|
Ну вот зачем вы Админу ссылку на вирус дали? Сейчас возьмёт, модифицирует, и будет наказывать всех, кто не покупает активации (шутка)
narmed, Хм, табло ЖД больше похоже на обычный фотошоп. А вот в офисах, да, выглядит правдоподобно. Причём обрати внимание, на всех стоит Win7, и наверняка не обновлённая. Так что сами виноваты =)
Intel Core i7-7700K | MSI GTX 1070 GAMING X 8G | G.Skill DDR4 16GB (2x8GB)
Сообщение отредактировал Cloud1983 - Понедельник, 15.05.17, 20:01 |
| |
| |
|
|
narmed
|
Дата: Понедельник, 15.05.17, 19:25 | Сообщение # 65 |
 Участвующий
|
Сообщение отредактировал narmed - Понедельник, 15.05.17, 19:28 |
| |
| |
|
|
TanatosX
|
Дата: Понедельник, 15.05.17, 19:49 | Сообщение # 66 |
 Летописец -AsF-
|
Картинка с офисами баян. |
| |
| |
|
|
Haoose
|
Дата: Понедельник, 15.05.17, 19:55 | Сообщение # 67 |
| Летописец -AsF-
|
TanatosX, да и первая тоже
Вон по ссылке http://antistarforce.com/forum/74-18654-935118-16-1494836063 куча фоток в твиттерах, в т.ч. и те что выше.
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb |
| |
| |
|
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:00 | Сообщение # 68 |
| Летописец -AsF-
|
Haoose, Ты лучше вот что скажи. Эти самые биткоины, их вообще никак не отследить что ли?
Intel Core i7-7700K | MSI GTX 1070 GAMING X 8G | G.Skill DDR4 16GB (2x8GB) |
| |
| |
|
|
Haoose
|
Дата: Понедельник, 15.05.17, 20:02 | Сообщение # 69 |
| Летописец -AsF-
|
Cloud1983, у меня их нет. Сейтера вон спроси, он их принимает за активации
Win7x64 SP1 / SSD / i7-3770 3.7Ghz / Kingston HyperX DDR3 2x8Gb / Gigabyte GTX 1070 8Gb |
| |
| |
|
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:11 | Сообщение # 70 |
| Летописец -AsF-
|
Цитата Haoose ( ) у меня их нет. Сейтера вон спроси, он их принимает за активации
Хм, просто странно. Если этот кошелёк реально принадлежит кому-то из авторов вируса, то почему его до сих пор не вычислили.
Intel Core i7-7700K | MSI GTX 1070 GAMING X 8G | G.Skill DDR4 16GB (2x8GB) |
| |
| |
[/spoiler]
