24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
--------------------------------- КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! 2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ 3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ 4. СКОПИРУЙ СЕБЕ НА СТЕНУ
-------------------------------- Про ВИРУС, распространение и история: Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США. Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет. В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео. В этом наборе есть опасный инструмент DoublePulsar. Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers >Сканнер сети который они сами написали на C/Python >Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере >Вбивается определенный IP диапазон или целая страна >Скрипт сканирует диапазон на открытый 445 порт >В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера >эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется. -------------------------------- НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение) --------------------------------- СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК: https://vk.com/wall-28464698_720473 --------------------------------- Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно. ---------------------------------- ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП
>>152968566 (OP) БЛЭТЬ, АНОНЫ, НЕ ВЕДИТЕСЬ!!! ХАКЕРЫ ЗНАЮТ, ЧТО ДВАЧ САМАЯ ПОПУЛЯРНАЯ БОРДА В РОСЕИ И ЗА РУБЕЖОМ И ЧТО ДЛЯ АНОНОВ ОЧЕНЬ ВАЖНЫ ПАКИ С ЛОЛЯМИ И СМЕШНЫМИ ПЕПЕ!!! ХАКЕРЫ СЕМЕНЯТ И СКИДЫВАЮТ ЛИНКИ НА УЖЕ ЗАРАЖЕННЫЕ ОБНОВЫ ВИНДЫ, ЧЕРЕЗ ПАРУ ДНЕЙ ВИРУС ПРИДЕТ В СТАДИЮ ПОРАЖЕНИЯ ФАЙЛОВ И ВАШЕМУ ДОБРУ ПРИДЕТ ПИЗДА!!! ЗАПОМНИТЕ МОИ СЛОВА, ЭТО ПРОРОЧЕСТВО!!!
ВОТ КАК ДОЛЖЕН ЗАЩИЩАТЬСЯ ПРАВОСЛАВНЫЙ ГОСПАДИ, ЗАЩИТИ МЕНЯ ОТ ВИРУСОВ ЗЛОКОЗНЕННЫХ , СОХРАНИ ФАЙЛЫ МОИ В ЦЕЛОСТИ, ДА УСТОИТ МОЙ ФАЕРВОЛЛ, ДА НЕ СКАЧАЕТ РУКА МОЯ ФАЙЛ ИСПОЛНЯЕМЫЙ ИЛИ ПОРНОГРАФИЧЕСКИЙ.
>>152968704 СЕРЬЕЗНО, ЗАДУМАЙТЕСЬ!!! ПОСМОТРИТЕ НА КАРТУ ЗАРАЖЕНИЯ, В РОССИИ НЕ ТАК УЖ И МНОГО ПОКА ЗАРАЖЕНО. ОНИ ПОД ВИДОМ СВОЕ ЧЕЛОВЕЧКА ШЕПЧУТ КАБАНЧИКОМ НАМ ЧТО ЕСТЬ ВАКЦИНА ОТ ВИРУСА, СКОРЕЕ ОБНОВЛЯЙТЕСЬ!!! И КИДАЮТ ЛИНКИ НА НЕЗАЩИЩЕННЫЕ САЙТЫ, А ВЫ САМИ СТАВИТЕ ВИРУС НА СВОЙ ПК
>>152968709 >Компы с Эльбрусом используют собственную систему на линухе Какую, на хуй, систему? Операционную? Тогда с таким же успехом можно написать, что процы амудэ используют собственную систему на линуксе.
>>152968799 >но по моему собственноручно написанная лучше ну я же не пердолик 80 уровня, чтобы свои оболочки писать. я выбираю из того что имеется, на данный момент перепробовал почти все оболочки, остановился на КДЕ потому что она показалась мне самой удобной
При чем здесь вообще SMB& Поддержка общего доступа к файлам SMB 1.0/CIFS – эта функция обеспечивает совместное использование файлов и принтеров с компьютерами, работающими под управлением более старых версий Windows, начиная от Windows NT 4.0 и заканчивая Windows XP и Windows Server 2003 R2. Протокол SMB может быть использован в других операционных системах, таких как Linux или OS X для связи с устройствами на Windows. Если такие компьютеры есть в вашей сети, этот компонент лучше оставить включенным.
>>152968870 Операционную. Просто давай так: обычные плебы сидят на вин7 и не обновляются, ведь их админ - обычное быдло, а все нужные компы и на эльбрусе, и на линухе. Типа, пытаются закрыть все уязвимости(из-за АНБ).
>>152968566 (OP) >HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Как в повершле эту команду скопировать?
Йобаный двач, напугали меня вчера этой пиздотой, решил накатить апдейт на свою пиратскую винду и она сломалась к хуям без всякого вируса. Пришлось переустанавливать, лол. А еще оказалось что порты то у меня все закрыты и пиздота все равно бы не пролезла
>>152969091 Включи логику... Ты качаешь патч с незащищенного сайта, хакеры активно форсят это решение проблемы тут - на дваче, т.к. лучшая в мире борда + аноны дорожат своими паками, в итоге через дней 5 вирус активизируется и вам все пизда
>>152969112 Комп начинает тормозить, появляются рандомные процессы с распределённой нагрузкой, в корневой директории системного диска создаются экзешники с укороченными названиями.
>An information disclosure vulnerability exists in the way that the Microsoft Server Message Block 1.0 (SMBv1) server handles certain requests. An attacker who successfully exploited this vulnerability could craft a special packet, which could lead to information disclosure from the server. >To exploit the vulnerability, in most situations, an unauthenticated attacker could send a specially crafted packet to a targeted SMBv1 server. >The security update addresses the vulnerability by correcting how SMBv1 handles these specially crafted requests.
>>152969196 Порты закрываются в брандмауэре, а вообще если у тебя брандмауэр работает в режиме "все что не разрешено - запрещено" то можешь и не закрывать. Протокол отключается через повер шелл, в шапке все написано.
>>152969162 >>152969197 > КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО КО
>>152969087 Бля, я вот тоже боюсь ебать пиратку всякими обновлениями. Как я могу проверить порты? Только через энтот PowerShell? А он пиратку не завалит? я тупенький
>>152969040 Аналогично, плюс не перезагружал комп 4 месяца а обновления вообще ни разу не качал за три года, полет нормальный, зависимость есть, брат жив
>>152969204 Нахуя вам про версия? Вы что, поехавшие? Вангую, что в нормальной даже нет этого SMB говна. Поэтому заражаются только пидорахи, только вы ставите еба про супер репаки.
Короче, пытался закрыть порт по всякому, вроде получилось, в нетстате его не вижу, но 135 по прежнему открыт. Закрывал везде до чего добрался, удалил из сетевых подключений доступ к принтерам и прочим службам. В реестре изменил и убрал парочку параметров, сделал батник который тут http://www.grouppolicy.biz/2017/03/how-to-disable-smb-1-on-windows-7-via-group-policy/ Хотел через автозапуск засунуть, но не получается. Через рунас пробовал. В интернеты не выхожу пока. Сижу через планшет.
>>152969299 У меня этот брандмауэр тупо отключен, я так понял можно не париться? >Протокол отключается через повер шелл, в шапке все написано. А. Это на семере. Для десятки это будет 3 пик, да?
>>152969464 > 2017 > не иметь роутера У меня ещё запрос всплывает на любое активное подключение или запуск программы. >>152969522 21, 22, 53, 139, 443.
>>152969258 Нет, лтсб - петушиная версия с задержкой критических обновлений на год, лол. Enjoy viruses, здоровых людей на Хоум и про это говно обойдет.
>>152969608 У меня на ноуте диплом, и пак пикч. Все бекапы делал ещё вчера. Винда 7 не обновляется уже года три, а то и больше. Просто не хочу ебаться с переустановкой кучей нужных программ для написания диплома.
Мак ос Кун врывается и ссыт на всех нищих шиндовсоблядей. Пиздец вы убогие, жалко вас. Мало того что эта хуйня неудобная, лагающая так ещё и безопасность как у куска затвердевшего говна на ваших губах
> Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. > Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы. > > Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов. > > Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения. > Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.
>>152969337 Ставлю про чисто из-за битлокера. Охуенно удобно флешки шифровать, знаю, что против анб не защитит, но личные фотки и документы от васянов - гарантированно.
>>152968961 ПОЛНОЦЕННО ЖДУ ДЕШИФРАТОРА Я ПОЛНОЦЕННЫЙ Я ТАКОЙ ДА ДАЙТЕ КТОНИБУДИ ДР ВЭБ ДЕКРИПТ КАК ПОЛЬЗОВАТЬСЯ ПОЛНОЦЕННО ВМЕСТО РАР ТОЧКАВАННАДЕКРИПТ.
Сижу на ворованной спермерке от Васяна. Последние обновления датируются 2010 годом. На всякий случай достал запыленную болванку и протер. ЧЯДНТ? Чому все паникуют и качают анальные зонды?
>>152969751 > Мак ос Кун врывается и ссыт на всех нищих шиндовсоблядей. Пиздец вы убогие, жалко вас. Мало того что эта хуйня неудобная, лагающая так ещё и безопасность как у куска затвердевшего говна на ваших губах
>>152969760 >>152969732 >>152969726 >>152969720 >>152969714 Как же заебал этот свинарник. Одни нихуя не знают, другие стесняются дать совет, потому что их назовут ньюфагами и обоссут. Я за три треда так и не увидел внятного гайда, как проверить пеку без всяких обновлений, неужели его так сложно запилить???
>>152969905 > Как же заебал этот свинарник. Одни нихуя не знают, другие стесняются дать совет, потому что их назовут ньюфагами и обоссут. Я за три треда так и не увидел внятного гайда, как проверить пеку без всяких обновлений, неужели его так сложно запилить???
Пацаны с линухой. Что вы для мультимедия и офиса делаете? Опенсурс уверенно говно, всегда. Из годного только инскейп полумертвый только нашел. Музыка/дисигн/графика. Что делать и куда нажимать?
Поясните про порт 445. Его открывает вирус или он изначально указан в винде? Вот у меня сейчас в "Мониторе ресурсов", во вкладке "Сеть" он есть, при этом указано, что он "Не разрешён\Не ограничен". Проверяю его на сайте 2ip.ru, указывает, что порт закрыт, хотя то же самое он говорит и про другие порты, которые "разрешены". В роутере указан только порт для uTorrent. Хотя, подозреваю, что это ничего не значит. Вчера ещё поставил обновление KB4012212. Обезопасил ли я себя?
>>152969905 Если у тебя стоят все последние обновления, то все нормально. Это же очевидно. Заражаются ПК, пользователи/сисадмины которых не удосужились включить автоматические обновления, в которых давно закрыли уязвимость. Поэтому и заражаются терминалы и прочее говно, а в рашке заражается вообще всё, потому что местные сисадмины в гос учереждениях в своем большинстве тупые и по каким-то причинам автоматом вырубают обновления системы, много раз видел такое.
>>152969552 Роутер стоит на границе между интернетом и локалкой, а внутри сети то обычно запретов нет, поэтому один зараженный комп заражает все в локалке. А у них наверное для удобства файл сервер торчал в интернет, чтобы хипстеру 300к/сек удобнее из дома работать было.
>>152969905 >Как же заебал этот свинарник. Одни нихуя не знают, другие стесняются дать совет, потому что их назовут ньюфагами и обоссут. Я за три треда так и не увидел внятного гайда, как проверить пеку без всяких обновлений, неужели его так сложно запилить???
Так, подождите. Тоесть ещё остались в мире люди, которые сидят на прошивке для мультиплатформы? Вы ебанутые? Что вы там делаете? Файлы на скорость расшифровываете? Серьёзно, нахуя? Десятка же наглядно показала где она крутит пользователей, виндавус мёртв, камон.
>>152969766 >но дала время другим установить обновление Windows, после которого вирус не работает. Не палятся. Короче это как взрывы в метро, яснопонятно.
>>152969999 Потому что это говно. Этот тред это подтверждает, дрисня лтсб получит обновы против этого говна наверное только через полгода, дрисня хоум и про антивирусом уже давно такое говно детектят. Офк если юзер не даун и обновляется.
>>152969013 Обнова с сотней бэкдоров, которые будут сливать в кгб скрины твоего экрана даже при использовании тора. Пока, анон. Привет, Иван Иванович Иванов 1990 г.р. село Петушки Кемеровской области, улица Мира, дом 13, вход со стороны дома 15.
>>152970387 > Хуль ты пиздишь. В ltsb намного меньше уязвимостей хотя бы потому, что хуиты встроенной меньше. А эта там не работает. Говноед порвался. Система с нормальными обновами априори надёжнее.
>>152970260 Мда, тут может помочь только солнцеликий, чтобы сказал с экранов, мол "Раб, иди обновляйся!", чтоб каждая бабушка и каждый сотрудник Сбербанка пошёл и изменил настройки в Windows Update, вот тогда заживём!
Все документы в драйве, фоточки в айклауде, музыка в спотифае, работа на гитхабе. Как можно в 2017 году хранить все у себя на компе и бояться каких-то вирусов я не понимаю.
>>152970384 Ладно, попробую, но этому доктору доверяю не особо, т.к. он майнеры не видит. Кстати, вот такая проверка пека вообще работает или это просто лучшечемничего?
ахахах 300 долларов? у автора этой хуйны ебло не треснет, это блять 3\4 моей зарплаты, они там совсем ебанулись? какой дебил будет 300 долларов отдавать мне проще компьютер в окно выкинуть и забыть, чем палец сосать до след. зарплаты
>>152970781 Самое лучшее это сканить спай хантером, найдешь кучу того о чем ты даже не подозревал, отвечаю. Я только им смог вычистить какую-то хуйню которая постоянно качала откуда-то exeшники в temp, а аваст их палил и удалял.
With the Build conference last year, Microsoft brought the ability to use Linux binaries from within Windows 10 using the Bash shell. This year, the Build 2017 conference brings SUSE, Ubuntu, and Fedora to the Windows Store.
>>152970852 А теперь представь, что в большинстве странах Европы, странах Северной Америки и даже некоторых арабксих, 300 долларов это как для тебя 1-2к рублей.
>>152970972 ну хули в великой стране живём, знаю я что хуёвая жизнь. ну а хули сделать то, плана действий конкретный по улучшению жизни нет, поэтому сидим и заваливаем ебло
Аноны, ставьте запрет на запуск файлов формата scr Поставил я значит у себя, нечего не произошло, посоветовал челу, он проигнорил, в итоге сидит сейчас в игры с дисков играет. Всем удачи, да обойдёт тебя эта дрянь стороной, во имя святого билла гейтса
>>152971293 >Обеспечивает непрерывную защиту от новейших вредоносных программ Стоп. Это постоянный антивирус, а не разовый лекарь? Бесплатный не очень говно?
>>152971339 Бесплатный самое то, все серьезное говно удалит, а вот зонды уже ручками чистить придется. Как постоянный антивирь его использовать не советую ибо ресурсов он жрет за троих. Чисто включить, просканить и выключить.
>>152968985 Харкач, не могу читать весь трэд, по сабжу: я сижу на хуях десятой шинде, недавно пришло обновление, которое я проигнорил, наверное все ещё висит не апдейтнутое, мне обновиться нужно или чё?
>>152971444 Ладно, спасибо. Я пока докторвеба запущу, он с включенными интернетами много статистики отправляет? И если вдруг ты разбираешься, скажи пожалуйста, как все-таки заражается пека? Я так понимаю, не через скаченные писечки.exe, а даже без специального вмешательства юзера?
>>152971159 Аноны, ставьте клизму с хлоркой в пропорции 10/1 от геморроя Поставил я значит себе, нечего не произошло, посоветовал челу, он проигнорил, в итоге сидит сейчас с птичьим гриппом. Всем удачи, да обойдёт тебя эта дрянь стороной, во имя святого йобы и пепе
>>152971576 Идет скан портов, если 445 порт открыта может и не только через 445 порт, хз у меня в брандмауэре все входящие подключения идут через блеклист то через него по протоколу SMB1 как-то хитровыебанно забрасывается exe файл, со следующим запуском он авторанится и пошло-поехало.
>>152968566 (OP) Понял кажется, почему в России больше всего заразилось!
Хакеры мониторили двач, где уже почти полгода создаются успешнотреды ака "МОГУ СЕБЕ ПОЗВОЛИТЬ-ТРЕД". Так они решили, что в этой стране зарплаты не меньше 300к/сек и 300$ - сущие копейки для всех.
>>152969614 >У меня этот брандмауэр тупо отключен Вот это зря, очень зря. Я тебе всеже настоятельно советую включить брандмауэр и настроить его как на картинке >>152969299 Для десятки, да пик 3 +обнова одним зондом меньше, одним больше, подумаешь...
ВНИМАНИЕ ВИРУС ПРОНИК В СОЦИАЛЬНУЮ СЕТЬ "ВКОНТАКТЕ" НЕ ОТКРЫВАЙТЕ СООБЩЕНИЯ ОТ ДРУЗЕЙ И НЕЗНАКОМЫХ ПОЛЬЗОВАТЕЛЕЙ БЛЯДСКИЙ КОТИК ЗАНИМАЕТСЯ РАССЫЛКОЙ ВИРУСОВ
ТРЕД №9
Пердолики, спермобляди и все твои друзья уже скачали обновления с анальными зондами, а ты всё сидишь, как сыч
Первый тред: https://2ch.hk/b/res/152930021.html
Второй тред : https://2ch.hk/b/res/152936528.html
Третий тред: https://2ch.hk/b/res/152941163.html
Четвертый тред: https://2ch.hk/b/res/152957092.html
Пятый тред: https://2ch.hk/b/res/152959752.html
Шестой тред: https://2ch.hk/b/res/152961419.html
Седьмой тред: https://2ch.hk/b/res/152964032.html
Восьмой тред: https://2ch.hk/b/res/152966390.html
-------------------------------
ПРЕДИСЛОВИЕ:
_____
Началось массовое заражение криптовирусом по всему миру. На данный момент известно о больницах в Лондоне, ГИБДД и МВД России, Мегафоне. Запасаемся попкорном и ждем развития событий.
https://nation-news.ru/264825-virus-zakralsya-v-informacionnuyu-sistemu-gibdd-istochnik
https://meduza.io/news/2017/05/12/v-britanskih-bolnitsah-odnovremenno-proizoshel-tehnicheskiy-sboy-hakery-zablokirovali-kompyutery-i-trebuyut-vykup
http://m.pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
------------------------------------
ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
http://www.catalog.update.microsoft.com/Search.aspx?q=4012215
http://www.catalog.update.microsoft.com/Search.aspx?q=4012212
-----------------------------------
Для Windows 7:
SMBv1 отрубается на семёре через PowerShell командой
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Как найти PowerShell
Нажимаешь на "старт", внизу есть поле поиска, набираешь PowerShell и запускаешь с правами администратора.
Для Windows 10
Третий пик в ОП посте
Требуемый апдейт MS17-010
https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
ПРЯМЫЕ ССЫЛКИ НА ОБНОВЛЕНИЯ
Windows 7 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8.1 x86 http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu
Windows 8.1 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ
4. СКОПИРУЙ СЕБЕ НА СТЕНУ
............/´¯/)...............(\¯`\
.........../...//....ЗДОХНИ..\\...\
........../...//......ВИРУС.....\\...\
...../´¯/..../´¯\.ЕБАНЫЙ../¯` \....\¯`\
.././.../..../..../.|_......._|.\....\....\...\.\
(.(....(....(..../..)..)…...(..(.\....)....)....).)
.\................\/.../......\...\/................/
..\.................. /.........\................../
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
https://geektimes.ru/post/289115/
----
Еще про распространение:
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
--------------------------------
НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение)
---------------------------------
СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК:
https://vk.com/wall-28464698_720473
---------------------------------
Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно.
----------------------------------
ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП