Новый вирус Wana Crypt0r 2.0 - Страница 2

Страница 2 из 3
«
1
2
3
»

Форумы » Hard & Soft » Зона Интернет » Новый вирус Wana Crypt0r 2.0

Новый вирус Wana Crypt0r 2.0

belak

Дата: Суббота, 13.05.17, 17:46 | Сообщение # 36

Цитата hom1e (

)

истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так.
У паренька даже в образе винды (!) сидел этот бэкдор.
Так что это не просто надоедливый майнер из репака, а реальная бяка.

Да,ясно,но выше парень барыжыт и подхватил вроде это Spartak276.Вот и стремно простому смертному.

Saylar23

Дата: Суббота, 13.05.17, 18:30 | Сообщение # 37

Haoose, Если поставить,активаха на винде слетит?

Haoose

Дата: Суббота, 13.05.17, 18:52 | Сообщение # 38

Цитата Saylar23 (

)

активаха на винде слетит?

Активация винды? С чего бы ей слетать? Нет. А вот игры с Denuvo придется активировать заново.

GANGUBASS

Дата: Суббота, 13.05.17, 19:02 | Сообщение # 39

[spoiler=Даже провайдер обеспокоен)]

[/spoiler]

Saylar23

Дата: Суббота, 13.05.17, 19:27 | Сообщение # 40

Haoose, Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)

Alekcan

Дата: Суббота, 13.05.17, 19:35 | Сообщение # 41

Saylar23, проблема в кривом активаторе винды. Откат или переустановка с последующей нормальной активацией должно помочь. Проблема, насколько я слышал, только на win7, как вариант перейти уже, наконец, на win 10

apheX

Дата: Суббота, 13.05.17, 19:35 | Сообщение # 42

У меня после установки KB4012212 было "STOP: c0000145 {Application Error} The application was unable to start correctly", винда, соответственно, не грузилась. Пришлось удалять пакет из командной строки. Проблема, вероятно, с активацией винды. Качал давно, возможно, с новыми версиями (активатора или другого метода активации) такого нет. При этом SMBv1 у меня вообще нет, видимо вырезали из образа винды который я когда-то качал. Порт, судя по всему, тоже закрыт. Думаю пронесёт.

Saylar23

Дата: Суббота, 13.05.17, 19:37 | Сообщение # 43

apheX, Не подскажешь весь этот процесс с удалением из командйно строки?

apheX

Дата: Суббота, 13.05.17, 19:43 | Сообщение # 44

Цитата Saylar23 (

)

apheX, Не подскажешь весь этот процесс с удалением из командйно строки?

Ну так банально вбиваем в гугл "STOP: c0000145" и смотрим любой понравившийся гайд. Если, конечно, ошибка такая же.

Saylar23

Дата: Суббота, 13.05.17, 19:46 | Сообщение # 45

apheX, Я так понимаю можно заюзать MSDaRT?

Uchenik1984

Дата: Суббота, 13.05.17, 19:51 | Сообщение # 46

Цитата Saylar23 (

)

Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)

Цитата Alekcan (

)

Откат или переустановка с последующей нормальной активацией должно помочь

У меня похожая трабла была год назад, но без активаторов... (сидел на инсайд превью). Постоянный перегруз после крупной обновы. Решил сносом винды, на чистую обновился и норм всё прошло.

apheX

Дата: Суббота, 13.05.17, 19:56 | Сообщение # 47

Цитата Saylar23 (

)

apheX, Я так понимаю можно заюзать MSDaRT?

Никаким софтом я не пользовался, стандартные средства винды. Конкретно по этому гайду.

Atmosphere

Дата: Суббота, 13.05.17, 19:57 | Сообщение # 48

А как в ручную закрыть этот порт?
И как посмотреть самому в скрытых файлах, есть зараза или нет!

hom1e

Дата: Суббота, 13.05.17, 20:09 | Сообщение # 49

Atmosphere, если нет никаких странностей в работе компьютера, то в файлах нет смысла что-то искать. Это если майнер пролезет - начнет грузить процессор, тогда уже надо отлавливать и удалять исполняемый файл.

Добавьте в шапку, что если винда регулярно обновляется, то нечего людям переживать. Этот вирус встряхнул уже весь интернет.

Saylar23

Дата: Суббота, 13.05.17, 20:17 | Сообщение # 50

apheX, Спасибо все сделал,через консольку.И на последок вопрос,сейчас после восстановления,никаких манипуляций не нужно делать?Типо проверять системные файлы и тд?То есть простыми словами,данный откат никак не повлиял на систему критически?

apheX

Дата: Суббота, 13.05.17, 20:30 | Сообщение # 51

Saylar23, я ничего не делал больше, по сути - это же просто удаление ранее установленного пакета обновлений, не думаю, что это может как-то навредить системе. Ну, не считая того, что сама винда остаётся уязвимой для вируса без этого обновления (при условии открытых портов и тд).

Saylar23

Дата: Суббота, 13.05.17, 20:33 | Сообщение # 52

apheX, окей,все понял,спасибо ещё раз

MOLODO_RUS

Дата: Суббота, 13.05.17, 23:57 | Сообщение # 53

Чутка информации.

1.
Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его.
Доступно только для пользователей

2. по поводу Сбера в гр ВК ответили

3. сам чудом не подхватил по какой причине хз возможно настроенный файвол от Каспера или то что сижу за роутером, а не напрямую.
4. форум касперского https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=92

Прикрепления: 2424925.jpg (26.5 Kb)

roadrunner

Дата: Воскресенье, 14.05.17, 00:30 | Сообщение # 54

http://netler.ru/ikt/445.htm

AndyLarkin

Дата: Воскресенье, 14.05.17, 21:59 | Сообщение # 55

Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена
https://vc.ru/n/wannacry-new?from=rss

Admin

Дата: Понедельник, 15.05.17, 08:56 | Сообщение # 56

Парни, скиньте ссылку на скачивание вируса. Хотелось бы поковыряться в его коде, посмотреть что к чему.

Haoose

Дата: Понедельник, 15.05.17, 11:14 | Сообщение # 57

Admin, Доступно только для пользователей

Atmosphere

Дата: Понедельник, 15.05.17, 14:58 | Сообщение # 58

все таки не понимаю. как он может сам залезть и начать работу. ведь есть контроль учетных записей который не даст ему запустится. а без администратора он ничего делать не может. ничего не может.
на обычный комп чтоб он попал это надо так затупить что его сначало скачать а потом запустить. по локалке то еще ладно. поверю. но так как пострадали простые ПС. не знаю. такого не бывает поидее.

Haoose

Дата: Понедельник, 15.05.17, 15:08 | Сообщение # 59

Atmosphere, все просто. Стучится к тебе по порту SMB, юзает эксплойт который позволяет выполнить код. Код выполняется с правами драйвера, т.е. админа. Тебе самому ничего скачивать и запускать не нужно. Все ж давно описано, почитай )

Admin

Дата: Понедельник, 15.05.17, 15:24 | Сообщение # 60

Haoose,

Рахмет, братишка beer

SEYTER

Дата: Понедельник, 15.05.17, 15:35 | Сообщение # 61

глянул кошельки, чето мало заработали они (~30 битков), это всего ~3 ляма рублей, учитывая сколько компов, стран (и важных организаций) заражено. оно того стоило вообще biggrin

Haoose

Дата: Понедельник, 15.05.17, 15:41 | Сообщение # 62

SEYTER, рабочая неделя же только началась. Посмотри что будет через пару дней ) Думаю платить будут больше, но не долго. Т.к. есть сведения что даже после оплаты ты фиг что получишь. Некоторые с пятницы ждут.

Admin, а тебе зачем? Хочешь пропатчить кошельки своими и распространять? biggrin

А так вот статьи по разбору функционала:
https://habrahabr.ru/company/pentestit/blog/328606/
https://habrahabr.ru/post/328548/
Там подробно рассказано что червь делает на компе, какие команды выполняет, как прописывается в автозагрузку и т.д.

SEYTER

Дата: Понедельник, 15.05.17, 16:00 | Сообщение # 63

Haoose, мне кажется им самим уже ХочетсяПлакать biggrin

Cloud1983

Дата: Понедельник, 15.05.17, 18:56 | Сообщение # 64

Ну вот зачем вы Админу ссылку на вирус дали? Сейчас возьмёт, модифицирует, и будет наказывать всех, кто не покупает активации (шутка) biggrin

narmed, Хм, табло ЖД больше похоже на обычный фотошоп. А вот в офисах, да, выглядит правдоподобно. Причём обрати внимание, на всех стоит Win7, и наверняка не обновлённая. Так что сами виноваты =)