Остановили вирус, ага!

Хорошо бы!
Но вот на тораживает тот факт, что один остановил путём регистрации домена, второй нашёл пароли и уже патч накалякал!
Работа в написании вируса была проделана серьёзная, и что-то мне подсказывает, что не так то легко его теперь тормознуть и вычистить?!

Народ, те кто уже заразился, а скиньте сам вирус - в запароленном архиве. Разверну его на виртуалке, посижу посмотрю как работает. А то ехать в СЦ за ним в воскресенье вечером не очень охота. Есть у кого? Можно ссылкой на гугл диск или яндекс диск... запароленный архив. А пароль и ссылку в личку

номер у неё на вин7x64 другой

проверь через cmd:
wmic qfe list | findstr 4012212

или 4012215 для x64

если ответ не пустой значит патч есть

Это сообщение отредактировал hedonist - 14.05.2017 - 19:15

Ну так разверни виртуалку, да пробрось на нее 445 порт из энтеронетика. По слухам, через полчаса будешь иметь удовольствие созерцать уже готовый результат работы.

Это сообщение отредактировал ipv4 - 14.05.2017 - 19:16

Этим бесполезно объяснять. Не мучайтесь.
Вы же и виноваты будете- "голову морочите и толком объяснить не можете!!!!!!"

Те кто тут заразился врядли чето скинут) В середине темы у кого-то через 15 минут после установки свежей винды уже было окно шифровальшика - так что можно самому поймать я думаю.

На линях то еще не пора очковать?

Возможно и пойдет, если у него путь прописан. Но в наше время террабайтных винтов, скорей всего кулцхакеры об этом и не думали даже.
У меня вот на диске С всего 18 гб свободно, а на D и того 5гб. Но проверять на рабочей системе действия шифровальщика я не хочу, а виртуалку даже некуда поставить.

Не стопарнётся. Он шифрует файлы, место тащемта не занимая. Проверил на виртуалке.

Вирус Necroa? Разработки лекарства ведутся или все становятся зомбями?

Нам, татарам, все равно )))

пора, на линях во всю рубят права доступа.

Всё есть. Шарить папки-то как без самбы?
Имхо дома словить это не получится, если:
1 ходить через машрутизатор(не напрямую и не через мобильный свисток) и не настраивать на нём проброс портов на виндовый хост.
2 естественно, не цепляться через випиэн во внутреннюю сеть с какого-нибудь виндового хоста, юзающего какой-нибудь свисток от мобильного оператора.
3 не пускать в локалку того, кто мог подцепить малварь через того же мобильного оператора
4 не открывать всякую туфту, в т.ч. присланнную почтой.

Это сообщение отредактировал БроКролик - 14.05.2017 - 19:27

Прикол еще в том что если вирус попал в локальную сеть, он начинает сканировать соседние компьютеры на предмет уязвимости. Вот поэтому такая и массовость.

Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4012215), март 2017 г.

Дата установки: ‎22.‎03.‎2017 23:22

Состояние установки: Успех

Ух ты , а 4012215 стоит. Но 2212 тоже встала (хоть и принудительно).. Получается, что я был защищен?

Сейчас съезжу в офис, проверю.Тогда уже другой вопрос возникает, неужели столько всяких серьезных и уважаемых организаций не ставят элементарные обновления?

енто под статью попадает


"набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код."

можешь покопать, осторожней с общей сетью в виртуалке, может вырваться

Из личного наблюдения. Может кто с нашей вымирающей профессии (сисадмин не на аутсосрсе) помнит такие вещи, как керио контрол, трафик инспектор? Так вот, у всех коллег, кто не поддался веяниям времени, и не заменил програмный роутер на аппаратный - не прорвало. Вообще. Причём во многих филиалах, глубоко в области, винда не обновляется со времён установки (тупо канал узкий), есть и мастодонты XP и вообще на win2000 одна тётенька под 60 сидит и категорически отказалась что-то менять. Ip везде белый, где-то с 10 числа у всех, у кого стоят kerio на шлюзах, заголосил, завопил snort о портсканах. Причём не только 445 порт. В общем, лично я нифига обновлять не собираюсь. Всё ништяк пашет, никогда пробоев небыло и... да пошли они нахуй вообще, бэкапы не делают только имбецилы.
ЗЫ А перед этой атакой, кстати, был шквал спама, где-то с 25 аперля по 11 мая.

Это сообщение отредактировал ПолночьЗвери - 14.05.2017 - 19:29

Проверил, стоит. Можно выдыхать?

в канаде живут на узкой кромочке вдоль границы с СПШ

Да этоже обрушение)

Вот же гадина. Пойду почитаю про методы шифрования, а то я в этом туп как пень.

А чо надо сделать, чтоб поймать и позырить?
Пиздец как интересно!

Это сообщение отредактировал Modigar - 14.05.2017 - 19:32

Хах, с ЗЫ смеюсь )
Вот оно пиратство как себя проявило.
В массы, ещё и защищает =)

а я и смеюсь За пиратов, а не против =)

Это сообщение отредактировал Syntez - 14.05.2017 - 19:37

А зря. Реально выпиливают. Не во всех, но раньше были дистрибы ультракастрированной семёрки.

Это сообщение отредактировал ПолночьЗвери - 14.05.2017 - 19:35