Вирус на 300 баксов

Игорь_Петрович

хмм можно поставить простейший мобилрек , если память не подводит , рублей 300-400 , на переднею панель корпуса будет удобнее, так копируюсь после прорыва системы охлаждения памяти компа

AlexeyOleynikov

Да, Константин, ставьте внешний съемный - ничего резать/паять не придется. Где то валяется. вот только старый, еще IDE.
Поэтому дома нашел тож старый, но рабочий винт на 300гиг и ручками слил важное - как раз 80% заняло. Дома архив часто не критичен.
А на работе каждую ночь конечно, носители физически другие, но не отключаются.

Aerorus

Всем привет!

Расковыряли на работе этот вирус (работаю в IT компании). Ну что сказать, вирус использует дырку в ОС Windows, никакой антивирь не спасет.
Мелкомягкие с пол года назад выпустили обновление, которое эту дырку закрывало. Соответственно все кто не поставил рискуют быть зашифрованными.
В случае если беда таки настала, отключайте хард, кладите на полку, когда дешифратор выпустят, можно будет из под Unix или Mac восстановить файлы.
Так как данные ОС запрещают автоматический запуск исполняемых файлов, то шифровка файлов сохранится, но файлы удалены не будут.
А вот если прицепить хард к винде, через n времени, то одномоментно все потеряете.

Как средство защиты можно использовать отдельный логический раздел для важных файлов с защитой доступа (т.е. при создании/редактировании/сохранении через пароль) в идеале с шифрованием.
Ну и конечно резервирование, делается просто, стоит не дорого, зато спокойствие полнейшее.

А вообще всем Ubuntu!

PS внешние диски не спасут, в случае если в момент атаки он будет подключен, потеряете данные и на нем.

Для англочитающих: bleepingcomputer.com/…/wannacry-wana-decryptor-wan…

ADF

Про линуксы - имхо все же нет. Есть стойкое впечатление, что линь адееватен лишь в двух случаях использования ЭВМ: либо как печатная машинка и тупления в интернете, либо если ты суперкркрутой программер и тебе для некой очень конкретной цели потребовался линукс.
Для прочих видов работ линукс - яки мопед на гонке мотоциклов: софт либо сырой, либо ощутимо уступает по функционалу, сред разработки раз-два инифига, гуй может изредка подлагивать так, что аж курсор мышы порализует - чего в винде не бывает! В общем, имеет линукс ряд недостатков для работы, или перестраивай весь пайплайн под сырой и чудом дошедший до релиза софт.

Aerorus

Вирус использует эксплоит ETERNALBLUE, которую закрывает выпущенное в марте обновление безопасности Microsoft MS17-010. Рекомендую проверить в центре обновления наличие такого обновления (по коду) на вашем компьютере (например, код для Windows 7 будет KB4012212 или KB4012215, или любой другой ежемесячный набор исправлений качества системы безопасности начиная с мартовского (2017 год)).

Если обновления не установлены, скачать их можно с официального сайта Microsoft:

technet.microsoft.com/en-us/…/ms17-010.aspx

Для старых систем (Windows XP, Windows Server 2003R2) Microsoft выпустил специальные патчи:

…microsoft.com/…/customer-guidance-for-wannacrypt-…

Закрываем порты 135 и 445

По отчетам антивирусных компаний, wcrypt проникает на компьютеры через порты SMB (Server Message Block). Для предотвращения проникновения, блокируем порты 135 и 445, через которые проникает вирус (в большинстве случаев они не используются обычными пользователями).

Для этого открываем консоль с правами администратора (cmd.exe -> запуск от имени администратора). И выполняем в ней поочередно 2 команды (после каждой команды должен быть статус OK)

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=“Block_TCP-135”

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=“Block_TCP-445”

Отключение поддержки SMBv1

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Конкретное обновление закрывающее уязвимость: kb4012212

PS протестировал на живой машинке: все 3 описанных способа работают, как вместе, так и по отдельности.

Владимир#

Добавлю. Автоматом винда не ставит это обновление. Так что если регулярно обновляете, всё равно проверьте.

ADF

Полез гуглить, кто такой этот SMBv1. Всюду - как его отключить или пофиксить в связи с вирусом, но нигде - о том, что это вообще за сервис (протоко?) и зачем он вообще нужен.

Просто превосходный пример, образец того, как преступно-безолаберно современные операционки спректированы. Очередной сервис, о полезности или нужности которого ничего не известно, но который имел полномочия на машине и доступ в сеть.

Aerorus
ADF:

Полез гуглить, кто такой этот SMBv1

Коряво, но для общего понимания достаточно: ru.wikipedia.org/wiki/Server_Message_Block
Overview: technet.microsoft.com/…/hh831795(v=ws.11).aspx

О тех кого это затронуло, и почему Россию коснулось больше всего:
Количество пиратских копий винды в рунете зашкаливает, отсюда и отсутствие последних обновлений.
Чтобы урегулировать количество пиратских копий и приучить юзеров ставить критически важные обновления небезызвестные агенства и компния запустили данный вирус.
Сейчас весь народ сломя голову побежит с сторы за лицензией винды и антивирями. А через недельку, загодя за 2-3 дня до дедлайна, выпустят декриптор.
Но это сугубо ИМХО, но на основе исторических данных.

Wit
Aerorus:

И выполняем в ней поочередно 2 команды

а в cmd скопировать эту строчку netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=“Block_TCP-135” от сюда можно, или надо руками забивать?

Wit

я копирую, а у меня почему-то кнопками не вставляется…

Forom

Кнопками не будет вставляться, только правой кнопкой мыши “вставить”

Панкратов_Сергей
Aerorus:

Уязвимость также можно закрыть, полностью отключив поддержку SMBv1.

А NetBT автозагрузку если отключить через панель управления- это одно и то же?

Wit

у меня всего один пользователь на компе, и этот пользователь админ, я задаю команду в cmd а он мне пишет что для этой команды нужны более высокие полномочия (выполните команду как админ)!
как мне в cmd зайти админом?

Forom

Если винда 8.Х и выше, WinKey + X, или правой кнопкой мыши на кнопке “Пуск” и выбрать “Командная строка (Администратор)”

Wit

у меня семёрка, 64 бита

теперь ещё проблема, скачиваю обновления, пытаюсь установить, комп мне пишет - не предназначенно для этого компьютера! 😃

Aerorus
Панкратов_Сергей:

А NetBT автозагрузку если отключить через панель управления- это одно и то же?

Нет, т.к. протокол использует около 100 пользовательских и 20 системных (а может и больше) команд, отключая автозагрузку вы ограничиваете доступ к нему пользовательским приложениям, но вы не отключаете использование протокола принудительно и в служебных целях. Его нужно отключать принудительно, исключительно из командной строки.

Wit:

как мне в cmd зайти админом?

www.outsidethebox.ms/10629/

Прямые ссылки на обновления
Windows XP SP3
…windowsupdate.com/…/windowsxp-kb4012598-x86-custo…

Windows Vista x86
…windowsupdate.com/…/windows6.0-kb4012598-x86_13e9…

Windows Vista x64
…windowsupdate.com/…/windows6.0-kb4012598-x64_6a18…

Windows 7 x64
…windowsupdate.com/…/windows6.1-kb4012212-x64_2dec…

Windows 7 x86
…windowsupdate.com/…/windows6.1-kb4012212-x86_6bb0…

Windows 8
…windowsupdate.com/…/windows8-rt-kb4012598-x64_f05…

Windows 8.1
…windowsupdate.com/…/windows8.1-kb4012213-x64_5b24…

Windows 10
…windowsupdate.com/…/windows10.0-kb4012606-x64_e80…

Windows 2003 x86
…windowsupdate.com/…/windowsserver2003-kb4012598-x…

Windows 2003 x64
…windowsupdate.com/…/windowsserver2003-kb4012598-x…

Windows 2008
…windowsupdate.com/…/windows6.0-kb4012598-x64_6a18…

Windows 2008R2
…windowsupdate.com/…/windows6.1-kb4012212-x64_2dec…

Windows 2012
…windowsupdate.com/…/windows8-rt-kb4012214-x64_b14…

Windows 2012R2
…windowsupdate.com/…/windows8.1-kb4012213-x64_5b24…

Windows 2016
…windowsupdate.com/…/windows10.0-kb4013429-x64_ddc…

Microsoft Update Catalog

Windows 7/2008R2
www.catalog.update.microsoft.com/search.aspx?q=401…

Windows 2012
www.catalog.update.microsoft.com/Search.aspx?q=401…

Windows XP/Vista/8/2003/2008
www.catalog.update.microsoft.com/Search.aspx?q=401…

Windows 10
www.catalog.update.microsoft.com/Search.aspx?q=401…

Windows 8.1/2012R2
www.catalog.update.microsoft.com/Search.aspx?q=401…

Windows 2016
www.catalog.update.microsoft.com/Search.aspx?q=401…

По всем вопросам- пишите, помогу чем смогу.

Forom
Wit:

у меня семёрка, 64 бита
теперь ещё проблема, скачиваю обновления, пытаюсь установить, комп мне пишет - не предназначенно для этого компьютера! 😃

Виталий, не заморачивайтесь, если речь идет о домашнем компе (ноуте) и он подключен к интернету через роутер, никакой вирус на комп из вне не пролезет, т.к. 99% всех роутеров имеют файервол где все порты по умолчанию закрыты. Опасность заражения есть только если комп на прямую подключен к провайдеру интернета (на пример через PPoE или GSM модем).

Wit

ага, спасибо Павел! порты закрыл, а вот название функции “SMB1Protocol” пишет - неизвестно, пишет надо заходить в “/Get-Features” и искать там самому…

Forom:

не заморачивайтесь

да да… то-то мне по 4 раза в месяц комп взломать пытаются… 😁

Forom
Wit:

да да… то-то мне по 4 раза в месяц комп взломать пытаются…

На чем основано Ваше утверждение? Вы смотрели логи? Для того чтобы “добраться” до вашего компа, нужно как минимум “взломать” Ваш роутер, чтобы настроить маршрутизацию на Ваш комп, вот тогда можно “пытаться” взломать комп.
В большинстве случаев взлом компа решается только через бэкдор, который пользователь должен запустить у себя на компе.

Aerorus
Forom:

подключен к интернету через роутер, никакой вирус на комп из вне не пролезет, т.к. 99% всех роутеров имеют файервол где все порты по умолчанию закрыты

Бред пишите.
Порты 135 и 445 это системные протоколированные порты Microsoft, они открываются и закрываются по командному запросу. Firewall не отслеживает содержимое пакетов передаваемых через эти порты (да и вообще Firewall это не межсетевой экран) В данном случае абсолютно все firewall бессильны, так как это, повторюсь, документированый протокол Microsoft, соответственно системные порты и используются они по прямому назначению.
Грубо говоря на firewall по умолчанию задано, что через порт 135 и 445 можно проходить только по протоколу SMB, что собственно и произошло.
Гораздо хуже то, что на всех роутерах firewall по умолчанию перенаправляет порты, другими словами вирус стучится на роутер, а уже роутер посылает его вам.
Про порты: ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP
Методичка для тех, кто в танке: drive.google.com/open?id=0ByrI8DsWOPJxVUdwOE5GeVNQ…