нет! всё прекрасно работает, даже офис!
Считает-то считает, пока не обновится один из системных файлов, уязвимость которого используют для активации. Именно это и происходило трижды несколько лет назад, пока активатор не обновили.
В зависимости от активатора.
Ну,или можно необходимые обновы качать ручками.И ручками же ставить.
Всё подряд качать не надо,иначе ОС охуеет и пошлёт тебя в пеший тур с эротическим уклоном лесополосой до Поднебесной(Нахуй до Китая то есть)
В этом случае службам BITS и Autoupdate можно выставить и ручной запуск.
Ну,или можно необходимые обновы качать ручками.И ручками же ставить.
Всё подряд качать не надо,иначе ОС охуеет и пошлёт тебя в пеший тур с эротическим уклоном лесополосой до Поднебесной(Нахуй до Китая то есть)
В этом случае службам BITS и Autoupdate можно выставить и ручной запуск.
KB4012212 в данном случае
Можно ознакомиться с этой темой
http://forum.ru-board.com/topic.cgi?forum=62&topic=30531&start=0
Там написано,кого,куда,как и сколько раз
Можно ознакомиться с этой темой
http://forum.ru-board.com/topic.cgi?forum=62&topic=30531&start=0
Там написано,кого,куда,как и сколько раз
не думаю,что выбор нужных обновлений вручную-вредный совет.
Вот автообновление не всегда бывает полезным.
Не раз приходилось восстанавливать работоспособность систем после накатывания разных обнов.
Помню момент, когда у человека после автоматического накатывания одного апдейта(не помню номер.Что-то,связанное с штатным мелкосовтовским браузером) наебнулась половина установленного софта. На лицензионной системе. На которой же стоял лицензионный, или бесплатный софт. Да, такие люди существуют.
Проблемы, возникающие при обновлениях, не зависят от лицензии\активатора. ИМХО.
Вот автообновление не всегда бывает полезным.
Не раз приходилось восстанавливать работоспособность систем после накатывания разных обнов.
Помню момент, когда у человека после автоматического накатывания одного апдейта(не помню номер.Что-то,связанное с штатным мелкосовтовским браузером) наебнулась половина установленного софта. На лицензионной системе. На которой же стоял лицензионный, или бесплатный софт. Да, такие люди существуют.
Проблемы, возникающие при обновлениях, не зависят от лицензии\активатора. ИМХО.
Комп притащили мне. Нащел старый хард, накатил по быстрому винду.
Файлы зашифрованы. Скрытых нет. В каждой папке файл .txt где написано то же что и на экране.
Зашифрованы все доки, архивы, файлы изображений. Только файлы запуска .exe без изменений.
По словам сестры вначале стал вылетать скайрим, потом фотки прекратили просматриваться, потом вылезла сия петрушка.
Отката винды нет. Вирь все точки сохранения потёр.
Файлы зашифрованы. Скрытых нет. В каждой папке файл .txt где написано то же что и на экране.
Зашифрованы все доки, архивы, файлы изображений. Только файлы запуска .exe без изменений.
По словам сестры вначале стал вылетать скайрим, потом фотки прекратили просматриваться, потом вылезла сия петрушка.
Отката винды нет. Вирь все точки сохранения потёр.
Углубляться не хочу, но очевидный совет дам - если важность потерянного не позволяет экспериментировать, делайте образ диска. Думаю, лишним не будет.
дичь какая-то
я раньше юзал "Recover My Files"
хорошо восстанавливает медиа, даже если данные битые
последние версии к сожалению (или нет?) не тестил
в его случае unzip проканает (насколько мне известно из некоторых источников), только pass надо знать от (зашифрованного) архива
хорошо восстанавливает медиа, даже если данные битые
последние версии к сожалению (или нет?) не тестил
в его случае unzip проканает (насколько мне известно из некоторых источников), только pass надо знать от (зашифрованного) архива
Про R-Studio правильный совет (если HDD, а не SSD, разумеется). Шифруется не существующий файл, а создаётся новый. Вирус на диск кучу мусора пишет, чтобы удалённые файлы затереть, но шанс восстановить хоть что-то из удалённого всё же есть.
Скопировать зараженные файлы каким-либо образом (LiveCD, другая ОС etc.) идея малоперспективная, но неплохая — если окажется, что пароль один на всех или вычисляется — можно будет восстановить (вирус, насколько я знаю, грозит удалением через несколько дней). На всякий случай следует взять и что-нибудь системное зараженное (если такое есть), ибо точно известное содержимое может чем и поможет узнать пароль.
Других решений кроме защиты или бекапов «до» я не вижу.
Других решений кроме защиты или бекапов «до» я не вижу.
Вроде бы писали, что ключ шифрования если и не уникальный, то не один на всех точно. Так что перспектива расшифровки весьма туманна.
Так я и писал что малоперспективно, но что «прокаженный» теряет?
А с учётом того, что вторая версия ( https://geektimes.ru/post/289153 ) просто сменила адрес «стоп-крана», а третья оказалась нерабочей, то и система паролей может оказаться простой.
А с учётом того, что вторая версия ( https://geektimes.ru/post/289153 ) просто сменила адрес «стоп-крана», а третья оказалась нерабочей, то и система паролей может оказаться простой.
А разве ещё никто не пробовал вскрыть тело вируса? Он же должен хранить пороль для каждого файла(кстати, кто-нибудь пробовал оплатить?) или формулу для создания пороля, есть конечно шанс что он всё хранит в интернете, но разве нельзя тогда отследить получателя. Или через кошелёк биткоинов, хоть там всё и анонимно, но раз он заразил всякие сбербанки и т.д. думаю получить его ipшники не проблема(даже с впн можно договориться)
Сколько зла ещё должно произойти, чтобы ООН сделала хоть какие то меры для полного контроля и отслеживания каждого байта?
они просто перебором кидают на все Айпишники. На работе проверил, куча запросов из вне, пока полностью закрыл оба порта как из вне, так и внутри сети, советую обновиться.
Что бы словить надо иметь:
открытые порты 135 и 445, включенный древний протокол SMB1
отсутствие перед компьютером NAT со стороны провайдера
отсутствие перед компьютером любого маршрутизатора
отсутствие обновлений винды начиная с января 2017 года
наличие интернета или зараженной локальной сети.
открытые порты 135 и 445, включенный древний протокол SMB1
отсутствие перед компьютером NAT со стороны провайдера
отсутствие перед компьютером любого маршрутизатора
отсутствие обновлений винды начиная с января 2017 года
наличие интернета или зараженной локальной сети.
Словить можно только если интернет-кабель в системник воткнут? По воздуху вирус не передаётся? Объясните простому смертному, пжлст.
Если по воздуху, то он будет стучатся не напрямую, просто в роутер, где он ничего не сможет. Так что да, не передается.
Черт, значит зря я винду обновлял. Ну хотя бы наконец-то все важные файлы сохранил в облаке, а то раньше как-то руки не доходили.
т.е. роутер\маршрутизатор как презерватив работает?
А вот по части SMB у меня вопрос...
Моя ОС не знает,кажись о v1
Семёрка Максимальная,копия лицензионного диска,с 1м паком![ИЯ Администратор: C:\Windows\System32\cmd.exe
Microsoft Windows CUersion 6.1.7601]
<c> Корпорация Майкрософт (Microsoft Corp.>, 2009. Все права защищены.
|C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMBlPr lotocol
Система DISM Версия: 6.1.7600.16385
Версия образа:](https://img2.safereactor.cc/pics/comment/вирус-В-свете-последних-событий-Wana-decrypt0r-2624068.jpeg "вирус,В свете последних событий,Wana decrypt0r")
Моя ОС не знает,кажись о v1
Семёрка Максимальная,копия лицензионного диска,с 1м паком
Команда которую ты запускаешь для восьмерки и выше.
Для семерки запусти в Windows PowerShell вот это:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Для семерки запусти в Windows PowerShell вот это:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Он пролезает не через браузер, а через SMbusv1 или что-то такое(не помню). Серый ип, значит кто-то из вашей подсети заразился и заразил вас т.к. Серые ип-ы извне недоступны, но видны из своей подсети, а вирь стучится проямо по ип.
от конкретно этого семейства спасает даже стандартный виндовый антивирус с актуальными базами или пизженый нод.
а вот для этого, даже если лень накатывать апдейты, на гиктаймс есть патчи (в т.ч. прямые ссылки) для windows начиная с xp и заканчивая разными версиями 10ки, которые прикрывают эксплойт и предотвращают самовольное попадание вируса извне + здравый смысл, который не позволяет запускать запускать подозрительное говно вне песочницы или изолированной виртуалки.
стоит eset с фаерволом (smart security), у фаера поставил интерактивный решим - любое соединение извне запрашивает подтверждение на коннект, аналогично и внутренние проги только с запроса попадают во внешку. вот это контроль, но я всё же не стал выёбываться и вырубил самбу к хуям
Любой антивирь вообще от 70% новых появляющихся вирусов в месяц их появления НЕ СПАСАЕТ. В 99% случаев юзера спасает только то, что он словил вирус не первой свежести и он уже есть в базе антивиря. Когда речь заходит о заражённых файлах, то тут всё ещё хуже, а уж о зашифрованных - печаль-тоска. Самое простое - не ловить вирусы, для это достаточно лишь...
нет.
есть два способа как этот вирус попадает на пк:
1) пользователь качает порно_с_лолями_без_регистрации_и_смс.exe, в котором ВНЕЗАПНО оказывается шифровальщик или открывает письмо от Центральной Налоговой Города Москвы и качает вложения годовой_отчет.js, или скачивает Стас_Михайлов_-_Без_Тебя.exe, при этом пользуясь пираткой без антивируса.
2) пользователь решил что он умнее всех или просто настрадался от кривых апдейтов, тестирование которых Microsoft проводит сразу на пользователях и отключил апдейты. вирус нашел его IP в сети (локальной или интернет), стукнул на 445 порт, увидел, что вход свободен, выполнил экплойт и зашел. пошифровал что хотел и пошел дальше сканить доступные сети и интернеты, проверяя видимые ПК на предмет уязвимости SMB и повторяя вышеописанные действия до победного конца.
есть два способа как этот вирус попадает на пк:
1) пользователь качает порно_с_лолями_без_регистрации_и_смс.exe, в котором ВНЕЗАПНО оказывается шифровальщик или открывает письмо от Центральной Налоговой Города Москвы и качает вложения годовой_отчет.js, или скачивает Стас_Михайлов_-_Без_Тебя.exe, при этом пользуясь пираткой без антивируса.
2) пользователь решил что он умнее всех или просто настрадался от кривых апдейтов, тестирование которых Microsoft проводит сразу на пользователях и отключил апдейты. вирус нашел его IP в сети (локальной или интернет), стукнул на 445 порт, увидел, что вход свободен, выполнил экплойт и зашел. пошифровал что хотел и пошел дальше сканить доступные сети и интернеты, проверяя видимые ПК на предмет уязвимости SMB и повторяя вышеописанные действия до победного конца.
роутеры да, вроде пока спасают.
но много народу на 3г/4г модемах.
у меня 3г провайдер давал внешний ip. и в целом это популярная практика.
ну и гипотетически словить можно даже через Hamachi от чувака, с которым играешь в CS/Serious Sam по сетке, через него вполне хорошо все пробрасывается.
но много народу на 3г/4г модемах.
у меня 3г провайдер давал внешний ip. и в целом это популярная практика.
ну и гипотетически словить можно даже через Hamachi от чувака, с которым играешь в CS/Serious Sam по сетке, через него вполне хорошо все пробрасывается.
Та сколько мне еще фаерволов ставить, чтобы страх пропал? Страх есть. Вилл Смит врал.
Командой в шелле, блядь
"Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1Protocol" - https://geektimes.ru/post/289153/
"Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:
dism /online /norestart /disable-feature /featurename:SMB1Protocol" - https://geektimes.ru/post/289153/
"SMBv1" != "smbus"
В мартовском кумулятивном обновлении упоминалось вот это
https://technet.microsoft.com/en-us/library/security/MS17-010
Соответственно качать нужно вот это именно для это фикса проблемы.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
https://technet.microsoft.com/en-us/library/security/MS17-010
Соответственно качать нужно вот это именно для это фикса проблемы.
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
Бля, это что стёб такой?
1) то, что майкрософт имеет с продаж винды не так уж много, как некоторым бы хотелось бы верить
2) атака бушует пару дней, а Microsoft выпустил бесплатные апдейты еще в марте на все, что старше чем, емнип, XP, на XP, который уже не поддерживается несколько лет как, выпустил платные патчи (в т.ч. на богом забытую XP x64), которые еще до атаки стал раздавать на халяву.
да, это точно microsoft решил повысить продажи 10ки. заговор раскрыт, расходимся.
2) атака бушует пару дней, а Microsoft выпустил бесплатные апдейты еще в марте на все, что старше чем, емнип, XP, на XP, который уже не поддерживается несколько лет как, выпустил платные патчи (в т.ч. на богом забытую XP x64), которые еще до атаки стал раздавать на халяву.
да, это точно microsoft решил повысить продажи 10ки. заговор раскрыт, расходимся.
Подключался с жесткого и сканил зараженный диск AVZ и dr.web cureit.
Они, мля, отрапортовали что всё чисто и ничего подозрительного нет!
Перегружал комп и отошел на предмет сортиру, прихожу, а там винда запускается с зараженного диска (хотя зараженный был на интел, а тестовый комп на амд, а обычно винда не может стартануть с другой платформы).
Короч этот трипер запустился, и бодренько начал шифровать второй диск с виндой! Комп с кнопки выключил. Что там пока - не в курсе. Вечером гляну...
Они, мля, отрапортовали что всё чисто и ничего подозрительного нет!
Перегружал комп и отошел на предмет сортиру, прихожу, а там винда запускается с зараженного диска (хотя зараженный был на интел, а тестовый комп на амд, а обычно винда не может стартануть с другой платформы).
Короч этот трипер запустился, и бодренько начал шифровать второй диск с виндой! Комп с кнопки выключил. Что там пока - не в курсе. Вечером гляну...
С тех пор его никто никогда не видел..
дык вроде что интел, что амд - все х64, (ну или i386,586,686) ,будет много ругани про новые устройства, но взлететь взлетит
а там ничего подозрительного и быть не может - шифровальщики не вирусы и уже давно не обнаруживаются антивирусами. Код может рандомно генериться на лету, поэтому сигнатуры у вируса постоянной нет, чтобы пробить ее по базе вирусов, а этот вообще большую часть команд принимает из сети - этих команд нет в коде вируса. Активность проявляет через легитимные средства. WCrypt прописывает себя как службу - антивирусу сложно отличить это от установки программы пользовтелем, скачивает tor - ну может пользователь даунлодер какой поставил, после чего начинает простукивать торсеть для приема команд, а что там он принимает антивирусу по боку вообще. Ну а шифровка воспринимается антивирусом как архивирование - тоже ничего криминального, ктож может подумать, что пользователь ключа не знает.
Ловит.
Если отключена служба сетевых папок и принтеров (единственное окно уязвимости в XP) - то нет. У самого XP и полдня посвятил анализу. Качать и ставить патч микрософт нет смысла, потому что он кривой и в доброй трети случаев вызывает краши и требует подстройки руками (накатывание или откат драйверов, особенно хуёво патч валит совместимость с дровами старых материнок).
Что нужно сделать.
Отключить службы "сервер папки обмена" и "маршрутизация и удалённый доступ".
Advanced Port Scanner - бесплатный, скачать с сайта производителя, запустить, убедиться, что порты 135 и 445 не включены.
Или Пуск -> Выполнить команда netstat -a | find "LISTENING" -t во втором столбце посмотреть открытые порты, ещё раз убедиться что 135 и 445 нахуй в XP не нужны и их там нет.
Что нужно сделать.
Отключить службы "сервер папки обмена" и "маршрутизация и удалённый доступ".
Advanced Port Scanner - бесплатный, скачать с сайта производителя, запустить, убедиться, что порты 135 и 445 не включены.
Или Пуск -> Выполнить команда netstat -a | find "LISTENING" -t во втором столбце посмотреть открытые порты, ещё раз убедиться что 135 и 445 нахуй в XP не нужны и их там нет.
А у меня после попыток обновить винду она слетела. PROFIT.
вот тут же писали как расшифровать:
http://joyreactor.cc/post/3101601#comment14227081
"у кого уже зашифрованы файлы можно их восстановить unzip"
проверь, это работает или брешут?
http://joyreactor.cc/post/3101601#comment14227081
"у кого уже зашифрованы файлы можно их восстановить unzip"
проверь, это работает или брешут?
эм. На картинке в шапке пароль к архиву, который выкачивает WCry для подготовки комплекса шифрования и клянчания бабла. Ниже мы можем наблюдать процесс распаковки комплекса - какие-то дата-файлы, исполняемые и локализации для разных языков. Это конечно потрясающе, что мы можем распаковывать вирус вручную, но этот пароль подходит только к установочному архиву.
у тебя на компе есть служба, которая отвечает за шаринг чего только можно. Она работает по нескольким протоколам, в том числе SMBv1. По этому протоколу - клиент стучится на открытый порт, делает запрос, хост отвечает на запрос, выдает нужные файлы, отправляет на печать что надо. Уязвимость в протоколе позволяет заставить службу выполнить любой код на хосте, в том числе вредоносный. Антивирус не чухнет ничего - этож родная служба, у нее все права есть. Для атаки нужен только сокет - доступный айпишник + открытый на входящие порт службы.
Давай так - в зоне риска все кто не делает бэкапы важных файлов на внешние носители, хранящиеся в помещении, которое не пострадает в случаи пожара\наводнения\других форс мажоров случившихся в помещении где хранятся оригиналы. Все варианты хранения оригиналов данных наебнутся с практически стопроцентной вероятностью. А вот частота наебыванья оригиналов как раз регулируется антивирусами, обновлениями, файерволами, нескачиваниями ничего подозрительного.
Все верно. желать ничего не нужно. Если на компе открыт вовне 445 порт - он сам к тебе залезет.
То чувство когда ты линуксоид.
... когда ты линуксоид и не в курсе событий
https://lists.opensuse.org/opensuse-project/2017-05/msg00035.html![[opensuse-project] Several openSUSE services disabled due to a security breach
From: Richard Brown <RBrownCCB@xxxxxxxxxxxx>
Date: Fri, 12 May 2017 16:38:17 +0200
Message-id: <CAA0b23zL=mOreqO6t4NRH+r6EXjRJgaMAf8Y=+Dg5dDrbOn7VA@mail.gmail.com>
Dear openSUSE Community,
We have been informed of a](https://img2.safereactor.cc/pics/comment/вирус-В-свете-последних-событий-Wana-decrypt0r-2624135.jpeg "вирус,В свете последних событий,Wana decrypt0r")
https://lists.opensuse.org/opensuse-project/2017-05/msg00035.html
У меня закрыты порты 135 и 445 значит сам вирус ко мне не залезет, но могу ли я его другими способами поймать?
Все фотки похерились за хз сколько времени.
Денег, естественно, никто отсылать не собирается. Но фоток жаль.
Ща можно это дело расшифровать как, или пока не нашли?