24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Запустил от имени админа но теперь вообще ноль реакции на команду так и должно быть. это нормальное поведение. Говорит о том, что команда применилась
Для Windows 10 Третий пик в ОП посте --------------------------------- КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! 2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ 3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ -------------------------------- Про ВИРУС, распространение и история: Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США. Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет. В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео. В этом наборе есть опасный инструмент DoublePulsar. Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers >Сканнер сети который они сами написали на C/Python >Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере >Вбивается определенный IP диапазон или целая страна >Скрипт сканирует диапазон на открытый 445 порт >В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера >эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется. --------------------------------- Интерактивная карта распространения вируса в режиме реального времени https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру --------------------------------
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение) --------------------------------- СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК: https://vk.com/wall-28464698_720473 --------------------------------- В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного. --------------------------------- Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно. ---------------------------------- ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП
Здравствуйте, я американский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
>>152974689 Нет. Вирус рассчитан на успешных людей, с нищебродов на XP нечего взять. Табличка с требованием 300 баксов на компьютере с Windows XP, выглядит как вымогательство миллиона долларов с грязного бомжа на помойке.
>>152974761 > Вирус рассчитан на успешных людей > Основное место заражения - рашка > Из 60к+ заражённых задонатили всего 45 > > Вирус рассчитан на успешных людей
Здравствуйте, я русский вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted. If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely! Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption. Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Next, please find an application file named "@[email protected]". It is the decrypt software. Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption. We will decrypt your files surely because nobody will trust us if we cheat users.
>>152974813 Ну ты же понимаешь, что это зависит от настроек браундмауэра. Если порт открыт для локалки то всё норм, а если он смотрит в Интернеты то пезда.
ВНИМАНИЕ МАМКИНЫ ЗАКРЫВАТЕЛИ ПОРТОВ Сейчас же откройте cmd.exe от имени админа и пропишите netstat -an Если там есть 445 пор, то хуй вы чё закрыли, а не порт. Это значит вас всё еще могут трахнуть в задницу.
>>152974898 Попадает через воздух, кровь, через пару минут человек не контролирует себя, очень похоже на вирус бешенства у зверей, он тоже бросается на всех подряд и кусает
Вчера он у меня съел jpgшки, сегодня видосы и txt. Антивирусы говорят ЗАРАЖЁННЫХ ФАЙЛОВ НЕ ОБНАРУЖЕНО))))))000 Слетело обновление шиндоус, накатить их не могу, а вговорят только оно может защитить от вируса. Что делоть
>>152974934 >We will decrypt your files surely because nobody will trust us if we cheat users. БЛЯ РЕБЗИ МЫ КОНЕЧНО ВАМ ПЕКУ ЗАШИФРОВАЛИ НО МЫ РЕБЯТА ЧЕСТНЫЕ БЛЯ БУДУ ОБМАНЫВАТЬ ВАС НЕ БУДЕМ БАЗАРЮ НАХУЯ НАМ ЛЮДЕЙ ОБМАНЫВАТЬ
Заражено NHS (uk) turning away patients, unable to perform x-rays. Telefonica (spain) power firm Iberdrola and Gas Natural (spain) FedEx (us) University of Waterloo (us) Russia interior ministry & Megafon (russia) Сбера bank (russia) Shaheen Airlines (india, claimed on twitter) Train station in frankfurt (germany) Neustadt station (germany) the entire network of German Rail seems to be affected (@farbenstau) Russian Railroads (RZD), VTB russian bank Portugal Telecom
ЛЮДИ ВЫХОДЯТ НА УЛИЦЫ!!! Пострадавшие от вируса люди городов выходят на улицы, устраивают собрания для решения данной кибер-проблемы. Все надеятся на Двач. Уже атака достигла Сургут, Нижний Новгород и Казань
>>152974400 (OP) Работаю в ГазпромТрансгазТомске, у нас пока все тихо. У РАБочих интернета нету. У сисадмина кашперский и порты закрыты. Вируса вроде нету. Хотя в пятницу один бегал и бугуртил, что что-то не запускается
>>152975090 Но его можно удалить? понятно что файлы не вернуть, но от самого вируса можно избавиться? я его вручную из папок типа Program Data успешно удаляю
Здравствуйте, я ubuntu вирус. По причине ужасной бедности моего создателя и низкого уровня развития технологий в нашей стране я не способен причинить какой-либо вред Вашему компьютеру. Поэтому очень прошу Вас, пожалуйста, сами сотрите какой-нибудь важный для Вас файл, а потом разошлите меня по почте другим адресатам. Заранее благодарю за понимание и сотрудничество.
>>152975146 Заебали копировать шапку с говном! Нормально инструкцию надо писать - PowerShell, запускать от администратора, если не сработало - вручную через regedit добавить.
>>152975204 Нет, пруфов вообще нет. Вообще обновление закрывающее дыру было еще в марте. Плюс у многих порты закрыты. Остальные, если их реально залочило, сейчас заняты ПЕРЕУСТАНОВКОЙ ШИНДОУС а не фотканьем пруфов
>>152975285 Да ну, это реально говнослужбы которым незачем светить. Еще 22 забыл. У меня вообще разрешены только 80 (http) 443 (https) и еще пара для торрентов и DC++
Так, а производители антивирусов будут как-то отвечать за свой проеб, платить компенсации и тд? Человек покупает продукт/услугу, а она не исполняет своих обязательств.
>>152974400 (OP) Обновился через центр обновлений на семёрке, но почему-то номер самого обновления отличается от того, что указан и в статье из ОП-поста, и на сайте мелкософта.
>>152975391 Ты недооцениваешь непредсказуемость тупизны. Ты забыл уже историю про двух кассирш из сбера, укравших несколько десятков лямов рублей, и пошедших на следующий день феррари покупать? Вымогатели принципиально ничем не отличаются. Более того, они даже могут не до конца разбираться в рассылаемом зловреде, т.к. покупают основную его часть.
Чёт я не раздупляю посоны, как эта хуйня распространяется, если большинство домашних пека за роутером, соответственно 445-м наружу не светят? Что за наебалово? А в организациях-то и тем более
Анон, если я быстро скачаю обнову на свою семерку с сайта мелкомягких, то все будет нормально? Проснулся, а тут такой пиздец, вирусы всякие, охуеть вообще!
>>152974400 (OP) Если мой айпи недоступен из вне, мне нечего бояться? ПС: это тот самый знаменитый шифратор-вымогатель? Ему лет больше чем местной пиздюшне
А если винду переустановить, то вирус пропадет? В смысле, у меня нет особо важной инфы на пекарне, все игры в стиме есть, музыку я слушаю через спотифай, фильмы качаю и сразу удаляю после просмотра, важные документы на облаке гугл драйва висят.
>>152975904 Ну вот фоточка с лаборатории выше - там что эти два компа напрямую в интернет подрублены? Хуй поверю, думаю что есть альтернативный вариант распространения этого вируса
Добавьте в хосты Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы
Посоны, сделал команду из шапки для шin 7, до этого еще вчера гуглил как закрыть порт 445, правил параметры в реестре как там сказано. Алсо перезагружался после этого и тогда, и сейчас, но у меня 0 реакции, netstat показывает что его слушоют. ЧЯДНТ? >>152974937
>>152974400 (OP) >КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ? > >В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется
Лол, обосрался с даунича. Чтоб сканировать, надо отправить запрос и получить на него ответ. Как ты получишь ответ, если поменял адрес отправителя на рандомный?
И к чему это приведёт? Мне кажется, что это всё непросто так, быть может заговор, быть может спланированное отвлечение внимания. Вот только кем и для чего?
>>152976048 Блять, критин ебанутый. Там я написал просто что после живодерок (из ближайших массовых собитый) такого тредосоздания не было. Мань, ну что ты? на няшу
>>152975936 Я никак не думаю, так как вирусы некоторые на столько хитрые, избавить от них можно только отфармотировав вообще все, чтобы после переустановки вирус обратно не залез в венду. А есть такие, что после переустановки просто пропадают. Но это все так давно было, я вообще не знаю, как вирус подцепить, если это не такой вот хитрый, который автоматом по открытым портам шароебится.
>>152974400 (OP) > В случае удачного обнаружения SMB сервиса, посылает эксплойт > программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется. Не понял, как она определяет обнаружение, если обратный адрес — рандомный? Как отсылаются пакеты с ответом в обратную сторону, если её адрес не настоящий?
>>152976234 Да, именно, через SMB. Но на самом деле достаточно сервер заразить, чтобы зашифровать файлы в локалке. А заражение компов это скорее уже побочный эффект.
>>152975612 Это криптор. Если он у тебя есть, то все, не лечится. Закрой 135 и 445 порты, отключись от локальных сетей и отруби SMBv1, тогда не пролезет.
На пикабу татарстанец написал сщо у них в МВД компы на ХР по пизде пошли. На ХР можно и без всяких новых вирусов через 445. Дебилов полон свет, но думаю в этом тхреде уже всё обсуждалось. Пакеда
>>152976079 Как это проверить? Я постоянно слышу про проброс портов и подобное гавно. Нихуя не понимаю что это значит. Как проверить. И как таки закрыть? Это на роутере делается?
>>152975509 лфс нужна скорее чисто как вещь для получения опыта. Работать серьёзно на ней нельзя. Любой адекватный человек уже давно сидит на пакетных дистрах, делая минимальную установку и докидывая необходимые пакеты.
>>152976301 У меня вчера началось, в треде писал. Съедены jpg, текстовые файлы и видосы. Просто я вытиран войн с вирусами и нахожу где лежат их главные файлы в системных папках лучше всех антивирусов вместе взятых, и удаляю их анлокером. Потом уже прогоняю комп антивирусами. И вот настал тот момент когда я удалил что-то не то. Ёбаный стыд.
>>152976213 Я уверен что на твоем компе шароебится дохера вирусни, просто они нихуя не ломают, а только отсылают данные. Пароли, фотки, видосики, скрины камеры... etc.
>>152976420 я хз, я похуист, цп не храню, рефераты не пишу, игры у меня в стиме, так что мне похуй, но вообще все пиздят про 445 порт, я на 2ip.ru посмотрел, написано, что закрыто.
>>152976447 Как забавно, что вытиран борьбы с вирусом подхватил эту хуйню, а Васяны с харкача которые кнопку выключения ПК по полчаса ищут так и не подхватили. По-крайней мере ни одного пруфа не было.
>>152976455 >>152976468 Палехче, пасаны, у меня пека чисто для игор и втыкания в браузер, я никогда не интересовался администрированием и прочим в этом духе.
>>152976464 Ну, если не ломают ничего, то и пусть. У меня обычная защита от вин10 врублена, думаю этого достаточно. Ну и ногда прогоняю проверку какую нибудь, вроде Кьер ит! от др веба. Алсо, если вирусы и есть, то они какие-то хуевые и ни один пароль у меня никогда не крали.
Хочу запустить данный вирус на виртуальке. Велика ли вероятность, что этот вирус пойдет по домашней сети? У меня три компа, все три в домене, если ли опасность ставить эксперимент?
>>152976004 Двачую инфу про ржд. В прошлом треде еще писал, что папка в главной конторе запсибмагистрали работает, там много компов зразилось. >>152976686 В брандмауэре создай правило. покопайся там в настройках, найдешь как
>>152976694 Такая себе отговорка. Век технологий. У многих по несколько ПК, планшеты или телефоны для доступа в интернет есть практически у каждого. Да и винда новая 15 минут переустанавливается.
>>152974976 Поясняй как закрывать. Через фаервол комодо закрыл вроде как. нетстат говорит листенин: TCP_______0.0.0.0:445__________0.0.0.0:0 ________LISTENING TCP_______[::]:445__________[::]:0 ________LISTENING
>>152976704 > Если напрямую к интернету подключишься и нету той последней обновы от микрософт - то да Ну я через роутер сижу. 11го мая прилетела обнова безопасности, сейчас качается Creators Update
Аноны, вчера подхватил эту хуйню, снёс винду. На дваче еще вчера тред создал, я так и думал что это хуйня позаражает дохуя компов. Вчера еще компы в МВД этот вирус заразил, кароче я хз откуда он мог проникнуть, но будьте на чеку. Слейте все свои важные файлы на флешку/съемный диск. Мне кажется что он проник с каким то обновлением, т.к ничего не качал за вчерашний день.
>>152976112 РЖД кстати пизда. У них там собственная локалка завязанная на организации по всей стране. Безопасники там пинают хуи с момента зарождения вселенной. мимобезопасник-ушедший-после-1года-работы-в-этой-говноконторе
Значит так тупорылые маняхуесосышкольники. Обьясняю первый и последний раз. Вирус ета вам не динува, рано или поздно доброхакиры сделают декриптор, который расшифрует ваши недопека. Поэтому если есть возможность пользуйтесь вторым винтом и ставьте туда шиндовс а зараженный пусть лежит если там чтото важное. Таких вирусов было и будет всегда, как и декрипторов от них
>>152977017 Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016. 1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-01... 2. Отключитесь от интернета. 3. Откройте командную строку (cmd) от имени администратора. 3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора 4. Вписываете эту команду в командную строку: netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445" 4.1 Нажимаете Enter => Должно показать OK. 5. Заходите в безопасный режим 5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим" 6. Найдите и удалите папку вируса 6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку. 7. Перезагрузите компьютер. 8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010 8.1 Во время установки подключитесь к интернету. Вот и всё. У меня и моих друзей всё заработало. Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
Microsoft выпустила обновления уже не поддерживающихся систем для борьбы с вирусом-вымогателем спустя почти сутки после начала атаки компания всё-таки решила выпустить экстренные обновления для Windows XP, а также Windows Server 2003 и Windows 8.
Почему у меня на всех пк ничего не случилось? в наличии 2 лэптопа с вин10 и пека с пиратской спермеркой, на ноуты залетели какие то обновы вчера, нужно ли что то делать или похуй?
>>152976648 > вытиран борьбы с вирусом подхватил эту хуйню Тык вытираны как раз и подхватывают. Васянам то что? В вкшку зайти и в одноглазники, ну может еще киношку посмотреть без смс. А кулхакеры лезут на всякие хукер.ру, оттуда качают вишмастер под видом радмина, устанавливают и получают то что получают.
Хех. Работаю в большом банке в ИТ, сегодня нужно было выйти ибо не успеваем к срокам. Прихожу: смотрю админы на ушах стоят, ребутают компы пользователям, чтоб последнее обновление винды залетело.
Ебанутые, пиздец. 12 тредов назад как пишут хуйню, так и писали. Пару анонов заразилось, и ебать, у каждого видно всякое говно, типа торрентов и прочей хуйни, отчего следует вывод - сами соснули. Лицухобоги покупают игори и не двигаются даже в сторону закрытия каких-то ссаных портов.
>>152977262 Во первых у меня написано не построение ОС, а Сборка ОС Во вторых 15063.293 Тоесть больше и мне якобы должно быть похуй? на самом деле мне и так похуй на пеке ничего важного нет
>>152976097 тебе это и до вируса непонятно было? сходи на банки сру и почитай как аноны лишаются вкладов и потом сосут хуи в судах, так как спермбанк хос. струхтура.
После ыполнения команды в shell ничего не произошло, кроме как переноса на новую строку. Под этим и понимается :"Запустил от имени админа но теперь вообще ноль реакции на команду так и должно быть. это нормальное поведение. Говорит о том, что команда применилась" Плюс в командной строке команы не выполняются
>>152977656 Ты понял, что написал вообще, петушок? для тупого поясняю - есть сервис, он слушает на 445 порту например, если мы порт закрываем фаерволом, то сервис от этого не перестаёт слушать на этом порту, т.е. в выводе netstat -an всё ещё будет LISTENING, а подключиться к этому порту снаружи никто не сможет из-за фаервола
>>152977727 Я не он, но 1. ператке для сети понадобится всякие хамачи и прочее дерьмо 2. в инструкциях к торренту советуют включать всякие upnp то есть авто открывание портов если туда кто то стучится Так что да на ператках риск больше, потому что есть шанс наебаться и открыть лишнего.
>>152977853 база кредитных историй есть отдельная всероссийская. лишиться кредита не получится, а вот получить обратно уже оплаченный в спермбанке возможно
>>152977974 Все ровно почему так мало? Среди моих знакомых с пк каждый второй побежал бы платить 300$, а если они подняли столько хайпа ради 7.2к смешно
>>152978347 >>152978357 Вы не понимаете, что в работе эта хуйня не допустима Присылает человечек документик, а секретутка распичатать не может - всё пизда, момент упущен
>>152977363 Переучивать марью ивановну 1956 года рождения на новую программу сложно, нет? Хорошо это или нет скорее плохо некоторые программы стали стандартом. От человека требуют уметь ими пользоваться.
>>152979481 >Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса >По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить Откуда столько уверенности?
Посони, я галку эту ебаную убрал, ну да и хуй с ней, я студентота-дипломник, часто распечатываю материалы во всяких копи центрах с флешки. Поясните ламеру, я этой хуйней через юсб заразиться могу или не?
>>152976209 Кем заменяется? Рандомным адресом, получившим пакет - тогда какой же он рандомный, раз настроен на то, что нужно дальше сделать? Самим пакетом? Там в пакете код в пакете, самоисполняющийся медью проводов?
Объясните, обнова для вин-10 включена в список автоматически накатываемых? У меня последние обновления поставлены 10 мая, поиск новых показывает, что обновлять ничего не нужно, заплатки с форума касперского не совместимы с моей системой. Че то я нихуя не понимаю.
Подвержены угрозе оказались и неподдерживаемые версии операционной системы, такие как Windows XP, Windows 8 и Windows Server 2003. Впрочем, для них также готово исправление безопасности, которые пользователи могут скачать и установить на свои компьютеры.
Число зараженных компьютеров ежечасно застет с громадной скоростью.
ТРЕД №16
Первый тред: https://2ch.hk/b/res/152930021.html
Второй тред : https://2ch.hk/b/res/152936528.html
Третий тонет https://2ch.hk/b/res/152941163.html
и т.д.
15 тред тонет тут https://2ch.hk/b/res/152971325.html
-------------------------------
ПРЕДИСЛОВИЕ:
_____
Началось массовое заражение криптовирусом по всему миру. На данный момент известно о больницах в Лондоне, ГИБДД и МВД России, Мегафоне. Запасаемся попкорном и ждем развития событий.
https://nation-news.ru/264825-virus-zakralsya-v-informacionnuyu-sistemu-gibdd-istochnik
https://meduza.io/news/2017/05/12/v-britanskih-bolnitsah-odnovremenno-proizoshel-tehnicheskiy-sboy-hakery-zablokirovali-kompyutery-i-trebuyut-vykup
http://m.pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
------------------------------------
ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
http://www.catalog.update.microsoft.com/Search.aspx?q=4012215
http://www.catalog.update.microsoft.com/Search.aspx?q=4012212
-----------------------------------
Для Windows 7: SMBv1 отрубается на семёре через ps командой
(запускать от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Запустил от имени админа но теперь вообще ноль реакции на команду
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась
Для Windows 10
Третий пик в ОП посте
---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
https://geektimes.ru/post/289115/
----
Еще про распространение:
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
---------------------------------
Интерактивная карта распространения вируса в режиме реального времени
https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру
--------------------------------
КОШЕЛЬКИ ХАКЕРОВ
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
--------------------------------
НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение)
---------------------------------
СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК:
https://vk.com/wall-28464698_720473
---------------------------------
В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного.
---------------------------------
Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно.
----------------------------------
ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП