24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
--------------------------------- КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! 2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ 3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ -------------------------------- Про ВИРУС, распространение и история: Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США. Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет. В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео. В этом наборе есть опасный инструмент DoublePulsar. Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers >Сканнер сети который они сами написали на C/Python >Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере >Вбивается определенный IP диапазон или целая страна >Скрипт сканирует диапазон на открытый 445 порт >В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера >эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется. --------------------------------- Интерактивная карта распространения вируса в режиме реального времени https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру --------------------------------
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение) --------------------------------- СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК: https://vk.com/wall-28464698_720473 --------------------------------- В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного. --------------------------------- Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно. ---------------------------------- ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП
--------------------------------- СКАЧАТЬ ВИРУС, БЕСПЛАТНО БЕЗ СМС
>>153246229 Как же меня бесят такие дегенеративные задачи.
1. 3 слагаемых, сумма 60, значит каждое слагаемое равно 20. 2. Так как красные цветок равен 20, смотрим, что два синих цветка дают сумму 10. Значит, каждый синий цветок имеет значение 5. 3. Так как синий цветок равен 5, то нужно вычесть 2, чтобы получить 3. Следовательно, два желтых цветка имеют значение 2, отсюда следует, что один желтый цветок будет давать половину значения - 1. 4.Желтый цветок это 1, красный - 20. Синий цветок лишился одного лепестка, интерпретируем это как (-1) и вычитаем из значения синего цветка единицу. Получается 1 плюс 20 умножить на 4. Следуя приоритету операций, сначала умножаем 20 на 4, и к результату 80 прибавляем 1. В итоге ответ: 81.
Итак, что мы имеем на данный момент по миру: больницы Бриташки всё, телефония Испании всё, заводы Рено всё, банкоматы Китая всё, сеть Петробас всё, поезда в Греции пошли под откос. Алиса в мире ПИЗДЕЦ.
А вы представляете, какого сейчас авторам шифровальщика? Ведь если они действительно рассчитывали на такую всемирную славу, то они - полные аутисты. Поэтому наиболее вероятно, что просто что-то пошло не так, и сейчас они мылят верёвки и сушат сухари.
Алсо, периодически форсится инфа, что они-де из Африки. Хоть какие-то пруфы на это уже были?
Эта уязвимость пропалилась каким-то алчным дебилом с криптолокером, а не хардкорными криптоанархистами с нюками всей системы. Представьте себе последствия во втором случае.
Такой потенциал, и такой проёб. Из-за банальной жадности. А ведь какое поле было бы, как минимум хотя бы для политического заявления.
Было бы охуенно. Все бы схватились за головы, а разговоров было бы на годы вперед. Это как война, большое потрясение, только без человеческих жертв. Хакерам бы досталась эпичнейшая слава Герострата, а не копейки, за которые они все равно заживо сгниют в Гуантаномо.
А ведь могло быть всё гораздо хуже. Вместо шифровальщика это мог оказаться нюк. Или радмин. Или вообще шифровальщик мог действовать тайно, без палева и без шифрования содержимого рабочих столов. Никто бы ничего и не заметил. А потом массово с рельс начали бы сходить поезда, электростанции бы массированно отключались а химзаводы начали сбрасывать отработанные стоки прямо в реки.
Такой масштаб, такой эксплоит и такой обосрамс уровня винлокера от Васяна из 2б класса.
Как рядовой инженер-пролетарий мечтаю об информационном апокалипсисе. Чтоб уже ёбнуло так ёбнуло, наконец. Ибо уже заебался со всеми вышестоящими коллегами сраться на темы о необходимости вкладываться в безопасность и надёжность. Никто никогда не слушает. Даже внутри IT-компаний. Пока есть прибыль, манагеров ничего не волнует.
Да наступит всеочищающий Цифровой Великий Фильтр во славу бинарной справедливости.
Хитрый мега-план века: 1. Намеренно создаешь уязвимость в протоколе smb 2. делаешь под нее иксплоит 3. АНБ следят за ключевыми фигурами в политике и компаниями на протяжении 10 лет 4. Спустя 10 лет Вкидываешь часть эксплоитов чтобы подогреть интерес 5. Предлагаешь купить самую вкусную часть этого пака 6. Чуть-Чуть продаешь 7. Выкидываешь в паблик 2-ую часть сплоитов 6. Ебошишь криптолокером все на свете, капает еще несколько десятков тысяч бачинских 7. Касперский поднимает на форсе пару миллиардов долларов 8. Майкрософт поднимает на форсе количество обновившихся до 10-ки 9. Эппл поднимает на форсе 10. Удаляльщики порнобанеров, нимножк поднимаются на форсе 11. Только выиграли.
Кому это выгодно? Так-то да - тут вам и апдейты винды, и продажи маков. Даже антивирусники даже небо и даже Аллах в профите.
Алсо, возможность закрутить гайки - тут и новая версия PRISM от NSA в Штатах, и инициативы от GCHQ и BND в странах Европы, и Роскомнадзор - куда же без него.
>>153245803 (OP) ОП, не надо постить ссылку на вирус, на сгуху можешь отъехать. Не забывай, ты же на мейлаче теперь. --- УК РФ, Статья 273. Создание, использование и распространение вредоносных компьютерных программ
Вирус SALITY файловый вирус. Заражает исполнимые .exe файлы размером более 100 кб с увеличением их длины. Иконка файла сохраняется. Вирус заражает файлы, которые запускаются пользователем (иногда вместо заражения файл портится и после этого не запускается), и некоторые случайные файлы. Системные файлы остаются нетронутыми, хотя тоже не всегда. Для собственной защиты вирус создает драйвер abp470n5 с путем к файлу system32\drivers\.sys. После загрузки драйвера файл удаляется. Дамп памяти драйвера имеет размер 8192 байта и детектируется некоторыми антивирусами как Rootkit.Sality.A. Вирус включает некоторые потенциально опасные службы Windows и разрешает отправку сообщения удаленному помощнику, создает ссылки на на различные файлы. Удалает антивирусные программы из списка автозагрузки. Безопасный режим блокируется. Запрещается запуск диспетчера задач и редактора реестра. На всех съемных и сетевых дисках вирус создает файл autorun.inf и экземпляр тела с расширением exe или pif. Также вирус выполняет функции трояна-загрузчика, шпиона и кейлоггера. Лечение вируса возможно в безопасном режиме, если его удастся запустить, или с чистой системы (загрузочного диска). Некоторые антивирусы не умеют лечить зараженные файлы и предлагают их удалить будьте осторожны.
MIRAI Mirai — червь и ботнет, образованный сломанными (скомпрометированными) устройствами типа «интернет вещей» (видеопроигрыватели, «умные» веб-камеры, прочее).
Ботнет Mirai стал возможным благодаря реализации уязвимости, которая заключалась в использовании одинакового, неизменного, установленного производителем пароля для доступа к учетной записи администратора на «умных» устройствах. Всего он использует 61 различную комбинацию логин-пароль для доступа к учетной записи методом перебора[1]. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы XiongMai Technologies с офисом в Ханчжоу, и фирмы Dahua, Китай
Zeroaccess (Две версии вируса на данный момент, обе активны) является вредоносный троянский конь, который был назван так из-за строка найдена в его код драйвера ядра, который указывает на папку вирусов. Однако вы также можете найти, что он назван Макс ++. Обратите внимание, что существует много версий данного троянца, как Trojan.Zeroaccess! kmem, Trojan.Zeroaccess. B, Trojan.Zeroaccess! inf, Trojan.Zeroaccess! inf2 Trojan.Zeroaccess! inf3, Trojan.Zeroaccess. C, Trojan.Zeroaccess! inf4 или последних Trojan.Zeroaccess! gen10 и Trojan.Zeroaccess! gen11. Каждый из них может легко скрывать глубоко внутри вашего ПК без каких-либо признаков, потому что они тесно связаны с вирусов руткит, который был разработан для выполнения этой задачи.
Nivdort (Активно подбирается к границам РФ) как потенциальные компьютерный вирус троянский конь Nivdort Virus отмеченные ряда онлайн безопасности баз данных. В этой статье мы собираемся представить общую информацию о Nivdort Virus представляет угрозу, а так же указать вам в направлении, которого Nivdort Virus использовали для входа ваш компьютер. Nivdort – имя большой семьи известных троянских для сбора различной информации зараженных компьютеров. Есть более чем десятка имен на этот троян семьи, такие как TrojanSpy:Win32/Nivdort.BE, TrojanSpy:Win32/Nivdort.BN, TrojanSpy:Win32/Nivdort.BU, TrojanSpy:Win32/Nivdort.BV, TrojanSpy:Win32/Nivdort.CC, TrojanSpy:Win32/Nivdort.CD, TrojanSpy:Win32/Nivdort.V, TrojanSpy:Win32/Nivdort.W, TrojanSpy:Win32/Nivdort.Y и TrojanSpy:Win32/Nivdort.Z.
Обычно троянов от семейных путешествий Nivdort придает спам-писем. Эти письма разрабатываются выглядеть как допустимые сообщения от социальных средств массовой информации или другие надежные веб-сайты, но вы никогда не следует открывать файлы, вложенные в письма от спама категории на ваш ящик электронной почты. Троянские кони, или троянов для краткости, являются особенно неприятный формой вредоносных программ. Они способны содействовать целый ряд возможных проблем в будущем для вашего ПК. Одна вещь они являются они уникальные для – может долгое время оставаться спящие и ожидают благоприятные условия выполнены, прежде чем начать выполнение задач, они были предназначены для. Очень часто, если не исключительно они предоставление доступа к компьютеру затронутого пользователя вымогателей приложений и других удаленных контролируемых угроз.
NECURS Вот еще что нас ждет. Пока в России вроде не зафиксирован, но заражена вся европа и США
--- Ботнет Necurs известен как один из крупнейших ботов мира. Его владельцы задействуют мощности своего детища для рассылки огромного количества спам-сообщений. Их объем настолько большой, что работа Necurs заметно влияет на общий размер e-mail трафика во всем мире. Вообще говоря, Necurs — не просто спамбот, это достаточно опасное malware, которое заражает уязвимые системы, подтягивая основной модуль ботнета и соответствующие модули.
Существует и работает Necurs уже несколько лет. За это время он стал объектом исследования многих специалистов по информационной безопасности. Эксперты смогли узнать, какие уязвимости системы использует атакующая часть ботнета и какой протокол используется спам модулем. Но сама платформа не статична, она меняется и совершенствуется.
ВИРУС-Рулетка 1 - безграмотная IT сука 2 - грязный линуксоеб 3 - Макаеб ебучий 4 - Закрыл все порты и справился с проблемой 5 - обновился от Майкрософт и нассал всем в ротешник 6 - Виндогосподин без антивируса и не заразился 7 - Заразился шифровальщиком 8 - Лейтенант с ОП пика 9 - Сосет хуй всему треду, обновляя винду, закрывая порты, скачивая дистрибутив линукса 0 - Господин, которому похуй на проблему ибо все это хуета 11 - ОЛДФАГ ВИРУСО-ТРЕДОВ (МАРШАЛ) 22 - ГЕНЕРАЛ ВИРУСО-ТРЕДОВ (Спаси всех анонов) 33 - ПОЛКОВНИК ВИРУСО-ТРЕДОВ (ссыт в ротешник каждому) 44 - МАЙОР ВИРУСО-ТРЕДОВ (Главный аналитик в треде) 55 - КАПИТАН ВИРУСо-ТРЕДОВ (Может за вирус пояснить каждому) 66 - Лейтенант Вирусо-Тредов (Может пояснить за шмот хакерам) 77 - Прапорщик вирусо-тредов (Заплатил за расшифровку, но хакеры его наебали) 88 - Старшина вирусо-тредов (Хакеры хлопают ладошкой по ебалу при его девке) 99 - Синеволосая няша, которая заразилась спидом от Хованского 00 - Нет компьютера, мамка обещала купить если буду хорошо учиться
>>153251245 Та то не то. Именно вольтаж чтобы поднимало до предела выше официального, или пропеллеры чтоб стали. Олин хуй никто не заметит, что тише системник стал гудеть.
>>153251320 Это та хуитка в нижнем правом углу? Хм, как это я угадал, что это новая Зеландия. Раньше считал, что она где-то неволе материковой Европы плавает.
>>153245803 (OP) Уже давно зоонаблюдаю ситуацию, с утра субботы. Читал коменты в предыдущих тредах, в б/реду и на с/осаче, ознакомился и здесь - https://geektimes.ru/post/289115/ Не люблю холиворы, но читая комментарии, осознаю весь спермоотсосэкосистемы, целиком и полностью. Прыщебоги смотрят на спермоблядей грустно, но в то же время с недоумением. Да-да-да, пользователи дебилы, что не обновляются и держат жопой наружу критически важные порты. С обновлений и начнём. Эта вечная трахоебля: - внимание, доступно важное обновление, срочно перезагрузитесь для установки - да отъебись ты, мне некогда, я проектирование заканчиваю - это ОЧЕ важное обновление! - ладно, заебала, ща перезагружусь и продолжу - пожалуйста, не выключайте компьютер 10% 20% 40% СКОЛЬКО ЗАЙМЁТ ПО ВРЕМЕНИ? А ХУЙ ЕГО ЗНАЕТ, ВОТ ТАКАЯ У НАС ЗАБОТА О ПОЛЬЗОВАТЕЛЕ! Может 10 минут, а может час. - перезагрузка - заебись, наконец-то, ПОШЛА ЖАРА - выключение, перезагрузка, ПОДОЖДИТЕ, ИДЁТ ПОДГОТОВКА - Падре, они там охуели что ли, да долго я на это смотреть-то буду? Фууу, бля - ладно. С обновлениями закончили. А нет, что это такое - обновить до windows 10? СПАСИБО, НЕТ. Да как же его ... да ёмоё. <Пользователь берёт и после всей этой хуйни просто вырубает обновления нахуй>
Но даже если пользователь выделил специально пару часов, с запасом, все эти два часа он только и будет, что качать и устанавливать апдейты. Почему? Ну, хуй его знает, спросите у Наделы, почему, чтобы Windows Update понял, есть ли обновления, ему нужно дристать статус-баром, дескать, ща, вот-вот и ещё скажу, сколько надо будет скачать, насилуя при этом пластины диска так, что аж скрежет слышно. Нет, я серьёзно, вы просто погуглите, да что там гугл и официальные форумы Windows, где специально обученные MVP вам всегда предложат проверенное решение - "попробуйте выключить и включить, переустановитесь" - даже на гиктаймсе в том же топике в комментах об этом пишут.
Ну а теперь эти самые критические обновления. У кого-то, напрямую с официального сайта они даже не скачиваются, кому-то отдаётся не та языковая версия, кому-то вообще суются версии под embedded для pos-терминалов. Даже те, у кого они скачались, при ребуте уходят либо в бесконечный ребут, либо в BSoD. Нет, вы что, блять, серьёзно??? Большинство же вынуждено заучивать номера обновлений НАИЗУСТЬ, НАИЗУСТЬ, КАРЛ, НОМЕРА ОБНОВЛЕНИЙ, НУ ОХУЕТЬ ТЕПЕРЬ. И ЭТИ ЛЮДИ ПОТОМ НОЮТ, ЧТО ЖМУПИНУС ОЙ ЭТА СЛОЖНА И НИЧИГО НЕПАНЯТНА: - Ой, а как проверить, что у меня есть KB12345, который закрывает эту уязвимость - запусти > sysinfo /alsjdflk /qiuoweyruiy | find FF5 Но только если у тебя 7, и нет PS А вот в 8, для PS: > smc /nnvbv /sldf | find FF4 Хотя если у тебя уже 8.1 или 10 то ... (и где тогда хвалёная обратная совместимость, благодаря которой уже десятилетиями тянутся одни и те же костыли? Один только use-after-free в памяти в виде исключения для SimCity чего стоил) - ничего не находит - это НОРМАЛЬНО, значит, надо проверить, были ли установлены KB25673, KB27892 и KB24387- это кумулятивные снаряды для подрыва взмыленных пердаков сисадминов, во славу Бога-Машины разгребающих этот АДОВ ПИЗДЕЦ обновления.
Ребята, нахуй так жить?
Обновиться: > # apt dist-upgrade -y Проверить, установлен ли пакет, и какой версии: > # dpkg -l <точное имя пакета ИЛИ шаблон текста для поиска>
>>153249898 Кстати, слухи о дешифраторе - всего лишь слухи. Если авторы хоть немного не всрались в кодинг и использование стандартных вызовов из той же OpenSSL, то там надёжный AES.
Но с вирусного анонимного аналитика орнул в голосину.
>>153251415 >>153251413 Поясните мне. Я работаю на Почте России эникеем, имею удаленный доступ примерно к 10к компьютерам. Если я на каждый поставлю майнер, смогу ли приподнять деньжат?
>>153252184 Так в том и дело - жалуются люди, у которых честная лицензия, без всяких kms и подмен ядер. Но даже лицензионность не решает проблем при управлении софтом (вменяемая установка и удаление пакетов приложений и обновлений). Именно поэтому и была упомянута экосистема.
Мы эксперты Двача по киберпреступлениям! Мы помогли остановить первую волну вируса. теперь перед нами стоит нелегкая задача помочь миру опять. Вторая волна поражает компьютеры не так интенсивно, но пиздец как ощутимо
КИТАЙ, ЦЕ ЕВРОПА и США на данным момент подверглись немыслемой второй волне вируса. В России, Белоруси, Казахстане ситуация норм (благодаря анонам двача). Благодаря нам, обстановка под контролем. Но не расслабляемся.
>>153256930 Подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ParametersЗапись реестра: SMB1 REG_DWORD: 0 = отключено REG_DWORD: 1 = включено По умолчанию: 1 = включено у меня вообще нету там записи смб1 или похожей. вин 7
В общем и целом: вечер,12 мая.Ничто бури не предвещает.Утро 13-го мая,Майлварэ ругается матом и помещает в карантин все мои проги с архивного диска. Скидываю фото с фотоаппарата в новую папку,открываю папку и постепенно офигеваю. Я не запускала ни ярлык,ни приложение,поэтому баннер с вымогательством не всплывал. Предыстория: удалила вин 7,которая начала глючить. Её забили разными дровами и играми. Установила новую. Нужны были дрова на планшет,для прошивки.Видать там и закрался,ибо установить я их смогла только в безопасном режиме.Один раз комп ушёл в экран смерти.Так как я уже научена не трогать всякое стороннее по и такое частенько происходило раньше,запустила восстановление.Не тут то было))) В безопасном режиме просканировала комп KIS с обновлением,он эту заразу нашёл,но....стала открывать папки,одну за другой,только тогда он убил всю заразу. Однако после этого браузеры стали зависать,работали только в безопасном режиме. В общем и целом пришлось убить винду,установить новую,скачать обновление и KIS. Файлы,убитые ваной,пока лежат в зашифрованном виде,ждут программистов.(((
>>153265666 >Я не запускала ни ярлык,ни приложение Ты, праститутка хуль тут забыла? УЕБЫВАЙ! ТЯН НЕ НУЖНЫ! Из-за Вас тварей и идет заражение компьютеров дома, Вы суки устанавливаете Амиго, Хром, Хромиум, Нихром, Майл спутники и прочую ебату. Вы суки нажимаете на непонятные ссылки Вы суки открываете вложение в электронке от неизвестных! ТВАРЬ ЕБАНАЯ
>>153265666 Такая же проблема! Win7 x32. Еще появились 4 дисковода (под флэш). В безопасном режиме получается почистить автозапуск этой бяки, очистить в реестре всё что связано с wanadecryptor, qaaduximdlirkl010, и удалить по поиску все одноименные файлы. При загрузке в безопасном режиме все нормально (вроде), не появляется новых файлов на рабочем столе. Но стоит загрузиться в нормальном режиме - все, тут же мусор на раб столе и самовольное всплывающее окно с сообщением от вымогателей.
Аналогичная ситуация. Есть шанс восстановить файлы? P.S. триггерит его сервис одноименный с папков в Program Data. Пользуйтесь скриптом AVZ из соседней темы, подставив свое имя папки. У меня он остановил заразу. Надеюсь появится утилита по расшифровке файлов.
Как и у всех, кто отписался в последние часы - зашифрованы все документы, фото, видео файлы на ноуте. Ничего подозрительного вроде бы перед этим не загружалось.
Видимо, это массовая проблема. Чтобы не грузить форум множащимися темами >>153245803 (OP) можно ли попросить сделать инструкцию и утилиту по лечению этой заразы, и вывесить отдельно на сайте по подобию Rannoh Decryptor или Rakhni Decryptor.
Благо до самого ценного он добраться не успел - ноут выключил от греха подальше, пишу со старого пня 4. В процессах винды, как и в автозагрузке ничего подозрительного не обнаружено, но вирус исправно продолжал херить файла даже после принудительного отключения всех процессов, кроме основных.
у меня такая же ситуация отошел пообедать комп не выключал , вернулся наевшийся - а тут комп наелся вирусов.КИСом почистил удалил вирусы, но файлы половина оказалась зашифрована. Очень надеюсь на умных господ которые помогут расшифровать файлы. Если будет утилита будет великолепно - тогда я всем буду говорить что Вы парни крутейшие))))>>153245803 (OP)
>>153245803 (OP) (OP) Смотрю не только у меня данная проблема, в гугле много кто бьет тревогу, причем, проблема появилась в последние сутки! Пока что, старые дедовские способы не помогают! Жду решений от гуру! :facepalm: По всей видимости зараза пришла с обновлением.
>>153245803 (OP) (OP) 1. Чтоб проверить порты даже в интернет не надо выходить. 2. По умолчанию стандартный Windows Firewall защищает даже без Касперских и отключения SMB, у вас, как видно, все открыто. 3. Если ПК через роутер, то заражения скорее опасайтесь по локалке.
>>153245803 (OP) (OP) тоже словил, смотрел кино с пк + к телевизору, жесткий диск начал жестко грузиться что аж фильм заедать начало, включил монитор посмотреть и офигел, вирус уже шифровал все что можно, все фото, видео, игры, надеюсь найдется решение иначе прощай все.
>>153245803 (OP) (OP) Мне очень интересно как этот wncry проникает на компьютеры? Вроде никто кто заразился никуда не лазил и противозаконного не совершал. Чудеса какие-то , я вообще только слушал на ютьюбе пранкера известного час и на рабочий стол не смотрел а как решил пообедать вернулся а комп заражен
>>153245803 (OP) Ребят, полная жесть, давно читаю сообщения на форуме, и в правду, я тоже никаких "небезопасных" действий не делал, ничего не скачивал, резко все файлы зашифровались. Замечу так же, что я заметил так же на рабочем столе файл "readme" текстовый но не шифрованый и по бокам обособлен вот так " @read_me.txt@, прочёл, там написали что нужно 300$ в биткойнтах отправить куда то. Рядом прога, открыл, а там уже по русски написано. Видимо русские мошенники какой то вирус "не наш" под наш адаптировал язык чуваки)) Жду помощи)))
>>153245803 (OP) На англоязычных просторах нашел информацию, что могло прийти с обновлением nVidia, у всех такой производитель видеокарты и обновляется самостоятельно?
>>153245803 (OP) Заразился сервер win2008. Этому предшестовали 2 дня перезагрузок, не могли найти причину. Попортил файлы. Если кто найдёт решение скиньте.
>>153245803 (OP) Народ по опыту смогут сделать утилитку которая расшифрует наши файлы а то что-то боязно. Рабочий день подходит к концу пора домой, еще погода паршивая. Не до ночи же сидеть ждать в офисе , я вот люблю поесть а еда вся закончилась - столовка закрылась. Зп задерживают и не заказать в офис еду
>>153245803 (OP) Случился внезапный бсод, а потом началась веселуха, хорошо что вовремя заметил и осадил, шифрование видимо с рабочего стола начинается, а там было несколько крупных но неважных файлов они пострадали, а до остального криптер добраться не успел. Сижу из под безопастного, вроде все ручками удалил но заходить нормально боюсь.
>>153245803 (OP) Тора нету, лазил в опере по сайтам, и экран мигнул, сразу не понял что случилось, но через пол часа залез в папку и увидел что все файлы .txt изменились на .txt.WNCRY и открыв файлы там кракозябры вместо текста
ребята не хочу вас огорчать но..сейчас сижу с загрузочной флешки перекидываю уцелевшие файлы. и параллельно листаю просторы интернета в поисках решений. записи о шифровальщиках уже давно есть годы можно сказать но дешифраторов так и не появилось . так что скорее их и не будет. на форуме нодов пишут что на всякий случай сохраните зашифрованые файлы.может что то придумают. но потом я посмотрел на дату и поник. также пишут мол если убьете сам вирус шифратор то тогда точно не расшифруешь т.к. подход к расшифровке именно у вас на пк. что делать дальше не знаю
>>153245803 (OP) РЕБЯТ,ВСЕМ ПРИВЕТ.У МЕНЯ ВИДИМО ТАКАЯ ПРОБЛЕМА КАК И У ВАС.ПОЯВИЛСЯ БАННЕР И ВСЕ ФАЙЛЫ СТАЛИ С РАСШИРЕНИЕМ WNCRY.ЭТО ВОЗМОЖНО КАК ТО ИСПРАВИТЬ?ЗАРАНЕЕ СПАСИБО
из последнего что помню, когда сканировал (др. вэб, касперский, малваре(несколькими утилитами)) касперский(фри) ругался на mem:rootkit.equationdug при лечении вылетало в бсод с ошибкой 0050 в это же время касперский находил зараженные файлы в разных местах и удалял, в том числе и эту ересть
Это жесть , словили на работе , в обед , когда люди ушли обедать , в итоге две компании , в разных локальных сетях ,+ регионы в удаленных офисах , со своим интернетом , объем поражения около 50- 80 машин . , где успели быстро стопанули процесс , удалили папку с процессом . Передается по локалке легко , возможно по vpn , или почте , в итоге рубанули сеть, инет , зараза не распространяется больше . Ищем решение. По нашим наблюдениям , windows 10 не трогает , только win 7 . 10 ки уцелели. Не можем найти источник ... Беда
симптомы у меня такие. вчера позвонили мол давай по удаленке почини комп . я посмотрел на эту всю гадость и сказал что надо винду убивать а с файлами завтра разберусь. наступило завтра (т.е. уже сегодня) на моем домашнем пк мой файрвол несколько раз брыкнул какието файлы и через час бсод. вот вся история
Я вот перестал обновлять винду после того, как дважды у меня после обновы ломалась система и переставала нормально работать и мне приходилось откатываться назад и удалять ебучие обновы.
>>153267338 Крякнутая лица. У меня та же проблема. Обновилось говно и все, сдох инет. Причину хуй найдешь, сдох и все тут. Психанул, снес, поставил заново. Вроде работает пока. Но обновления это зло, да. Винда попросту дохнет от них. Они страшнее ебанного криптовируса. мимоещеодин
>>153245803 (OP) Вы долбаебы там совсем? Эй, уебища, какого лешего вы так много это обсужаете? Сделал как на третей пикче и забыл. По говно-сайтам кроме этого не лазьте и все будет ок.
>>153272888 Блядь, какие вы дебилы. Раньше я думал, что это тонкий сарказм. Но вы правда дебилы. Блядь, с кем я тут сижу. Это же блядская колония умственноотсталых криворучек.
Всем доброго утречка. Имеется ноут с пираткой 7кой, который не включался неделю. На ноуте очень много полезных файлов. На момент выключения вируса не было. Если я его включу, но без инета - есть ли хоть 0.0001% шанс что вирус уже был в системе, но не был активен? Сижу через роутер, кроме ноута и плойки в роутере никто не подключён.
>>153245803 (OP) >3 пик Если я отключу эту хуемболу,то при скачке вируса сможет ли он что-то сделать на компе? Если я скачаю архив файлов,зашифрованный wncry,то я могу подхватить себе эту заразу?
>>153245803 (OP) На Линукс и иОС вируса нету, но на линук невозможно работать, а у иОс такая нереальная четкость изображения, что слезятся глаза. И на мыши всего одна клавиша.
>>153277077 >Школьники балуются АНБшными сплойтам >Заразили своим говном всего 300К компов со всего интернета >Подняли шумиху угробив эксплоиты с которых можно было миллионы выжать ради пары десятков тыс $ >ВСЕ НАЧАЛОСЬ? КИБЕРВОЙНА???
>>153245803 (OP) >3 пик Если я отключу эту хуемболу,то при скачке вируса сможет ли он что-то сделать на компе? Если я скачаю архив файлов,зашифрованный wncry,то я могу подхватить себе эту заразу?
>>153245803 (OP) На Линукс и иОС вируса нету, но на линук невозможно работать, а у иОс такая нереальная четкость изображения, что слезятся глаза. И на мыши всего одна клавиша.
>>153277077 >Школьники балуются АНБшными сплойтам >Заразили своим говном всего 300К компов со всего интернета >Подняли шумиху угробив эксплоиты с которых можно было миллионы выжать ради пары десятков тыс $ >ВСЕ НАЧАЛОСЬ? КИБЕРВОЙНА???
Аноним 17/05/17 Срд 14:15:04 №153277244
>>153277194 Тама ни игор нету, ни нормальных клонов программ. Все хуйня сплошная.
>>153277284 Ванны край - это миф. МДКшники форсят новый мем. Какой дурак будет собирать выкуп в биткойнах вы подумали? Это такая тонкота для понимающихю
>>153272888 Блядь, какие вы дебилы. Раньше я думал, что это тонкий сарказм. Но вы правда дебилы. Блядь, с кем я тут сижу. Это же блядская колония умственноотсталых криворучек.
Всем доброго утречка. Имеется ноут с пираткой 7кой, который не включался неделю. На ноуте очень много полезных файлов. На момент выключения вируса не было. Если я его включу, но без инета - есть ли хоть 0.0001% шанс что вирус уже был в системе, но не был активен? Сижу через роутер, кроме ноута и плойки в роутере никто не подключён.
>>153275366 Нашёл только "декомпелированную" версию, которую, скорее всего, сделали через hexrays + ida. https://github.com/svenvdz/wannacry шитфровальщиков
>>153277213 тю неинтересно, у нас там принудительно прям все, сказал что у меня линукс и мне это нахуй не надо слушать, а они: ТЫ ЧТО БОЛЬШЕ КАСПЕРСКАВА ЗНАЕШЬ? НУ ДАВАЙ МЫ ТЕБЯ ПОСЛУШАЕМ!!!!!
>>153278042 Так я вобще только сейчас зашел спросить че происходит, а тут ты агришься и машешь кулочками как дите)) Сложно скрыть тред? Ну тупые аноны пошли, ладно бы еот и биопроблем треды вайпать
>>153277284 Ванны край - это миф. МДКшники форсят новый мем. Какой дурак будет собирать выкуп в биткойнах вы подумали? Это такая тонкота для понимающихю
>>153277213 тю неинтересно, у нас там принудительно прям все, сказал что у меня линукс и мне это нахуй не надо слушать, а они: ТЫ ЧТО БОЛЬШЕ КАСПЕРСКАВА ЗНАЕШЬ? НУ ДАВАЙ МЫ ТЕБЯ ПОСЛУШАЕМ!!!!!
>>153278042 Так я вобще только сейчас зашел спросить че происходит, а тут ты агришься и машешь кулочками как дите)) Сложно скрыть тред? Ну тупые аноны пошли, ладно бы еот и биопроблем треды вайпать
>>153245894 Неожиданно ost из первой части игры Hitman. Вроде так недавно было, а уже столько времени прошло... [YouTube] Hitman Codename 47 soundtrack - Hong Kong Theme[РАСКРЫТЬ]
>>153246229 Если бы от этой задачи зависила моя жизнь и автор желает моей смерти. Я бы хотя бы попытался уточнить способ интерпретирования задающего загадку. Самые спорные картинки - это 1 желтый цветок и синий с четырьмя лепестками. С точки зрения ИИ эти картинки могут иметь совершенно другие переменные. Человек интерпретирует 2 слитых желтых цветка как какое-то число. Скажем 2, что вполне отвечает логике предыдущих примеров. Но в последнем мы имеем другую картинку. И предположение, что желтый цветок = 1 а синий = 4 может привести к смерти. Так как автор мог использовать иную форму интерпретации и намеренно выбрать другие значения. И то, что мы считаем лепестки или количество желтых цветков ища в этом логическое обоснование может быть ошибка. В итоге мы имеем такую конструкцию. х + 20y = z Этот ответ является максимально истинным.
>>153277284 Ванны край - это миф. МДКшники форсят новый мем. Какой дурак будет собирать выкуп в биткойнах вы подумали? Это такая тонкота для понимающихю
>>153277213 тю неинтересно, у нас там принудительно прям все, сказал что у меня линукс и мне это нахуй не надо слушать, а они: ТЫ ЧТО БОЛЬШЕ КАСПЕРСКАВА ЗНАЕШЬ? НУ ДАВАЙ МЫ ТЕБЯ ПОСЛУШАЕМ!!!!!
>>153278042 Так я вобще только сейчас зашел спросить че происходит, а тут ты агришься и машешь кулочками как дите)) Сложно скрыть тред? Ну тупые аноны пошли, ладно бы еот и биопроблем треды вайпать
>>153278833 >>153279063 >>153279069 >>153277284 Ванны край - это миф. МДКшники форсят новый мем. Какой дурак будет собирать выкуп в биткойнах вы подумали? Это такая тонкота для понимающихю
>>153277213 тю неинтересно, у нас там принудительно прям все, сказал что у меня линукс и мне это нахуй не надо слушать, а они: ТЫ ЧТО БОЛЬШЕ КАСПЕРСКАВА ЗНАЕШЬ? НУ ДАВАЙ МЫ ТЕБЯ ПОСЛУШАЕМ!!!!!
>>153278042 Так я вобще только сейчас зашел спросить че происходит, а тут ты агришься и машешь кулочками как дите)) Сложно скрыть тред? Ну тупые аноны пошли, ладно бы еот и биопроблем треды вайпать
>>153278610 >Усовершенствуйте свою текущую защиту. Добавьте в шапку треда :)
Аноним 17/05/17 Срд 14:48:24 №153279242
>>153278833 >>153279063 >>153279069 >>153277284 Ванны край - это миф. МДКшники форсят новый мем. Какой дурак будет собирать выкуп в биткойнах вы подумали? Это такая тонкота для понимающихю
>>153277213 тю неинтересно, у нас там принудительно прям все, сказал что у меня линукс и мне это нахуй не надо слушать, а они: ТЫ ЧТО БОЛЬШЕ КАСПЕРСКАВА ЗНАЕШЬ? НУ ДАВАЙ МЫ ТЕБЯ ПОСЛУШАЕМ!!!!!
>>153278042 Так я вобще только сейчас зашел спросить че происходит, а тут ты агришься и машешь кулочками как дите)) Сложно скрыть тред? Ну тупые аноны пошли, ладно бы еот и биопроблем треды вайпать
Число зараженных компьютеров ежечасно застет с громадной скоростью.
ТРЕД №46
Первый тред: https://2ch.hk/b/res/152930021.html
Второй тред : https://2ch.hk/b/res/152936528.html
Третий тонет https://2ch.hk/b/res/152941163.html
и т.д.
15 тред https://2ch.hk/b/res/152971325.html
16 тонет тут https://2ch.hk/b/res/152974400.html
45 тонет https://2ch.hk/b/res/153204380.html
-------------------------------
ПРЕДИСЛОВИЕ:
_____
Началось массовое заражение криптовирусом по всему миру. На данный момент известно о больницах в Лондоне, ГИБДД и МВД России, Мегафоне. Запасаемся попкорном и ждем развития событий.
https://nation-news.ru/264825-virus-zakralsya-v-informacionnuyu-sistemu-gibdd-istochnik
https://meduza.io/news/2017/05/12/v-britanskih-bolnitsah-odnovremenno-proizoshel-tehnicheskiy-sboy-hakery-zablokirovali-kompyutery-i-trebuyut-vykup
http://m.pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
------------------------------------
ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
http://www.catalog.update.microsoft.com/Search.aspx?q=4012215
http://www.catalog.update.microsoft.com/Search.aspx?q=4012212
-----------------------------------
Для Windows 7: SMBv1 отрубается на семёре через ps командой
(запускать от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Запустил от имени админа но теперь вообще ноль реакции на команду
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась
Для Windows 10
Третий пик в ОП посте
---------------------------------
Кто не хочет обновятся, просто пишет это в командную строку.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
echo "Thx, Abu"
---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
https://geektimes.ru/post/289115/
----
Еще про распространение:
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
---------------------------------
Интерактивная карта распространения вируса в режиме реального времени
https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру
--------------------------------
КОШЕЛЬКИ ХАКЕРОВ
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
--------------------------------
[bН]Е ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:[/b]
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение)
---------------------------------
СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК:
https://vk.com/wall-28464698_720473
---------------------------------
В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного.
---------------------------------
Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно.
----------------------------------
ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП
---------------------------------
СКАЧАТЬ ВИРУС, БЕСПЛАТНО БЕЗ СМС
http://fex.net/#!025162887418
http://rgho.st/8wRvG2RYM
пароль 2ch
---------------------------------