Майнеры в опасности! (Вирус Wana decrypt0r 2.0)

[na3uk]

Как этот вирус-то подхватить, где инструкция? Причины, следствия? Или это попытка принудительно заставить установить обновления для windows?

[verminsp]

Как этот вирус-то подхватить, где инструкция? Причины, следствия? Или это попытка принудительно заставить установить обновления для windows?

https://geektimes.ru/post/289115/

[Genis]

@alzov,

Я пользуюсь Каспером 7 лет, и знаете что? А ни единого вируса, а я в своё время обслуживал 2500+ клиентов, и на флешке чего только не приносил. И всегда от отрабатывал корректно

Тогда реально увидел бесполезность DrWeb\NOD32\Avast и прочая шушера. Когда они ничего не видели, а я притаскивал домой тонны вирусни.

Плюс KIS я настраиваю сам, и всегда смотрю что он просит и хочет.

 

Так что хз, что и зачем удалять, у меня всё отлично работает. Для сканирования подозрительных, есть вирустотал сервис, он сканирует по всем антивирям.

Всё действия выставил по запросу, всё что может рискнуть удалить, можно вытащить из карантина. На FX8320 4.5Ghz, он берёт 2-5 процента когда что то гоняет. На скоростном рейде, не чувствую его вообще.

 

 

А вообще, особо внимательные, заметили бы, что у мелкософта по ссылке, есть альтернативные варианты по убийству службы.

Нет службы - нет дырки - нет проблем.

[Karpet]

Если проблема затронет органы и прочие структуры (а пишут, что уже), то биток наш любимый будет первым под ударом :-( Типа средство финансирования хакеров-террористов (запретить!)

Ну телевидение если только поднасрёт канеш опять и жёлтая пресса. А так эт естественно уже давно в моде, блочить хомяку комп и требовать битки. А то что в этих Мегафонах, МВД и прочих (пояснение — у них тоже кста компы поблочили и зашифровали массово) рукожопы работают эт мы не виноваты.

Изменено 12 мая 2017, 20:39 пользователем Karpet

[Djs0m]

@na3uk, да также как обычный шифровальщик.

Скорее всего приходит письмо - пользователь запускает скрипт из письма.

При чем - если верить форуму каспера - скрипт  сырой (раз теневые копии остаются, и удаленные файлы можно восстановить). 

Попутно червь сканирует локалку (предполагаю что тупо бродкастом) - по smb портам - на предмет "а есть тут кто вообще?" - если есть ответ - стучимся - проверяем можно ли вдуть. если можно - вдуваем - ребут - получите распишитесь.

Точка

[Genis]

@Djs0m,

Причём SMB, это же обычный общий доступ, который включен практически всегда.

Через компоненты системы, как написано в мелкософте, потушил службу. Фермы - превыше всего. СТабильность - наше всё

[alzov]

@Genis,полная чушь, пользуюсь каспером внаглую пропускает вирусы, неочевидные со свежей компиляцией, полное говно этот ваш касперский. шифраторы кстати он и старые пропускает которые из 2010х годов

а про 2500 машин без вирусов ну это не поверю.там где женщины качают всякие вконтакте скачать музыку Итд открывают файлы с имейла с неизвестными расширениями там каспер не поможет

каспер мешает многим играм и приложениям, сканирует трафик исходящий, конечно все отклбчается, но тогда и его защитные качества падают еще ниже чем были

Изменено 12 мая 2017, 20:43 пользователем alzov

[Genis]

 

 

alzov

Так в чём проблема - не пользуйтесь, альтернатив много. Меня всё устраивает, именно по этой причине стоит лицушная версия.

Архив засылайте, самое винду поставил свежую =)

[alzov]

@Genis,один из ноутов помню шифровальщиком подбили, с него жена сидела, открыла с почты файл, типа вам пришел счет у вас долг по оплате бла бла от одного из контрагентов, в и оге последний KIS со всеми апдецтами пропустил его и ничего не увидел, потом я им его в архиве отправлял на тесты, и он долго не детектился

[synthetik]

Это наказание для примитивных семерочников. Кстати, антивирус касперского -- гно. :lol2:

Изменено 12 мая 2017, 20:47 пользователем synthetik

[Genis]

Так после этого берём этот заветный вирус, и шлём на тотал для проверки по всем антивирусам, и сразу видно, ху ис ху.

И чаще всего, удивляемся, что свежие вирусы, дай бог чтобы 1-2 определили как "подозрительный"

Дело не в конкретном антивирусе, а в алгоритмах работы. А в них нового ничего не придумали.

[na3uk]

Ссылка на патч windows7, офлайн установшик без тонны кумулятивных обновлений.

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

[alzov]

@Genis,ну я про то и говорю что свежее антивиры не ловят, если сигнатур не. или уязвимость новая, а от банальщины хватит и ограничения прав+служб+ блок на установку программ+блок интернета для работников к примеру

но на тот момент шифровальщик на вирустотале видело около 30 антивиртв кроме касперыча

[hardsign]

@hardsign,

А причём фаервол, когда идёт эксплоит? Нужно конкретно знать что эксплоит вскрывает в системе, и под каким портом идёт, может он по 80-му заходит в систему, а перекрыть его, значит убить Http

Там в теме отписывались люди, сидящие за роутерами. Оно проходит в систему как сетевой трафик, и атакует дырку в службе.

