Перейти к содержимому
Rastishka

Майнеры в опасности! (Вирус Wana decrypt0r 2.0)

Рекомендуемые сообщения

(изменено)

Читать тут

 

https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=1

 

В двух словах - заражает через интернет\lan компьютеры с виндой, без патча от 22 марта

Винда 7, 10 подвержены. Вроде и XP (на нее вообще патча нет)

 

У меня на некоторых фермах стоит 7-ка, да еще с вырезанным windows update сборки, патч поставить не могу. Пока размонтировал сетевые диски NAS-а, чтобы файлы не зашифровал там.

На фермах с 10-кой проверил - авто апдейт включен, патчи стоят.

 

 

А вообще ужас. Зомби-апокалипсис во плоти :wacko:  :wacko:  :wacko:

 

Изменено пользователем Rastishka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

отгораживайте ферму файрволлом, прячьтесь за НАТ, и забудьте о любых неприятностях. Кто вас заразит, если все порты закрыты? Не поднимайте панику.

 

+ почему именно майнеры в опасности? как раз майнеры могут спать спокойно = ну заразит ферму эта зараза. Я переформатирую винт и за 20 минут поставлю новую копию винды. Там ценного = только имя фермы, чтобы не переплутать их.

Изменено пользователем hardsign

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Ну если учесть что у людей оно залетало непонятно как, но успешно расходилось по сети.

А вспоминая секту "Автообновление зло" есть вариант получить кирпичи вместо ферм. Хотя на фермах всё легко восстановить, но вот основном пк проблемно.

Делайте бекапы кошельков. Даже KIS пропускает при некоторых условиях проблему.

 

@hardsign,

Critical 

Remote Code Execution

Фаерволл не будет закрывать службы системы, они в белом списке, в NAT оно пойдёт от любой машины, 

Валить надо сервер SMB

Изменено пользователем Genis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Майнеры не в опасности) откуда на компьютерах майнеров вирусы? Они же не ставят непойми что на фермы. Кто не хочет возиться с патчами и антивирусами вот альтернативное решение:

 

https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

 

Alternative method for customers running Windows 8.1 or Windows Server 2012 R2 and later

For client operating systems:

    Open Control Panel, click Programs, and then click Turn Windows features on or off.
    In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
    Restart the system.
    

For server operating systems:

    Open Server Manager and then click the Manage menu and select Remove Roles and Features.
    In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
    Restart the system.
    

Impact of workaround. The SMBv1 protocol will be disabled on the target system.

How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

накопались, бл**ь! кому карты нужны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Neotex,

Да там больше эксплоит который валит дырку в службе винды.

Т.е. оно заходит в систему "безопасно" и так же распространяется. Антивирусы типа KIS-а быстро адаптируются.

Главное чтобы с машины, оно не полезло в подзону с фермами. Оно фермам вреда не принесёт, ну зашифрует батники ;D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

ну зашифрует батники
угу смешно. блин, вроде рост, не?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Забыли, как XP до 1го сервис пака валилась из-за RPC?? Тут тоже самое. На фермах ничего не стоит и не качается, там просто виндовс без апдейтов смотрит в интернет и может заразиться.

 

А потом, к примеру, сетевые диски зашифрует и алес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

сетевые диски зашифрует и алес
- точно, надо копии кошельков поскидать на флешку!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

там просто виндовс без апдейтов смотрит в интернет и может заразиться

И что, с белым IP адресом винда и без НАТа и без какого-нибудь простенького роутера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если учесть что у людей оно залетало непонятно как, но успешно расходилось по сети

 

@hardsign,

Critical 

Remote Code Execution

Фаерволл не будет закрывать службы системы, они в белом списке, в NAT оно пойдёт от любой машины, 

Валить надо сервер SMB

 

я имею в виду аппаратный файрволл на соске интернет. Или Вы интернет шнурок прямо в комп втыкаете? На роутере в любом случае НАТ поднят = он закрывает от проникновения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

,

Вооот, не один я помню это зло, а ещё Lsas и прочие.

 

Копии на флешку. Если их ещё нет. Я включил всё что мог в КИС-е, и внимательно смотрю на его запросы, есть вариант спалить это зло. И выключил режим DMZ (прямой доступ) в роутере.

Ну и самое главное, накатил обновление.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?

Полезли искать ответы, когда уже поздно стало.. это нормально

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

@hardsign,

А причём фаервол, когда идёт эксплоит? Нужно конкретно знать что эксплоит вскрывает в системе, и под каким портом идёт, может он по 80-му заходит в систему, а перекрыть его, значит убить Http

Там в теме отписывались люди, сидящие за роутерами. Оно проходит в систему как сетевой трафик, и атакует дырку в службе.

 

 

Пойду выключу от греха NAS со всеми резервами. Ибо ни одна ферма не захотела ставить сама обнову с сервера. А там и 7-ки..и 8.1...и 10ки..

Изменено пользователем Genis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?

 

Конечно)))

Они же антивирус новый написали, теперь его надо продвинуть как то)))

Походу с новыми клиентами у Касперского очень плохо)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно)))

Они же антивирус новый написали, теперь его надо продвинуть как то)))

Походу с новыми клиентами у Касперского очень плохо)))

Почему плохо? СЕМЬ новичков отписались за 20 минут. Да у них аншаг, блин!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)
там просто виндовс без апдейтов смотрит в интернет и может заразиться.

у вас фермы с белыми айпишниками наружу торчат?

за натом роутера - без открытых и проброшенных smb - с трудом верится

 

но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями?

ленивые админы которым офисные машины было лень обновить, wsus в сети развернуть опять же. и кто бекапы не делает... хе-хе

 

дырка то не прям совсем свежак, месяц прошел - по всем дайжестам про уязвимость smb было сказано, вот шифровальщик и допилили.

Раньше надо было  на каждой машине запустить - сейчас достаточно одного оленя на офис

Изменено пользователем Djs0m

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Там проблема не в заражении, а в хреновой славе для битка. Чем больше народу затронет троян, тем хуже крипте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предлагаю тут подсчет заразившихся устроить)))

Типа кто заразится ставит 1 следующий 2 и т.д. тока чур по честному)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@hardsign,

 

Пойду выключу от греха NAS со всеми резервами. Ибо ни одна ферма не захотела ставить сама обнову с сервера. А там и 7-ки..и 8.1...и 10ки..

 

Самое верное решение!

 

Вот в моей 7-ке

 

Удалено

Телеметрия

CEIP

Защитник Windows

Архивация и восстановление

Средство переноса данных

IME

Центр поддержки

Hyper-V

BitLocker

Windows Update

 

к примеру, патч не ставится - файл .msu не запускается. 

 

Да и дело не в фермах, а личных-рабочих файлах.

Пишут, что вроде вирус уже распостранился давно и сейчас активизировался. (типа проверял доступность сайта, который перестал работать, что послужило сигналом к старту)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
@Genis,касперский не ловит вирусы, удаляй эту хренотень, много вирусов пропускает, сканишь файл он не видит там ниче, а там дикие вирусы, писал в саппорт отправлял файлы, очень медленно добавляют, короче нет защиты от киса этого, он только от старых банальных вирусняков которые во всех базах, а так если не из под админа сидеть, по ьевым сайтам не лазить, говно не качать, не устанавливать всякие флешплеер если в браузере всплывает окно то кис особо и не нужен, только систему тормозит игры итд, майнеры удаляет, кошельки монет непопулярных , нужно в исключения заносить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
(изменено)

Если проблема затронет органы и прочие структуры (а пишут, что уже), то биток наш любимый будет первым под ударом :-(

 

Типа средство финансирования хакеров-террористов (запретить!)

 

 

 

С другой стороны - спрос на битки!  :D  :D  :D

 

Ему надо было платежи эфириумом делать или, как его там, стелларом!!!

Изменено пользователем Rastishka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас


  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×