|
Новый вирус Wana Crypt0r 2.0
|
|
|
belak
|
Дата: Суббота, 13.05.17, 17:46 | Сообщение # 36 |
|
Цитата hom1e (  ) истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так.
У паренька даже в образе винды (!) сидел этот бэкдор.
Так что это не просто надоедливый майнер из репака, а реальная бяка.
Да,ясно,но выше парень барыжыт и подхватил вроде это Spartak276.Вот и стремно простому смертному.
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 18:30 | Сообщение # 37 |
|
Haoose, Если поставить,активаха на винде слетит?
|
| |
| |
|
Haoose
|
Дата: Суббота, 13.05.17, 18:52 | Сообщение # 38 |
|
Цитата Saylar23 ( ) активаха на винде слетит?
Активация винды? С чего бы ей слетать? Нет. А вот игры с Denuvo придется активировать заново.
|
| |
| |
|
GANGUBASS
|
Дата: Суббота, 13.05.17, 19:02 | Сообщение # 39 |
|
[spoiler=Даже провайдер обеспокоен)] [/spoiler]
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:27 | Сообщение # 40 |
|
Haoose, Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
|
| |
| |
|
apheX
|
Дата: Суббота, 13.05.17, 19:35 | Сообщение # 41 |
|
У меня после установки KB4012212 было "STOP: c0000145 {Application Error} The application was unable to start correctly", винда, соответственно, не грузилась. Пришлось удалять пакет из командной строки. Проблема, вероятно, с активацией винды. Качал давно, возможно, с новыми версиями (активатора или другого метода активации) такого нет. При этом SMBv1 у меня вообще нет, видимо вырезали из образа винды который я когда-то качал. Порт, судя по всему, тоже закрыт. Думаю пронесёт.
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:37 | Сообщение # 42 |
|
apheX, Не подскажешь весь этот процесс с удалением из командйно строки?
|
| |
| |
|
apheX
|
Дата: Суббота, 13.05.17, 19:43 | Сообщение # 43 |
|
Цитата Saylar23 ( ) apheX, Не подскажешь весь этот процесс с удалением из командйно строки?
Ну так банально вбиваем в гугл "STOP: c0000145" и смотрим любой понравившийся гайд. Если, конечно, ошибка такая же.
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:46 | Сообщение # 44 |
|
apheX, Я так понимаю можно заюзать MSDaRT?
|
| |
| |
|
Uchenik1984
|
Дата: Суббота, 13.05.17, 19:51 | Сообщение # 45 |
|
Цитата Saylar23 ( ) Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
Цитата Alekcan ( ) Откат или переустановка с последующей нормальной активацией должно помочь
У меня похожая трабла была год назад, но без активаторов... (сидел на инсайд превью). Постоянный перегруз после крупной обновы. Решил сносом винды, на чистую обновился и норм всё прошло.
|
| |
| |
|
apheX
|
Дата: Суббота, 13.05.17, 19:56 | Сообщение # 46 |
|
Цитата Saylar23 ( ) apheX, Я так понимаю можно заюзать MSDaRT?
Никаким софтом я не пользовался, стандартные средства винды. Конкретно по этому гайду.
|
| |
| |
|
Atmosphere
|
Дата: Суббота, 13.05.17, 19:57 | Сообщение # 47 |
|
А как в ручную закрыть этот порт?
И как посмотреть самому в скрытых файлах, есть зараза или нет!
|
| |
| |
|
hom1e
|
Дата: Суббота, 13.05.17, 20:09 | Сообщение # 48 |
|
Atmosphere, если нет никаких странностей в работе компьютера, то в файлах нет смысла что-то искать. Это если майнер пролезет - начнет грузить процессор, тогда уже надо отлавливать и удалять исполняемый файл.
Добавьте в шапку, что если винда регулярно обновляется, то нечего людям переживать. Этот вирус встряхнул уже весь интернет.
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 20:17 | Сообщение # 49 |
|
apheX, Спасибо все сделал,через консольку.И на последок вопрос,сейчас после восстановления,никаких манипуляций не нужно делать?Типо проверять системные файлы и тд?То есть простыми словами,данный откат никак не повлиял на систему критически?
|
| |
| |
|
apheX
|
Дата: Суббота, 13.05.17, 20:30 | Сообщение # 50 |
|
Saylar23, я ничего не делал больше, по сути - это же просто удаление ранее установленного пакета обновлений, не думаю, что это может как-то навредить системе. Ну, не считая того, что сама винда остаётся уязвимой для вируса без этого обновления (при условии открытых портов и тд).
|
| |
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 20:33 | Сообщение # 51 |
|
apheX, окей,все понял,спасибо ещё раз
|
| |
| |
|
MOLODO_RUS
|
Дата: Суббота, 13.05.17, 23:57 | Сообщение # 52 |
|
Чутка информации.
1.
Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его.
Доступно только для пользователей
2. по поводу Сбера в гр ВК ответили
3. сам чудом не подхватил по какой причине хз возможно настроенный файвол от Каспера или то что сижу за роутером, а не напрямую.
4. форум касперского https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=92
|
| |
| |
|
roadrunner
|
Дата: Воскресенье, 14.05.17, 00:30 | Сообщение # 53 |
|
http://netler.ru/ikt/445.htm
|
| |
| |
|
AndyLarkin
|
Дата: Воскресенье, 14.05.17, 21:59 | Сообщение # 54 |
|
Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена
https://vc.ru/n/wannacry-new?from=rss
|
| |
| |
|
Admin
|
Дата: Понедельник, 15.05.17, 08:56 | Сообщение # 55 |
|
Парни, скиньте ссылку на скачивание вируса. Хотелось бы поковыряться в его коде, посмотреть что к чему.
|
| |
| |
|
Haoose
|
Дата: Понедельник, 15.05.17, 11:14 | Сообщение # 56 |
|
Admin, Доступно только для пользователей
|
| |
| |
|
Atmosphere
|
Дата: Понедельник, 15.05.17, 14:58 | Сообщение # 57 |
|
все таки не понимаю. как он может сам залезть и начать работу. ведь есть контроль учетных записей который не даст ему запустится. а без администратора он ничего делать не может. ничего не может.
на обычный комп чтоб он попал это надо так затупить что его сначало скачать а потом запустить. по локалке то еще ладно. поверю. но так как пострадали простые ПС. не знаю. такого не бывает поидее.
|
| |
| |
|
Haoose
|
Дата: Понедельник, 15.05.17, 15:08 | Сообщение # 58 |
|
Atmosphere, все просто. Стучится к тебе по порту SMB, юзает эксплойт который позволяет выполнить код. Код выполняется с правами драйвера, т.е. админа. Тебе самому ничего скачивать и запускать не нужно. Все ж давно описано, почитай )
|
| |
| |
|
Admin
|
Дата: Понедельник, 15.05.17, 15:24 | Сообщение # 59 |
|
Haoose,
Рахмет, братишка 
|
| |
| |
|
SEYTER
|
Дата: Понедельник, 15.05.17, 15:35 | Сообщение # 60 |
|
глянул кошельки, чето мало заработали они (~30 битков), это всего ~3 ляма рублей, учитывая сколько компов, стран (и важных организаций) заражено. оно того стоило вообще 
|
| |
| |
|
Haoose
|
Дата: Понедельник, 15.05.17, 15:41 | Сообщение # 61 |
|
SEYTER, рабочая неделя же только началась. Посмотри что будет через пару дней ) Думаю платить будут больше, но не долго. Т.к. есть сведения что даже после оплаты ты фиг что получишь. Некоторые с пятницы ждут.
Admin, а тебе зачем? Хочешь пропатчить кошельки своими и распространять?
А так вот статьи по разбору функционала:
https://habrahabr.ru/company/pentestit/blog/328606/
https://habrahabr.ru/post/328548/
Там подробно рассказано что червь делает на компе, какие команды выполняет, как прописывается в автозагрузку и т.д.
|
| |
| |
|
SEYTER
|
Дата: Понедельник, 15.05.17, 16:00 | Сообщение # 62 |
|
Haoose, мне кажется им самим уже ХочетсяПлакать
|
| |
| |
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 18:56 | Сообщение # 63 |
|
Ну вот зачем вы Админу ссылку на вирус дали? Сейчас возьмёт, модифицирует, и будет наказывать всех, кто не покупает активации (шутка)
narmed, Хм, табло ЖД больше похоже на обычный фотошоп. А вот в офисах, да, выглядит правдоподобно. Причём обрати внимание, на всех стоит Win7, и наверняка не обновлённая. Так что сами виноваты =)
|
| |
| |
|
narmed
|
Дата: Понедельник, 15.05.17, 19:25 | Сообщение # 64 |
|
|
| |
| |
|
TanatosX
|
Дата: Понедельник, 15.05.17, 19:49 | Сообщение # 65 |
|
Картинка с офисами баян.
|
| |
| |
|
Haoose
|
Дата: Понедельник, 15.05.17, 19:55 | Сообщение # 66 |
|
TanatosX, да и первая тоже
Вон по ссылке http://antistarforce.com/forum/74-18654-935118-16-1494836063 куча фоток в твиттерах, в т.ч. и те что выше.
|
| |
| |
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:00 | Сообщение # 67 |
|
Haoose, Ты лучше вот что скажи. Эти самые биткоины, их вообще никак не отследить что ли?
|
| |
| |
|
Haoose
|
Дата: Понедельник, 15.05.17, 20:02 | Сообщение # 68 |
|
Cloud1983, у меня их нет. Сейтера вон спроси, он их принимает за активации
|
| |
| |
|
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:11 | Сообщение # 69 |
|
Цитата Haoose ( ) у меня их нет. Сейтера вон спроси, он их принимает за активации
Хм, просто странно. Если этот кошелёк реально принадлежит кому-то из авторов вируса, то почему его до сих пор не вычислили.
|
| |
| |
|
Ripper174
|
Дата: Понедельник, 15.05.17, 20:22 | Сообщение # 70 |
|
Цитата Cloud1983 ( ) Хм, просто странно. Если этот кошелёк реально принадлежит кому-то из авторов вируса, то почему его до сих пор не вычислили.
Там вообще непонятно как они снимать будут,читал в новости,что спецслужбы уже мониторят кошельки и ждут списываний 
С помощью киви и сим-карт из перехода и то легче списать наверное,через всякую технику и т.д на левые адреса)
|
| |
| |
