Майнеры в опасности! (Вирус Wana decrypt0r 2.0)

[Fill]

 

 

Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно

не бьется по этому номеру

http://www.catalog.update.microsoft.com/Search.aspx?q=4013389

[vernichter]

Ссылка на патч windows7, офлайн установшик без тонны кумулятивных обновлений.

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Маленькое уточнение. Этот патч нельзя устанавливать на "ломаную" винду. Иначе придется изучать параметры утилиты DISM  :D

[Rastishka]

Маленькое уточнение. Этот патч нельзя устанавливать на "ломаную" винду. Иначе придется изучать параметры утилиты DISM  :D

Поставил бывшей по телефону патч (у нее 7-ка без апдейтов с 2013г) - теперь комп не грузится. Завтра еду за системником <_<

[Lexis77]

 

 

Этот патч нельзя устанавливать на "ломаную" винду.

Маленькое уточнение. Отлично встал и даже закурить не попросил.

[vernichter]

, Загрузочный диск с виндой захвати. 

DISM /Image:C:\ /Get-Package  - выдаст список всех установленных обновлений, нужное найдешь по дате установки, там будет KB4012212 в названии

DISM /Image:C:\ /Remove-Package /PackageName:имя_файла_обновления  - снос обновления.

[Valeriy Sg]

Заходит крипт, в основном через RDP порт, как правило через 3389, антивирь от него не спасает. Закрывайте порты, либо пароли усложняйте, и будет вам счастье.

[Rastishka]

, Загрузочный диск с виндой захвати. 

DISM /Image:C:\ /Get-Package  - выдаст список всех установленных обновлений, нужное найдешь по дате установки, там будет KB4012212 в названии

DISM /Image:C:\ /Remove-Package /PackageName:имя_файла_обновления  - снос обновления.

ОК, попробую по всякому.

 

Прочел, что проблему накатывания патча можно решить установкой SP1. Эта винда с 2011г работала без апдейтов и "ни единого разрыва".

 

Все апдейты для 7-ки одним файлом для оффлайн установки: http://forum.oszone.net/post-2119929.html

[vernichter]

, Проблема с накатом патча (не только этого) связана с пиратским активатором (они бывают разные). Сервис пак не поможет. Надо делать откат обновления.

Изменено 12 мая 2017, 23:31 пользователем vernichter

[Rastishka]

, Проблема с накатом патча (не только этого) связана с пиратским активатором (они бывают разные). Сервис пак не поможет. Надо делать откат обновления.

Возможно, т.к. этот системник я на неделе чинил (ребут при запуске). Сделал откат системы, там было установлено как раз какое-то обновление.

[na3uk]

За сутки вымогателям уже заплатили примерно 9 битков, и это, судя по всему, еще не конец. Несмотря на то, что в МВД опровергли факт заражения, а недоступность многих служб в сети объяснили "техническими работами", есть смутное подозрение что технические работы характеризуются повышением компетентности сотрудников в сфере криптовалютных транзакций.

[Enzo]

либо пароли усложняйте

Как это поможет в данной ситуации?

[verminsp]

Взято с https://geektimes.ru/post/289115/

 

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

[Karpet]

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn Это третий кошелёк. Похоже их много. За два дня на полтора миллиона р. навымогали.
 

[Djs0m]

Похоже их много.

на предыдущие шифровальщики ценник на админку  начинался от 20к зелени.

Так номер кошелька поменять - минутное дело.

Изменено 13 мая 2017, 20:06 пользователем Djs0m

[Saggitarius5]

Внимание ! Выкладываю инструкцию для лечения этой заразы !

 

Способ 1. 

 

для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.

1. Скачайте патч MS17-010 для нужной Windows 

https://technet.microsoft.com/en-us/library...y/ms17-010.aspx

 

2. Отключитесь от интернета.

3. Откройте командную строку (cmd) от имени администратора.

3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

4. Вписываете эту команду в командную строку:

netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"

4.1 Нажимаете Enter => Должно показать OK.

5. Заходите в безопасный режим

5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"

6. Найдите и удалите папку вируса

6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.

7. Перезагрузите компьютер.

8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010

8.1 Во время установки подключитесь к интернету.

Вот и всё. У меня и моих друзей всё заработало.

Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry

Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.

 

 

Если лечение не помогло то есть Способ номер 2 !

 

1. Регистрируемся на бирже криптовалют

2. Покупаем биткоины (сейчас он стоит по 100 тыс. руб. за одну штуку);

3. Переводим на кошелек злоумышленника. Ждем расшифровки файлов ...!

[ISawa]

Шутка хорошая гуляет по сети в тему:

Скачал вирусов себе на линух.

 

Распаковал.

 

Поставил под root.

 

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

 

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

 

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

 

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

 

[akaRev]

Ну и как вишенка на торт, что в итоге имеем:

1. Доблестные "воины" из АНБ мифическим образом теряют куеву тучу инструментов для взлома ПК...

2. Группа чудных хацкеров со странным названием так же мифическим образом овладевает этими чудными инструментами

3. Эта же группа пытается продать эти инструменты АНБ за битки, но в итоге запросив нехилую сумму дружно были посланы

4. В итоге то ли обидившись на всех, толи ещё хз чё там - вываливают это барахло публике...

5. Некоторые товарищи, ознакомившись с этим барахлом сразу уведомляют, что возможна атака на дырявую мелкософтовскую поделку (об этой дыре правда уже трындят хз когда и все кому не лень...  нормальные люди хз когда уже закрыли эти дырки), даже сама мелкософт наконец-то соизволила выпустить заплатку.... Но у нас как известно самое стойкое и технически подкованное население, самые стойки банки и гос.органы :D

6. Спустя 2 месяца очень злые хацкеры опять таки с помощью злых инструментов АНБ устраивают чуть ли не самую масштабную атаку...

7. Все производители чудо антивирусов так же оказываются беспомощны перед "злобным" трояном - ну епть дыру о которой хз когда известно было они "нешмогли")))))))))))  И опять нерадивых пользователей пожурили, что надо обязательно пользоваться только платными версиями, ибо остальное негоже в борьбе со злющими троянцами, лезущими по 135 и 445 портам)))  только платные антивирусы с могучими файерволами могут героически закрывать дыры на этих портах... Сцуко)))))))))))

8. Выплату злобные хацкеры как водится запросили в битках, а для пущей анонимности воспользовались анонимным Tor (серьёзные ж пацаны, епть)

9. И вот уже раздаются со всех сторон вопли, что надо взять биток под колпак ибо не гоже, что все прибыля мимо "потных ручонок" банкстеров идут, похерить анонимность в сети ибо негоже что суперсекретные службы с миллиардными бюджетами не могут отследить каких-то сраных хакеров и проекты типа ТOR надо срочно прикрыть...  И тут наивный чукотский парень Алёша, три дня и три ночи изучавший секретный код самого секретного троянца, заметил что троян вовсе и не суперсекретный и отключается просто, достаточно домен с именем заморским из абракадабры суперсекретной зарегистрировать....

10. И вот вам "вишенка" (буду надеяться, что ошибаюсь): секретные инструменты АНБ+банки+спец.службы = PROFIT!!!!  а остальные в случае дальнейшего развития событий  - в ЖОПЕ :P

 

------------------

P.S. когда-то уже писал тут - что биток становится как бельмо на жо... тьфу ты на глазу...   :D  Посмотрим, скок он продержится, уж больно много желающих стало к нему ручки тянуть))))

Изменено 14 мая 2017, 10:20 пользователем akaRev

[Decker]

Вот здесь - https://geektimes.ru/post/289115/ , выкладывали текстовик, включающий в себя ссылки с Microsoft'а на Update'ы для всех типов систем, включая и WinXP SP3 и т.п. На всякий случай вставлю сюда:
 

 

Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

Windows 8.1 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

 

 

 

Все ссылки абсолютно рабочие, только что выкачал полный набор на внешний HDD "про запас".

[Decker]

Заходит крипт, в основном через RDP порт, как правило через 3389, антивирь от него не спасает. Закрывайте порты, либо пароли усложняйте, и будет вам счастье.

 

Вообще-то нашумевшая история с Wana decrypt0r 2.0 / WannaCry никак не связана с RDP и 3389. Это так, к слову.

[Karpet]

А заражение всё ещё продолжается и кто то им выплачивает. Наивные... Тут все три кошелька в одном месте.

[WallkarPrime]

Мне регулярно раз в неделю, бывшие клиенты звоянят, плачутся что инфу шифрануло (работал когда то в авторизованом сервисе). Печаль.  Самый "смешной" случай был это когда гос. структуре пришла почта от налоговой а там этот вирусяка :) 

Изменено 15 мая 2017, 18:30 пользователем Wallkar

[Kavjlaeg]

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn Это третий кошелёк. Похоже их много. За два дня на полтора миллиона р. навымогали.

 

интересно,

https://blockchain.info/ru/tx/f093bf69f5e85a21d67c6921d71a5abb2cfcb197c8256e39bf7ce033d61e5405

они еще и майнили на этот кошель  :blink:

[Vaidokas]

Еще со времен Windows 95 спасает несложный трюк: снимаем все галки в свойствах сетевой карты, оставляем только TCP/IPv4.

И все. 98% сетевых вирусов проходят мимо.

Если необходимо видеть Microsoft Network share folders / files / disks в сетке (на корпоративной сети, например) - еще оставляем галку у "Client for Microsoft Networks".

 

Но если стоит галка "File and Print sharing for Microsoft Networks" - к вам в гости постоянно будут лезть заразы всех мостей.

Изменено 17 мая 2017, 08:28 пользователем Vaidokas