Похоже, массовая эпидемия заражением вируса Wana Crypt0r 2.0, надежно шифрующим файлы в расширение WNCRY. На данный момент все антивирусы бессильны обнаружить зловред. Никто не в силах определить начало заражения, причину. При активном заражении возможны частые "синие экраны", далее вирус окончательно зашифрует все возможные файлы и уведомит вас об этом, предложив заплатить до 600$ за расшифровку. Больше 100,000 всего лишь известных заражений за последние сутки От аналитиков из-за рубежа: Russia, Ukraine, and Taiwan leading. This is huge. В настоящее время известно, что за несколько часов Wana Decrypt0r заразил десятки тысяч машин. Так, по данным специалистов Avast, их количество уже превышает 57 000, а главными целями операторов малвари являются Россия, Украина и Тайвань. Wana Decrypt0r обновился и взял на вооружение эксплоит ETERNALBLUE, созданный специалистами АНБ для уязвимости в SMBv1. Стоит отметить, что еще в марте 2017 года компания Microsoft представила исправление для проблемы ETERNALBLUE в бюллетене MS17-010, однако, как это всегда и бывает, многие компании и пользователи не спешат устанавливать апдейты. По сути, сейчас мы наблюдаем последствия повсеместного халатного отношения к безопасности. Необходимо поставить критическое обновление MS17-010 для нужной Windows.
P.S. Уже известно о заражении некоторых крупных госкорпораций. В России заражены «Мегафон», Сбербанк и другие
Вирус пробирается в систему через порт 445 при отсутствии патча MS17-010. Тоесть если у вас есть патч MS17-010 или каким то образом закрыт порт 445, то ваше заражение почти нереально, если только вы не скачаете сами исполняемый фаил вируса.
Сперва важная информция которую мне удалось выяснить после детального исследования проблемы. Майнер - лишь симптом. Попадает на компьютер он через Backdoor DOUBLEPULSAR. Сам DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США. На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR. Майнер о котором пойдёт речь в этой теме использует именно этот бэкдор. Но через сам бэкдор на компьютере может появится всё что угодно, так что ждём дальнейшего развития событий. У меня вирус пережил формат жёсткого диска, удаление разделов жёсткого диска, перепрошивку БИОСа и роутера, формат флэшки с Виндой, попытку установить Винду с другого образа - всё без толку. До сих пор, 2 недели спустя, никто не нашёл источник появления этого бэкдора на компьютере. Поэтому если у вас появился описанный в теме майнер, то более чем вероятно появился и бэкдор через который этот майнер скачивается.
Решение на данный момент есть только одно: срочно обновить Винду до самых последних обновлений, и по возможности закрыть 445 порт. Microsoft писали, что в недавнем обновлении эксплоит ETERNALBLUE, использующийся этим бэкдором, убрали. Сам бэкдор стучится через 445 порт.
И обратите внимание - в последней версии скачиваемого майнера, его файлы помечены как системные. Так что чтобы их увидеть, не забудьте включить просмотр системных файлов в Свойствах Папки.
Вот здесь вы можете провериться инфицированы ли вы этим бэкдором: www.binaryedge.io/doublepulsar.html
Инфа от пользователя другого ресурса, который уже две недели отчаянно борется с заразой.
Haoose, пишут, что обновой этот бэкдор не убирается, просто через него перестает лезть всякая зараза, вроде декриптора и майнеров. Как выпилить бэкдор полностью - ещё неизвестно. Из обычных пользователей заражены только любители Windows 7 и противники обновлений.
Неплохой щитшторм вышел, главное еще не все сплойты поюзаны, интересно анб деньги брокерам зажало , что они на гитхаб выложили с видео инструкциями 0дей сплойты
Святая 10-ка то защищена или нет ?) Как оказывается просто бэкдоры у анб тырить
aiv, хз, у меня 10. Зашел на сайт от hom1e, пишет, что мой IP заражен
Обновление не выпилит бэкдор, просто через него ничего не пролезет. Возможно у тебя уже спит какая-нибудь зараза, и скоро проснется. У меня пишет, что не заражен. Стоит Win10, регулярно обновляюсь.
hom1e, и как теперь почистить то? А то мартовские обновления стояли, ничего не качал, на подозрительные сайты не заходил. Не могу понять как заразило то.
и как теперь почистить то? А то мартовские обновления стояли, ничего не качал, на подозрительные сайты не заходил. Не могу понять как заразило то.
А с чего ты решил что твой ПК заражён? Возможно твой ip серый, и заражён кто-то другой с таким же ip. Ну или можно сделать как говорит Haoose, просто закрыть порт вручную, и всё.
belak, истории заражения самые разные. И всякие порнохабы тут вообще не при чем. Вирус может залезть к тебе даже если ты просто подключен к сети и давно не обновлял винду. Вот так. У паренька даже в образе винды (!) сидел этот бэкдор. Так что это не просто надоедливый майнер из репака, а реальная бяка.
Знакомый сначала тоже панику развёл, что мол заражён и т.д. Поменял ip, проверил порты (445 закрыт), и всё, теперь пишет что здоров =)
ЦитатаIshamael ()
Я свой реальный адрес вбил, у меня пишел, что приватный IP не прочекать
Дело не в том, реальный или не реальный, а просто поменять на другой и проверить. Возможно с компьютером всё в порядке, а люди только зря панику разводят =)
