Новый вирус Wana Crypt0r 2.0
|
|
belak
|
Дата: Суббота, 13.05.17, 17:46 | Сообщение # 36 |
Молчун
|
Цитата hom1e (  ) истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так. У паренька даже в образе винды (!) сидел этот бэкдор. Так что это не просто надоедливый майнер из репака, а реальная бяка. Да,ясно,но выше парень барыжыт и подхватил вроде это Spartak276.Вот и стремно простому смертному. |
|
| |
Saylar23
|
Дата: Суббота, 13.05.17, 18:30 | Сообщение # 37 |
Молчун
|
Haoose, Если поставить,активаха на винде слетит? |
|
| |
Haoose
|
Дата: Суббота, 13.05.17, 18:52 | Сообщение # 38 |
Летописец -AsF-
|
Цитата Saylar23 (  ) активаха на винде слетит? Активация винды? С чего бы ей слетать? Нет. А вот игры с Denuvo придется активировать заново.
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb |
|
| |
|
Saylar23
|
Дата: Суббота, 13.05.17, 19:27 | Сообщение # 40 |
Молчун
|
Haoose, Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
Сообщение отредактировал Saylar23 - Суббота, 13.05.17, 19:27 |
|
| |
Alekcan
|
Дата: Суббота, 13.05.17, 19:35 | Сообщение # 41 |
Завсегдатай
|
Saylar23, проблема в кривом активаторе винды. Откат или переустановка с последующей нормальной активацией должно помочь. Проблема, насколько я слышал, только на win7, как вариант перейти уже, наконец, на win 10
AMD Ryzen 7 5800X, 16Gb DDR4, EVGA GeForce RTX 2080 |
|
| |
apheX
|
Дата: Суббота, 13.05.17, 19:35 | Сообщение # 42 |
Завсегдатай
|
У меня после установки KB4012212 было "STOP: c0000145 {Application Error} The application was unable to start correctly", винда, соответственно, не грузилась. Пришлось удалять пакет из командной строки. Проблема, вероятно, с активацией винды. Качал давно, возможно, с новыми версиями (активатора или другого метода активации) такого нет. При этом SMBv1 у меня вообще нет, видимо вырезали из образа винды который я когда-то качал. Порт, судя по всему, тоже закрыт. Думаю пронесёт. |
|
| |
Saylar23
|
Дата: Суббота, 13.05.17, 19:37 | Сообщение # 43 |
Молчун
|
apheX, Не подскажешь весь этот процесс с удалением из командйно строки? |
|
| |
apheX
|
Дата: Суббота, 13.05.17, 19:43 | Сообщение # 44 |
Завсегдатай
|
Цитата Saylar23 (  ) apheX, Не подскажешь весь этот процесс с удалением из командйно строки? Ну так банально вбиваем в гугл "STOP: c0000145" и смотрим любой понравившийся гайд. Если, конечно, ошибка такая же. |
|
| |
Saylar23
|
Дата: Суббота, 13.05.17, 19:46 | Сообщение # 45 |
Молчун
|
apheX, Я так понимаю можно заюзать MSDaRT? |
|
| |
Uchenik1984
|
Дата: Суббота, 13.05.17, 19:51 | Сообщение # 46 |
A fan of their children!
|
Цитата Saylar23 (  ) Установил обнову,теперь комп просто не запускается,постоянно рестартует,помогайте кто чем может)
Цитата Alekcan (  ) Откат или переустановка с последующей нормальной активацией должно помочь У меня похожая трабла была год назад, но без активаторов... (сидел на инсайд превью). Постоянный перегруз после крупной обновы. Решил сносом винды, на чистую обновился и норм всё прошло.
LG 34WL500-B _ _ _ _ _ _ _ _ _ _ _ MSI GeForce GTX 1080 Armor AMD Ryzen 7 2700X+PCCooler GI-X6B Gigabyte B450M DS3H (rev. 1.0) HyperX Fury 4x8GB DDR4 PC4-25600 HX432C16FB3K2/16 SSD Crucial BX500 1TB SSD Crucial BX500-480GB Toshiba DT01ACA-3TB FSP FSP700-80GLN _ _ _ _ _ _ _ _ _ _ Windows 11 Pro |
|
| |
apheX
|
Дата: Суббота, 13.05.17, 19:56 | Сообщение # 47 |
Завсегдатай
|
Цитата Saylar23 (  ) apheX, Я так понимаю можно заюзать MSDaRT? Никаким софтом я не пользовался, стандартные средства винды. Конкретно по этому гайду. |
|
| |
Atmosphere
|
Дата: Суббота, 13.05.17, 19:57 | Сообщение # 48 |
Заинтересовавшийся
|
А как в ручную закрыть этот порт? И как посмотреть самому в скрытых файлах, есть зараза или нет!
Сообщение отредактировал Atmosphere - Суббота, 13.05.17, 20:02 |
|
| |
hom1e
|
Дата: Суббота, 13.05.17, 20:09 | Сообщение # 49 |
Участвующий
|
Atmosphere, если нет никаких странностей в работе компьютера, то в файлах нет смысла что-то искать. Это если майнер пролезет - начнет грузить процессор, тогда уже надо отлавливать и удалять исполняемый файл.
Добавьте в шапку, что если винда регулярно обновляется, то нечего людям переживать. Этот вирус встряхнул уже весь интернет. |
|
| |
Saylar23
|
Дата: Суббота, 13.05.17, 20:17 | Сообщение # 50 |
Молчун
|
apheX, Спасибо все сделал,через консольку.И на последок вопрос,сейчас после восстановления,никаких манипуляций не нужно делать?Типо проверять системные файлы и тд?То есть простыми словами,данный откат никак не повлиял на систему критически? |
|
| |
apheX
|
Дата: Суббота, 13.05.17, 20:30 | Сообщение # 51 |
Завсегдатай
|
Saylar23, я ничего не делал больше, по сути - это же просто удаление ранее установленного пакета обновлений, не думаю, что это может как-то навредить системе. Ну, не считая того, что сама винда остаётся уязвимой для вируса без этого обновления (при условии открытых портов и тд). |
|
| |
Saylar23
|
Дата: Суббота, 13.05.17, 20:33 | Сообщение # 52 |
Молчун
|
apheX, окей,все понял,спасибо ещё раз |
|
| |
MOLODO_RUS
|
Дата: Суббота, 13.05.17, 23:57 | Сообщение # 53 |
Отписавшийся
|
Чутка информации.
1. Как это работает? Скрипт сканнера запускается на Linux сервере Вбивается определенный IP диапазон или целая страна Скрипт сканирует диапазон на открытый 445 порт В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера эксплойт закачивает файл и запускает его. Доступно только для пользователей
2. по поводу Сбера в гр ВК ответили
3. сам чудом не подхватил по какой причине хз возможно настроенный файвол от Каспера или то что сижу за роутером, а не напрямую. 4. форум касперского https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=92
Win10x64 / SSD 1TB XPG S11 /Ryzen 3600 @4.2Ghz / DDR4 16Gb@3600 / GeForce RTX 3070Ti
Сообщение отредактировал MOLODO_RUS - Воскресенье, 14.05.17, 00:29 |
|
| |
roadrunner
|
Дата: Воскресенье, 14.05.17, 00:30 | Сообщение # 54 |
Летописец -AsF-
|
http://netler.ru/ikt/445.htm
Dell OptiPlex 760 Intel Pentium E5500, 2800 MHz DDR2 3 GB NVIDIA GeForce 210 (1 ГБ) Sata II 1004.6 GB Windows 7 x64 |
|
| |
AndyLarkin
|
Дата: Воскресенье, 14.05.17, 21:59 | Сообщение # 55 |
Участвующий
|
Создатели вируса WannaCry обошли временную защиту в виде бессмысленного домена https://vc.ru/n/wannacry-new?from=rss
Работает поставь ++++ |
|
| |
Admin
|
Дата: Понедельник, 15.05.17, 08:56 | Сообщение # 56 |
Chief
|
Парни, скиньте ссылку на скачивание вируса. Хотелось бы поковыряться в его коде, посмотреть что к чему.
Активация игр с защитой Denuvo|Microsoft Store Skype: offlineactivizator|Discord: offlineactivizator#6921|Отправить личное сообщение |
|
| |
Haoose
|
Дата: Понедельник, 15.05.17, 11:14 | Сообщение # 57 |
Летописец -AsF-
|
Admin, Доступно только для пользователей
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb |
|
| |
Atmosphere
|
Дата: Понедельник, 15.05.17, 14:58 | Сообщение # 58 |
Заинтересовавшийся
|
все таки не понимаю. как он может сам залезть и начать работу. ведь есть контроль учетных записей который не даст ему запустится. а без администратора он ничего делать не может. ничего не может. на обычный комп чтоб он попал это надо так затупить что его сначало скачать а потом запустить. по локалке то еще ладно. поверю. но так как пострадали простые ПС. не знаю. такого не бывает поидее. |
|
| |
Haoose
|
Дата: Понедельник, 15.05.17, 15:08 | Сообщение # 59 |
Летописец -AsF-
|
Atmosphere, все просто. Стучится к тебе по порту SMB, юзает эксплойт который позволяет выполнить код. Код выполняется с правами драйвера, т.е. админа. Тебе самому ничего скачивать и запускать не нужно. Все ж давно описано, почитай )
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb
Сообщение отредактировал Haoose - Понедельник, 15.05.17, 15:09 |
|
| |
Admin
|
Дата: Понедельник, 15.05.17, 15:24 | Сообщение # 60 |
Chief
|
Haoose,
Рахмет, братишка
Активация игр с защитой Denuvo|Microsoft Store Skype: offlineactivizator|Discord: offlineactivizator#6921|Отправить личное сообщение |
|
| |
SEYTER
|
Дата: Понедельник, 15.05.17, 15:35 | Сообщение # 61 |
Как Достоевский
|
глянул кошельки, чето мало заработали они (~30 битков), это всего ~3 ляма рублей, учитывая сколько компов, стран (и важных организаций) заражено. оно того стоило вообще |
|
| |
Haoose
|
Дата: Понедельник, 15.05.17, 15:41 | Сообщение # 62 |
Летописец -AsF-
|
SEYTER, рабочая неделя же только началась. Посмотри что будет через пару дней ) Думаю платить будут больше, но не долго. Т.к. есть сведения что даже после оплаты ты фиг что получишь. Некоторые с пятницы ждут.
Admin, а тебе зачем? Хочешь пропатчить кошельки своими и распространять?  А так вот статьи по разбору функционала: https://habrahabr.ru/company/pentestit/blog/328606/ https://habrahabr.ru/post/328548/ Там подробно рассказано что червь делает на компе, какие команды выполняет, как прописывается в автозагрузку и т.д.
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb
Сообщение отредактировал Haoose - Понедельник, 15.05.17, 15:53 |
|
| |
SEYTER
|
Дата: Понедельник, 15.05.17, 16:00 | Сообщение # 63 |
Как Достоевский
|
Haoose, мне кажется им самим уже ХочетсяПлакать |
|
| |
Cloud1983
|
Дата: Понедельник, 15.05.17, 18:56 | Сообщение # 64 |
Летописец -AsF-
|
Ну вот зачем вы Админу ссылку на вирус дали? Сейчас возьмёт, модифицирует, и будет наказывать всех, кто не покупает активации (шутка)
narmed, Хм, табло ЖД больше похоже на обычный фотошоп. А вот в офисах, да, выглядит правдоподобно. Причём обрати внимание, на всех стоит Win7, и наверняка не обновлённая. Так что сами виноваты =)
MSI MPG Z490 Gaming Plus Intel Core i7-10700K (3.80GHz) Palit GeForce RTX 3070 GamingPro G.Skill Trident Z 16GB (DDR4, 2x8GB, 3200MHz) SSD 250GB, SSD 500GB, HDD 1TB
Сообщение отредактировал Cloud1983 - Понедельник, 15.05.17, 20:01 |
|
| |
narmed
|
Дата: Понедельник, 15.05.17, 19:25 | Сообщение # 65 |
Участвующий
|
Сообщение отредактировал narmed - Понедельник, 15.05.17, 19:28 |
|
| |
TanatosX
|
Дата: Понедельник, 15.05.17, 19:49 | Сообщение # 66 |
Летописец -AsF-
|
Картинка с офисами баян. |
|
| |
Haoose
|
Дата: Понедельник, 15.05.17, 19:55 | Сообщение # 67 |
Летописец -AsF-
|
TanatosX, да и первая тоже Вон по ссылке http://antistarforce.com/forum/74-18654-935118-16-1494836063 куча фоток в твиттерах, в т.ч. и те что выше.
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb |
|
| |
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:00 | Сообщение # 68 |
Летописец -AsF-
|
Haoose, Ты лучше вот что скажи. Эти самые биткоины, их вообще никак не отследить что ли?
MSI MPG Z490 Gaming Plus Intel Core i7-10700K (3.80GHz) Palit GeForce RTX 3070 GamingPro G.Skill Trident Z 16GB (DDR4, 2x8GB, 3200MHz) SSD 250GB, SSD 500GB, HDD 1TB |
|
| |
Haoose
|
Дата: Понедельник, 15.05.17, 20:02 | Сообщение # 69 |
Летописец -AsF-
|
Cloud1983, у меня их нет. Сейтера вон спроси, он их принимает за активации
Win7x64 SP1 / Win10x64 / SSD / i7-3770 3.9Ghz / Kingston HyperX DDR3 3x8Gb / Gigabyte GTX 1070 8Gb |
|
| |
Cloud1983
|
Дата: Понедельник, 15.05.17, 20:11 | Сообщение # 70 |
Летописец -AsF-
|
Цитата Haoose (  ) у меня их нет. Сейтера вон спроси, он их принимает за активации Хм, просто странно. Если этот кошелёк реально принадлежит кому-то из авторов вируса, то почему его до сих пор не вычислили.
MSI MPG Z490 Gaming Plus Intel Core i7-10700K (3.80GHz) Palit GeForce RTX 3070 GamingPro G.Skill Trident Z 16GB (DDR4, 2x8GB, 3200MHz) SSD 250GB, SSD 500GB, HDD 1TB |
|
| |