Ig0r Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Описание угрозы на русском языке Описание угрозы на английском языкеЭпидемия шифровальщика WannaCry: что произошло и как защититься Ошибки в WannaCry, которые помогут восстановить файлы после заражения Рекомендации по лечению:- Убедитесь, что у вас включён антивирус.- Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.- Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг активности».- Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.- Включите автоматическое обновление Windows и других программ, чтобы предотвратить заражение с помощью известных уязвимостей в будущем. Новая версия KIS позволяет автоматически обновлять даже стороннее ПО."Прямые ссылки на обновления безопасности MS17-010": Windows XP SP3Windows XP SP2 for x64Windows Server 2003 for x86Windows Server 2003 for x64Windows Vista x86 Service Pack 2Windows Vista x64 Edition Service Pack 2Windows Server 2008 for x86Windows Server 2008 for x64Windows Server 2008 R2 for x64Windows Server 2008 R2 for ItaniumWindows 7 for 32-bit Service Pack 1Windows 7 for x64 Service Pack 1Windows 8.1 for 32-bitWindows 8.1 for x64Windows 10 for 32-bitWindows 10 for x64Windows 10 Version 1511 for 32-bitWindows 10 Version 1511 for x64Windows 10 Version 1607 for 32-bitWindows 10 Version 1607 for x64 Возможности расшифровки на данный момент нет. Некоторые пользователи размещают ссылки на покупку дешифратора, не переходите по этим ссылкам. Это мошенничество.Статьи с сайта Поддержки Лаборатории КасперскогоИнформация по ВПО WannaCry и инструкции по борьбе с ним.Рекомендации по защите компьютера от программ-шифровальщиков 27 5 28 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Soft Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Давайте перестанем спамить и просто дождёмся решения вопроса. Пустые разговоры не помогут решению проблемы. Строгое предупреждение от модератора Mark D. Pearlstone Рекламщики 360-го, просьба проходить мимо темы до тех пор, пока данная разработка действительно не будет дешифратором. Не вводите людей в заблуждение. Своим обманом вы только снижаете рейтинг данной компании. 3 1 20 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Belos2007 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 А если у меня нет SMB службы, но порты 135 и 445 открыты, то мне бояться нечего? Или вирус может все равно проникнуть? Я так понимаю, что это серверная служба а у меня пользовательская версия винды. https://ru.wikipedia.org/wiki/Server_Message_Block Ссылка на комментарий Поделиться на другие сайты More sharing options...
Soft Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 @skywalker777, данная уязвимость затрагивает все версии Windows. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexlambo Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Успел до появления красного экрана увидеть неладное. Вобщем ситуэйшн, есть файлы, возможно в этих файлах рабочий ключ шифрования. Т.к. открывая один из них увидел надпись RSA. И есть еще другой файл, более похожий на обычный 2048 битовый SHA. Собственно вопрос, кому их показать, куда выслать? может на их основе чтото дельное получится сделатьи помочь в расшифровке другим людям. Повторюсь, заметил активность этого чуда, всё обрубил что мог очень резко. Делал отраслевой просмотр всех файлов и папок и по датам создания накопировал что мог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
dron4938 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 http://tass.ru/proisshestviya/4248912 пходу у них обновы винды стояли))) Ссылка на комментарий Поделиться на другие сайты More sharing options...
stastar Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 через любую по восстановлению удаленных файлов..... просто напиши в поисковике "программа для восстановления файлов" их много.... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Belos2007 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 скажите, есть ли смысл вам выслать файлы в одной папке есть 2 файла - один оригинал(рабочий), второй кодированый Ссылка на комментарий Поделиться на другие сайты More sharing options...
hetzer Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 (изменено) Вот тут что-то про подобное написаноhttps://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.c Изменено 12 мая, 2017 пользователем hetzer Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mor Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 http://tass.ru/proisshestviya/4248912 пходу у них обновы винды стояли))) Ниче се МЧСовцы дают,интересная у них защита.. Ссылка на комментарий Поделиться на другие сайты More sharing options...
skywalker777 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 А если у меня нет SMB службы, но порты 135 и 445 открыты, то мне бояться нечего? Или вирус может все равно проникнуть? Я так понимаю, что это серверная служба а у меня пользовательская версия винды. https://ru.wikipedia.org/wiki/Server_Message_Block @skywalker777, данная уязвимость затрагивает все версии Windows. Так какой ответ на мой вопрос? Если в "включение/выключение компонентов виндовс" нету SMB то мне бояться нечего? Или даже если там его нету, то он один фиг есть в системе и существует опасность заражения? Как проверить? Ссылка на комментарий Поделиться на другие сайты More sharing options...
L1917 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Работаю сисадмином... 1. Походу мне ж... в понедельник... 2. заработаю денег на восстановлении файлов..... 3. Поставить КБшки +бабло 4. Делать бэкапы за бабло Ссылка на комментарий Поделиться на другие сайты More sharing options...
PyJIe33 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 (изменено) http://tass.ru/proisshestviya/4248912пходу у них обновы винды стояли)) Не факт. Проще сказать прессе, что все хорошо. Почему-то компы МВД атаку не отразили... Изменено 12 мая, 2017 пользователем PyJIe33 Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexlambo Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 Еще раз. КУДА СЛАТЬ ФАЙЛЫ? Обрубил шифрацию до красного экрана. Возможно там сохранен SHA1 ключ, малоли, может поможет это чем то. Представители Касперыча может ответят уже, есть в этом смысл или ключи "запрос-ответ" генерятся на каждом компе динамически? 2 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Belos2007 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 А если у меня нет SMB службы, но порты 135 и 445 открыты, то мне бояться нечего? Или вирус может все равно проникнуть? Я так понимаю, что это серверная служба а у меня пользовательская версия винды. https://ru.wikipedia.org/wiki/Server_Message_Block @skywalker777, данная уязвимость затрагивает все версии Windows. Так какой ответ на мой вопрос? Если в "включение/выключение компонентов виндовс" нету SMB то мне бояться нечего? Или даже если там его нету, то он один фиг есть в системе и существует опасность заражения? Как проверить? Клиенты соединяются с сервером, используя протоколы TCP/IP (а, точнее, NetBIOS через TCP/IP), NetBEUI или IPX/SPX. После того, как соединение установлено, клиенты могут посылать команды серверу (эти команды называются SMB-команды или SMBs), который даёт им доступ к ресурсам, позволяет открывать, читать файлы, писать в файлы и вообще выполнять весь перечень действий, которые можно выполнять с файловой системой. Однако в случае использования SMB эти действия совершаются через сеть. Как было сказано выше, SMB работает, используя различные протоколы. В сетевой модели OSI протокол SMB используется как протокол Application/Presentation уровня и зависит от низкоуровневых транспортных протоколов. SMB может использоваться через TCP/IP, NetBEUI и IPX/SPX. Если TCP/IP или NetBEUI будут заняты, то будет использоваться NetBIOS API. SMB также может посылаться через протокол DECnet. Digital (ныне Compaq) сделала это специально для своего продукта PATHWORKS. NetBIOS в случае использования через TCP/IP имеет различные названия. Microsoft называет его в некоторых случаях NBT, а в некоторых NetBT. Также встречается название RFCNB. Ссылка на комментарий Поделиться на другие сайты More sharing options...
L1917 Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 http://tass.ru/proisshestviya/4248912 пходу у них обновы винды стояли))) МЧС следит за обновами. А вот наши гайцы и больницы у бритишей, ну очень. Ссылка на комментарий Поделиться на другие сайты More sharing options...
alexlambo Опубликовано 12 мая, 2017 Share Опубликовано 12 мая, 2017 не поможет вам никакое восстановление. файлы перезаписываются с сохранением даты создания. они не создаются и удаляются. 2 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти