Перейти к содержанию

Майнеры в опасности! (Вирус Wana decrypt0r 2.0)


Rastishka

Рекомендуемые сообщения

Как этот вирус-то подхватить, где инструкция? Причины, следствия? Или это попытка принудительно заставить установить обновления для windows?

Ссылка на комментарий
Поделиться на другие сайты

Как этот вирус-то подхватить, где инструкция? Причины, следствия? Или это попытка принудительно заставить установить обновления для windows?

https://geektimes.ru/post/289115/

Ссылка на комментарий
Поделиться на другие сайты

@alzov,

Я пользуюсь Каспером 7 лет, и знаете что? А ни единого вируса, а я в своё время обслуживал 2500+ клиентов, и на флешке чего только не приносил. И всегда от отрабатывал корректно

Тогда реально увидел бесполезность DrWeb\NOD32\Avast и прочая шушера. Когда они ничего не видели, а я притаскивал домой тонны вирусни.

Плюс KIS я настраиваю сам, и всегда смотрю что он просит и хочет.

 

Так что хз, что и зачем удалять, у меня всё отлично работает. Для сканирования подозрительных, есть вирустотал сервис, он сканирует по всем антивирям.

Всё действия выставил по запросу, всё что может рискнуть удалить, можно вытащить из карантина. На FX8320 4.5Ghz, он берёт 2-5 процента когда что то гоняет. На скоростном рейде, не чувствую его вообще.

 

 

А вообще, особо внимательные, заметили бы, что у мелкософта по ссылке, есть альтернативные варианты по убийству службы.

Нет службы - нет дырки - нет проблем.

Ссылка на комментарий
Поделиться на другие сайты

Если проблема затронет органы и прочие структуры (а пишут, что уже), то биток наш любимый будет первым под ударом :-( Типа средство финансирования хакеров-террористов (запретить!)

Ну телевидение если только поднасрёт канеш опять и жёлтая пресса. А так эт естественно уже давно в моде, блочить хомяку комп и требовать битки. А то что в этих Мегафонах, МВД и прочих (пояснение — у них тоже кста компы поблочили и зашифровали массово) рукожопы работают эт мы не виноваты.

Изменено пользователем Karpet
Ссылка на комментарий
Поделиться на другие сайты

@na3uk, да также как обычный шифровальщик.

Скорее всего приходит письмо - пользователь запускает скрипт из письма.

При чем - если верить форуму каспера - скрипт  сырой (раз теневые копии остаются, и удаленные файлы можно восстановить). 

Попутно червь сканирует локалку (предполагаю что тупо бродкастом) - по smb портам - на предмет "а есть тут кто вообще?" - если есть ответ - стучимся - проверяем можно ли вдуть. если можно - вдуваем - ребут - получите распишитесь.

Точка

Ссылка на комментарий
Поделиться на другие сайты

@Djs0m,

Причём SMB, это же обычный общий доступ, который включен практически всегда.

Через компоненты системы, как написано в мелкософте, потушил службу. Фермы - превыше всего. СТабильность - наше всё

Ссылка на комментарий
Поделиться на другие сайты

@Genis,полная чушь, пользуюсь каспером внаглую пропускает вирусы, неочевидные со свежей компиляцией, полное говно этот ваш касперский. шифраторы кстати он и старые пропускает которые из 2010х годов

а про 2500 машин без вирусов ну это не поверю.там где женщины качают всякие вконтакте скачать музыку Итд открывают файлы с имейла с неизвестными расширениями там каспер не поможет

каспер мешает многим играм и приложениям, сканирует трафик исходящий, конечно все отклбчается, но тогда и его защитные качества падают еще ниже чем были

Изменено пользователем alzov
Ссылка на комментарий
Поделиться на другие сайты

 

 

alzov

Так в чём проблема - не пользуйтесь, альтернатив много. Меня всё устраивает, именно по этой причине стоит лицушная версия.

Архив засылайте, самое винду поставил свежую =)

Ссылка на комментарий
Поделиться на другие сайты

@Genis,один из ноутов помню шифровальщиком подбили, с него жена сидела, открыла с почты файл, типа вам пришел счет у вас долг по оплате бла бла от одного из контрагентов, в и оге последний KIS со всеми апдецтами пропустил его и ничего не увидел, потом я им его в архиве отправлял на тесты, и он долго не детектился
Ссылка на комментарий
Поделиться на другие сайты

Это наказание для примитивных семерочников. Кстати, антивирус касперского -- гно. :lol2:

Изменено пользователем synthetik
Ссылка на комментарий
Поделиться на другие сайты

Так после этого берём этот заветный вирус, и шлём на тотал для проверки по всем антивирусам, и сразу видно, ху ис ху.

И чаще всего, удивляемся, что свежие вирусы, дай бог чтобы 1-2 определили как "подозрительный"

Дело не в конкретном антивирусе, а в алгоритмах работы. А в них нового ничего не придумали.

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на патч windows7, офлайн установшик без тонны кумулятивных обновлений.

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

Ссылка на комментарий
Поделиться на другие сайты

@Genis,ну я про то и говорю что свежее антивиры не ловят, если сигнатур не. или уязвимость новая, а от банальщины хватит и ограничения прав+служб+ блок на установку программ+блок интернета для работников к примеру

но на тот момент шифровальщик на вирустотале видело около 30 антивиртв кроме касперыча

Ссылка на комментарий
Поделиться на другие сайты

@hardsign,

А причём фаервол, когда идёт эксплоит? Нужно конкретно знать что эксплоит вскрывает в системе, и под каким портом идёт, может он по 80-му заходит в систему, а перекрыть его, значит убить Http

Там в теме отписывались люди, сидящие за роутерами. Оно проходит в систему как сетевой трафик, и атакует дырку в службе.

 

 

Пойду выключу от греха NAS со всеми резервами. Ибо ни одна ферма не захотела ставить сама обнову с сервера. А там и 7-ки..и 8.1...и 10ки..

 

Как он может к вам заходить по 80 порту? У вас что, веб сервер на ферме поднят? Разговор какой то слепого с глухим. Вы разницу между входящим и исходящим портом понимаете? Между входящим и исходящим траффиком? Или вы с фермы веб-серфите по левым сайтам, чтобы экспойт поймать? Я к примеру на своих фермах даже ни разу браузер не запускал.

Поставил винду, драйвера, активировал, отключил телеметрию, отключил автоапдейт, записал майнер, поменял имя воркера, добавил майнер в автозагрузку = всё. Фермы за НАТом, как вирус к ним проберется? Бред какой то написан, про страшные эксплойты.

Ссылка на комментарий
Поделиться на другие сайты

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

 

  • Откройте cmd.exe (коммандную строку)
  • Напишите:
    SYSTEMINFO.exe | findstr KB4013389
  • Нажмите Enter
  • Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
  • Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.
Изменено пользователем Verminsp
Ссылка на комментарий
Поделиться на другие сайты

@alzov,

Пользовательская учётка в системе :D

Но это же не наш метод, а словить, а помучатся, самому прорыть реестр и вычислить. Я 1 из первых кто словил локер рабочего стола, когда подменивался exe рабочего стола, и ничего не загружалось, 3 часа изучения, и запустил систему, отправил в Касп, и получил благодарочку ;D

@hardsign,

Ладно, проще.

Получаем вирус на любой комп, эксплоит сканит внутреннюю сеть на предмет открытого SMB сервиса, опа, открыт>заражение>шифрование>профит.

А вот каким образом попадает он на комп, нужно изучить. Из того что вычитал я, многие воооообще нигде не лазили, ничего не качали, ребутнули комп - готово.

 

Нет, можно конечно сделать порно в виде отдельного NAT-а для ферм, домашнего компа, смартфонов и тд.

Но у многих всё скромнее, 1 NAT на весь дом\квартиру, и уже в нём все машины варятся, и достаточно словить одной.

 

Вспомните как сыпались в сети из-за RPC червя.

 

 

Я на закрытие кривой службы, потратил 3 минуты удалёнки (5 машин). Тут даже проблемы реально как таковой нет. Служба убогая и дырявая всю жизнь была....я не удивлюсь если когда нибудь опять NetBios выстрелит.

Изменено пользователем Genis
Ссылка на комментарий
Поделиться на другие сайты

Получаем вирус на любой комп

Я на закрытие кривой службы, потратил 3 минуты удалёнки (5 машин). Тут даже проблемы реально как таковой нет. Служба убогая и дырявая всю жизнь была....я не удивлюсь если когда нибудь опять NetBios выстрелит.

 

Это другое дело. Только вот вопрос = зачем, зачем его получать на комп? Мне не надо даже на 1, не то, что на все. У Вас фермы что ли дома? У меня фермы ВСЕ отдельно за Натом, на удаленке, все фермы. И компов для серфинга\игр\работы там нет, только фермы.

 

Потому то и возник вопрос к заголовку темы = Что за истерика? Почему именно майнеры в опасности?

 

зы.

кстати, по хорошему - если фермы и есть дома, то их правильнее в виртуальный DMZ выделить.а еще лучше физикой в DMZ загнать. Потому как это машины без антивируса, файрволла, и присмотра. Загнать в демилиторизованную и ограничить вход-выход по портам без избыточности.

 

вот так и сделаю, в смысле на удаленке еще и исходящие порты позакрываю. открою только 8008, пусть на пул ходят и всё.

Изменено пользователем hardsign
Ссылка на комментарий
Поделиться на другие сайты

@hardsign,

Аргумент, я просто на DMZ с роутера, поворачиваю на свой комп, т.е. любая попытка что то сканировать, искать за роутером, упрётся в меня (DD-WRT прошивка) а у меня всё перекрыто.

Да и у каждой машины, снятый свой образ. А вот правило "Запретить всё, кроме" выглядит сочно. Но кому я нужен, на NAT-ом провайдера....

Ссылка на комментарий
Поделиться на другие сайты

МВД и СК России опровергли сообщения о заражении своих серверов вирусом WannaCry.

Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».

https://lenta.ru/news/2017/05/12/nowannanocry/

 

Давайте на Эльбрусах майнить и иных операционках. :D

Изменено пользователем Kronus
Ссылка на комментарий
Поделиться на другие сайты

 

 

отдельно за Натом
хто такой этот НАТ шо вы за ним все прячитесь?

(м-да, хреново быть тупорылым)

- завидую вам парни белой завистью.....................

Ссылка на комментарий
Поделиться на другие сайты

о, на биржах закуп пошел! плотют людишки! вот и сделали рекламку битку, щас те кто в "жопе" ломятся в Биткоин-автоматы покупать  :D

Ссылка на комментарий
Поделиться на другие сайты

Ещё один кошелёчек жуликов https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw итого за день им заплатили, не помню сколько там на прошлом, где то 3-3,5 битка.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
  • Similar Topics

    • В США старые майнеры могут перепродать иностранным компаниям

      Расположенные в США устройства для майнинга биткоина могут быть перепроданы иностранным компаниям, которые хотят получить прибыль от добычи криптовалют в регионах с более дешевой электрической энергией. По мнению генерального директора SunnySide Digital Тараса Кулика, такие решения вызваны предстоящим халвингом. Он сообщил, что устаревшее оборудование еще может приносить прибыль, но в США это маловероятно из-за высоких расценок на электрическую энергию. Технику отправят ремонтировать, а пот

      в Новости криптовалют

    • EIA: Американские майнеры потребляют электричество как целый штат

      В прошлом году на майнеров криптовалют пришлось от 0.6% до 2.3% всего энергопотребления США. Примерно столько же электроэнергии потратил целый штат Юта, говорят цифры Агентства по энергетической информации (EIA). Сейчас в стране насчитывается около 137 ферм, которые принадлежат компаниям по добыче криптовалют. Оборудование раскидано по 21 штату, включая самые активные Техас, Нью-Йорк и Джорджию.   В 2023 году энергопотребление майнинга биткоинов достигало от 0,2% до 0,9% общемировог

      в Новости криптовалют

    • «Россети»: майнеры виноваты в авариях на электросетях Сибири

      Компания «Россети Сибирь» объявила, что именно майнинг криптовалют является одной из главных причин аварийных отключений электрической энергии в нескольких местных регионах. Количество майнеров, самовольно и незаконно подключающихся к электросетям, растет. Нагрузка на сети сильно увеличивается, аппаратура начинает давать сбои и отключаться, утверждают энергетики.   Специалисты «Россети Сибирь» как пример приводят недавние аварийные отключения электроэнергии в Красноярском крае, Хакас

      в Новости криптовалют

    • CryptoQuant: Майнеры продали за один день более 10 000 биткоинов

      За один день, среду, 17 января, майнеры распродали рекордные 10 233 BTC (приблизительно $450 млн). Это следует из отчета аналитической платформы CryptoQuant. Тенденция свидетельствует о переходе майнеров от накопления к продажам, что обычно происходит в период повышения цен на криптовалюту. По данным Bitfinex, майнеры начали накапливать биткоины в середине 2023 года, когда цены и прибыльность были гораздо ниже. Сейчас цена BTC составляет чуть больше $42 000.   Резервы майнеров оценив

      в Новости криптовалют

    • Али Мартинес: «Майнеры биткоина массово распродают запасы криптоактивов»

      Популярный криптоаналитик и трейдер объявил, что за последние сутки майнеры биткоина распродали 10 600 ВТС на общую сумму около $456 млн. Али Мартинес (Ali Martinez) сослался на данные аналитической платформы Crypto Quant. Значительное давление со стороны продавцов цифровых активов наблюдается на основных криптовалютных площадках, поскольку майнеры биткоинов пытаются зафиксировать прибыль на нисходящем рынке.     С начала 2024 года рынок биткоинов претерпевает коррекцию и уже с

      в Новости криптовалют

×
×
  • Создать...