Перейти к содержимому


Фотография

Майнеры в опасности! (Вирус Wana decrypt0r 2.0)

вирус windows 7

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 72

#1 Rastishka

Rastishka

    Пользователь

  • Пользователи
  • PipPip
  • 226 сообщений

Отправлено 12 May 2017 - 22:38

Читать тут

 

https://forum.kasper...ic=55543&page=1

 

В двух словах - заражает через интернет\lan компьютеры с виндой, без патча от 22 марта

Винда 7, 10 подвержены. Вроде и XP (на нее вообще патча нет)

 

У меня на некоторых фермах стоит 7-ка, да еще с вырезанным windows update сборки, патч поставить не могу. Пока размонтировал сетевые диски NAS-а, чтобы файлы не зашифровал там.

На фермах с 10-кой проверил - авто апдейт включен, патчи стоят.

 

 

А вообще ужас. Зомби-апокалипсис во плоти :wacko:  :wacko:  :wacko:

 


Сообщение отредактировал Rastishka: 12 May 2017 - 22:38

  • 0

#2 hardsign

hardsign

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1148 сообщений
  • ГородКиев

Отправлено 12 May 2017 - 22:58

отгораживайте ферму файрволлом, прячьтесь за НАТ, и забудьте о любых неприятностях. Кто вас заразит, если все порты закрыты? Не поднимайте панику.

 

+ почему именно майнеры в опасности? как раз майнеры могут спать спокойно = ну заразит ферму эта зараза. Я переформатирую винт и за 20 минут поставлю новую копию винды. Там ценного = только имя фермы, чтобы не переплутать их.


Сообщение отредактировал hardsign: 12 May 2017 - 23:05

  • 8

Если ты на форуме нечестный игрок, значит душа у тебя такая гнилая, и по жизни ты будешь таким же - как бы не прятался за маску порядочности.


#3 Genis

Genis

    Пользователь

  • Пользователи
  • PipPip
  • 203 сообщений

Отправлено 12 May 2017 - 22:59

Ну если учесть что у людей оно залетало непонятно как, но успешно расходилось по сети.

А вспоминая секту "Автообновление зло" есть вариант получить кирпичи вместо ферм. Хотя на фермах всё легко восстановить, но вот основном пк проблемно.

Делайте бекапы кошельков. Даже KIS пропускает при некоторых условиях проблему.

 

hardsign,

Critical 

Remote Code Execution

Фаерволл не будет закрывать службы системы, они в белом списке, в NAT оно пойдёт от любой машины, 

Валить надо сервер SMB


Сообщение отредактировал Genis: 12 May 2017 - 23:01

  • 1

#4 Neotex

Neotex

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2141 сообщений

Отправлено 12 May 2017 - 23:00

Майнеры не в опасности) откуда на компьютерах майнеров вирусы? Они же не ставят непойми что на фермы. Кто не хочет возиться с патчами и антивирусами вот альтернативное решение:

 

https://technet.micr...y/ms17-010.aspx

 

Alternative method for customers running Windows 8.1 or Windows Server 2012 R2 and later

For client operating systems:

    Open Control Panel, click Programs, and then click Turn Windows features on or off.
    In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
    Restart the system.
    

For server operating systems:

    Open Server Manager and then click the Manage menu and select Remove Roles and Features.
    In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
    Restart the system.
    

Impact of workaround. The SMBv1 protocol will be disabled on the target system.

How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.


  • 1

#5 AsdSanta

AsdSanta

    Captivus ex conscientia

  • Пользователи
  • PipPipPip
  • 4107 сообщений
  • ГородBern

Отправлено 12 May 2017 - 23:00

накопались, бл**ь! кому карты нужны?


  • -1

Не бойся,когда ты один. Бойся,когда ты — ноль!

 

#6 Genis

Genis

    Пользователь

  • Пользователи
  • PipPip
  • 203 сообщений

Отправлено 12 May 2017 - 23:04

Neotex,

Да там больше эксплоит который валит дырку в службе винды.

Т.е. оно заходит в систему "безопасно" и так же распространяется. Антивирусы типа KIS-а быстро адаптируются.

Главное чтобы с машины, оно не полезло в подзону с фермами. Оно фермам вреда не принесёт, ну зашифрует батники ;D


  • 1

#7 AsdSanta

AsdSanta

    Captivus ex conscientia

  • Пользователи
  • PipPipPip
  • 4107 сообщений
  • ГородBern

Отправлено 12 May 2017 - 23:07

ну зашифрует батники
угу смешно. блин, вроде рост, не?
  • -2

Не бойся,когда ты один. Бойся,когда ты — ноль!

 

#8 Rastishka

Rastishka

    Пользователь

  • Пользователи
  • PipPip
  • 226 сообщений

Отправлено 12 May 2017 - 23:07

Забыли, как XP до 1го сервис пака валилась из-за RPC?? Тут тоже самое. На фермах ничего не стоит и не качается, там просто виндовс без апдейтов смотрит в интернет и может заразиться.

 

А потом, к примеру, сетевые диски зашифрует и алес.


  • 0

#9 AsdSanta

AsdSanta

    Captivus ex conscientia

  • Пользователи
  • PipPipPip
  • 4107 сообщений
  • ГородBern

Отправлено 12 May 2017 - 23:08

сетевые диски зашифрует и алес
- точно, надо копии кошельков поскидать на флешку!
  • -1

Не бойся,когда ты один. Бойся,когда ты — ноль!

 

#10 e46btc

e46btc

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 2866 сообщений
  • ГородРоссия

Отправлено 12 May 2017 - 23:09

там просто виндовс без апдейтов смотрит в интернет и может заразиться

И что, с белым IP адресом винда и без НАТа и без какого-нибудь простенького роутера?
  • 1
- Ускорение/возврат/отмена транзакции при помощи двойной траты (инструкция) https://forum.bits.m...uktciia-s-karti
- Решение самых сложных случаев с транзакциями, двойная трата, восстановление кошельков. ЛС, TG @e46btc

#11 hardsign

hardsign

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 1148 сообщений
  • ГородКиев

Отправлено 12 May 2017 - 23:10

Ну если учесть что у людей оно залетало непонятно как, но успешно расходилось по сети

 

hardsign,

Critical 

Remote Code Execution

Фаерволл не будет закрывать службы системы, они в белом списке, в NAT оно пойдёт от любой машины, 

Валить надо сервер SMB

 

я имею в виду аппаратный файрволл на соске интернет. Или Вы интернет шнурок прямо в комп втыкаете? На роутере в любом случае НАТ поднят = он закрывает от проникновения.


  • 3

Если ты на форуме нечестный игрок, значит душа у тебя такая гнилая, и по жизни ты будешь таким же - как бы не прятался за маску порядочности.


#12 Kronus

Kronus

    Пользователь

  • Пользователи
  • PipPip
  • 153 сообщений

Отправлено 12 May 2017 - 23:12

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?


  • 0

#13 Genis

Genis

    Пользователь

  • Пользователи
  • PipPip
  • 203 сообщений

Отправлено 12 May 2017 - 23:13

Rastishka,

Вооот, не один я помню это зло, а ещё Lsas и прочие.

 

Копии на флешку. Если их ещё нет. Я включил всё что мог в КИС-е, и внимательно смотрю на его запросы, есть вариант спалить это зло. И выключил режим DMZ (прямой доступ) в роутере.

Ну и самое главное, накатил обновление.


  • 0

#14 Rastishka

Rastishka

    Пользователь

  • Пользователи
  • PipPip
  • 226 сообщений

Отправлено 12 May 2017 - 23:14

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?

Полезли искать ответы, когда уже поздно стало.. это нормально


  • 0

#15 Genis

Genis

    Пользователь

  • Пользователи
  • PipPip
  • 203 сообщений

Отправлено 12 May 2017 - 23:15

hardsign,

А причём фаервол, когда идёт эксплоит? Нужно конкретно знать что эксплоит вскрывает в системе, и под каким портом идёт, может он по 80-му заходит в систему, а перекрыть его, значит убить Http

Там в теме отписывались люди, сидящие за роутерами. Оно проходит в систему как сетевой трафик, и атакует дырку в службе.

 

 

Пойду выключу от греха NAS со всеми резервами. Ибо ни одна ферма не захотела ставить сама обнову с сервера. А там и 7-ки..и 8.1...и 10ки..


Сообщение отредактировал Genis: 12 May 2017 - 23:17

  • -2

#16 Andrew2014

Andrew2014

    Пользователь

  • Пользователи
  • PipPip
  • 189 сообщений

Отправлено 12 May 2017 - 23:17

Особо не вникал, но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями? Или, так и надо?

 

Конечно)))

Они же антивирус новый написали, теперь его надо продвинуть как то)))

Походу с новыми клиентами у Касперского очень плохо)))


  • 0

#17 Genis

Genis

    Пользователь

  • Пользователи
  • PipPip
  • 203 сообщений

Отправлено 12 May 2017 - 23:19

Ага, и обнову https://technet.micr...y/ms17-010.aspx

Тоже они двинули :D


  • 0

#18 Kronus

Kronus

    Пользователь

  • Пользователи
  • PipPip
  • 153 сообщений

Отправлено 12 May 2017 - 23:20

Конечно)))

Они же антивирус новый написали, теперь его надо продвинуть как то)))

Походу с новыми клиентами у Касперского очень плохо)))

Почему плохо? СЕМЬ новичков отписались за 20 минут. Да у них аншаг, блин!


  • 0

#19 Djs0m

Djs0m

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 650 сообщений
  • ГородМосква

Отправлено 12 May 2017 - 23:20

там просто виндовс без апдейтов смотрит в интернет и может заразиться.

у вас фермы с белыми айпишниками наружу торчат?

за натом роутера - без открытых и проброшенных smb - с трудом верится

 

но какого хрена почти все отписавшиеся по этой ссылке - новички с 1+ сообщениями?

ленивые админы которым офисные машины было лень обновить, wsus в сети развернуть опять же. и кто бекапы не делает... хе-хе

 

дырка то не прям совсем свежак, месяц прошел - по всем дайжестам про уязвимость smb было сказано, вот шифровальщик и допилили.

Раньше надо было  на каждой машине запустить - сейчас достаточно одного оленя на офис


Сообщение отредактировал Djs0m: 12 May 2017 - 23:22

  • 1

#20 Drow

Drow

    Пользователь

  • Пользователи
  • PipPip
  • 340 сообщений

Отправлено 12 May 2017 - 23:20

Там проблема не в заражении, а в хреновой славе для битка. Чем больше народу затронет троян, тем хуже крипте.


  • 4





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных