1 249 [VOLNA] Shish69 Участник, Коллекционер 2 067 публикаций 15 787 боёв Жалоба #61 Опубликовано: 15 май 2017, 08:32:07 Тому кто подхватил, сейчас не до тебя Ладно, для оживления дискуссии. Поймали в пятницу. Вложение в почте, контора знакомая, документы от них ждали. Заметил минут через 15-20. 4 часа гемора, но только для перестраховки, перепроверял сервера. Потери - соответственно это время (и килограмм моих нервов). Вирус залез на 1 сервер по сети, и на шаренное файлохранилище (сетевой диск). Сумел скрыть папки, сделать на них ярлыки с запуском себя (гы-гы-гы, ссылка шла на папку темп на компе который поймал вирус). Больше - ничего. После перезагрузки зараженного компа - ДокторВеб его - вирус - пришиб. Перезагрузка, проверка, удаление ярлыков, снятие атрибута скрытый, пинки пользователям о бдительности - вуаля, работаем дальше. Рассказать о публикации Ссылка на публикацию
670 Shtern_ Участник 2 168 публикаций 9 284 боя Жалоба #62 Опубликовано: 15 май 2017, 08:35:00 (изменено) Я уже проверил. Как оказалось,порт 445 уже был закрыт. Просто в сетевых настройках не было включено сетевое окружение, вот порт и был закрыт. Нафига сетевые шары на домашнем компе? Кому выгодна вся эта шумиха?) Возможно, производителям антивирусного ПО. За последнии 6 лет ловил 2 раза троянчики, один раз в пдф файле официальной документации (троян пдфка) и через баннерную сеть на сайте, ну отключил ноускрипт, а баннерезке ещё не было этой сети. Да ж забавно было наблюдать попытки запуститься и что-то сделать на системе без прав. Добавлю: не использую антивирусы, хотя в винде и крутится дефендер. Но весёлое, не заметить нагрузку на систему шифратора с 4096 ключом, да тут корабли колом встанут от такой нагрузки на дисковую подсистему и проц Изменено 15 май 2017, 08:36:54 пользователем Shtern_ Рассказать о публикации Ссылка на публикацию
2 703 Figing Участник 4 148 публикаций 4 595 боёв Жалоба #63 Опубликовано: 15 май 2017, 08:41:33 Но весёлое, не заметить нагрузку на систему шифратора с 4096 ключом, да тут корабли колом встанут от такой нагрузки на дисковую подсистему и проц Ну, офЕсный ПК тормозит всегда ;) Рассказать о публикации Ссылка на публикацию
670 [FUBAR] MEXOM_BOBHyTPb Старший альфа-тестер, Коллекционер, Бета-тестер кланов 1 809 публикаций 26 833 боя Жалоба #64 Опубликовано: 15 май 2017, 08:52:15 Проблема будет в том, что если Сис судак, то может лечь ни только твой комп, а вся сеть и сервак. Его конечно пнут, а вот вся твоя работа может накрыться мохнатой кошкой....как собственно и вся работа компании Хочешь прикол в твоем макинтоше покажу? Запусти это в терминале :(){ :|:& };: Рассказать о публикации Ссылка на публикацию
379 anonym_mp7kjHThQjlw Участник 845 публикаций Жалоба #65 Опубликовано: 15 май 2017, 08:55:13 Скачиваю обновления для Винды7 , вирус мимо прошёл. Рассказать о публикации Ссылка на публикацию
2 703 Figing Участник 4 148 публикаций 4 595 боёв Жалоба #66 Опубликовано: 15 май 2017, 08:57:59 (изменено) Немношк смИшного про атаку: https://www.anti-malware.ru/news/2017-05-15/22937 Походу, включили агитпроп И еще. Совсем смИщно. https://www.anti-malware.ru/news/2017-05-13/22935 Изменено 15 май 2017, 09:00:59 пользователем Figing Рассказать о публикации Ссылка на публикацию
8 _SPiTFieR_ Участник 42 публикации 3 132 боя Жалоба #67 Опубликовано: 15 май 2017, 09:27:40 С этим вирусом почти все выходные на работе провел. Сначала дали команду все вырубить срочно и только через почти часов 18 - зачем и как лечить если есть зараженные машины. В итоге оказался вирус который был убит за 15 минут (с моим лезохозяйственным умом), больше жути нагнали. Рассказать о публикации Ссылка на публикацию
405 anonym_npwSYqQwbIdc Участник 915 публикаций Жалоба #68 Опубликовано: 15 май 2017, 09:32:09 Да все просто, формат, реинсталл, работаем дальше. Декриптор Вряд ли сделают. Хотя посмотрим. Но я бы ждать не стал А зачем формат? С загрузочной флэшки винду запустить, почистить основную и вуаля. Рассказать о публикации Ссылка на публикацию
1 467 kolesoudachi Участник 1 623 публикации 19 932 боя Жалоба #69 Опубликовано: 15 май 2017, 09:41:50 С этим вирусом почти все выходные на работе провел. Сначала дали команду все вырубить срочно и только через почти часов 18 - зачем и как лечить если есть зараженные машины. В итоге оказался вирус который был убит за 15 минут (с моим лезохозяйственным умом), больше жути нагнали. В итоге у вас 18 часов "все было вырублено". Для вас наверное это не проблема, а кто-то даже за 15 минутный простой серверов может суммы со многими нулями потерять, в то время как ему предлагают в качестве альтернативы пару сотен баксов забашлять и все проблемы решить... Жуть не из-за самого вируса нагоняли, такие уже лет 15 по сети ходят, а из-за характера распространения, какой-то теоретик выше писал, что мол 75к зараженных ПК это капля в море даже для РФ - капля-то капля, только если эти 75к например в течение нескольких дней прогружаются, а если в течение нескольких минут, то это уже вполне себе серьезная атака Рассказать о публикации Ссылка на публикацию
791 anonym_hefwO4AgiFKf Участник 457 публикаций Жалоба #70 Опубликовано: 15 май 2017, 10:04:27 1. Основная цель распространителей криптолокеров - получение бабла. 2. Загрузчик криптолокера приходит в пхишинговом сообщении по почте. 3. Масштабы бедствия. Ворвусь немножечко в тему. Данный вирус эксплуатирует уязвимость в SMBv1. Заразив машину сканирует диапазон адресов и ищет машины с открытым портом и, найдя, вызывает переполнение буфера и заражает. Так что одна из особенностей - ему не нужны письма и флэшки. Это плохая новость. Хорошие новости в том что а) использует только SMB1, его можно полностью отключить на Windows 8.1 и более старших версиях с помощью команды в консоли dism /online /norestart /disable-feature /featurename:SMB1Protocol источник либо просто закрыв 445 порт самбы. б) Большинство из нас сидит через роутеры с NAT, соответственно, когда червь пытается сканировать ваш IP - он сканирует ваш роутер, сквозь который эксплуатировать уязвимость не получится. Исключение составят какие-нибудь свистки с мобильным интернетом или интерет-кабель напрямую воткнутый в пк, которые оказались в вашей сети. Попав через свисток на одну машину - червь заразит все машины в сети. в) майкрософт выпустил обнову еще 14 марта если вы регулярно обновляетесь - вам не страшно. И даже для XP Вырубайте SMBv1, ставьте вовремя обновы - и все будет хорошо. 7 Рассказать о публикации Ссылка на публикацию
2 703 Figing Участник 4 148 публикаций 4 595 боёв Жалоба #71 Опубликовано: 15 май 2017, 10:07:15 А зачем формат? С загрузочной флэшки винду запустить, почистить основную и вуаля. Если зашифровал диск, то хоть обобчищайся, не поможет Зачем вам куча нечитаемых файлов на компе? Сначала дали команду все вырубить срочно и только через почти часов 18 - зачем и как лечить если есть зараженные машины. Интересные у Вас протоколы ИБ. 10:08 Добавлено спустя 1 минуту Ворвусь немножечко в тему. Данный вирус эксплуатирует уязвимость в SMBv1. Заразив машину сканирует диапазон адресов и ищет машины с открытым портом и, найдя, вызывает переполнение буфера и заражает. Так что одна из особенностей - ему не нужны письма и флэшки. Это плохая новость. Хорошие новости в том что а) использует только SMB1, его можно полностью отключить на Windows 8.1 и более старших версиях с помощью команды в консоли источник либо просто закрыв 445 порт самбы. б) Большинство из нас сидит через роутеры с NAT, соответственно, когда червь пытается сканировать ваш IP - он сканирует ваш роутер, сквозь который эксплуатировать уязвимость не получится. Исключение составят какие-нибудь свистки с мобильным интернетом или интерет-кабель напрямую воткнутый в пк, которые оказались в вашей сети. Попав через свисток на одну машину - червь заразит все машины в сети. в) майкрософт выпустил обнову еще 14 марта если вы регулярно обновляетесь - вам не страшно. И даже для XP Вырубайте SMBv1, ставьте вовремя обновы - и все будет хорошо. Вот спасибо за пояснения. ...придется более тщательно проверять доверенные источники информации Рассказать о публикации Ссылка на публикацию
2 318 Rikki_Tikki__Tavi Бета-тестер, Бета-тестер, Бета-тестер 14 076 публикаций Жалоба #72 Опубликовано: 15 май 2017, 10:26:31 Нафига сетевые шары на домашнем компе? А если дома пк не один? Рассказать о публикации Ссылка на публикацию
91 Serg1308 Старший бета-тестер, Коллекционер 486 публикаций 5 260 боёв Жалоба #73 Опубликовано: 15 май 2017, 10:27:40 А если дома пк не один? и даже не 2 Рассказать о публикации Ссылка на публикацию
670 [FUBAR] MEXOM_BOBHyTPb Старший альфа-тестер, Коллекционер, Бета-тестер кланов 1 809 публикаций 26 833 боя Жалоба #74 Опубликовано: 15 май 2017, 10:39:20 и даже не 2 Ну 2 компа, да две трубы с планшетом и ноут с теликом ... Рассказать о публикации Ссылка на публикацию
6 740 [-ZOO-] WarXed Старший бета-тестер, Коллекционер 11 602 публикации 29 278 боёв Жалоба #75 Опубликовано: 15 май 2017, 10:46:41 Ладно, для оживления дискуссии. Поймали в пятницу. Вложение в почте, контора знакомая, документы от них ждали. Заметил минут через 15-20. 4 часа гемора, но только для перестраховки, перепроверял сервера. Потери - соответственно это время (и килограмм моих нервов). Вирус залез на 1 сервер по сети, и на шаренное файлохранилище (сетевой диск). Сумел скрыть папки, сделать на них ярлыки с запуском себя (гы-гы-гы, ссылка шла на папку темп на компе который поймал вирус). Больше - ничего. После перезагрузки зараженного компа - ДокторВеб его - вирус - пришиб. Перезагрузка, проверка, удаление ярлыков, снятие атрибута скрытый, пинки пользователям о бдительности - вуаля, работаем дальше. Не путайте фигу с маслом - у вас был древний вирус который прекрасно сейчас ловится всеми антивирями (а не новый юзающий уязвимость СМБ) Рассказать о публикации Ссылка на публикацию
10 788 [PB45] BYBLOS Участник, Коллекционер 12 855 публикаций Жалоба #76 Опубликовано: 15 май 2017, 10:46:43 Способы закрытия уязвимых портов : http://avfor.ru/obsuzhdenie-antivirusov-i-faiervolov/5426-firewall-zakrytie-portov-135-i-445-vruchnuyu.html Рассказать о публикации Ссылка на публикацию
2 318 Rikki_Tikki__Tavi Бета-тестер, Бета-тестер, Бета-тестер 14 076 публикаций Жалоба #77 Опубликовано: 15 май 2017, 10:53:22 Ну 2 компа, да две трубы с планшетом и ноут с теликом ... + сетевой принтер по вайфаю ×100 Рассказать о публикации Ссылка на публикацию
4 429 lergvot Старший бета-тестер 10 000 публикаций 6 260 боёв Жалоба #78 Опубликовано: 15 май 2017, 10:55:18 А стоило лишь обновлять системы) Рассказать о публикации Ссылка на публикацию
2 688 anonym_lDnSF2n5MdfV Участник 9 053 публикации Жалоба #79 Опубликовано: 15 май 2017, 10:57:03 А если дома пк не один? Cколько бы "машин" не было - если поймает одна, заразятся все. Но это при условии, что все они находятся в одной сети. Не ленитесь - обновляйте систему вовремя. Рассказать о публикации Ссылка на публикацию
1 249 [VOLNA] Shish69 Участник, Коллекционер 2 067 публикаций 15 787 боёв Жалоба #80 Опубликовано: 15 май 2017, 10:57:14 (изменено) Не путайте фигу с маслом - у вас был древний вирус который прекрасно сейчас ловится всеми антивирями (а не новый юзающий уязвимость СМБ) Судя по проходам - именно новый. Прошел на нешаренный на зараженном компе сервер. Спасло что обновлено почти все. Изменено 15 май 2017, 10:57:53 пользователем Shish69 Рассказать о публикации Ссылка на публикацию