 

 

Пойду выключу от греха NAS со всеми резервами. Ибо ни одна ферма не захотела ставить сама обнову с сервера. А там и 7-ки..и 8.1...и 10ки..

 

Как он может к вам заходить по 80 порту? У вас что, веб сервер на ферме поднят? Разговор какой то слепого с глухим. Вы разницу между входящим и исходящим портом понимаете? Между входящим и исходящим траффиком? Или вы с фермы веб-серфите по левым сайтам, чтобы экспойт поймать? Я к примеру на своих фермах даже ни разу браузер не запускал.

Поставил винду, драйвера, активировал, отключил телеметрию, отключил автоапдейт, записал майнер, поменял имя воркера, добавил майнер в автозагрузку = всё. Фермы за НАТом, как вирус к ним проберется? Бред какой то написан, про страшные эксплойты.

[verminsp]

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:

 

• Откройте cmd.exe (коммандную строку)
• Напишите:
  SYSTEMINFO.exe | findstr KB4013389
• Нажмите Enter
• Если в ответе вы увидите KB4013389, это значит что патч у вас уже установлен и можно спать спокойно
• Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.

Изменено 12 мая 2017, 20:48 пользователем Verminsp

[Genis]

@alzov,

Пользовательская учётка в системе :D

Но это же не наш метод, а словить, а помучатся, самому прорыть реестр и вычислить. Я 1 из первых кто словил локер рабочего стола, когда подменивался exe рабочего стола, и ничего не загружалось, 3 часа изучения, и запустил систему, отправил в Касп, и получил благодарочку ;D

@hardsign,

Ладно, проще.

Получаем вирус на любой комп, эксплоит сканит внутреннюю сеть на предмет открытого SMB сервиса, опа, открыт>заражение>шифрование>профит.

А вот каким образом попадает он на комп, нужно изучить. Из того что вычитал я, многие воооообще нигде не лазили, ничего не качали, ребутнули комп - готово.

 

Нет, можно конечно сделать порно в виде отдельного NAT-а для ферм, домашнего компа, смартфонов и тд.

Но у многих всё скромнее, 1 NAT на весь дом\квартиру, и уже в нём все машины варятся, и достаточно словить одной.

 

Вспомните как сыпались в сети из-за RPC червя.

 

 

Я на закрытие кривой службы, потратил 3 минуты удалёнки (5 машин). Тут даже проблемы реально как таковой нет. Служба убогая и дырявая всю жизнь была....я не удивлюсь если когда нибудь опять NetBios выстрелит.

Изменено 12 мая 2017, 20:55 пользователем Genis

[hardsign]

Получаем вирус на любой комп

Я на закрытие кривой службы, потратил 3 минуты удалёнки (5 машин). Тут даже проблемы реально как таковой нет. Служба убогая и дырявая всю жизнь была....я не удивлюсь если когда нибудь опять NetBios выстрелит.

 

Это другое дело. Только вот вопрос = зачем, зачем его получать на комп? Мне не надо даже на 1, не то, что на все. У Вас фермы что ли дома? У меня фермы ВСЕ отдельно за Натом, на удаленке, все фермы. И компов для серфинга\игр\работы там нет, только фермы.

 

Потому то и возник вопрос к заголовку темы = Что за истерика? Почему именно майнеры в опасности?

 

зы.

кстати, по хорошему - если фермы и есть дома, то их правильнее в виртуальный DMZ выделить.а еще лучше физикой в DMZ загнать. Потому как это машины без антивируса, файрволла, и присмотра. Загнать в демилиторизованную и ограничить вход-выход по портам без избыточности.

 

вот так и сделаю, в смысле на удаленке еще и исходящие порты позакрываю. открою только 8008, пусть на пул ходят и всё.

Изменено 12 мая 2017, 21:03 пользователем hardsign

[Genis]

@hardsign,

Аргумент, я просто на DMZ с роутера, поворачиваю на свой комп, т.е. любая попытка что то сканировать, искать за роутером, упрётся в меня (DD-WRT прошивка) а у меня всё перекрыто.

Да и у каждой машины, снятый свой образ. А вот правило "Запретить всё, кроме" выглядит сочно. Но кому я нужен, на NAT-ом провайдера....

[Kronus]

МВД и СК России опровергли сообщения о заражении своих серверов вирусом WannaCry.

Серверные ресурсы МВД России не подвергались заражению благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».

https://lenta.ru/news/2017/05/12/nowannanocry/

 

Давайте на Эльбрусах майнить и иных операционках. :D

Изменено 12 мая 2017, 21:19 пользователем Kronus

[Genis]

Да да да, так тебе все и признались.

[Enzo]

Их там нет (с) :)

[AsdSanta]

 

 

отдельно за Натом

хто такой этот НАТ шо вы за ним все прячитесь?

(м-да, хреново быть тупорылым)

- завидую вам парни белой завистью.....................

[Lexis77]

Прям sircam32 сразу вспомнил )))))

[AsdSanta]

о, на биржах закуп пошел! плотют людишки! вот и сделали рекламку битку, щас те кто в "жопе" ломятся в Биткоин-автоматы покупать  :D

[Karpet]

Ещё один кошелёчек жуликов https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw итого за день им заплатили, не помню сколько там на прошлом, где то 3-3,5 битка.