Проверяем и защищаем свою систему от Wana decrypt0r 2.0


Страницы: (15) « Первая ... 9 10 [11] 12 13 ... Последняя »	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

gebs

14.05.2017 - 03:12

-1

Статус: Offline

Ярила

Регистрация: 5.09.13
Сообщений: 4895

Цитата (СтебкаРазин @ 14.05.2017 - 02:58)

Цитата (gebs @ 14.05.2017 - 02:40)

А ещё заметил очень интересную вещь, там где стоит каспер на серваках, при выклчюенном сетевом экране 445 порт был заблочен, даже не смотря на политику в GPO на access, делал специально для тестирования, и ни как не мог понять что же блокирует 445 порт, ведь сетевой экран каспера я отключил и в GPO открыл доступ...Делаем выводы...
Поэтому либо каспер знал о дырке, либо мелкомягкие, мутно короче всё.

Тут дело не только в 445 порте. Эта дыра существует еще со времени ХР. И майкрософт знал о ней. Но, почему-то, упорно переносил в новые версии и не патчил. Сам по себе SMB дырявый. Но, без него пришлось бы изобретать что-то новое, а на smb работают все шары и прочие принтеры.

короче начала картина прояснятся, около 3 недель назад у меня перестал корректно работать на сервере SMB2,3 с клиентами выше Windows 8 включительно, на венде 7 и ниже всё было норм, все работали с севрером 2008 R2, на котором кроме касперского все обновления были отключены, таким образом делаю вывод, чтоб касперский знал об уязвимости ещё 3 недели назад.

[^]

Жопаримуа	14.05.2017 - 03:14 [ показать ] 0
Статус: Offline Восставший из зада Регистрация: 27.03.14 Сообщений: 972	Так где скачать вирус?
	[^]

kali666

14.05.2017 - 03:19

Статус: Offline

Балагур

Регистрация: 31.07.13
Сообщений: 943

Цитата (r2d6 @ 14.05.2017 - 02:40)

Цитата (kali666 @ 14.05.2017 - 01:56)

Зависит от антивиря, у меня Eset Smart, поэтому вместо рабочего брэндмауэра надпись "эти действия осуществляет eset" ---а и заблокировала нах 135 139 445 1900 и еще какие-то показавшиеся ненужными порты))))

У тебя есет выполняет функцию брандмауэра, поэтому виндовые правила работать не будут. Ты можешь тоже самое прописать в есете.
p.s. В общем в винде, если юзаешь стандартный брандмауэр идешь в панель управления - брандмауэр windows - дополнительные параметры - правила для входящих подключений(создать правило) - для порта - выбираешь протокол tcp(кажется), указываешь чуть ниже порты через запятую - далее блокировать подключение - профили выбираешь все - имя пишешь любое(так будет называться правило.

Да это я знаю, но откровенно лень читать мануал от есета, терминология мимо меня частично. зоны....политики....

[^]

~~TLST~~	14.05.2017 - 03:26 [ показать ] 0
Статус: Offline Хохмач Регистрация: 25.07.14 Сообщений: 631	Так а что делает эта зараза? Как узнать цепанул ты её или нет? Какие признаки?
	[^]

~~r2d6~~

14.05.2017 - 03:31

Статус: Offline

Ярила

Регистрация: 19.02.13
Сообщений: 1030

Цитата (TLST @ 14.05.2017 - 03:26)

Так а что делает эта зараза? Как узнать цепанул ты её или нет? Какие признаки?

Если бегаешь вокруг компа и рвешь на себе волосы с воплями: "Пиздец, все пропало, моя драгоценная порнуха, что делать". То это оно.
p.s. Зараза шифрует твои файлы.

Это сообщение отредактировал r2d6 - 14.05.2017 - 03:32

[^]

rec0n

14.05.2017 - 03:32

Статус: Offline

Ярила

Регистрация: 23.01.15
Сообщений: 1458

Цитата

для атаки используется уязвимость протокола SMB

Уж сколько раз твердили миру...
столько эксплоитов под этот smb было, а воз и ныне там!

[^]

~~DaBoogieWoog~~

14.05.2017 - 03:45

Статус: Offline

Балагур

Регистрация: 6.05.15
Сообщений: 805

Цитата (rec0n @ 14.05.2017 - 03:32)

Цитата

для атаки используется уязвимость протокола SMB

Уж сколько раз твердили миру...
столько эксплоитов под этот smb было, а воз и ныне там!

ага, вот и у меня дежа вю - ох как же весело жилось в большой районной локалке, когда ты умел пользоваться LSA xploit`ами

[^]

ПРИМа25

14.05.2017 - 03:54

Статус: Offline

Дед-пердед

Регистрация: 27.05.13
Сообщений: 17878

Цитата (Stabchik @ 13.05.2017 - 20:32)

Патчи на форуме Касперского для разных операционок https://forum.kasperskyclub.ru/index.php?sh...c=55543&page=71

Этот пост в шапку бы закинуть..

[^]

шарикофф1981

14.05.2017 - 04:37

Статус: Offline

Ярила

Регистрация: 26.12.12
Сообщений: 1228

Цитата (kazanec @ 13.05.2017 - 18:49)

Темы по вирусу уже созданы, но я решил создать отдельную, так как мой коммент затерялся бы в обсуждениях, а тут его увидят максимальное количество потенциальных жертв.

Кратко: для атаки используется уязвимость протокола SMBv1. Чтобы заразиться совершенно не нужно посещать порносайты и скачивать торренты. Вирус (червь) работает сам по себе.

Как проверить свою систему, подвержена ли она уязвимости, которую эксплуатирует Wannacry:
- Откройте cmd.exe (коммандную строку)
- Напишите:

Цитата

dism /online /get-packages | findstr KB4012212

- Нажмите Enter
- Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
- Если нет, то установить патчи Microsoft Security Bulletin MS17-010

Уязвимость так-же можно времено закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в коммандной строке:

Цитата

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Установить патчи при этом все равно рекомендуется

Взято с гиктайма

Нихера патчи не ставятся пишет обновление не применимо к этому компьютеру

[^]

mogila9096

14.05.2017 - 04:53

Статус: Offline

Ярила

Регистрация: 10.11.11
Сообщений: 7580

Цитата (qudesnik @ 13.05.2017 - 11:29)

Мне вот странно, объясните кто в теме. Винда 7 обновляется по своим хотелкам исправно, но указанный патч почему то не был установлен. Хотя он от какого то там марта 17г. Т.е. политика обновления мелкософта кривая?

Т.е тебе намекают что хватит сидеть на семёрке, переходи на десятку. Потом ещё что-нибудь придумают чтоб уже не намекать, а пинать...

[^]

ddvsamara

14.05.2017 - 05:50

-1

Статус: Offline

Юморист

Регистрация: 29.09.11
Сообщений: 474

Цитата (NSafari @ 14.05.2017 - 03:11)

Я конечно стараюсь панике не поддаваться, НО презерватив хотелось бы иметь!

Да тут пожалуй, не презерватив надо, а сковородку в штаны, если образно выражаясь

А вообще, по этому случаю надо сказать что существуют 2 типа людей:
1. Которые еще не делают бекапы
2. Которые уже делают бекапы

За NAT или файрволлом опасность гораздо меньше, но ничего не спасет при попадании вируса обычным путем - через почту или варез. Мало того - зараженный комп тут же начнет помимо шифрования пробовать распространяться по локалке используя данную уязвимость SMB.

[^]

~~TheCoroner~~	14.05.2017 - 06:09 [ показать ] -1
Статус: Offline Приколист Регистрация: 24.03.17 Сообщений: 306	и я заработал немножко на этом, починив комп клиенту) 50$ на дороге не валяются)
	[^]

Kolobok29	14.05.2017 - 06:10 [ показать ] 0
Статус: Offline Ярила Регистрация: 28.05.14 Сообщений: 1642	Поясните для нуба. У меня роутер с одним открытым портом (не 445) для торрента. Надо ли мне устанавливать обновление и не подцеплю ли я гадость через торрент? Устанавливать желания нет, т.к. вин 7 (сп1), обновления отключены при установке. Есть подозрение, что то это обновление встанет криво и выкинет меня в синий экран. На форуме каспера нашел: - отключить SMBv1 вручную Это сообщение отредактировал Kolobok29 - 14.05.2017 - 06:16
	[^]

ICELedyanoj

14.05.2017 - 06:20

Статус: Offline

Ледяной. Айс Ледяной.

Регистрация: 20.01.11
Сообщений: 3187

Цитата (Zima2014 @ 13.05.2017 - 21:23)

Цитата

Я установил этот патч только что. По совету камрада Stabchik'а, за что ему большой рахмат.
На ноут и комп. Винды - семёрки лицензионные сп1. Автоматом нихрена не прилетало
и не находит такого обновления. Причём, на ноуте меньше недели назад переустанавливал
винду - всю ночь обновлялась.Но указанной заплатки в системе нет. По команде
"wmic qfe list | findstr 4012212" возращало пустоту. И на компе и ни ноуте. Теперь всё ок.
Уотакот.

Вот у меня лицензионная W8.1 с включенными обновами, не далее чем вчера ставил обновы, такого патча нет, включил поиск обновлений, ничего нового не нашел! Не кажется странным что нет обновления на лицухе, со всеми поставленными обновлениями? И почему юзер должен искать на побочных сайтах обнову майкрософта? Которая должна приходить сама по умочанию?
Кстати на сайте где Каспер дает ссылки, есть коменты, где чел пишет что после установки патча, у него W7 не запускается,а сколько еще юзверей не может написать то же в коментах, по той же причине

Я сделал себе бекап на флешку через AOMEI Backupper , всей системы с прогами, и в любое время могу ее развернуть на ноут за 10 минут.

У самого 8.1, картина идентична, и где-то на форумах встречал несколько сообщений о том, что этот апдейт прошел мимо 8.1.

[^]

paradox75

14.05.2017 - 06:25

Статус: Offline

Ярила

Регистрация: 22.04.12
Сообщений: 4714

Цитата (qudesnik @ 13.05.2017 - 15:29)

Политика такая, чтобы всё таки переехали на win 10, оно пострадала меньше всего. Отсюда вопрос - Кто виноват? Тот кому это наиболее выгодно.. и тут приходят в голову интересные мысли.

ps на gentoo почему-то метод на заработал :)

Это сообщение отредактировал paradox75 - 14.05.2017 - 06:27

[^]

ПРИМа25

14.05.2017 - 06:25

Статус: Offline

Дед-пердед

Регистрация: 27.05.13
Сообщений: 17878

Цитата (Dedvlz @ 14.05.2017 - 04:16)

Цитата (ilia77frolov @ 13.05.2017 - 21:05)

Я на линухе...

Попробую подцепить эту гадость через вайн.....

хз, по моему не лучшая идея:

Расширения шифруемых файлов:
.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

твой линух определится как не система и теоритически хз.

Что, .dbf есть а 1cd нет? Не поверю!!!!

[^]

~~r2d6~~

14.05.2017 - 06:26

-2

Статус: Offline

Ярила

Регистрация: 19.02.13
Сообщений: 1030

Цитата (ddvsamara @ 14.05.2017 - 05:50)

За NAT или файрволлом опасность гораздо меньше, но ничего не спасет при попадании вируса обычным путем - через почту или варез. Мало того - зараженный комп тут же начнет помимо шифрования пробовать распространяться по локалке используя данную уязвимость SMB.

Че за херню ты написал. При nat опасность возрастаем многогранно(nat суть проброска адресов/портов). Nat и Файрволл несут в себе абсолютно разные функции(один стопорит и сверяет с правилами/останавливает, другой пробрасывает напрямую к компу).

Это сообщение отредактировал r2d6 - 14.05.2017 - 06:29

[^]

~~r2d6~~

14.05.2017 - 06:31

Статус: Offline

Ярила

Регистрация: 19.02.13
Сообщений: 1030

Цитата (TheCoroner @ 14.05.2017 - 06:09)

и я заработал немножко на этом, починив комп клиенту) 50$ на дороге не валяются)

Если не секрет: что делал, сколько времени заняло и какой город.

[^]

red144

14.05.2017 - 06:34

Статус: Offline

Балагур

Регистрация: 6.11.13
Сообщений: 857

Цитата (ra9mli @ 13.05.2017 - 18:15)

Подскажите, а где можно этот вирус подцепить? Хочу прям специально заразить свой комп и глянуть что будет.

Только не читай медицинскую энциклопедию

[^]

вессон	14.05.2017 - 06:56 [ показать ] -1
Статус: Offline ... Регистрация: 2.04.17 Сообщений: 1287	Кажется, нашелся все-таки тот гений, который сказочку про виноватых во всех бедах русских хакерах Путина, взломавших выборы в Арменике, убивших Кеннеди и лишивших девственности Памелу Андерсон, изощренно покрутил на хую)) Но у гасдепа есть тысяча клонов Псаки, и поэтому это никого ни в чем не убедит "ААААА! ААААА! Хакеры Путина напали сами на себя!! ААААА! ААААА!!!! ПИЗДЕЦАМЕРИКЕХРАМПТУЙ!!!!"© ps; че-то я с этой ибливой арменикой тоже подзаебал)) pps; нет, ну а хули))) Это сообщение отредактировал вессон - 14.05.2017 - 07:16
	[^]

~~jimmy70~~

14.05.2017 - 07:18

Статус: Offline

Ярило

Регистрация: 12.11.14
Сообщений: 6222

Цитата (ra9mli @ 13.05.2017 - 15:15)

Подскажите, а где можно этот вирус подцепить? Хочу прям специально заразить свой комп и глянуть что будет.

биткоины покупать пойдешь

а для тех кто еще не нашел обновление kb4012212 - вот прямая ссылка

http://download.windowsupdate.com/d/msdown...92d8c4e92b3.msu

Это сообщение отредактировал jimmy70 - 14.05.2017 - 07:26

[^]

Gandalf

14.05.2017 - 07:28

Статус: Offline

Ярила

Регистрация: 19.11.05
Сообщений: 1496

Цитата (r2d6 @ 14.05.2017 - 10:26)

Цитата (ddvsamara @ 14.05.2017 - 05:50)

Че за херню ты написал. При nat опасность возрастаем многогранно(nat суть проброска адресов/портов ). Nat и Файрволл несут в себе абсолютно разные функции(один стопорит и сверяет с правилами/останавливает, другой пробрасывает напрямую к компу).

Эмм... шта? Нат - это проброска? Охуенно

Нат-это трансляция (network adres translation). Т. е. основной момент - работает тупо изнутри наружу. А снаружи - вовнутрь - хуй!

Я сейчас умышленно не упоминаю разные штуки на основе upnp ака бэд тоннель.
Сути это не меняет, и к нату прямого отношения не имеет!

Это сообщение отредактировал Gandalf - 14.05.2017 - 07:29

[^]

квась

14.05.2017 - 07:28

Статус: Offline

Джедай Поддаван

Регистрация: 30.01.15
Сообщений: 837

Цитата (kazanec @ 13.05.2017 - 12:49)

...
Как проверить свою систему[/b], подвержена ли она уязвимости, которую эксплуатирует Wannacry:
- Откройте cmd.exe (коммандную строку)
- Напишите:

Цитата

dism /online /get-packages | findstr KB4012212

Проверил. KB4012212 не найден. Смотрю в установленных обновлениях этот патч - не вижу. Система 8.1 х64 была обновлена вчера.
Копипаста, что я делаю не так?

PS\

Цитата (Vit123 @ 13.05.2017 - 13:57)

Необязательно KB4012212. Последние цифры могут быть другими в зависимости от версии системы.

Например, у меня KB4012216 от 15 марта 2017г.
Винда 8.1, автоматические обновления включены.

Как проверял:

Панель управления\Система и безопасность\Центр обновления Windows\Просмотр журнала обновлений.

Там в списке установленных обновлений нашел KB4012216 (хотя искал по рекомендации ТС KB4012212).

По ссылке https://technet.microsoft.com/en-us/library...y/ms17-010.aspx нашел в левом столбце свое обновление (последние циферки -16) и успокоился.

и этого обновления я тоже не нашел...

PS/
Вот в чем дело. Прошел по ссылке что в первом посту https://technet.microsoft.com/en-us/library...y/ms17-010.aspx , там перечень. Нашел ещё один вариант патча для своей системы - КВ4012213. Вот именно этот патч и установлен на моём компе. Всё, я сплю спокойно)

Это сообщение отредактировал квась - 14.05.2017 - 07:51

Проверяем и защищаем свою систему от Wana decrypt0r 2.0

[^]

simyth11	14.05.2017 - 07:32 [ показать ] 0
Статус: Offline Ярила Регистрация: 29.11.12 Сообщений: 2998	Чего-то я вообще прикола не понял. Вин даже голую просто так не заразить сейчас. Антивирусы что, не у кого не стоят? Прокладка между монитором и креслом - самая уязвимая часть.
	[^]

Gandalf

14.05.2017 - 07:40

Статус: Offline

Ярила

Регистрация: 19.11.05
Сообщений: 1496

Цитата (квась @ 14.05.2017 - 11:28)

Цитата (kazanec @ 13.05.2017 - 12:49)

Цитата

dism /online /get-packages | findstr KB4012212

Проверил. KB4012212 не найден. Смотрю в установленных обновлениях этот патч - не вижу. Система 8.1 х64 была обновлена вчера.
Копипаста, что я делаю не так?

~~Живешь, не включая мозг. Хотя, тоже вариант. Ресурса надольше хватит.~~ Красава, исправился

По теме. Семерка и 8.1 давно обновляются ежемесячными кумулятивами. Смысл этой концепции в том, что каждое последующее обновление включает в себя все необходимые предидущие. Сейчас май. Изучаем, тут или здесь, список майских обновлений, находим в нем свое, ищем у себя, радуемся/плачем.

Это сообщение отредактировал Gandalf - 14.05.2017 - 07:53

[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 82079
0 Пользователей: