Проверяем и защищаем свою систему от Wana decrypt0r 2.0

К кому обращаться, что не обращается?

Через командную строку, запущенную с администраторскими правами:
Netsh Advfirewall Firewall Add rule name=Block443 dir=in action=block enable=yes profile=any remoteip=any localport=443 protocol=TCP
Netsh Advfirewall Firewall Add rule name=Block443 dir=in action=block enable=yes profile=any remoteip=any localport=443 protocol=UDP
Netsh Advfirewall Firewall Add rule name=Block443 dir=in action=block enable=yes profile=any remoteip=any localport=139 protocol=TCP
Netsh Advfirewall Firewall Add rule name=Block443 dir=in action=block enable=yes profile=any remoteip=any localport=139 protocol=UDP

Будет работать при условии, что встроенный firewall windows включен

Это сообщение отредактировал Uzzver - 14.05.2017 - 09:54

Тут , выбираешь 445 потом 139 порт
https://2ip.ru/check-port/?port=445

Это сообщение отредактировал voznesenski - 14.05.2017 - 09:51

Че, это определение из wikipedii. С чего все распахнули порты и с чего все получили ответ(точнее ответ они получат, но не примут, ибо запроса от них не было, но я могу ошибаться)? Временная таблица маршрутизации, не(ответ придет определенному адресу в локалке)?

Это сообщение отредактировал r2d6 - 14.05.2017 - 09:56

спасибо. Проверил, оба порта закрыты. Перед эти воспользовался советом:

Поясню ПРОСТЫМИ словами про САЙТ злоумышленника :) О котором тут все пишут, что это бред :)
Сделано так:
1. Сайт (как вы все видите) дико идиотического вида, которого конечно в РЕАЛЕ не существует.
2. Допустим вирус запускается на ЛЮБОМ компе ПОДКЛЮЧЕННОМ в сеть.
Вирус кидается в сеть и НЕ НАХОДИТ этого сайта (что естественно, ибо его нету) вирус понимает, что он на машине ПОДКЛЮЧЕННОЙ в СЕТЬ! И начинает поспешно шифровать ваши файлы.
3. Допустим вирус запущен компьютерщиками в "песочнице" для его (вируса) изучения
Он (вирус)стучится в сеть в поисках этого сайта.
Песочница (как ей и положено) сообщает вирусу - ОК сайт найден!
Но мы же с вами (и разработчик вируса) знает, что этого дегенеративного именем сайта НЕТ в сети интернет!
Значит что?
Значит вирус начали препарировать в песочнице!
Что нужно делать? Срочно сворачивать его работу аварийным завершением!

Вот такой механизм ЗАЩИТЫ вируса от препарирования в песочнице.
За тем и нужен был этот мифический не существующий сайт.

Есть ответ от сайта, котрого нет в природе? Значит вирус препарируют - самоубиваюсь срочно! :)
Нет от несуществующего сайта? Значит запрос был в нормальную сеть интернет - комп у лоха начали шифровку! :))


такой забавный механизм сыграл с злоумышленниками обратную шутку.
КАК только люди заргили в сети иннет этот ненормальный по имени сайт, то все вирусы уже не из песочница, а с обычных компов "попавших" юзеров стали стучаться. получать ответ ОК - ДУМАТЬ! Оппа я в песочнице! Срочно самоубивась! :)
И перстали гадить :0

Конечно в следующей версии этого вируса это решение буде тоже как нить обойдено.
Но только не надо думать, что такой дебильноватый по имени сайт НЕ зареген был случайно.
ТАК И БЫЛО ЗАДУМАНО хитрым разрабом вируса :)))


По ЛЕЧЕНИЮ хочу заметить одну хитрую штуку.
Как вы знаете лечить компы бросились все в мире :)
Но только у ЛИЦЕНЗИИ (что w7 что 8, что 10 что XP) лечние патчем (естественно от микрософта) проходило на УРА.
У остальных патч немедленно валил систему опрса верификации (хак верификации ОС) ивалил комп насмерть.
Такая вот хитрая штука.
Виноват во всем вирус.
Но если увас не лицензия винды - то вашему компу вообще хана. ОС упадет.
Ест о чем подумать. в общем и целом.

Так же есть о чем подумать, с учетом тогофакта, как упало все в МВД и у телефонных операторов.
Можно сколько угодно обсирать "чебурашку" и прочие убогие поделки от Российского софта, но стоит сделать одну комнаду из центра меломягких и вообще ВСЕ компы мира сидящие в сети (а это почти все компы) тупо могут ПРЕКРАТИТЬ работу или зашифровать все данные и прекратить работу.
очень большое подспорье стране в целом, на случай каких нить проблемных событий, как то несчастья, землетрясения или не дай то Бог начало военных действий.
Просто мысль к размышлению как нужно сколь угодно убогое но СВОЕ ПО !


Это сообщение отредактировал RRFFAA - 14.05.2017 - 10:15

установил обновление windows6.1-kb4012212-x64...msu на windows server 2008 r2 x64, перезагрузил, теперь не могу подключиться к нему удаленно, ввожу пароль, появляется окошко "настройка удаленного сеанса", оно закрывается и дальше все...тишина, удаленный сеанс не открывается. я в панике, чувствую завтра на работе мне будет п...ц.

Создал тему ТС ни о чем. От слова совсем. Лишь бы юки себе подсобрать.
Порт 445. Все. Кто на серверах и так давно все знают. Остальным вообще глубоко на это пох.
Что за лажа здесь происходит? Как ни тема, так повторяют комменты один за другим как попки по 20 - 30 чел. Как ни тема, так по любому ее дубли и клоны постить начинают.

вы это серьёзно? при PAT проверяйте хоть что, там номер порта с внешки рандомный порт будет открыт. у меня эта ссылка даже 80 и 8080 закрыты. я бы не читал бы ЯП в этом случае, и не писАл бы этот коммент. "дебилы, бля"©
и, кстати, благодаря нашим чудо-админам, открывшим порты для AD, тупо по локалке - зараза влезла на хосты, которые даже во внешку выхода не имеют.

Это сообщение отредактировал qudesnik - 14.05.2017 - 10:52

Тогда напишите что-нибудь такое полезное по факту, что на ваш взгляд не является "дебилы бля ©". Люди в панике сюда заходят, и никак не рассчитывают увидеть стебающихся над ними умников. НЕ все в сетях разбираются, для этого и существует взаимопомощь.
Мне например, информация выложенная здесь и написанная доступным для обывателя языком, помогла определиться хотя бы с тем, что вообще происходит.

Уверен, что на профильных айти форумах уже давно всё понято. Будем добрее. Каждому своё ©

Товарищи, ну нельзя же так серьёзно, дайте владельцам linux и mac позлорадствовать...
прям всех зашлпалили

Как раз вся эта простыня с песочницами и пр - это абсолютный бред.
С какого хера песочнице отвечать "ок" на запрос к несуществующему сайту?
Да и более того - для исследования вируса не нужна песочница, достаточно иметь небольшую изолированную сеть из нескольких машин и исследуй пока не надоест.
Всё гораздо проще.
Злоумышленник выпускает в сеть вирус, который обладает неограниченными способностями к самораспространению. С момента первого заражения у разработчика уже нет возможности остановить его распространение.
Видимо в определённый момент разработчика накрыла паранойя и он на всякий случай предусмотрел стоп-кран в виде запроса к ещё несуществующему сайту.
Возможно он предвидел ситуацию как к нему приходят люди в чёрном и методом терморектального криптоанализа требуют остановить вирус, а он не может.
Самая примитивная проверка - при необходимости остановить атаку он просто регистрирует такой сайт и атака прекращается.
Конечно, можно было придумать какой-нибудь более хитрый способ, но, возможно, у авторов зловреда туговато с фантазией.
Адрес сайта был вычислен, атака была остановлена, после чего автор обиделся и отрезал к херам этот самый стопкран, или придумал что-то не настолько очевидное.
А эта теория с песочницей - какой-то наукообразный бред.

О! Спасибо!
Проверю!
Полезный сервис!

гы гы гы))))
http://www.n*********oteka.ru/
1. Web-сервер на винде, да еще и в интернете
2. Web-сервер в интернете с работающим SMB, то бишь без админа.

Это сообщение отредактировал kazanec - 14.05.2017 - 12:34

Сначала было думал что это Майкрософт таким образом пытается втюхать "отказникам" свои шпионские обновы. Но вот если рассмотреть под таким углом, наводит на мысли.. И дело даже не в проверке на лицензию, это как бы между делом... В качестве бонуса.. Помойму идёт как раз тестирование и обкатка технологий на случай большого пиздеца..

Бро, добрый совет. Убери ссылку. Скрина достаточно.

Ибо!

Для некоторых недалеких государевых людей тут полный состав преступления. Учитывая тот пиздец, который начнется завтра, я поостерегся бы...

Это сообщение отредактировал Gandalf - 14.05.2017 - 12:30

ок, убрал)

Странно все это, очень странно.

Да нахер они оторвались) Производители этих стопкранов в сговоре с производителями железа юзверям только мозг ебут)) Три года без всей этой еботы - полет нормальный) Только свою внимательность, да паранойность виндовской "Контроль учетных записей" поставить повыше - и Вася не чешись) Знакомый админ еще в 2002м аналогичную систему объяснял, с легенькой прогой, блочившей запуск батов и ехе, - так тоже с тех пор и не юзал ни одной антивирусятины)
Если что-то ниибстись важное - виртмашина, да для разнообразия адваром пощупать раз в тыщу лет)
Типичному сетевому ибанавту такой фейскантроль - выше крыши)

Воистину!)

Это сообщение отредактировал вессон - 14.05.2017 - 12:58

внешний жесткий диск равносилен вашему "на компьютере". При подключении хард становится самым обычным накопителем, что мешает вирусу зашифровать все данные на нем и похерить вам все ваши бэкапы?
Второе момент - вы в облако сколько версий образов храните? ибо достаточно залить свежую зашифрованную копию и перетереть предыдущую чтобы потерять все бэкапы. Если сливаете редко, то потеряете все промежуточные данные. Бэкап - вовсе не решение всех проблем, один из способов сохранения данных со своими недостатками обусловленные реализацией самого копирования.

А вирус то все расползается и расползается. Уже более 200 тыщ зараженных ПК.
https://intel.malwaretech.com/WannaCrypt.html

Мне кажется, что хорошо, что на выходных произошла эта бяка. У многих компы потушены и конторам есть время, что бы обезопасить себя.
Или я ошибаюсь?

И многие пишут, что пиздец начнется завтра. Не хотелось бы в это верить.

Это сообщение отредактировал hoysey1990 - 14.05.2017 - 13:15

Потому что другой номер патча, у меня w8.1, пробовал проверять ничего не выдает в командной строке, тогда скачал по ссылке, которую раньше тут давали для всех систем, нашел для W8.1х64, скачал установил и все определяется в командной строке. А обнова такая kb4012213 х64

По этой ссылке куча непонятный ссылок. По которым ничего не качается. Там еще и не понятно какой именно нужен. Win764 несколько вариантов, также и win1064.
Кто смог разобраться, ткните в меня ссылками.

Да есть там патч, только номер другой, для х64 разрядной - kb4012213, так что смотри по ссылкам данным ранее.
Все ссылки для прямого скачивания на 8 странице,для всех систем, выбирай систему свою и вперед

Это сообщение отредактировал Zima2014 - 14.05.2017 - 13:45