Перейти к содержимому


Фотография

Майнеры в опасности! (Вирус Wana decrypt0r 2.0)

вирус windows 7

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 72

#61 Enzo

Enzo

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 744 сообщений
  • ГородКиев

Отправлено 13 May 2017 - 10:49

либо пароли усложняйте

Как это поможет в данной ситуации?


  • 0

13 карт на одной ферме, личный опыт

 

[Total]  1943.0 I/s 3627.8 S/s (5s) 1948.7 I/s 3661.1 S/s (1m) 1949.7 I/s 3663.0 S/s (1h)


#62 Verminsp

Verminsp

    Пользователь

  • Пользователи
  • PipPip
  • 69 сообщений

Отправлено 13 May 2017 - 11:59

Взято с https://geektimes.ru/post/289115/

 

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.


  • 0

#63 Karpet

Karpet

    Пользователь

  • Пользователи
  • PipPip
  • 386 сообщений

Отправлено 13 May 2017 - 22:35

https://blockchain.i...ijcRdfJNXj6LrLn Это третий кошелёк. Похоже их много. За два дня на полтора миллиона р. навымогали.
 


  • 0

#64 Djs0m

Djs0m

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 650 сообщений
  • ГородМосква

Отправлено 13 May 2017 - 22:59

Похоже их много.

на предыдущие шифровальщики ценник на админку  начинался от 20к зелени.

Так номер кошелька поменять - минутное дело.

Прикрепленные изображения

  • sber.png

Сообщение отредактировал Djs0m: 13 May 2017 - 23:06

  • 4

#65 Saggitarius5

Saggitarius5

    Пользователь

  • Пользователи
  • PipPip
  • 91 сообщений

Отправлено 14 May 2017 - 01:48


Внимание ! Выкладываю инструкцию для лечения этой заразы !

 
Способ 1. 
 
для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.
1. Скачайте патч MS17-010 для нужной Windows 
https://technet.microsoft.com/en-us/library...y/ms17-010.aspx
 
2. Отключитесь от интернета.
3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
4. Вписываете эту команду в командную строку:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.
5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
7. Перезагрузите компьютер.
8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.
Вот и всё. У меня и моих друзей всё заработало.
Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspe...viruses/utility ; возможно скоро выйдет декриптор .wncry
Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
 
 
Если лечение не помогло то есть Способ номер 2 !
 
1. Регистрируемся на бирже криптовалют
2. Покупаем биткоины (сейчас он стоит по 100 тыс. руб. за одну штуку);
3. Переводим на кошелек злоумышленника. Ждем расшифровки файлов ...!

  • -2

#66 ISawa

ISawa

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 893 сообщений

Отправлено 14 May 2017 - 02:10

Шутка хорошая гуляет по сети в тему:

Скачал вирусов себе на линух.

 

Распаковал.

 

Поставил под root.

 

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

 

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

 

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

 

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

 


  • 8

#67 akaRev

akaRev

    Пользователь

  • Пользователи
  • PipPip
  • 267 сообщений
  • ГородБелгород

Отправлено 14 May 2017 - 12:48

Ну и как вишенка на торт, что в итоге имеем:

1. Доблестные "воины" из АНБ мифическим образом теряют куеву тучу инструментов для взлома ПК...

2. Группа чудных хацкеров со странным названием так же мифическим образом овладевает этими чудными инструментами

3. Эта же группа пытается продать эти инструменты АНБ за битки, но в итоге запросив нехилую сумму дружно были посланы

4. В итоге то ли обидившись на всех, толи ещё хз чё там - вываливают это барахло публике...

5. Некоторые товарищи, ознакомившись с этим барахлом сразу уведомляют, что возможна атака на дырявую мелкософтовскую поделку (об этой дыре правда уже трындят хз когда и все кому не лень...  нормальные люди хз когда уже закрыли эти дырки), даже сама мелкософт наконец-то соизволила выпустить заплатку.... Но у нас как известно самое стойкое и технически подкованное население, самые стойки банки и гос.органы :D

6. Спустя 2 месяца очень злые хацкеры опять таки с помощью злых инструментов АНБ устраивают чуть ли не самую масштабную атаку...

