С огромной скоростью распространяется вирус-криптор / вирус :: Wana decrypt0r :: geek (Прикольные гаджеты. Научный, инженерный и айтишный юмор)
Красивая карта с заражёными хостами в реальном времени: https://intel.malwaretech.com/WannaCrypt.htmlВирус похоже использует какую-то хитрую уязвимость винды. MS заявляет, что они её прикрыли ещё в марте. Но пользователь гиктаймса пишет:
Сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Заражены куча больниц в Великобритании, испанская Telefonica, Мегафон, российские МВД и СК. Ну и куча всех остальных. рекомендуется врубить фаерволы по максимум или отрубить компьютер.
Для того, чтобы заразиться не надо ничего делать - оно само заразит =). Антивирусы не помогают.
UPD похоже он заразил всех, кого мог заразить - новые заражения практически прекратились. Но ОС лучше обновлять =)UPD2 ссылка на патч от МС - https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Wana decrypt0r(27) geek(15207) Отличный комментарий!koka: UPD похоже он заразил всех, кого мог заразить - новые заражения практически прекратились. Но ОС лучше обновлять =)
Походу снова разогнался: 3-5 штук в секунду заражает.
Ненавижу, блядь, Мадагаскар
* хоть это и относится несколько к иной игре.
На основе найденной инфы, вероятно, уязвимость SMBv1. Вроде как закрываются вот вот этими обновлениями (еще за март). Если стоят последние обновления - скорее всего система в безопасности.
А так же анально блокировать файерволом: netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name=«Block_TCP-135» netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name=«Block_TCP-445»
SMB (сокр. от англ. Server Message Block) — сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам, а также для межпроцессного взаимодействия.
Общий доступ, грубо говоря.
Вот что говорит Вики:
135/TCP,UDP EPMAP (DCE Endpoint Mapper) 445/TCP,UDP MICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory)
видимо, они используются как раз где-то в SMB. Может пригодиться как экстренная мера. Для домашнего пользователя должно быть незаметно. Мб потом всплывет, что что-то наебнулось, главное - вспомнить, что закрыл.
Косячный машинный перевод в той статье. Если открыть оригинал, то надо в реестре создать (если нет) параметр, но назвать его не Новый Параметр #1, а SMB1, на него дважды кликнуть, откроется окно и ввести туда значение 0.
Либо (что то же самое, но из консоли): Открыть PowerShell (Пуск - искать Power Shell) от админа, вести в ней Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Но в 7ке вроде Power hell нет по умолчанию, надо ставить, так что проще через редактор.
Плохо или нет. Кто его знает, если открывается. Хотя может и попали под раздачу, вероятно, криптер мог шифровать только начало файла. Даты изменения не странные?
Если порты открыты, то неосознанно ты тоже шаришь, как минимум IPC$, даже если никогда не просил об этом.
Другое дело, что сейчас все за натами сидят, и чтоб эти порты стали открыты, их нужно целенаправленно пробросить.
А вот в облаках - совсем другой разговор. Там машина со всеми портами как правило прямо в инет смотрит, и достаточно просто отключить Windows Firewall чтобы получить по полной программе. Вот для них будет веселуха, особенно если админ презирает обновления винды по религиозным причинам.
Выключать ipv6 (особенно Teredo) если пользуешься торрентами - не рационально. Это подобно фразе: "выключаю Интернет, ибо нехуй". Если есть дыра, её нужно закрывать, а не рубить с плеча.
Это как подобно действия Российского правительства и госудуре - если есть проблема, давайте не анализировать её принимая толковые законопроекты, а запрещать всё нахуй! Вот и пример, если люди сами идиоты, то почему их правительство должно быть умнее? (уж извините за политоту в треде)
И есть же люди, которые пишут такую ахинею. папка 25Гб, десятка, редакция pro, х64. Причем данная система переежала на ssd с ноута asus k53e на x556u, без каких-либо плясох с бубном, просто ткнул в ноут, автообнова выкачала нужные дрова и сидишь радуешься жизни. И нет, я спецом ничерта неотключал: логи пишутся, точки востановления создаются пере обновой и пр.
50Гб можно получить на различных уставноках, которые будут что-то докидывать в system32, плюс инфу про программу, либо банально забив папку Temp.
Про лаги вообще отлично: как размер папки связан с лагами? может хоть всю свою парнуху закинуть в папку windows, на системе это скажется ровно тогда, когда сам диск C: упрется в свою емкость, со всеми вытикающими. А вот для этого уже нужно чуть шарить, и не ставить 60ГБ под систему без переноса папок пользователей.
>>Не буду тебя ни в чем переубеждать, обновляйся дальше, со всеми вытИкающими.
Ага, и на атривирусе обновления вырубать, и привики нельзя делать. Где вы только беретесь? Неужели вы серьезно думаете, что майкрософт ставит за цель навернуть обновление вашу систему?
>>Ок поясню, речь о 7х64 торрент едишн
Как это связано с автообновление закрывающее дыры/баги? Плюс, про "работу" тоже можно многое говорить: кто-то запускае доту по вечерам или vk, а кто-то ставит новую IDE, разварачивает различные виртуалки/платформы для работы. Я лично ложил свой ноут няхую (т.е. даже синий экран не появился), забивая память до отказа.
Плюс апдейтер винды доуставнавливает/обновлят драйвера, что позовляет не мучится при покупке нового железа с их настройкой и последующим сопровождением (когда купил, дрова сырые, а через месяц винда любезно тебе обновляет их до последней версии).
Можно жить без апдейтов? можно. Порой даже нужно, когда машина должна работать 24/7/365, она хости сервис, который никогда не обновляется.
> Хм, неужто пришло время после стольких лет установить антивирус?
5 лет живу с вокзальной проституткой. Всё ленюсь сдать анализы
то значит ты заблокирован. Ещё говорят можно чуть раньше это понять по тому, что система начинает тормозить - жёсткий диск перегружен.
Upd: New American Times: "Bitcoin был использован русскими хакерами, при организации атак на органы США. Всем гражданам США рекомендуется воздержаться от использования bitcoin. Его законодательный статус будет пересмотрен на заседании конгресса."
Интересно, насколько далеко упадёт
Это линукс для запуска с DVD или флешки (нужна 2 Гб минимум). Запустись с него и посмотри, что там у тебя на жёстком диске. Если порядок файлов не в порядке - напрягись. Возможно, вирус уже начал что-то шифровать.
С помощью линукса, ты можешь скопировать всё что тебе нужно на внешний жёсткий диск.
тут почитайте, линк на описание уязвимости
Хороший вопрос. Ставил винду после марта, проверил установку нужного KB
SYSTEMINFO.exe | findstr KB4013389
нет. Либо у свежих винд оно уже включено и не отображается как патч, либо хрен его знает.
И шапочка и носочки, береженого сам знаешь кто бережет =)
Я техножрец с десятилетним опытом и твой подъеб не засчитывается.
Раньше, чтобы заразиться компьютерным вирусом надо было открывать файлы с сомнительными названиями, скачанными с сомнительных ресурсов, тыкать по подозрительным ссылочкам и не иметь ни брандмауэра, ни антивируса. Теперь вирус для ленивых - он сам тебя найдет и заразит, сквозь антивирус и заблочит тебе винду, требуя за разблокировку 300 вечнозеленых (это где-то в районе 17k деревянных, если не ошибаюсь). Переустановка окон не помогает, вернее помогает, но это не значит, что комп не заразится снова. Юзеры по всему миру обосрались. Говорят, что защищает обновление Винды, возникло подозрение, что сами Мелкософты этот вирус и пустили, чтобы вынудить всех обновляться.
Спасибо, добрый человек! Уже ничего не понимаю, слишком много флуда кругом. Понял только, что всем и всему кранты, а Джонна Коннора ждать не стоит.
А тут правда понятно, что именно нужно делать. -Скачаю через нот с Убунту и перенесу на флешке на комп с Виндовсом, посмотрим, как оно :p
Не может же быть, чтоб хаккеры были такими умными: создавали посты на Джое, и к ним такие человечные комментарии, под видом спасения добавляли, а мы тут всё подряд скачивали, ну и ещё им ломануть сайт Микросот тогда надо :D
Джой - наше убежище, господа!
Потому что что пиратку с кривым активатором юзаешь. Уже писали про это. Надо было изначально нормальную пиратку ставить. А теперь у тебя вариантов немного - откат установки обновы через командную строку, скачивание правильного активатора Win и последующий накат мартовского апдейта.
з.ы. Сам поставил на пиратку Win7x64 образца 2009г (с обновлениями вкл SP1 и далее) эту мартовскую заплатку - всё работает без проблем.
Мораль: не все пиратки одинаково полезны.
>>Надо было изначально нормальную пиратку ставить.
Зло. Вот мне интересно, доживу до времени, когда майкросовт все же будет распространять урезаную бесплатную версию винды? Или считают что пираты прекрасно с этим справляются сами?
Ну я могу сказать, что мелкософт ведёт себя довольно терпимо (взять хотя бы бесплатную возможность (существовавшую не так давно) обновиться даже с популярной на просторах СНГ пиратки Win7x64 до лицензионную 10ки. Другое дело, кому сдалась бесплатная сырая 10-ка после как часы работающей 7-ки - но это отдельная тема для холивара.
И ещё. Шёл 2009год, коллега по работе где-то нарыл интересную сборку Win7 (все версии в одном образе) и без активатора. Разумеется, пиратка, но сервера обновлений так не думали и прекрасно её обновляют и по сей день (мэйби активатор был уже вшит - не знаю).
Но вот в чём фишка - самолично обновлял эту сборку Win7x64 начиная с 2009 года до SP1 и далее до 2017года. И до сих пор у меня в центре обновлений снята самой системой галка с мерзостного обновления от 2010 года (KB971033), при принудительной установке которого возникал чёрный фон рабочего стола и постоянные всплывающие окна с напоминанием о том, что вы пользуетесь пиратской версией.
Субъективные ощущения таковы - майки прекрасно видят что за система, когда и как она сломана, но дают возможность пользоваться и даже обновляться без проблем, даже заботливо снимают галку с потенциально нежелательного для пиратки обновления.
Это ли не лояльность и не желание оставить ещё одного потенциального покупателя/пользователя в активе? Кто владеет информацией, тот сами знаете чем владеет.
т.е. все-таки переложили на пиратов данную обязаность?
Просто под "фри" можно толкать рекламный функционал, или запретить снимать сбор инфы для последующей продажи статистики. Хотя, если десятку люди боятся как огня (при этом добровольно пользуются всеми средствами от гугл/яндекса), подозреваю что и фришную систему на рекламной основе не особо поспешат ставить. Ведь есть же сборка от хз-кого, только скачать!
Проблема в том, что рядовой потребитель их ОС и даже не совсем рядовой затрахаются отслеживать - был ли сбор инфы или не был. Перелопатить исходники тоже не получится, ведь Windows проприетарная система и майки (как показывает история) готовы даже заплатить многомиллиардные штрафы ЕС, но не предоставить доступ к исходному коду продукта. Максимум чего от них смогли добиться - ненавязывания осла в качестве дефолтного браузера и штатного видеоплеера.
Поэтому никто точно не знает общее количество системных бэкдоров, созданных непосредственно самой майкрософт и, боюсь, "эта музыка будет вечной" - и тут либо unix-подобные ОС, если не хотите сливов статистики и инфы, либо юзеру предлагают не париться и пользоваться тем что есть, при этом осознавая, что всё что о вас хотят знать - уже знают.
Так что видимо, (по крайней мере, на просторах СНГ) вы правы - эта обязанность легла на пиратов. Лично я готов был бы заплатить за лицензию Wndows, если бы она стоила вменяемых денег, сравнимых с покупкой игры в стиме, но когда за ОС (проф/ультимейт) просят 7-9 тысяч, я лучше продолжу пользоваться пираткой.