7. Все производители чудо антивирусов так же оказываются беспомощны перед "злобным" трояном - ну епть дыру о которой хз когда известно было они "нешмогли")))))))))))  И опять нерадивых пользователей пожурили, что надо обязательно пользоваться только платными версиями, ибо остальное негоже в борьбе со злющими троянцами, лезущими по 135 и 445 портам)))  только платные антивирусы с могучими файерволами могут героически закрывать дыры на этих портах... Сцуко)))))))))))

8. Выплату злобные хацкеры как водится запросили в битках, а для пущей анонимности воспользовались анонимным Tor (серьёзные ж пацаны, епть)

9. И вот уже раздаются со всех сторон вопли, что надо взять биток под колпак ибо не гоже, что все прибыля мимо "потных ручонок" банкстеров идут, похерить анонимность в сети ибо негоже что суперсекретные службы с миллиардными бюджетами не могут отследить каких-то сраных хакеров и проекты типа ТOR надо срочно прикрыть...  И тут наивный чукотский парень Алёша, три дня и три ночи изучавший секретный код самого секретного троянца, заметил что троян вовсе и не суперсекретный и отключается просто, достаточно домен с именем заморским из абракадабры суперсекретной зарегистрировать....

10. И вот вам "вишенка" (буду надеяться, что ошибаюсь): секретные инструменты АНБ+банки+спец.службы = PROFIT!!!!  а остальные в случае дальнейшего развития событий  - в ЖОПЕ :P

 

------------------

P.S. когда-то уже писал тут - что биток становится как бельмо на жо... тьфу ты на глазу...   :D  Посмотрим, скок он продержится, уж больно много желающих стало к нему ручки тянуть))))


Сообщение отредактировал akaRev: 14 May 2017 - 13:20

  • 5

.........


#68 Decker

Decker

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений

Отправлено 14 May 2017 - 15:52

Вот здесь - https://geektimes.ru/post/289115/ , выкладывали текстовик, включающий в себя ссылки с Microsoft'а на Update'ы для всех типов систем, включая и WinXP SP3 и т.п. На всякий случай вставлю сюда:
 

Скрытый текст

 

Все ссылки абсолютно рабочие, только что выкачал полный набор на внешний HDD "про запас".


  • 1
Another day - some other way ... [ SIGT pool "для своих" - Decker's Pool , 1% Fee ]

#69 Decker

Decker

    Пользователь

  • Пользователи
  • PipPip
  • 99 сообщений

Отправлено 14 May 2017 - 15:58

Заходит крипт, в основном через RDP порт, как правило через 3389, антивирь от него не спасает. Закрывайте порты, либо пароли усложняйте, и будет вам счастье.

 

Вообще-то нашумевшая история с Wana decrypt0r 2.0 / WannaCry никак не связана с RDP и 3389. Это так, к слову.


  • 0
Another day - some other way ... [ SIGT pool "для своих" - Decker's Pool , 1% Fee ]

#70 Karpet

Karpet

    Пользователь

  • Пользователи
  • PipPip
  • 386 сообщений

Отправлено 15 May 2017 - 19:51

А заражение всё ещё продолжается и кто то им выплачивает. Наивные... Тут все три кошелька в одном месте.


  • 0

#71 Wallkar

Wallkar

    Новичок

  • Пользователи
  • Pip
  • 21 сообщений

Отправлено 15 May 2017 - 21:29

Мне регулярно раз в неделю, бывшие клиенты звоянят, плачутся что инфу шифрануло (работал когда то в авторизованом сервисе). Печаль.  Самый "смешной" случай был это когда гос. структуре пришла почта от налоговой а там этот вирусяка :) 


Сообщение отредактировал Wallkar: 15 May 2017 - 21:30

  • 0

#72 Kavjlaeg

Kavjlaeg

    Продвинутый пользователь

  • Пользователи
  • PipPipPip
  • 859 сообщений

Отправлено 16 May 2017 - 11:02

https://blockchain.i...ijcRdfJNXj6LrLn Это третий кошелёк. Похоже их много. За два дня на полтора миллиона р. навымогали.
 

интересно,

https://blockchain.i...f7ce033d61e5405

они еще и майнили на этот кошель  :blink:


  • 0

моя классик p2pool BTC нода http://low-doa.mine.nu:9332/static/

моя хардфорк p2pool BTC нода http://low-doa.mine.nu:9334/static/

NO FEE%, Location Moscow, installed and configured by ISawa.

 


#73 Vaidokas

Vaidokas

    Новичок

  • Пользователи
  • Pip
  • 11 сообщений

Отправлено 17 May 2017 - 11:13

Еще со времен Windows 95 спасает несложный трюк: снимаем все галки в свойствах сетевой карты, оставляем только TCP/IPv4.

И все. 98% сетевых вирусов проходят мимо.

Если необходимо видеть Microsoft Network share folders / files / disks в сетке (на корпоративной сети, например) - еще оставляем галку у "Client for Microsoft Networks".

 

Но если стоит галка "File and Print sharing for Microsoft Networks" - к вам в гости постоянно будут лезть заразы всех мостей.

Прикрепленные изображения

  • network properties.jpg

Сообщение отредактировал Vaidokas: 17 May 2017 - 11:28

  • 3





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных