В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.
A ransomware spreading in the lab at the university (отсюда)
Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.
Связавшись с бывшими коллегами я был удивлен похожими исторями.
Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.
Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.
И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".
Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknownЕдинственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.
На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.
Если у вас есть похожие случаи, поделитесь информацией о них.
Несколько ссылок по теме:
- Ссылка на Virustotal
- Информация на Mmalwr
- Подробная информация о WannaCry на GitHub
- Анализ шифровальщика Wana Decrypt0r 2.0 от Pentestit
остальные ссылки смотрите в комментариях к этой новости
Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:
UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.
Патчи для исправления этой уязвимости можно скачатать на официальном сайте:
- Microsoft Security Bulletin MS17-010
- Патч, для старых систем (Windows XP, Winows Server 2003R2)
Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (работает в Windows 8.1 и более старших версиях):
dism /online /norestart /disable-feature /featurename:SMB1ProtocolУстановить патчи при этом все равно рекомендуется
UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:
- Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет
4012212или4012215 - Откройте
cmd.exe(командную строку) - Напишите:
wmic qfe list | findstr 4012212 - Нажмите Enter
- Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017 - Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
- Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше или по прямой ссылке из UPD9
Как выяснилось этот метод не на 100% рабочий и у каждого могут быть свои ньюансы.
Если вы все же уверены что обновление безопасности у вас установлено, а в ответ вы по прежнему получаете пустую строку, попробуйте проверить обновление через журнал обновлений Windows или почитать комментарии к этой статье.
UPD3: В интернете находятся интересные подробности по данному инциденту:
Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
UPD4: Интерактивная карта заражения:
UPD5: Видео показывающее наглядное применение эксплойта:
UPD6: Нашелся интересный изъян в коде:
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.
UPD7: Microsoft выпустил патч для старых систем (Windows XP и Windows Server 2003R2)
UPD8: Копипаста с 2ch.hk
У тех кто начал эту атаку есть
Эксплойты слитые Shadow brokers
Сканнер сети который они сами написали на C/Python
Linux сервер
Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его.
UPD9: официальные прямые ссылки на этот патч для различных систем:
Windows XP: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
UPD10: Появились версии шифровальщика игнорирующие killswitch метод описанный в UPD6.
Спасибо xsash, Inflame, Pulse, nxrighthere, waisberg, forajump, Akr0n, LESHIY_ODESSA, Pentestit, alguryanow и другим за множество дополнений к этой статье.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (856)
Arxitektor
12.05.2017 18:59+1Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс
То есть нужно только подключение к интернету?
А если повторить но без сетевого подключения т.е. физически его оставить а просто отключить сеть в винде?
kvaps
12.05.2017 19:39Совершенно верно, достаточно только подключения к интернету, возможно прямого т.е. не через роутер.
Без сетевого подключения понятное дело что ничего не произойдёт, без сетевого адреса скачивание чего-либо из интернета невозможно.
Erepb
12.05.2017 19:41+3Меня заразило через ADSL роутер. NAT ему не помеха.
kvaps
12.05.2017 19:45Как интересно, значит похоже что винда сама что-то скачивает, и это объясняет обход фаервола.
trnc
13.05.2017 11:06-1NAT != firewall
Lsh
13.05.2017 11:29+1Да, но порт ведь просто так снаружи не доступен, если явно не проброшен. Разве нет?
kprohorow
13.05.2017 11:47UPnP же! Особенно в современных роутерах…
Lsh
13.05.2017 11:48+2Т.е. с использованием UPnP можно открыть порт снаружи? Я всегда думал, что оно работает только изнутри.
trnc
13.05.2017 14:43Ситуация: из нашей локальной сети в офисе есть доступ в подсеть абонентов, ряд наших серверов, то же видеонаблюдение настроенное на Windows Server 2008 или Telescan на Windows 7 смотрят в мир с публичным IP. Предположим, по причине криворукости наших админов, вирус поразил один из этих серверов и если вирус достаточно умен, далее по цепочке он заразит нашу локальную сеть, а из нашей локальной сети немалую часть машин наших абонентов. Вот так вот абонент находясь за провайдерским NAT может стать уязвим.
Либо ситуация еще проще: предположим у человека на роутере NAT, все пробросы запрещены и даже адрес серый, т.е. человек находится за двумя NAT — роутера и провайдера. Но что мешает человеку притащить зараженное устройство к себе в локальную сеть? Будь это рабочий ноут или ноут друга?
Но и это не все. На хабре бывало проскакивали статьи что NAT и firewall не есть одно и то же и рассматривать NAT как защиту — неправильно. Вот что смог найти сходу:
PaulAtreides
13.05.2017 01:22+2А можно подробности? Что за роутер, какие у него настройки, нет ли проброса портов? Есть ли другие компьютеры за роутером? Нет ли ноутбука, который принесли и подключили к той же сети?
AcidVenom
12.05.2017 19:41У вас прямое подключение к интернету?
kvaps
12.05.2017 19:44У этой виртуалки — да.
AcidVenom
12.05.2017 21:07Пробросы портов у вас есть? Что-то мне подсказывает, что у вас в локалке беда.
kvaps
12.05.2017 21:21Нет у меня локалки, виртуплка смотрит сразу в интернет и имеет свой публичный IP-адрес.
Никаких проблем у меня нет, но благодарю за ваше беспокойство. :)czb
12.05.2017 22:00попробуйте посмотреть udp #67 (причём со странных адресов вроде 198.*.*.*) перед заражением не проскакивает?
4144
13.05.2017 21:25достаточно остановить службу «сервер». Будет защита и от локалки и от внешней сети.
daiver19
12.05.2017 19:08+2Возможно, что дело в уязвимости самбы. В любом случае, звучит очень жутко.
П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.kvaps
12.05.2017 19:27+1Вполне возможно, т.к. апдейты в систему ещё не устанавливались, но мне дико интересно каким образом оно обошло виндовый фаервол?
Nord001
12.05.2017 20:32+2Вроде вот патч
https://technet.microsoft.com/en-us/library/security/ms17-010.aspxsinji
12.05.2017 22:41Простите за глупый вопрос, если винда стоит на самообновлении, то всё будет нормально? Или этот патч надо обязательно отдельно качать?
Razaz
13.05.2017 00:30+1Если авто — то уже давно скачался.
DGgets
13.05.2017 11:22Даже если после поиска номера нужного патча через командную строку, он не был найден?
Razaz
13.05.2017 20:20Он может быть заменен свежим кумулятивным обновлением. Попробуйте проверить историю обновлений которые начинаются с чего-то типа 2017-05 Cumulative Update. Там по ссылочке на сайт и внизу описано что было заменено. Ну и отключите SMBv1
lubezniy
13.05.2017 22:22Сегодня делал обновление Windows Server 2008 (не R2). Сначала сделал автоматическое обновление — соответствующей KB в журнале не появилось. Потом скачал апдейт вручную и установил — апдейт установился и не ругался, что уже установлен.
Razaz
13.05.2017 22:25А кумулятивные не ругаются вроде. Они что-то делали что вычисляется набор патчей которые уже есть, докачивается остаток и все это дело гордо обзывается CU. Но хз работает ли на 2008 так.
lubezniy
13.05.2017 22:34Так не ругнулся не кумулятивный, а именно апдейт под эту дыру, хотя я ставил его после автообновления и затем поиска обновлений, показавшего, что система свежая, обновлений больше нет. Благо в настройках сетевого адаптера, смотрящего во внешнюю сеть, я ещё несколько лет назад (когда ставил Win) отключил Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft; получилось, что 445 порт открыт не был.
Ca5per
12.05.2017 22:42+1Вот еще офлайн установщик обновления, если кому нужен.
DjSens
13.05.2017 11:22по ссылке выдаёт ошибку, чё ж делать?
ksenobayt
13.05.2017 11:52Тыкать вновь и вновь. Центр обновлений конкретно так прилёг.
Я выкачал себе апдейты на х64 и х32, могу залинковать.
Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
batollo
13.05.2017 16:18XP ещё не хватает.
Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.ksenobayt
13.05.2017 16:19Все они с патчем так или иначе.
Если не обращать внимание на разделение по ОС, то первый — тупо патч на конкретно дыру с EternalBlue, второй — кумулятивный апдейт безопасности, включающий отдельный патч.
ksenobayt
13.05.2017 16:24
Erepb
12.05.2017 19:09+2Подхватил эту дрянь тоже. Вроде как помогло отрубание SMB у сетевого адаптера. Перестал появляться после удаления. Удалял при помощи Malwarebytes и оставил ее включенной на всякий пожарный.
opanas
13.05.2017 18:55Наш отдел безопасности (но на английском, правда) практические советы опубликовал
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
susnake
12.05.2017 19:19+14Эхх… как же скучно я живу.
Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(sintech
12.05.2017 19:33Same story bro. Диски чаще ломаются чем вирусы подхватываешь. Возможно ентерпрайз сектор больше подвержен атакам по многим причинам. Фишинг, открытые шары типовые конфигурации.
daiver19
12.05.2017 19:40+8Вы вообще заметили, о чем пост? Все что нужно для заражения — это Windows, выход в интернет и немного невезения.
sintech
12.05.2017 19:51-1Кроме того например в организации где я работаю (крупная it компания), на корпоративные ноутбуки всем продолжают устанавливать windows 7 хотя 2017 год на дворе. Это и приводит к массовым заражениям. Одно дело домашние пользователи с зоопарком, другое дело несколько тысяч одинаково настроенных машин с одной и тойже дырой в безопасности.
donvictorio
12.05.2017 21:06у нас так же было. купил просто директор в лохматые годы пачку лицензий и всё. с новых ноутов сносили win10SL и ставили win7. дров, ессно не было, из мощных ноутов получался дырявый во всех смыслах хлам.
AFakeman
13.05.2017 00:02+7Для Win7 обновления безопасности все еще выходят.
sintech
13.05.2017 15:36Да выходят, но в новых системах старые баги могут быть закрыты по умолчанию. «The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.» https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
DikSoft
13.05.2017 02:03+1Простите, а семерку обновлять вовремя религия не позволяет?
imageman
14.05.2017 17:39+1Моего товарища заколебала попытка MS установить Win 10 вместо Win 7, вот он и отрубил автообновление и забыл про это.
Tamul
14.05.2017 21:34+1Присоединяюсь, по этой же причине поймали этого зверька.
(знаю, сами балбесы)
rub_ak
15.05.2017 09:32-1Там всего лишь надо было одну политику включить, или одну запись в реестр внести, зачем нужно было отключать, обновления !? Это как если заедает замок на двери, вообще прекратить её закрывать, не смотря на то, что есть ещё два замка и щеколда, а потом удивляться что все вынесли в один прекрасные день.
navion
15.05.2017 16:01+3GWX изредка «глючил» и ставил обновления несмотря на политики и членство в домене.
mitasamodel
15.05.2017 20:59+4нет-нет. Это как будто вы предлагаете разобрать замок на двери и убрать в нём пару деталей, чтобы заедающие части не мешали. При том что вы не разбираетесь в замках.
Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.
Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
Stalinko
12.05.2017 22:01+1Судя по тому, что обновление было выпущено ещё в марте, пост о том, что бывает с теми, у кого отключены автоматические обновления, ну либо с теми, кто только устанавливает винду, но для вторых заражение не так критично.
athacker
14.05.2017 02:27+2В приличных конторах автообновления включены, но только качаются с собственного сервера обновлений. А перед тем, как одобрить обновление для массовой установки, оно может несколько месяцев тестироваться в лабе или на не-критичных серверах. Потому что поймать локера — это грустно, спору нет. Но никак не менее грустно, когда после массовой установки недостаточно хорошо протестированного обновления у вас все виндовые сервера полягут. Поэтому дельта в несколько месяцев между выходом и установкой обновления — это суровая производственная необходимость.
Razaz
14.05.2017 10:31-1За два месяца можно было обкатать или хотя бы заюзать воркэраунды. Или прошлой осенью начать выносить SMBv1.
mr-clx
12.05.2017 23:55+4Интернет не обязателен. Достаточно наличие в локальной сети хоть одного зараженного.
zapimir
13.05.2017 01:36-2выход в интернет и немного невезения
Забыли добавить, заодно все порты открытые. Вирус же порты сканирует, достаточно обычного маршрутизатора…
nowfine
13.05.2017 11:22Дома лишь однажды заразу подхватил. Это было в эпоху до интернетов и возможно до винды на моих компах. Вирус как-то назывался cih или wincih.
MTyrz
13.05.2017 12:23+3О-о, это был добрый вирус!
Его еще «Чернобылем» называли. Мы от него вычистили офисную сетку за пару дней до его срабатывания. До сих пор как вспомню, так вздрогну…
DIHALT
15.05.2017 17:53Я как то словил klez причём сам его запустил. С каким то шароварным софтом из журнального диска.
Inflame
12.05.2017 19:53+6Nmap даже не сканировал порты, так как хост не отвечал на пинг. Попробуйте просканировать принудительно с ключом -Pn.
kvaps
12.05.2017 19:58+3Вы абсолютно правы, вот вывод:
Host is up (0.017s latency). Not shown: 997 filtered ports PORT STATE SERVICE 135/tcp open msrpc 445/tcp open microsoft-ds 49154/tcp open unknown Nmap done: 1 IP address (1 host up) scanned in 5.92 seconds
artyums
13.05.2017 19:26+1Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
Antibug
13.05.2017 19:40Может быть кто-то из сотрудников забирал домой ноутбук, который там и был заражен. После возвращения в корпоративную сеть началось веселье.
artyums
13.05.2017 20:09Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно?
Хотя, возможно, я смотрю на мир идеально...
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.Antibug
13.05.2017 21:473G модем, как вариант. Или роутер в режиме моста. Хотя мне доводилось встречать и файерволл, настроенный на «всем можно всё». Некогда было начинающему админу разбираться после переезда, а потом он попросту забыл до того момента, когда начались проблемы.
artyums
13.05.2017 22:193G модем, по умолчанию, ни у одного сотового оператора не выдает внешний IP абоненту, там все за NAT спрятано — реальный адрес подключит только тот, кому это действительно надо… Тоже и с режимом моста — такое настроят только те, кто разбираются.
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).lubezniy
14.05.2017 15:25+4Не удивлён. Опытный админ — специалист недешёвый и, скорее, сравнительно редкий. А государство даже законодательно старается выбирать максимально дешёвые варианты.
RTFM77
14.05.2017 15:51-1Вполне реально, или заключены договора с внешними конторами, а там не пойми кто работает, либо свои сотрудники прошедшие аттестацию.
kvaps
13.05.2017 21:34В моём конкретном случае, я подготавливал базовые образы Windows для публичного облака, в дальнейшем они будут использоваться как темплейты при создании VPS.
То что виртуалка имеет один внешний IP-адрес — совершенно обычное дело.artyums
13.05.2017 22:06Я хоть и работаю с VPS только на Linux, но в первые же моменты их настройки, с помощью iptables открываю 22 порт для своего IP адреса и закрываю абсолютно все другие входящие порты, делая открытыми по мере необходимости… Как-то это уже само собой прижилось.
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
Gruber
12.05.2017 20:10+2Мда… неприятная штука… Сегодня такую же подхватил. Жила себе виртуалка с бэкапом базы на 2008R2, понадобилось напрямую с неё слить несколько файлов, думаю дай пропишу реальный IP, ну всего-то на пару минут. Копирую себе, ничего не подозреваю, глянь а там уже почти все файлы зашифрованы.
Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
Все очень быстро.
Хорошо бэкап был…kvaps
12.05.2017 20:17+2Хорошо что он вам не понадобился в следствии выхода из строя основной базы :)
zapimir
13.05.2017 01:38Что-то слишком быстро посмотрите файлы ради интереса, видимо тоже как в недавней теме шифруется только начало файла.
TihoFih
12.05.2017 20:12+3Об этом вещает даже федеральный канал:
http://www.vesti.ru/doc.html?id=2887397
Haoose
12.05.2017 20:23+1
ValdikSS
12.05.2017 21:00+3На Пикабу говорят, что вся внутренняя сеть Мегафона поражена этим вирусом, и частично Билайн и МТС. Не знаю, насколько можно верить Пикабу, но об этом сообщили несколько человек.
ValdikSS
12.05.2017 22:35+2Показали по телеку, комментарии от Мегафона, Клименко и других личностей.
https://files.catbox.moe/b1hi5w.webmsstakk
13.05.2017 21:35Это жуть. Ведущий говорит что проблема минула далекую австралию, при этом на его карте в австралии горит точка :)
iliabvf
12.05.2017 20:25+3Просто охренеть, и еще ведь Windows-инфраструктуры закупаются в гос учереждения, школы, магазины
darthmaul
12.05.2017 20:36+24Будет подходящий «клиент» на Линуксе — напишут и под него локеры. Пока линуксом пользуются программисты, админы и просто энтузиасты — народ технически подкованный, локеры писать на него нет смысла.
Razaz
13.05.2017 00:31Охренеть, что админы не обновляют системы? Уязвимость поправили еще до слива тулкита АНБ.
theurs
13.05.2017 03:45+5ну так ты попробуй обновить старенький комп, на это несколько суток уйдет. микрософт давно разогнал программистов способных делать что то годное
Alexsandr_SE
13.05.2017 09:51+2+100 Загрузка памяти до 2гиг при наличии всего 2 гиг и так несколько часов — система ищет в фоне обновления. На старых машинах обновления зачастую нереально запускать, а СП не выпускают. Опять же рекорд установки автообновления был около 16 часов, 16 часов компьютер писал не выключайте и не перезагружайте, а работать люди когда будут?
blackkola
13.05.2017 11:09+2Это баг системы обновления. Уже давно вышел патч на это дело.
mayorovp
13.05.2017 14:57+4… распространяющийся через нерабочую систему автообновления?
jok40
13.05.2017 15:46Для семёрки — KB3102810. Нужно скачать и поставить ручками. После перезагрузки обновление опять начнёт работать гладко — как в старые, добрые времена.
Okloks
13.05.2017 17:41Откуда вы об этом узнали? Читаете блоги MS? Почему я случайно узнал об этом на хабре? :(
jok40
13.05.2017 19:36+1Не, не читаю. Я, как и большинство остальных людей, решаю проблемы по мере их появления. Появилась проблема с обновлением — полез в интернет искать решение. Нашёл. Теперь знаю.
blackkola
13.05.2017 21:04Решение этой проблемы гуглится за пару минут. Хотя, признаться, я сам пару раз ждал по полдня пока не надоело.
Okloks
13.05.2017 17:46Хотя вру, об обнове я знал, уже лежит среди важных обнов. Хотя странно, винду обновлял полностью, обнова не установлена.
rub_ak
13.05.2017 20:01+1Обновление исправляющее работу windows update не одно было, я за последний год штуки три положил в MDT чтобы после установки windows обновления быстро находились.
Razaz
13.05.2017 14:42А может стоит почаще обновляться и узнать, что обновления переделали. И обновлять в ночное время?
theurs
13.05.2017 14:45Где что переделали? В вин10 некоторое время обновления ставились с такой скоростью будто в микрософте что то изменилось но со временем стало понятно что ничего не меняется.
Razaz
13.05.2017 15:22У меня ставятся быстро. Долго может быть если вы очень давно не обновлялись. Но для этого есть кумулятивные апдэйты. При постоянном обновлении — практически незаметно.
Sadler
13.05.2017 14:54У нас где-то месяц назад одно из обновлений Windows сделало массу машин неработоспособными: в процессе обновления процесс сжирал всю память и проц (включая серваки с 32 ГБ оперативы на борту) и не завершался даже по прошествии нескольких суток. Узнал по жалобам пользователей сервиса, у которых загрузка данных с серверов стала жутко тормозить. С тех пор обновляемся только руками.
Razaz
13.05.2017 15:23Если вы админите сеть то через WSUS накатывайте и валидируйте обновления.
Okloks
14.05.2017 02:56Вкратце, как это происходит? Не использовал WSUS.
Razaz
14.05.2017 10:35+2Тут интро с TechNet.
Тут QuickStart.
Так же сверху накинуть DeviceGuard. Еще сейчас разбираюсь с WDATP.
nidalee
13.05.2017 15:37+1Просто не нужно было отключать обновления и все. А то больно уж это похоже на борьбу с терроризмом — боремся только в день теракта и на следующий, потом забиваем, пока опять не рванет.
erwins22
13.05.2017 12:38что бы обновить систему зачастую нужно разрешение + обновление на физическом носителе.
проще не подключать систему к инету.
и обновление вполне может приходить с отставанием год- или два.
sergio_deschino
13.05.2017 08:58А майкрософт в чем виноват-то? В том что люди не обновляются, ставят касперские и прочую гадость и чего-то ждут?
EmmGold
12.05.2017 20:37Видать народ не спешит отказываться от Win7.
Oplkill
12.05.2017 21:22+2Забавно, что в основном эти люди, смеялись над теми кто не хотел слезать с XP
herr_kaizer
12.05.2017 21:47+3Смеялись над теми, кто не хотел слезать с XP те, кто сейчас смеются над теми, кто не слезает с семёрки. XP еще менее безопасна во всех смыслах.
sumanai
12.05.2017 23:11+5Вы так пишите, как будто все слезли с XP.
Кстати, почему в опросе этот пункт отсутствует?
Westus
13.05.2017 00:34-1Самое веселое, что на XP вирус не работает.
vladiman
13.05.2017 00:56+2Есть доказательства?
AndreyMust19
13.05.2017 16:07-2Погуглил в интернете — нашел только что этот SMB на WinXP надо ставить и настраивать отдельно.
Службы «Сервер» и «Рабочая станция» у меня отключены. Судя по всему, первая должна быть запущена чтобы работал SMB, если он установлен.mayorovp
13.05.2017 17:14+1Вы неправильно гуглили. "Этот SMB" на виндах есть с начала времен.
AndreyMust19
14.05.2017 10:22-2Поделитесь тем, что вы нашли. Как его вкл. / откл. на XP и более ранних версиях, если уж я не могу найти.
mayorovp
15.05.2017 20:56+1Вы же сами перечислили: службы "сервер" и "рабочая станция". Именно они отвечают за протокол SMB..
Hellsy22
12.05.2017 22:14-2На десятке до сих пор часть драйверов отсутствует или не работает. Например, один из самых популярных USB-UART — CH340/341SER.
kenny5660
13.05.2017 16:06Работает, но только для оригинальных чипов, а не для китайских копий. Просто последняя версия драйвера стала проверять чип на подлинность, у вас видимо не проходит, вот и не работает. А старые дрова без проверки подлинности не имеют сертификата или вешают систему в блускрин. Так и живем)
goletsa
13.05.2017 22:04+1А вы не перепутали FTDI/PL2303 с CH340/341? Последнее чисто китайский продукт, к которому есть подписанные драйвера, включая 10.
KorDen32
14.05.2017 00:33Вот я все смотрю на китайские чипы 2303 и аналогов и веселье с драйверами от 2007 года.
А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
Lacroser
12.05.2017 21:36Патч был еще в марте, и на Win7 тоже https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Автообновление Windows спасает
za121
13.05.2017 00:49у меня включено автообновление, но почему то не было этого патча, пришлось ставить руками, причем поиск обновлений выдает, что нет доступных.
AndreyKu
13.05.2017 01:53+1Вот и у меня тоже самое, поиск обновлений говорит все ок, но патча нет, в ручную ставится.
И так на 3 серверах.
Как-то странно, у кого-то есть мысли почему так может быть?DikSoft
13.05.2017 02:07Так патч и номера в статье — мартовские, а сейчас май. Обновления качества кумулятивные. Номер уже другой.
jackes
13.05.2017 11:23Т.е. способ проверки наличия патча, предложенный в статье, не работает?
На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).
Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?vchs
13.05.2017 14:08да, KB4019264 кумулятивно содержит в том числе патч smb1 по которому работает этот вирус.
Okloks
13.05.2017 18:18А если поверх установить спец патч для SMB? Будет ли конфликт? Я кстати не знаю, как в виндах обрабатывается этот момент.
vchs
13.05.2017 18:55при установке обновления или патча он сам разберется что делать, так что конфликта не будет. Этот момент целиком и полностью определяется программистами при написании патча. Скажем я как программист могу решить что мой патч может доделать что либо уже за установленным патчем или может снять его и сверху накатить новую версию. В любом случае это решается не пользователем. Куча обновлений которые вы ставите являются кумулятивными, т.е. их часть гарантированно уже стоит в вашей системе и проблем у вас при установке не возникает. Так что не паримся.
Ca5per
12.05.2017 22:32+2Windows 7 официально поддерживается до 2020 года и уязвимость имеется не только у Windows 7.
Sadler
12.05.2017 22:42+11Окончание расширенной поддержки Win7 закончится только в 2020 году, нет никакого смысла отказываться от неё. За 20 лет на виндах я усвоил простое правило: лучше ставить Windows значительно позже её релиза, чтобы систему успели привести к работоспособному состоянию, весь софт успел обновиться для её поддержки и т.п. И не забывайте о железе, поддержка которого прекращена, а потому драйверов под новую версию не будет. Так мне придётся выбросить мою звуковуху и потратить ещё тысяч 25 рублей на покупку новой, чтобы перейти на Win10.
Juggernaut
13.05.2017 01:31+2Совершенно не факт, что придется. Отсутствие актуальных драйверов не означает обязательной неработоспособности устройства. Например, я использую на своей win10x64 1607 древнюю звуковуху M-Audio Revolution, дрова на которую есть только под Висту. И что же — все ставится и чудесно работает в десятке. Поэтому — сначала проверьте.
Sadler
13.05.2017 10:45Я использую M-Audio Firewire Solo, и работает она далеко не чудесно, мне уже под Win7 пришлось городить знатные костыли, чтобы она не вешалась когда попало, а под Win10 вообще не завелась у знакомого.
argz
12.05.2017 20:46+1Мне почему-то кажется, что данный инцидент станет причиной множества нововведений в сфере контроля над интернетом в РФ… :(
KonstantinSpb
12.05.2017 20:52+10Так и будет, до 12 июня надо успеть заблокировать youtube
ValdikSS
12.05.2017 21:14+7Ссылки не некоторые youtube-видео в реестре уже несколько лет. Только один провайдер его блокирует, насколько я знаю. Для остальных это такой единственный сайт, который «лучше бы не блокировать».
sintezenish
12.05.2017 20:55-2Какая взаимосвязь? Хотя ее найти можно. Но все же.
Snejok
12.05.2017 21:14+2Тв. Майор, ну давайте сами, за что вы получаете зп из налогов?
Черные списки не эффективны, нужно придумать что-то более защищающие. Кто-то сказал белые?sintezenish
13.05.2017 11:08Сами что? Закрытие сегмента РФ для Мира не означает победу над подобными атаками. Она могла быть и из РФ.
Когда что то комментируешь нужны доводы кроме сарказма.
dipsy
12.05.2017 20:52+8Хорошая ОС, и вирусы интересные… Позавчера торрент скачал, кино, тыкаю на него, выскакивает предупреждение безопасности о запуске исполняемого файла. Смотрю расширение обычное, mkv, но в середине имени файла — еxe. Пытаюсь редактировать имя файла, а в нем, видимо, какой-то спец-символ юникод и текст идёт то слева направо, то справа налево, т.е. расширение как бы вовсе и не в конце оказалось. Какие ещё фокусы допускает система с именем файла, я не знаю, может гиперссылку туда вставить можно, скрипт? Или это в следующих версиях ждать?
Oplkill
12.05.2017 21:30+1Юникод допускается технически даже в адресах сайтов.
Неужели так трудно взять и сделать так, чтобы технически нельзя было использовать небуквенные символы юникода в адресах сайтов и в названиях файлов в файловых системах?
wataru
12.05.2017 21:45+2Технически очень сложно. Юникод запрещать нельзя, потому что домохозяйка где-нибудь в индии хочет назвать файл на родном языке. Фильтровать символы в юникоде на буквенные/небуквенные то еще развлечение.
3al
12.05.2017 22:08+5Подозреваю, что письмо справа налево и обратно слишком часто пользуется в более арабских языках, чем наш.
dartraiden
13.05.2017 00:03+11Старый добрый спуфинг имени файла. Достаточно создать вредоносный исполняемый файл с именем, допустим, 3pm.scr и при переименовании выбрать по ПКМ меню «Вставить управляющий символ Юникода -> RLO». Вуаля, мы получили rcs.mp3 и он всё ещё исполняемый.
poznawatel
13.05.2017 07:34-1Значит, программисты антивирусов зря едят свой хлеб, если анализаторы это не ловят.
dartraiden
13.05.2017 12:25Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату — юзер лишается возможности работать со своими файлами, пока не расшифрует их.
Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.
Не получится запретить доступ к документам. Не получится запретить запуск [url=https://www.gnupg.org/]gpg.exe[/url] — это полностью легитимная утилита. И так далее. Только строго ограничить список директорий, откуда могут запускаться программы. Никаких %Temp% (да, придётся снимать запрет на время установки нужных программ и обновлений%, никуда не денешься), %Desktop% и т. п.Lsh
13.05.2017 12:45В принципе, частичное решение возможно. Я про такое писал, только на примере GNU/Linux
https://habrahabr.ru/post/113143/
И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
Alexeytur
16.05.2017 09:43Символ Юникода RLO
http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
NAS
12.05.2017 21:04+3А для Windows XP и патча теперь не будет.
beeruser
13.05.2017 01:50+2Для XP выпускаются апдейты если что. Их просто нужно включить
http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hacksumanai
13.05.2017 10:46Только для х32, на х64 обновления закончились вместе с 2003 сервером ((
Dystopian
13.05.2017 11:59+1вроде и для x64 есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
skaf
14.05.2017 02:27А что с Win2000, не знаете? Я, конечно, закрыл 135 и 445, проверил компоненты системы на наличие SMB — пусто.
ksenobayt
14.05.2017 11:50-1По хорошему, конечно, пора закапывать.
Можно поинтересоваться, почему вы все ещё пользуетесь ею?skaf
14.05.2017 13:59+3Конечно, пора. Обслуживаем АСКУЭ, у заказчика стоят старенькие УСПД на железе Advantech с 2000 виндой на борту. Для опроса имеющегося количества счетчиков их хватает. Если обновлять — то только с железом, что выйдет не очень дешево, плюс имеются тонкости построения самой АСКУЭ. Хотя, пожалуй, подниму еще раз вопрос об этом.
ksenobayt
14.05.2017 15:17-1>> Если обновлять — то только с железом
Даже накатить ХР поверх не вариант?
alexk24
15.05.2017 06:42+1Там есть такая фигня как «Аттестация системы» для того чтобы оно считалось метрологическим средством измерения.
И изменение любого из компонентов там становится довольно занятной задачкой.ololowl
15.05.2017 10:40+1На деле всё не так сложно. Меняете УСПД, оформляете актом, делаете запись в формуляр о замене. Схема такая же, как и при замене счетчиков. При следующей аттестации указываете в опросных листах новую железку.
olwi
13.05.2017 10:51+2Пишут, что выпустили спец-update для Windows XP, Windows 8 и Windows Server 2003:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Ca5per
13.05.2017 12:27Удивительно, но Microsoft сделала обновления и для нее, вот офлайн установщик обновления. Обновление вышло в том числе для Windows XP, Windows XP x64 Edition, Windows Server 2003 и Windows Vista.
navion
13.05.2017 15:47+1Это «удивительно» называется Custom Support Agreement, ценник начинается от пары сотен тысяч баксов в год (около штуки за ХР * минимальное количество систем).
qwerty1023
13.05.2017 15:37-1На ХР до сих пор выпускаются обновления и все уязвимости закрываются как и, например, на семерке.
Massacre
12.05.2017 21:04+1Это всё из-за того, что люди не предохраняются от открытых виндовых портов в инет. И пофиг, какая версия — эта проблема ещё с 98й как минимум существует в разных проявлениях. Апдейты винды не панацея.
AlexanderS
12.05.2017 22:16А какой рецепт для среднестатичного пользователя?
Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.Massacre
12.05.2017 22:24Comodo (CIS). Использую только файрвол. Мне на Win7 x64 хватает версии 5.10, как самой стабильной и нетребовательной к ресурсам.
iDm1
13.05.2017 01:55Не нужны никакие комбайны. Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.kvaps
13.05.2017 02:13+2Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
В статье я писал, что виндовый фаервол не защитил windows от данной атаки, даже несмотря на то что сеть была помечена как "общественная"
iDm1
13.05.2017 02:21+1Вероятность того, что сам по себе «фаервол не защитил» стремится к нулю. Тут есть еще один нюанс, при попытке воспользоваться сетевыми ресурсами в общественной сети «Проводник» Windows предлагает 2 варианта:
- Сделать сеть частной
- Разрешить общий доступ к файлам и принтерам в «общестенных сетях»
Если выбрать второй вариант, то изменятся настройки фаерволла, которые закрывают порты данной службы. В таком случае все последующие «общественные сети» будут для данного компьютера опасны.kvaps
13.05.2017 02:28Все что я успел сделать на этой винде, это прописать статический IP, после чего она спросила меня, какой тип выбрать для данной сети. Я выбрал публичную.
Все, после этого произошло заражение.
QuickWind
13.05.2017 02:50+1Я с «Agnitum Outpost Firewall» пересел на «Jetico Personal Firewall» для домашних пользователей он бесплатный и в отличие от первого гораздо шустрей.
itconsulting
12.05.2017 21:15И им платят по этому адресу, хотя транзакция ещё не потверждена
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Update: уже потверждена.ValdikSS
12.05.2017 21:22+2Я не понимаю, как они идентифицируют компьютер и платеж, если, судя по скриншотам, в программе вбит единственный Bitcoin-кошелек. Либо ключ расшифровки один на все компьютеры, либо файлы только шифруются, но не расшифровываются.
itconsulting
12.05.2017 21:28Именно! Я смотрю — там второй платёж пошёл уже, значит вы правы — адрес не уникален и либо один ключ на всех либо просто вымогательство без расшифровки.
ValdikSS
12.05.2017 23:49+15Ну короч, в семпле, который у меня, три биткоин-кошелька вбиты.
Внутри EXE-файла — ZIP-архив с паролем WNcry@2ol7. Внутри архива много файлов, один из них — сам exe-файл вируса и шаблон текста, куда заносится fprintf'ом выбранный кошелек. Также в комплекте Tor с хостами для него.
Внутри вируса из ZIP еще один кошелек (совпадает с одним из предыдущих):
Качается дллка с тор-сайта, загружается через loadlibrary, там функции CryptImportKey && CryptDestroyKey && CryptEncrypt && CryptDecrypt && CryptGenKey
Сейчас дальше посмотрю.itconsulting
12.05.2017 23:57Это «адреса», не кошельки. Они могут принадлежать одному кошельку либо разным, кошелёк может выдавать адрес на одну транзакцию или использоваться для нескольких. Нормальная современная практика для приёма крипто-платежей — это генерировать уникальный адрес для каждого платежа, чтобы затем мониторить поступление платежа на конкретный адрес и, таким образом, знать за что пришёл платёж. Здесь же всего три адреса (всё равно что один), так что непонятно от кого пришёл платёж и какой конкретно компьютер нужно расшифровать.
ValdikSS
13.05.2017 00:00Я знаю. На первый взгляд, сервер сообщает точную сумму перевода, и для каждого компьютера различие в сумме платежа разное. Так и отличают.
Еще в вирусе можно отправлять сообщения автору.itconsulting
13.05.2017 00:03Ну да, как-то по детски всё-таки. Похоже что нет какого-то серверного кошелька, который можно мониторить и реагировать на входящие транзакции, а есть десктопный или мобильный кошелёк-клиент (скорее — три) и поступление средств на него наблюдают просто глазами).
PaulAtreides
13.05.2017 00:39+3Возможно они сами не ожидали, какую дверь открывают.
itconsulting
13.05.2017 00:48+1На данный момент на все 3 адреса поступило 4.21630739 BTC (около $7,200 по текущему курсу) — на всемирную эпидемию не катит, только 24 жертвы заплатили. И это хорошо.
tandzan
13.05.2017 03:13+2Обывателю так быстро биткойнов не купить, это не ЖКХ через сбер оплатить.
itconsulting
13.05.2017 06:12+3Увы, да. Уже 39 платежей, в общем на ~6.5 BTC (~$11,000), и количество платежей, скорее всего будет расти.
aixman
14.05.2017 17:40+2Со всех 3 кошельков BTC от вредоноса WannaCry
Тыц 1
Тыц 2
Тыц 3
Сейчас уже собрали 121 платеж.
если в рублях то это уже 1,7 млн рублей.
Мда… Походу попкорн все же нужен. (itconsulting
14.05.2017 17:44+2Та да… Хотя, с другой стороны — как бы масштаб «всемирного злодея», вся планета атакована, и на этом фоне ~ $30k выручки за шантаж. Сама по себе сумма немаленькая, но это как если бы Doctor Evil запросил бы 100 тысяч со всемирного правительства )
beeruser
13.05.2017 04:53+4>> Еще в вирусе можно отправлять сообщения автору.
кто-то передал 1FuckUT7EhQ2dbuk3bErxS4RcFzDyX8u8d 0.00001 BTC
neomedved
13.05.2017 10:49Требование на всех компьютерах заплатить $300. То есть суммы разные, но привязаны не к компьютеру, а к курсу биткоина.
ValdikSS
13.05.2017 01:08+2Ошибся насчет загрузки длл, с тор-сайта загружаются ключи шифрования, а функции подгружаются из криптопровайдера Windows. Легко расшифровать, похоже, не получится.
ValdikSS
13.05.2017 01:14+2http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/
Unfortunately, after evaluating the way WCry performs its encryption, there is no way to restore encrypted files without access to the private key generated by the ransomware. So it’s not likely a free WCry ransomware decrypter will be available for victims.
awsswa59
13.05.2017 11:16А не проще Tor на firewall из внутренней сети заблокировать?
И тогда, даже, зараженные машины из внутренней сети не смогут скачать часть программы с шифрованиемValdikSS
13.05.2017 12:08+1Тогда вирус зашифрует файлы и скажет проверить соединение с интернетом, и, в частности, блокировку Tor.
srbgd
12.05.2017 21:43Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.Они объяснили это так. Ещё в программе есть кнопка check payment, которую нужно нажать после оплаты, но что она делает они не написали. По каким-то причинам эта кнопка работает лучше по будням с 9 до 11.
worldxaker
12.05.2017 21:45+2сидит такой хакер и руками чекает переводы, ну а с 9 до 11 дабы часовые зоны разнести))
x893
12.05.2017 21:17+1Положили кошелек на дороге и надеются, что никто не возьмет.
Зачем 135/445 открывать наружу? Ёжику понятно, что есть 100500 дырок в нем нашли, то и 100501 найдут.
Всё вполне ожидаемо, но плюс есть — будут умнее.
zahmTOD
12.05.2017 21:18-7С форума касп-клаба:
Рекомендации по лечению:
— Убедитесь, что включили решения безопасности.
— Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
— Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
— Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
shifttstas
12.05.2017 23:03+27— Откажитесь от продуктов «Касперского»
neomedved
13.05.2017 11:49Как это поможет избежать заражения?
ARD8S
13.05.2017 11:59+6Это, как минимум, снизит убеждённость в мнимой защищённости. А может даже сподвигнет поставить апдейты и настроить правильную защиту, сделать бэкапы.
nidalee
13.05.2017 15:44+2Как я понял, поведенческий анализатор касперского как ни смешно как раз ловил этот вирус. «Поведение программы однозначно характеризует ее как вредоносную».
zahmTOD
13.05.2017 11:58У меня их и нет. Просто еще одно подтверждение что атака идет через smb сервер. А то было очень неприятно.
PlayTime
12.05.2017 21:27Вы пишете
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Если находишься за нат то в принципе можно не переживать? Мне не очень понятно что за уязвимость SMBv1.
+все апдейты ставятся автоматически(как было по умолчанию от Майкрософт).Snejok
12.05.2017 21:36Мне бы тоже хотелось узнать.
Сейчас 3 компа за модемом, а ведь пул айпи примерно или полностью известен.
Но пока 2 семерки (не могу ничего сказать про обновления) и 10(обновление 2х недельной давности.). Я бы уже перешел на линукс, но хочу узнать, сможет ли он весь диск поразить, а не только логические.
Owyn
12.05.2017 22:04+1+все апдейты ставятся автоматически(как было по умолчанию от Майкрософт).
Тогда патч (MS17-010) от Microsoft у вас уже стоит с пачкой других обновлений вместе ( https://support.microsoft.com/en-us/help/4019472/windows-10-update-kb4019472 )
Security updates to Windows COM, Windows SMB Server, Windows server, Internet Explorer, and Microsoft Edge.
Хотя мне 4019472 поставилось только два дня назад (10.05.17)… повезло? Или когда это всё началось с вирусом?
Беспокоится стоит как обычно в первую очередь только тем, кто сидит на глухой пиратке без обновлений или там где обновления сильно запаздывают
Чтоб проверить — откройте свой журнал обновлений windows 10
или если у вас 7- (там не наборами ставятся обновления в отличии от 10 и server 2016):dism /online /get-packages | findstr KB4013389
илиSYSTEMINFO.exe | findstr KB4013389
kvaps
12.05.2017 23:13спасибо, добавил в статью
ramzai
12.05.2017 23:42+1Вы в статье укажите, для какой версии (10?) эта проверка.
Для Server 2012 нужно искать 4012214, например.
PlayTime
12.05.2017 23:54+3Мои разбирательства в том есть ли у меня апдейт или нет привели к тому что апдейта 4013389 может и не быть.
1. Для моей сборки должен был быть KB4013429 (вот тут можно смотреть https://support.microsoft.com/en-us/help/4013389/title)
Security update file name
For all supported x64-based editions of Windows 10:
Windows10.0-KB4012606-x64.msu
— For all supported x64-based editions of Windows 10 Version 1511:
Windows10.0-KB4013198-x64.msu
— For all supported x64-based editions of Windows 10 Version 1607:
Windows10.0-KB4013429-x64.msu
2. Апдейт заменяется
http://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=724ee219-b949-4d44-9e02-e464c6062ae4
Третья вкладка.
This update has been replaced by the following updates:
и дальше перечислено. У меня оказалось последнее. KB4019472dartraiden
13.05.2017 01:58+5C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:
— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
Nord001
12.05.2017 23:31Разве для 7 не KB4012212 надо искать?
Pisarev_OS
12.05.2017 23:35Да, верно
superyarik
13.05.2017 00:03скачал с сайта МС обновление для 8.1, оно похоже уже KB4012213, поставил, перезагрузил, пока ничего не залочилось.
Vnr
13.05.2017 00:25+1Для 7-ки надо искать одно из KB4012212, KB4012215, KB4015549, KB4019264.
Т.к. Security Monthly Quality Rollups выходят каждый месяц и содержат все предыдущие исправления.
GAmoVeR
12.05.2017 23:51Мне KB4019472 прилетела также вчера, все обновления включены на автоматическую установку
Yastreb1332
12.05.2017 21:433 компьютера с 7кой, 3 компьютера с 10кой ни один не заразился.
обновления накатываются автоматом.
stDistarik
12.05.2017 22:06-18У меня сегодня на сайте (сервер на линуксе) поднялись просмотры в два раза. Может это из-за того, что много сайтов на винде полегло?
MaxEL_UA
12.05.2017 23:53+1Админы без «линейки» к рукам в комплекте сделают уязвимым и Линуксовый хост. Времена — скомпилить под себя ядро, чтобы памяти меньше ело, чтобы модуль iptables не загружать отдельно — ушли в прошлое.
PaulAtreides
12.05.2017 22:09+1Забавно, что это тот самый вендекапец, который пророчил Сноуден после слива shadowbrockers. Используется эксплойт из арсенала Equation Group.
Navij
12.05.2017 23:28+1Тэээкс. А можно поподробнее про поведение вируса? А то открываю Resource monitor, а там system фигачит на чтение и на запись на системной SSD. Экстренно выключил компьютер, теперь вот думаю, оно или не оно. Попробую загрузиться с live-флешки Ubuntu, поискать признаки работы вируса. SSD в качестве системного диска впервые сыграла со мной злую шутку — хруст винтов я бы услышал, или заметил бы тормоза.
Mako_357
12.05.2017 23:42Возможно это superfetch так работает, он как раз использует system.
Navij
12.05.2017 23:53Ну superfetch бы грузил только на чтение по идее, а там и чтение, и запись, к тому же в таких масштабах, которых я при обычной работе системы никогда не видал. Ну, в любом случае, лучше я перестрахуюсь.
Mako_357
13.05.2017 00:25На запись тоже. Я конечно могу ошибаться и это действительно вирь, но не раз видел, что system начинал фигачить, поглощая при этом и процессор и загружая диск на 100%, судя по показаниям диспетчера задач. Особенно это касается HDD, но на SSD тоже бывает.
Обычно такое бывает при нехватке ОЗУ. У себя я такое наблюдаю, когда аптайм винды переваливает за 2 недели.Navij
13.05.2017 01:12Ох, лишь бы вы были правы! Может быть, и своп был, хотя очень вряд ли — 4 гига свободных висело. В любом случае, лучше перебдеть.
vorphalack
13.05.2017 14:27ну вообще надо было открыть Resource Monitor и посмотреть, кто реально и куда пишет. от этого плясать.
RMarauder
12.05.2017 23:54Насколько я понял заразиться можно только если комп с Виндой по SMB-протоколу доступен из инета.
Я знаю только две ситуации когда это возможно:
1) Винда смотрит напрямую в инет(без NAT)
2) SMB порты проборшены через NAT
В любой организации нужно увольнять админа который допустил подобную ситуацию.
Если нужнен доступ по SMB протоколу из инета, то для этого придумали VPN. (это конечно не панацея, но прямой взом компов в сети будет почти невозможен, нужно с начала захватить комп с VPN, но это уже другая история)
Частным лицам вообще подключать комп в инет кроме как через NAT роутера это как приглашение для взлома. Вот этой информацией и нужно начинать и заканчивать статьи о такого рода проблемах
Так что сижу, читаю и просто удивляюсь.PaulAtreides
12.05.2017 23:58+4Заразиться можно, если в локалке хотя бы один комп с виндой [далее по вашему тексту].
Для меня пока главная загадка: есть много сообщений вида «комп за натом, порты не проброшены, единственный комп в сети, всё равно заразился». То ли люди просто не в курсе, что у них там проброшено, то ли есть ещё какой-то канал распространения.rst16
13.05.2017 00:04Паш это уже проблема головного убора. стоят сервера голой жопой в интернет виндовые не одна штука проблем нет. тюфу тфу но смб отключено по дефолту )
Wagner
13.05.2017 00:17В плане NAT'а как вариант (часто делают для торрентов и прочичих DC) — DMZ и привет :D
Wagner
13.05.2017 00:07AFAIK винда на белые IP ставит Public Network по-дефолту (серверные и клиентские оси) и соответственно дефолтно порты самбы не видны. Поэтому смотреть «напрямую в инет» не должно быть проблемой.
shogunkub
13.05.2017 08:02То есть порты закрыты стандартным файерволлом? Пишут же, что возможно, ещё используется какая-то дырка в нём. Я бы просто отключил SMBv1 нахрен, благо XP не пользуюсь давным-давно.
alk
13.05.2017 00:18Скажите, а как же так получается, что в Azure есть готовая услуга — доступ до расшаренной папки по SMB-протоколу? Без всяких VPN-ов вы можете получить доступ до такой папки, и это очень удобно и недорого, если людям нужно совместно пользоваться файлами.
dartraiden
13.05.2017 00:12Как я понимаю, в качестве временной меры (чтобы хотя бы выпустить компьютеры за обновлениями) можно на маршрутизаторе сделать что-то вроде
iptables -t nat -A PREROUTING -p tcp --dport 135 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 445 -j DROPmickvav
13.05.2017 00:48Сделал — за 5 минут набежало:
Chain FORWARD (policy DROP 3496 packets, 163K bytes) pkts bytes target prot opt in out source destination 53 3758 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:49154 243 11856 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445 8 408 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135 ...Mako_357
13.05.2017 01:30А что за порт 49154?
dartraiden
13.05.2017 01:51Port 49154 allows remote viewing and administration of Scheduled Tasks
Но я не совсем понимаю, какое отношение он имеет к 135 и 445.Mako_357
13.05.2017 02:06Ясно, значит планировщик.
Может после заражения через этот порт управляется зловред. Сколько раз замечал, что на планировщик не обращают внимания, а на самом деле туда все что хочешь запихнуть можно и назначить наивысшие права.
Massacre
13.05.2017 02:09+1Один из портов RPC, этот конкретный слушает svchost/task scheduler. Лучше заблокировать весь диапазон, как минимум 49152-49156 (это в случае Win7). Могут быть и другие порты после 49152.
yosemity
13.05.2017 02:30+4Вас бить надо, уж простите! И по многим пунктам.
1) Зачем вы используете таблицу nat для правил разрешения/запрета трафика? Есть же специально обученный filter.
Правильно (при прочих равных):
iptables -I FORWARD 1 -p tcp --sport 135 -j DROP
iptables -I FORWARD 1 -p tcp --sport 445 -j DROP
2) Да хватит и первого.
P.S. простите, не сдержался, меня избили за такое, на всю жизнь хватило )) Но попытка норм. +1 в душе ;)yosemity
13.05.2017 02:45и чтобы не быть голословным
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES
ClearAirTurbulence
13.05.2017 00:22https://arstechnica.co.uk/information-technology/2017/05/nhs-ransomware-cyber-attack/
Decker
13.05.2017 00:33+15 копеек в тему: в моей сети все машины за NAT'ом, естественно что снаружи 135, 137, 139 и 445 закрыты. Но где-то с полгода назад, прочитал здесь же или на Хабре об интересном методе атаки (подробности, номер уязвимости и т.п., к сожалению не вспомню, если кому-то тема близка — дополнят), смысл которой заключался в том, что при посещении определенных web-ресурсов подверженные уязвимости ПК сами открывали исходящее соединение во вне на один из портов 135, 137, 139, 445 (по-моему уязвимость носила название BadTunnel), после чего устанавливался UDP туннель (если память не подводит, то частично эксплуатация этой уязвимости была связана с WPAD) и если машина была уязвима, то весь ее трафик мог быть перенаправлен через сервер злоумышленников. Поэтому еще тогда я запретил любые исходящие во вне, т.е. вне диапазона локальных подсетей на 135-139,445 TCP + UDP. Так что «кризис MS17-010» прошел для меня незаметно.
yosemity
13.05.2017 03:13Если у вас UPnP, то все логично. Зараженная машина просит открыть порт, рутер по upnp открывает. Велкам.WPAD тут, вероятнее всего не при чем, в кучу собрали.
запретил любые исходящие во вне, т.е. вне диапазона локальных подсетей на 135-139,445 TCP + UDP.
Вы о чем? Явно путаетесь в показаниях.Decker
13.05.2017 16:17-1Я про вот это — https://habrahabr.ru/company/pt/blog/304842/ и конкретно сценарий с NBSTAT сообщением во вне на 137 порт:
«При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.»
p.s. Как видите, «в кучу» я ничего не собирал…
livemotion
13.05.2017 00:35У меня вопрос. Есть сервер с CentOS 6.8 у которого 2 сетевых интерфейса — один в мир с белым ip, второй в локалку. К этому серверу смонтирована CIFS шара из локалки (файловый сервер на win2003). iptables не настроен. nmap из мира показывает, что порты 445 и 135 доступны.
Мне стоит волноваться? Интересует только данная уязвимостьRazaz
13.05.2017 00:36На 2003 уязвимость вроде как не актуальна. Как и на XP. Все выше висты.
zidex
13.05.2017 01:03+1Актуальна, для XP выше проскакивала ссылка на патч https://geektimes.ru/post/289115/#comment_10059613
Razaz
13.05.2017 01:27-1Это слегка необычная XP. Гляну в первоисточниках. Вроде все указывают на Vista +.
zidex
13.05.2017 01:49+1Эта слегка необычная XP, внутри вполне себе XP, но она еще поддерживается, в отличие от «обычной» и поэтому для неё есть патч от этой уязвимости. Я думаю, что патча бы небыло, если бы не было самой уязвимости.
Razaz
13.05.2017 01:54+1Возможно. У меня по ней инфы небыло. Но SMB1 надо в любом случае выносить. Причем для админов еще в 2016 году писали в сентябре.
VBKesha
13.05.2017 01:50+3Обычная XP. Только в реестр надо ключик один добавить и можно накатывать патч.
http://www.manhunter.ru/download/19517/WinXP.to.POSReady.zip
Для английской версии: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-enu_9152d114029dd47afbf6d5108012ac513a720cf7.exe
Для русской: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-rus_448a6447042b011012d902ea66a87786be3b4b58.exelivemotion
13.05.2017 02:15у меня 2003 R2, что-то не катит, патч не становится. К тому же это файловый сервер, SMB не могу выключить (
VBKesha
13.05.2017 11:29+1Вот тут пишут что выпустили апдейт для 2003 R2 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Но у меня файлы не качаются.
yosemity
13.05.2017 03:16Да, вам стоит волноваться, вне зависимости от того, стоит там самба или нет. у вас не настроен фаервол и вы светите ненужными сервисами голым задом.
sasha4176
13.05.2017 00:53хочу из спортивного интереса накатить Windows 7 без патча безопасности в Virtual Box и попробовать словить этот вирусняк. Прокатит? и не вырвется ли он за пределы окружения Vbox?
Decker
13.05.2017 01:00+1Чисто теоретически — возможны любые варианты. Исход с «прорывом» окружения VirtualBox рассматривается скорее всего как менее вероятный, однако, при таком эксперименте лично я бы настроил сетевой адаптер виртуальной машины так, чтобы он вообще не имел доступа к локальной сети, т.е. только вовне. Например, если предположить что после заражения уязвимая машина начинает сканировать и локальную сеть в поисках уязвимых ПК — то результат подобного эксперимента предсказуем. В случае же когда виртуальная машина будет иметь только доступ к WAN и больше ни к чему — такой исход сведен к минимуму. Ну и плюс, кто его знает что там придумали авторы вымогателя. Например в целях затруднения анализа он вообще может не запускаться в виртуальном окружении, определить что процесс запущен под VirtualBox, VMWare или другими средствами виртуализации достаточно просто.
rst16
13.05.2017 01:04Decker я думаю им пофиг с кого денег брать это же вымогатель, так что вряд ли там есть проверка на вм. а если у вм есть доступ в сеть то вообще прекрасно ))))
sasha4176
13.05.2017 01:09+1совет про ограничение сети для VM действительно логичен, спасибо. про проверку троянцем виртуального окружения — сомневаюсь. судя по масштабам он добирается до всех уязвимых систем без разбору, вряд ли он будет заморачиваться с проверкой «виртуалка это или физическая машина».
UPD: я всегда буду обновлять комментарии перед публикацией своего…
nxrighthere
13.05.2017 00:57+5Выпилить SMBv1 из системы можно через командную строку.
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Вообще я это делал каждый раз когда ставил чистую систему ещё со времен Windows 7. Всегда избавляюсь от разных компонентов в системе, в которых не вижу абсолютно никакого смысла и пользы для себя.rst16
13.05.2017 01:01чукчи писатели но не читатели.
nxrighthere
13.05.2017 01:02+1Уходи.
This security update resolves vulnerabilities in Microsoft Windows. The most severe of the vulnerabilities could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.
KorDen32
13.05.2017 03:07В семерке вроде бы не работает:
Версия образа: 6.1.7601.18489
Ошибка: 0x800f080c
Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
vagonovozhaty
13.05.2017 11:23+1Ну или в PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
для Win 8 и выше,
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
для Win 7.
Reboot не забудьте.Termux
14.05.2017 02:27+1
Pulse
13.05.2017 01:03+1Напишите:
SYSTEMINFO.exe | findstr KB4012212
Нажмите Enter
Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.
апдейт установлен, но выдает все равно пустую строку :)
maxitop
13.05.2017 01:12У меня так же :-)
kvaps
13.05.2017 01:17Возможно у вас установлен другой патч.
Подправил инструкцию, думаю теперь будет понятнее.
Блин, я вот не понимаю M$, вроде сейчас это такая проблема распространенная, а они не могут выпустить единого бинарника (или ifixit-скрипта) который разом проверит и пофиксит эту проблему.
Почему обычные пользователи должны разбираться в кодах всех этих апдейтов?
Razaz
13.05.2017 01:30+4Для этого есть автоапдэйт. Два месяца жужжат уже про утечку тулкита АНБ и выпуск патча. Даже Patch Tuesday переносили.
kvaps
13.05.2017 01:38+4Вот если бы он еще нормально работал, я бы согласился.
Но насколько я помню этот Windows Update отжирает туеву хучу ресурсов, нередко заставляет пользователей сидеть часами наблюдая процесс установки обновлений, а еще всякие приколы с автообновлением до Windows 10.
Это все заставляет рядового пользователя делать шаги на отключение этого функционала в своей ОС.Wagner
13.05.2017 01:40Пофиксили уже где-то с год назад это. Собсно как перестали бесплатно 10ку раздавать так и пофиксили :D
Razaz
13.05.2017 01:49Вообще апдэйт фиксили. В 10 шустро стал проверять и выкачивать. Плюс можно либо кумулятивный либо дельту получить. Автообновление до 10 то же отрубили давно. Если уж отключили, то хотя бы раз в месяц секьюрити патчи ставить. Причем MS как раз подорвался и успел выпустить патч до слива.
Pulse
13.05.2017 01:35+1а вот эта команда
dism /online /get-packages | findstr KB4012212
выдает:
Удостоверение пакета : Package_for_KB4012212~31bf3856ad364e35~amd64~~6.1.1.0
Полагаю, команда SYSTEMINFO.exe | findstr KB4012212
не выдает результата, т.к слишком много обновлений установлено.
Если ввести SYSTEMINFO.exe, то не все KB отображаются
rst16
13.05.2017 01:13если ты сидишь дома за роутером то тебе не страшно, ну если только дома у тебя жена дети за компами.
ustas33
13.05.2017 01:12В публичный Wi-Fi без обновлений не подключайтесь.
forajump
13.05.2017 19:34В публичных сетях Wi-Fi не дают белых IP, там кругом NAT жесточайший, как и в сотовых сетях. И конечно клиенты друг от друга изолируются, они же не на домашних маршрутизаторах крутятся, а на хотспоте или брасе.
rionnagel
14.05.2017 02:48+1Ну ты заходишь в бар… где руководство подключило интернет через формулировку провайдеру "а подключите нам вифи"...
uranik
15.05.2017 11:11Какая изоляция, в кафешках обычные тплинки и зюксели раздают интернет.
rub_ak
15.05.2017 13:16Зюксели которые hotspot (например zyxel g4100) умеют изоляцию l2, даже их точки доступа (например ZyXEL NWA-3500) тоже умеют l2 изоляцию.
forajump
17.05.2017 19:10Это самодеятельность, нормальная кафешка так общественную сеть не выставит.
rionnagel
18.05.2017 01:21Ну смотря что вы считаете нормально кафешкой). Готовят хорошо, обслуживание отличное, а технически подкованного специалиста нет. Если законом не запрещено/запрещено, но никто не следит — могут без проблем наколхозить так и не заморачиваться. Еда/алкоголь есть? есть. Через wifi интернет работает? работает.
rst16
13.05.2017 01:16+1правая кнопка по иконке с компьютером внизу справа центр управления свойства убрать галочку клиент для сетей микрософт и общий доступ к файлам и принтерам. это решит вашу проблему без патчей если вы одни дома )
0serg
13.05.2017 01:42+2Имхо более толковая инструкция по определению уязвимости системы:
http://www.infoworld.com/article/3191897/microsoft-windows/more-shadow-brokers-fallout-doublepulsar-zero-day-infects-scores-of-windows-pcs.html
Нашел ее после того как я попытался последовать советам из этой статьи но у меня ничего не получилось :)
По ссылке простая, понятная и работающая инструкция что проверять и что делать
Hidralisk
13.05.2017 01:50скачал пакет, установил, получил синий экран.
Восстановление слава Богу сработало.PaulAtreides
13.05.2017 02:10А что в синем экране было сфоткали/записали?
bzgood
13.05.2017 21:38у меня тоже синий экран. Ошибка c000145. Далее ребут, и снова синий экран. Восстановление сработало, хвала небесам! Но что делать то?
UPD/
покопался в комментариях, нашёл вот это https://geektimes.ru/post/289115/#comment_10060495
у меня почти то же самое, только различия в версиях. У кого cmd такое выкидывает, можно быть спокойным. smb нету.
iroln
13.05.2017 02:20На одном из компьютеров стоит win 7 pro. Автоматические обновления включены. Этот пакет почему-то не был установлен и его не видно при поиске обновлений. Установил вручную из оффлайн установщика. Винда уже час крутится в "Подготовка к настройке. Не выключайте компьютер". Есть подозрение, что что-то пошло не так. :)
Zephyris
13.05.2017 02:35+1Между тем, об этом предупреждали давно)
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
>September 16, 2016
https://twitter.com/NerdPyle/status/863170267735924736
И этот чувак буквально час назад еще раз ссылался на эту статью.
drkk
13.05.2017 02:35Странная вещь (ошибка?) для Server 2012\2012 R2.
В списке обновлений — 4 файла, причем 2 из них имеют в названии RT, при этом таблица для Windows RT 8.1 — пуста.
Та же картина и в именах файлов тут:
https://support.microsoft.com/ru-ru/help/4013075/ms17-013-security-update-for-microsoft-graphics-component-march-14-201
Microsoft, вероятно, ошиблась, и для Server 2012\2012 R2 нужны только
Windows8.1-KB4012213-x64.msu
и\или
Windows8.1-KB4012216-x64.msu
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
Ivan_83
13.05.2017 02:46-6Весело, прям кирпичный заводик тут развели, как в августе 2003, только тогда были ребуты вместо шифрования.
А чо, виндузятникам так трудно снять привязку службы «сервер доступа к файлам и принтерам» со всех интерфейсов?
(на серверах с шарами и принтерами не канает, но хомякам то самое оно)
(клиента отключать не надо — а то не попадём на сетевые диски и шары, он один хер ничего не слушает и лучше от его отключения не станет)
Даже фаера не надо, и глупых антивирусов тоже и патчей(=нар_котиков) — ничего не надо чтобы от этого защитится, ибо отключение привязки службы сервера в 100500 раз надёжнее.
С тех пор никаких проблем так и не было ещё 10+ лет, пока пользовался.
Похоже я тут единственный истинный виндузятник, сидящий на фре :)))
2 dartraiden
2 AlexanderS
А постоянный иммунитет см выше, ну либо венду сносить и ставить не венду.
2 nxrighthere
От отключения привязки безопасность выше, чем от отключения протокола.
2 mickvav
То что у тебя набежало вовсе не обязательно сабж.
Я как то экспериментировал на домашнем сервере с фаером и забыл обратно включить запрет доступа к самбе из инета. Я сидел на адсл в то время.
Какой то гадский зловред по заражал все маленькие ехе чихом а большие попросту запорол и они стали маленькими.
Ну есть ещё и просто любопытные до чужого добра.
2 Sadler
Век живи — век учись.
За 20 лет на венде нужно было усвоить что ставить трофейный сервер на десктоп намного лучше всяких про/хом/ынтырпрайз, ибо поддержка там ещё дольше, а говен в апдейтах почти нет.
2 ustas33
2 Mako_357
У вас вирусо-хакеро фобия.
2 rst16
Клиент — тут совсем не причём, не нужно призывать людей к самокастрации.
2 iDm1
Году в 2004-2005, когда выше сп1 к ХР с фаерволом для лечения похожей заразы я как то по диалап мопеду «удачно» вышел в инет. Настолько удачно что сразу схватил велчну (оно типа через туже дырку пролазило но от белых шляп). Как я потом понял встроенный фаер не сразу начинал фильтровать на новом подключении а спустя какое то не продолжительное время, которого как раз хватило чтобы словить повод для поднятия квалификации и медитации.
Собственно после этого привязка этой службы пошла нахер на всех клиентских и домашних компах и вернулся спокойный сон. И это был ещё один довод при обосновании что нам нужен принтсервер/сетевой принтер и за последующие лет 10 я считанные разы включал привязку обратно в кач временной меры пока не купят принтсервер.
Про удаление клиента — см выше.
2 0serg
Зачем тебе определять уязвимости системы?
Предохранись, рецепт в начале этого коммента.
2 yosemity
тут у хомяков и админов бомбит потому что они не умеют настраивать винду или ленятся, и жопой чуют что если даже выходные пройдут спокойно то неделя будет весёлая.yosemity
13.05.2017 03:40+2ок, так же n++ напишу.
>А чо, виндузятникам так трудно снять привязку службы «сервер доступа к файлам и принтерам» со всех интерфейсов?
А зачем, мне, хомяку и бухгалтеру это знать?
>Даже фаера не надо, и глупых антивирусов тоже и патчей(=нар_котиков)
это песня какая-то?
>Похоже я тут единственный истинный виндузятник, сидящий на фре :)))
это очень тяжело для вас, я понимаю.
>Весело, прям кирпичный заводик тут развели, как в августе 2003, только тогда были ребуты вместо шифрования.
кто вас плюсует?
дальше читать не буду. вляпался, хватит.Ivan_83
14.05.2017 03:23Хватит истерить, хомяк бухгалтера админа :)
Не хочешь учится/знать — сделаешь кого то богаче.
Очевидно те, кто читал суть а не пафос и глумление над паникой. Впрочем, мне пофик, я не кармодрочер.
SRP не даёт гарантий, есть in-memory штуки, им на такое вообще плевать. От интерпретируемого оно тоже не спасёт.
===
Развели тут каргокульт с обновлениями.
2 unxed
Андройд — развлекательное фуфло, достижение капроэкономики: выкинул, купил другой через час/день/месяц/год — никаких проблем.
А тут работа, ценные данные, всё что нажито непосильным трудом за долгие годы, то ради чего многие до сих пор не выкинули из дома комп/ноут.
2 Lsh
Страдания вендузятников они в том что:
— оно нормально не админится, конфиги переносить у софта — сплошная боль
— апдейты надо клянчить, как при дифиците во времена ссср — сам то ты сделать ничего не можешь
— траблшутинг вообще никакущий: вырвиглазные сообщения об ошибках которые понятны только автору говнокода
— отдельная тема как МС кидает разработчиков: каждые 5-10 лет совершенно новая технология, а старьё дропают: ole, com, atl, mfc и тп.
В опенсорце можно хотя бы автору написать и спросить что за херня с его говнокодом творится, а если автор помер то и самому пофиксить или нанять кого.
2 Skerrigan
2 AndreyMust19
Если полностью потушить службу сервера то перестаёт работать много чего в «управление компьютером», как минимум в 2к/хр так было, с тех пор больше не отключал её.
2 Pcholl
2 read2only
2 dom1n1k
Сдались тебе эти обновления, вон отключаешь привязку от сетевого интерфейса и нет проблем.
2 electronik777
Так венда при создании подключения к инету сама эти привязки снимает.
А на обычных интерфейсах ручками надо, знающие так и делают.
2 Tiamon
Три года на фре, с удовольствием послушаю о преимуществах линуха %))))
2 Dee3
Нет.
Последний раз так было весело в августе 2003.
Это именно тот случай когда оно само залазит в компы подключённые к сети с дефолтными настройками.
2 MnogoBukv
Начиная работать на другой ОС нужно сразу понимать что ты начинаешь с нуля и даже не пытаться сравнивать с тем уютненьким что у тебя уже есть.areht
14.05.2017 09:20> — отдельная тема как МС кидает разработчиков: каждые 5-10 лет совершенно новая технология, а старьё дропают: ole, com, atl, mfc и тп.
2017 год на дворе, а вы всё с темником прошлого тысячелетия носитесь.
sumanai
14.05.2017 14:26От интерпретируемого оно тоже не спасёт.
Там есть настройка расширений, которые будут приниматься за исполняемый код. Вносите туда свой .php или .pl, и они будут подчинятся тем же правилам, что и exe и bat.
yosemity
13.05.2017 03:42Чуть не забыл самое важное. Что у вас в голове?
Вау. тут и мне персональный ответ. и да, у меня бомбануло, я все перепроверил и успокоился. Я хомяк — админ.
unxed
13.05.2017 02:53+1Windows что… скоро такое начнётся на android. Они же вообще не обновляются в большинстве случаев.
shifttstas
13.05.2017 09:44+1Вы так говорите, как буд-то это что то плохое.
Вот люди и узнают почему лучше покупать не китайские ноунеймы а производителей которые хотя бы заплатки выпускают.shogunkub
13.05.2017 09:57+4А они выпускают? Единственное, что реально постоянно апдейтится — Nexus и Pixel. Остальные часто по полгода обновлений ждут, если не по году. Ну и младшие модели зачастую получают один серьёзный апдейт, а потом поддержку прикрывают.
vconst
13.05.2017 10:08+1Сяоми один-два раза в месяц присылает обновления.
shogunkub
13.05.2017 10:16Xiaomi — особстатья, у них как раз с поддержкой всё хорошо. Я, например, могу сказать, что у LG с этим всё было печально, когда я пользовался LG.
vsespb
13.05.2017 10:50+4Xiaomi выпускает обновления но ничего в них не фиксит. Бэкап уже много лет удаляет файлы вместо того чтобы их бэкапить. А нотификации из внешнего мира просто не гарантировано работают.
Barafu
13.05.2017 14:23Samsung Note 4. До сих пор обновления раз в квартал и по случаю праздников типа сегодняшнего. А вообще всегда надо быть готовым в итоге на народные прошивки переходить.
agentx001
13.05.2017 10:30+2Омг. Тут проблема еще и в том, что большинство производителей со временем заплатки вообще выпускать перестают. Мне уже три года верой и правдой служит LG L Fino — отличный смартфон, для звонилко-плеера-мессенеджера. Но там до сих пор андроид 4 версии стоит, нет апдейтов. И что мне теперь, другой смартфон покупать? Причем именно такого, как мне нравится нет, что бы с кнопочками сзади и маленьким экраном. Везде дурацкие лопаты.
unxed
13.05.2017 10:59+2Как по мне, это проблема платформы. Если не все производители выпускают обновления регулярно, значит процесс до невозможности не удобен.
Почему 100500 дистрибутивов линукса, большинство их которых поддерживаются маленькой кучкой энтузиастов, обновляются превосходно?
Почему андроид не может использовать ту же архитектуру? Арм и тачскрин чем-то фундаментально отличаются от x86_64 и монитора с мышкой?
Проблема — в закрытости платформы. Несмотря на то, что формально это — опен сорс.
Готов поспорить что у Mer и Sailfish нет проблем с обновлениям на любых устройствах.
Viknet
13.05.2017 12:01+2ARM на практике отличается от x86 гигантским количеством проприетарного железа, драйвера на которое пишут под конкретную минорную версию ядра и отдают сборщикам только бинарные блобы. Андроид тоже проблем добавляет своими тестами соответствия, но это уже скорее следствие сложившейся ситуации.
unxed
13.05.2017 13:17Как это влияет на органзиацию обновлений? Дыры в драйверах не дадут массовых эпидемий, потому что железо везде разное.
Viknet
13.05.2017 15:46+3А ядро вы как обновлять собираетесь? В нём достаточно большая часть уязвимостей и находится.
Да даже если и не в нём, вся система сильно связная и обновление одного компонента тянет за собой остальные и в конце концов упирается в блобы и Compatibility Test Suite.
Заниматься бекпортированием обновлений безопасности на все существующие версии андроида никто не будет.
zedxxx
13.05.2017 13:59+1Похоже, в этом направлении появился прогресс:
Компания Google анонсировала модульную систему Treble, которая позволит производителям создавать универсальные компоненты поддержки оборудования, не привязанные к конкретным версиям Android и используемым в них выпускам ядра Linux.
http://www.opennet.ru/opennews/art.shtml?num=46542
imanushin
13.05.2017 12:13Проблема в деньгах.
Ты можешь поставить на ноутбук новый Windows/Linux и пр. И потому ты не будешь покупать новое устройство только ради обновления ПО.
А Android — покупают, в частности, из-за этого. Если гугл сделает работу с системой аналогичным образом с Windows (т.е. так же будут продавать предустановленную систему, которая сможет обновляться), то тогда:
- Покупать телефоны ради новых фишек будет меньше людей
- Придется выдерживать архитектуру драйверов так же, как и в Windows (где драйвер от Vista подходит к 10ке, если нет намеренных запретов)
- С какого-то момента придется отбиваться от людей, которые захотят ставить на телефон не Google Android, а Yandex Android (т.е. в случае ноутбука с Windows — как будто ставят Ubuntu)
И т.д., и т.п. А потому идеальное решение (с точки зрения заработка денег корпорацией) — валить всё на производителей телефонов. И набивать слитками комнату ;-)
areht
13.05.2017 12:28> валить всё на производителей телефонов. И набивать слитками комнату ;-)
Что-то я запутался.
Слитками комнату забивает гугл, который андроид раздаёт бесплатно? У них доход от обновлений зависит?
А телефоны с новыми фишками продают производители? На их рекламе я програмных фишек не помню — там больше миллиметры и камеры…imanushin
13.05.2017 13:02"который андроид раздаёт бесплатно" — да ладно? )))
См. тут: http://www.businessinsider.com/google-android-software-is-not-as-free-or-open-source-as-you-may-think-2014-1. Просто цены скрыты, гугл больше пишет об Aplha Go, чем о подобных вещах.
Про слитки:
- Если Android сможет обновляться так же, как и устройства Apple, то корпорации потребуется потратить больше денег на адаптацию новых версий (ибо драйвера должны подходить и т.д.), усложнится разработка и т.п.
- Если Android стабилизируется, то это упростит жизнь разработчикам сторонних прошивок
- Сторонние прошивки с альтернативным маркетом могут порушить монополию гугла на эту открытую систему, что уменьшит приток и от рекламы, плюс уменьшит ряд таких же косвенных источников дохода
areht
13.05.2017 13:42> for a license to use Gmail, Google Play and other parts of Google's mobile services
Во-первых, ключевое слово тут GMS. Он на китайских телефонах с андроидом может отсутствовать. Как и на каком-нибудь Amazon Fire.
>, a testing facility quoted $75,000 to test 100,000 devices.
Меньше доллара на устройство?
Причём, с версией и обновлениями андроида это никак не связано(*), как я понял.
> Если Android стабилизируется, то это упростит жизнь разработчикам сторонних прошивок
И? Про (*) помним? Гуглу это как-бы без разницы.
> Сторонние прошивки с альтернативным маркетом могут порушить монополию гугла на эту открытую систему
Альтернативных маркетов — как у дурака фантиков. Только ленивый не сделал. Считали бы это проблемой — просто запретили бы лицензией альтернативные маркеты.
А уж платный GMS идее подорвать развитие альтернативных маркетов на бесплатном андроиде совсем противоречит.
TheOleg
13.05.2017 14:45Во-первых, ключевое слово тут GMS. Он на китайских телефонах с андроидом может отсутствовать. Как и на каком-нибудь Amazon Fire.
Учитывая историю с Яндексом, то «либо платите за гаппс, либо продавайте телефоны с ничем, которые не будут покупать»areht
13.05.2017 15:51История с яндексом разрешилась в пользу яндекса, если что.
Автосервис.
Клиент смотрит счет и спрашивает у мастера:
— А что за пункт «Прокатило» — 10000 руб????
Мастер:
— Не прокатило, вычеркиваем.TheOleg
13.05.2017 19:08Завершилась тем, что Яндекс прав был, и гугл должны перестать так делать. Только, емнип, не перестали всё ещё.
A4j
13.05.2017 21:38Мутная какая-то история с яндексом, до этой истории как будто не было телефонов на которых предустановлены приложения яндекса, вроде не у всех производителей они были, но были же предустановленные приложения яндекса, хотя я не очень углублялся в эту историю, может яндекс не доволен другим был.
unxed
13.05.2017 13:201. Выкладывать только обновления безопасности.
2. Да ну? Линукс меняет API и ABI драйверов регулярно. Проблем с обновлениями безопасности нет.
3. Кто мешает сейчас ставить цианоген?
Серьезно, после этой истории с wannacry всерьёз думаю о телефоне на открытой платформе (виндой-то давно не пользуюсь). К чёрту все эти риски.TheOleg
13.05.2017 14:39+23. Кто мешает сейчас ставить цианоген?
Тут камера не работает, там будильник не работает с выключенным экраном. Это конечно пару лет назад было, но думаю особо не исчезло никуда.unxed
13.05.2017 14:47На самом деле, важно не какая стоит ОС, а какой по умолчанию используется браузер (то есть, поиск) -> кто по умолчанию показывает в поиске рекламу.
А альтернативные браузеры можно ставить уже сейчас, и ничего, экосистема от этого не сдохла.TheOleg
13.05.2017 15:06Я про то, что если производитель ставит маркет от яндекса, амазона ил ещё кого-то, то ему запрещают в будущем ставить гаппс. Хотя, казалось бы, опен сорс, ставь что хочешь.
Альтернативные браузеры зачастую не нужны, т.к. Хром уже вшит и часто неудаляем.
MyFearGear
13.05.2017 19:23описанные баги явно индивидуальные для конкретно вашего девайса, возможно по причине закрытости драйверов? не знаю.
У нормальных аппаратов таких детских проблем цианоген не имеет.
Alexey2005
13.05.2017 13:45+2Проблема не в закрытости, а как раз наоборот в открытости и, как следствие, кастомизируемости.
Производители же никогда не ставят «сферический Android в вакууме». Нет, они берут исходники и их потом сильно перепиливают, причём на всех уровнях, начиная с ядра. Никакое «стандартное» обновление после этого уже не сделать.
И даже энтузиасты не могут сделать кастомную прошивку без того, чтоб предварительно отреверсить прошивку, выясняя, чего там накрутил конкретный производитель и как адаптировать обновление, чтоб оно с модифицированными компонентами работало без глюков.
А запретить вендорам так делать невозможно как раз из-за открытости платформы, чем они вовсю и пользуются.unxed
13.05.2017 13:51+2Производители mint взяли ubuntu и так же перепилили.
Производители ubuntu взяли debian и так же перепилили.
И там и там с обновлениями безопасности всё ок.
В чём принципиальная разница платформ? Драйвера местами одни и те же, между прочим.areht
13.05.2017 14:50Разница не между платформ, а в том, что на одну убунту приходится сотни болгенОС, на которых с обновлениями безопасности тоже не очень. А на андроиде такого нет.
Но между убунтой и болгеносом выбирают осмысленно, а андроид прилагается к телефону.
rub_ak
15.05.2017 13:24UPD. Я только сейчас прочитал ветку комментариев, и понял что винда тут не причем.
Извините за оффтоп.
Arxitektor
13.05.2017 07:46Старый добрый спуфинг имени файла.
Спасибо за предупреждение.
Теперь буду еще внимательнее относиться к имени файла.
Защита есть?
как я понимаю архив zip с электронной книгой который на самом деле exe или bat под видом текстовика словить элементарно?yosemity
13.05.2017 09:56Здравствуйте. скоро в каждый свой ответ буду пихать https://habrahabr.ru/post/269531/ пункт 5.
ClearAirTurbulence
13.05.2017 10:54+2Мне что-то подсказывает, что при просмотре в любом файловом менеджере, который выводит расширения в отдельную колонку, этот трюк не сработает.
worldxaker
13.05.2017 12:39+1вы сейчас много где видели сторонние файл менеджеры?
Skerrigan
13.05.2017 13:45Лет 10 уже наверное живу с этим...
rionnagel
14.05.2017 03:02У меня друг использует ls под i3 и его устраивает… а я рандомно, что под руку попадется… то mc, то ls, то dir, то в эксплорер тыркаю гордо мышкой… и вы знаете… я просто перестал видеть разницу… не только между менеджерами, но и между de, и очень часто не вижу разницы между ос, кроме того, что там то можно сделать, а там нельзя...
rionnagel
14.05.2017 03:02У меня друг использует ls под i3 и его устраивает… а я рандомно, что под руку попадется… то mc, то ls, то dir, то в эксплорер тыркаю гордо мышкой… и вы знаете… я просто перестал видеть разницу… не только между менеджерами, но и между de, и очень часто не вижу разницы между ос, кроме того, что там то можно сделать, а там нельзя...
Lsh
13.05.2017 13:20Да даже просто, если один раз кликнуть на файл, то внизу окна проводника написан тип.
waisberg
13.05.2017 10:38+10Нашелся интересный изъян в коде:
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.drkk
13.05.2017 11:12+1Если это так — мужик молодец.
Однако правильно ли я понимаю, что будучи запущен на исполнение локально (из письма, например) на компьютере со всеми обновлениями зловред все равно сможет зашифровать пользовательские файлы? Для борьбы с этим встречал такие решения:
Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies
То же самое, но с помощью небольшой програмки:
CryptoPreventworldxaker
13.05.2017 12:40это останавливает только распростронение, но вирус при этом так и продолжает шифровать
yosemity
13.05.2017 12:51SRP, работает не так. Это превентивная мера, во вселенной с SRP
пули не летаютлевые исполняемые файлы не запускаются. Подробнее тут https://habrahabr.ru/post/269531/
Lsh
13.05.2017 13:12Т.е. вирус даже не делает на него никакого асимметрично шифрованного запроса? Эх, как же они так лажанулись?
highbury
13.05.2017 11:10Win 7 пиратка, внешний ip безо всяких роутеров, обновление KB4012212 установлено не было…
Подключение настроено как «Общественная сеть», в свойствах включен только протокол tcp/ip v4.
Полез сразу отключать SMB1 через командную строку, выдало вот что:
C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMB1Pr
otocol
Cистема DISM
Версия: 6.1.7600.16385
Версия образа: 6.1.7601.18489
Ошибка: 0x800f080c
Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Я правильно понимаю, что спасся лишь благодаря добрым дядям-пиратам, которые вырезали из дистрибутива потенциально опасную штуковину?dartraiden
13.05.2017 12:19Для подстраховки можно сходить в Панель управления — Установка и удаление программ — Компоненты Windows и посмотреть, есть ли там что-то включённое, связанное с SMB.
BratInt
13.05.2017 21:38У меня тоже никаких SMB ни в реестре, ни в «компонентах Windows», хотя Win 7 лицензионная. Но автообновления отключены — слишком уж мешала навязчивая реклама Win 10 и неработающий правый Alt+Shift.
И что это означает — что мы вне уязвимости?
ICELedyanoj
15.05.2017 08:00Судя по всему да — вчера полез защищать комп сестры (Win7, x86) — самба отсутствует напрочь.
Попытка установить оффлайн-пакет обновления завершилась ничем — несколько часов висело сообщение типа «собираю информацию об обновлениях». Так что просто закрыл порты на всякий случай.
BiggArs
13.05.2017 11:11+2Не нужно ставить, например, под Windows 7 именно KB4012212/KB4012215. По новой системе обновлений, изменения, затронутые этими KB, были включены сперва в состав ознакомительной версии ежемесячного накопительного пакета — KB4012218, затем изменения KB4012218 включены KB4015549, далее — в KB4015552 и в конце концов на данный момент актуальным KB, включающим необходимые исправления/обновления является «Ежемесячный набор исправлений качества системы безопасности» — KB4019264. Не разобравшись начал накатывать KB4012212 и система оказалась недоступной — вангую, что из-за наличия уже установленного KB4019264 пошёл откат изменений.
Naranek
13.05.2017 12:44Оказалась недоступной — в смысле заразилась или что?
Я также поверх 4019264 накатил 4012212. Мне уже бояться?
omgiafs
13.05.2017 11:11+8Внимание, вопрос:
Какие еще вирусы использовали ту же самую уязвимость, только по-тихому засели в системе и сливают данные, а не орут окном во весь экран Я ЩАС ВСЕ ТУТ ЗАКРИПТУЮ, ПЛАТИ БАБКИ!
amirganiev1997
13.05.2017 11:11Ух, всегда думал, что если сидеть без антивируса, не запускать левых экзешников и не использовать флеш на всяких недоверенных сайтах, то всё будет норм. Жаль, что это не так.
Сегодня поставил фришный антивирус и сделал бэк-ап всего важного, хотя винда десятая и со всеми обновлениями (пытался их отключать, даже в хост все мелкомягкие адреса кидал, всё-равно не помогает).Skerrigan
13.05.2017 13:54всё-равно не помогает
Эх вы… мало опыта — берем, отрубаем на корню сервис соответствующий. Все, больше нет неприятных ребутов ломающих работу/разработку.
А так да, спору нет — бекапы, CVS (тот же Git), синхрофазатроны на несколько нод/машин сразу (BitSync как вариант), только оффлайн ключница (KeePass), отключение превентивное js-скриптов и флеша. Это как базовая гигиена.
sergio_deschino
13.05.2017 14:28А антивирус зачем? Зайдите на сайты этих дармоедов, там полно стонов о том что их любимый антивирус жидко обделался. Оставьте стандартный дефендер винды и спите спокойно, лучше придумать сложно
akardapolov
13.05.2017 11:12>> dism /online /norestart /disable-feature /featurename:SMB1Protocol
Надо запускать с правами администратора. Я зашел в Windows/System32 и запустил cmd.exe As Administrator, и только после этого сработала команда.
>> dism /online /get-packages | findstr KB4012212
Даже от админа возвращала пустую строку. Скачал файл требуемый для Win10 — система написала что такое обновление уже установлено. Может есть другой способ проверить, чтобы не качать Гб обновлений?
phiill
13.05.2017 11:12для windows 10 1703 не надо ничего устанавливать?
по ссылке с патчами нет этой версии
chapsam
13.05.2017 11:12
То есть мне можно не тревожиться, я правильно понял?
sanhces7
13.05.2017 12:20Обнаружил нюанс — запускать консоль нужно от имени Администратора, тогда выводу команды dism стоит доверять. Если у Вас пустая строка — обновления нет или нетправ на исполнение команды.
chapsam
14.05.2017 21:46После этой команды под Администратором у меня выдало вот что:
всё верно и мне нечего переживать? (простите чайника)
Neeler
13.05.2017 11:12Тут вот некоторая собранная информация по WannaCry https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
aaalllsss
13.05.2017 11:13не стоит доверять выводу dism /online /get-packages | findstr, лучше смотрите вручную
Ten
13.05.2017 12:15Ребята, в выложите кто-нибудь для XP и 2003 пожалуйста, а то МС прилёг
LeoXX
13.05.2017 12:18+3Прямые ссылки:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
kvaps
13.05.2017 12:16Кстати, время и дату в системе можно поменять, таймер просто остановится и все:
Скриншот
Lord_Ahriman
13.05.2017 12:19Хотел бы добавить: если кто-то выполнил команду, которую автор указал, и ничего не найдено — не паникуйте, а посмотрите по номеру KB в журнале обновлений за март 2017. Почему-то Monthly Rollup'ы не ищутся ни через командную строку, ни через просмотр установленных обновлений. Например, у меня 8.1x64, KB4012216 есть в журнале обновлений (успешно установлен 14 марта), но в списке обновлений и при поиске по методу автора его не видно.
drkk
13.05.2017 12:52То есть если в списке установленных есть, например, 2017-05 Security Monthly Quality Rollup — то все ок?
Lord_Ahriman
13.05.2017 13:00+1Лучше смотреть не название, а номер обновления, в котором была исправлена уязвимость для вашей системы, по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Для 8.1x64 это как раз KB4012216
(прошу прощения, ссылки оформлять не могу, кликабельно в самом посте в UPD и UPD1)drkk
13.05.2017 13:29Опишу, чем вызван вопрос. В системе установлен
Ежемесячный набор исправлений качества системы безопасности для систем Windows Server 2012 R2 на базе процессоров x64 (KB4019215), 05 2017 г.
При этом по ссылке
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
KB4019215 вообще не упоминается.
Поэтому неясно, включает ли KB4019215 искомые исправления.
navion
13.05.2017 16:07+1Да, месячные пакеты включают все предыдущие.
drkk
13.05.2017 18:16Хорошо, если так.
Однако тогда механизмы определения наличия обновления из шапки для тех, кто штатно обновлялся через Windows Update некорректны, будет создаваться иллюзия, что нужных обновлений в системе нет.
P.S. Попробовал установить в систему с установленным майским «месячным» обновлением собственно патч MS17-010 Security Only — устанавливается. А вот Monthly Rollup — ожидаемо нет.
stardust1
13.05.2017 12:29У меня на Win7 Pro обновления почему-то не устанавливаются. Последние были 16.12.2016. Скачал патч, что бы установить в ручную, а он зависает про «поиске обновлений на этой системе».
read2only
13.05.2017 14:04У вас сама служба «Центр обновления Windows» не остановлена?
Я также скачал заплатку для Win7 x64 — KB4012212 и установил в оффлайне.stardust1
14.05.2017 23:35У вас сама служба «Центр обновления Windows» не остановлена?
а что это такое?
У меня уже с 16.12.2016 показывает, что есть два обновления. Когда нажимаю на установить, он пытается их скачать, но прогресс 0%, т.е. ничего не происходит.
Хотя сейчас в «хистори» посмотрел и у меня многие ноябрьские обновления не установились.
GebekovAS
13.05.2017 12:38+1Если этот криптор использовал эксплоит украденный у АНБ, то мы наверно еще и спасибо должны сказать его авторам (криптора), т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?worldxaker
13.05.2017 12:44+1мы им еще и спасибо должны сказать, за то что теперь появился весомый аргумент, зачем обновлять ОС
NaHCO3
15.05.2017 22:35+1К сожалению, windows 10 — более весомый аргумент, чтобы не обновлять ОС. И пользовательские данные она тоже теряла. Только что денег не вымогала. Пока.
Isopropil
13.05.2017 12:52-2Всё нормально. Вендавозники должны страдать.
Lsh
13.05.2017 13:01+1Можно подумать, в других ОС дыр нет.
Уязвимость в реализации NFS-сервера, поставляемой в ядре Linuxkvaps
13.05.2017 13:05+4Безусловно есть, но:
Для успешного проведения атаки необходимо наличие доступного на запись NFS-раздела, примонтированного в системе, с которой совершается атака
и
только свежеустановленная винда с торчащим наружу интерфейсом.
Чувствуете разницу?
Moonman
13.05.2017 12:54Прямые ссылки на обновления безопасности MS17-010 для различных версий WINDOWS также выложены в шапке темы https://forum.kasperskyclub.ru/index.php?s=c4c52a4d7a471462090727ce73e65b24&showtopic=55543&page=1
Andronas
13.05.2017 12:56Если WindowsDefender (с новыми базами) в ходе сканирования пишет что угрозы не обнаружены — можно расслабиться?
По Win10 полная неразбериха с тем какое обновление должно быть чтобы считать что винда защищена от этого трояна… systeminfo не показывает то что в статье написано, но обновления то автоматически устанавливаются. Что проверять непонятно :(worldxaker
13.05.2017 13:03если стоить creators update то все ок
Andronas
13.05.2017 13:10CreatorsUpdate не стоит еще… Win10 x64
скачал по ссылке http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429 Накопительный пакет обновления для Windows 10 Version 1607 (KB4013429) — автономный установщик сказал что данное обновление неприменимо…
justhabrauser
13.05.2017 13:07-4Как-то незаметно проскочило «группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.».
И эти люди потом жалуются на «хакеров ФСБ».
Да просто «хакеров АНБ» надо гнать ссаными тряпками в школу доучиваться. Билгейтсы, блин…
PS. интересно — хакеры АНБ экзамены в формате ЕГЭ сдают, что ли?
PPS. хотя может и не надо их гнать…
Cedric
13.05.2017 13:27У кого проблемы с скачиванием (на Микрософте завал запросов), качайте тут 7,Server 2008 R2 и XP одним архивом.внутри три файла.
https://yadi.sk/d/w4tCpigc3J72Ac
DanXai
13.05.2017 13:56C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMB1Pr
otocol
Cистема DISM
Версия: 6.1.7600.16385
Версия образа: 6.1.7600.16385
Ошибка: 0x800f080c
Имя компонента «SMB1Protocol» неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Что делать?ksenobayt
13.05.2017 14:03Судя по всему, у вас просто выпилена SMBv1. Не на сборке с каких-нибудь торрентов сидите, часом? Потому как на MSDN-образах такого быть не должно.
drkk
13.05.2017 14:06Выше писал:
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
Если у вас в указанных местах нет упоминаний о SMB1 — возможно кто-то до вас его уже отключил\вырезал из дистрибутива.read2only
13.05.2017 15:53Win7 x64, установлена с оригинального диска, указанного пункта или упоминания о SMB1.0 в «компонентах» нет. Доступ к машине только у меня (до сего момента настройками данного протокола не интересовался, изменений не вносил).
kolobok97
13.05.2017 14:05-1https://yadi.sk/d/g9QIbcwj3J6yo4
Ссыль на ЯД на скачивание ручной установки KB4012212 для win7x64
Сервера майков еле грузятся
kengur8
13.05.2017 14:06Пишут что в червяке был kill switch который сейчас активировали — т.е. распространение имено этой версии прекратилось
https://twitter.com/GossiTheDog/status/863160534308454400/
OksikOneC
13.05.2017 14:45+2Отдельное спасибо за упоминания про патч, для старых систем. Выручили сильно!
Ten
13.05.2017 14:49Вы нашли случайно для windowsserver2003-kb4012598-x64-custom-rus?..
Dystopian
13.05.2017 15:07+1вот тут все есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Ten
13.05.2017 15:14Спасибо, оно всё не открывалось и не открывалось…
LESHIY_ODESSA
13.05.2017 15:17Еще раз, ниже под этим постом прямая ссылка на файл, который качается мгновенно.
kprohorow
13.05.2017 15:36+1Для x64-rus сложно что то найти. Я в свое время не нашел обновления RDP до 7й версии.
LESHIY_ODESSA
13.05.2017 14:59+2Скопипастил официальные прямые ссылки на различные системы. Может сразу добавить в шапку, а то тут уже дают левые ссылки.
MS17-010Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
Alexey2005
13.05.2017 16:24А если Windows 8, а не 8.1? Полностью апгрейдить систему?
ksenobayt
13.05.2017 16:28+1Если верить официальному майковскому fact sheet, 8.1 не является стэндалон-выпуском, а, скорее, последним потомком сервис-паков. Таким образом, надо бы грейдиться. До упора.
LESHIY_ODESSA
13.05.2017 16:56+1Попробуйте — спец патч для Windows XP, Windows Vista, Windows 8 и Windows Server 2003
Windows 8 x86
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
skullodrom
14.05.2017 16:13Он непременим к Windows 8
LESHIY_ODESSA
14.05.2017 16:22Меня тоже смущает RT в названии — windows8-rt, но всё вопросы к Microsoft.
Возможно получится так:
https://download.microsoft.com/download/D/7/1/D7162EEF-0F67-4AB1-90B9-CF47BCAC568E/Windows8-RT-KB4012598-x64-custom.msu
https://download.microsoft.com/download/1/D/3/1D38C957-CE2B-45A8-B2B5-A548AFC80E1D/Windows8-RT-KB4012598-x86-custom.msu
mayorovp
13.05.2017 15:18В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
Если подменить адрес отправителя — то и ответ уйдет по подмененному адресу. Какой смысл в сканере, который не получает ответа?
ymitin
13.05.2017 15:29Правильно ли я понимаю, что если через cmd ввел dism /online /norestart /disable-feature /featurename:SMB1Protocol и мне написало: Операция завершена успешно — можно расслабиться и спокойно накатывать нужные обновления?
Что именно отключает эта комманда в строке и как это повлияет на повседневную работу на ПК? Можно ли ее оставить выключенной?kvaps
13.05.2017 15:40Правильно, эта команда отключает поддержку старого протокола для удаленного доступа к файлам (SAMBA).
Можно оставить выключенной.read2only
13.05.2017 15:57Прошу прощения, не укажите также команду включения данного протокола (Win7 x64). Не корысти ради, так, на всякий случай. :)
drkk
13.05.2017 19:59Команды не подскажу, как отключить повторю 3-й раз:
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system
Включение
How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.read2only
13.05.2017 21:52+12-й раз пишу — во-первых, как отключить известно, во-вторых, данного пункта (касательно SMB1.0) в «компонентах» системы нет.
Vnr
14.05.2017 01:06+1https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
drkk
13.05.2017 18:24+1Да, можно не включать, если не нужен сетевой доступ к вашему PC (папки\принтеры) с компьютеров с XP\2003\Возможно- старые версии Андроид.
read2only
13.05.2017 18:40В том то и дело, такая надобность не исключается (имеется ноут под XP).
drkk
13.05.2017 19:18-1Отключал на Server 2012 R2. Доступ к сетевым папкам с 2003\XP пропал.
Так что обновляйте и включайте SMB1 обратно.read2only
13.05.2017 21:56Что обновлять, ноут? Нет, спасибо, именно он мне нужен с XP. Так что интересует возможность такого же быстрого включения протокола.
P.S. Голосовать права не имею, минусы вам не лепил.drkk
13.05.2017 22:59Не очень вас понял.
Обновить нужно (если обновления не ставились автоматически) то, куда ноут с ХР должен ходить по сети, и сам ноут с ХР, благо обновление для ХР выпустили.
Неясно, зачем после обновления выключать SMB1?
По поводу минусов — не переживайтеVadimGrad
17.05.2017 17:08благо обновление для ХР выпустили.
Обновление для Windows XP даёт доступ к расшаренным папкам и сетевым принтерам на XP со стороны Windows 7?drkk
18.05.2017 09:36Дает?
Если доступ был, он останется и после обновления.VadimGrad
18.05.2017 16:47Если доступ был, он останется и после обновления.
Поставил на Windows 7 SP1 64 патч 17-010 и отключил SMBv.1 и SMBv.2 вышеприведёнными командами.
Теперь машинки с Windows 7 SP1 64 перестали видеть сетевые шары и сетевые принтеры у соседей с установленной Windows XP SP2. :( IPv.6 отключен.
Установка SP3 и патча 17-010 для Windows XP восстановит доступ? Или нужны более другие танцы с бубнами?sumanai
18.05.2017 17:04+1отключил SMBv.1 и SMBv.2 вышеприведёнными командами.
Зачем, если вы его используете?
Установка SP3 и патча 17-010 для Windows XP восстановит доступ?
Доступ восстановит включение SMB на Windows 7, заплатки на XP тут нужны только для избежания заражения, но они не обязательны для доступа.
Pcholl
13.05.2017 15:31-1Поставил упомянутые обновления на Win 7 x64 пиратку, после перезапуска синий экран на доли секунды, затем перезапуск и так до бесконечности. Восстановился, в затем в журналах событий вижу ошибки BTHUSB.sys, агента обновления и другие. Плюнул на это дело, нет времени разбираться, если что, важные данные бэкапятся каждый день.
electronik777
13.05.2017 16:05Не понимаю, зачем на адаптере с белым ip держать «Клиента для сетей МС» и «Общий доступ к файлам и принтерам», к шаре через через интернет подключаются? Отключить клиента и службу на адаптере и smb недоступен из вне.
Meklon
13.05.2017 16:08СМИ уже вовсю пишут о таргет-атаке хакеров на Россию и то, как мы отразили атаки на сервера благодаря Эльбрусу.
Как заявила официальный представитель МВД Ирина Волк, атака производилась на компьютеры, которые находятся под управлением операционной системы Windows. Ее зафиксировал департамент информационных технологий, связи и защиты информации МВД.
По словам Волк, серверные ресурсы не подвергались заражению «благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».Подробнее на РБК:
http://www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=mainDecker
13.05.2017 16:31+2В новостях вообще много что пишут, только сейчас смотрел какой-то YouTube ролик, RIP с ТВ, где «многоуважаемый эксперт» (специально найденный редакцией телеканала) рассказывал что-то вроде: да, этот вид угроз, трояны-шифровальщики достаточно не нов и работает по хорошо отлаженной и давно известной схеме и в качестве рекомендаций что-то вроде: «Здесь человеческий фактор играет существенную роль. Здесь важно не открывать какие-то ссылки и письма, которые пришли неизвестно от кого». Это-то и так понятно, а вот рассказать о пути проникновения, о незакрытой уязвимости и т.п. — про это ни слова.
p.s. Я к тому что разные СМИ будут спекулировать на этой теме еще ой как долго… и ракурсы в которых все это можно преподнести достаточно разнообразны. Вплоть до «вторжения инопланетян» ;)OksikOneC
13.05.2017 16:46«Здесь человеческий фактор играет существенную роль. Здесь важно не открывать какие-то ссылки и письма, которые пришли неизвестно от кого»
Для таких моментов, всегда должна быть заготовленна старая дедовская классика, которая «сейчас все объяснит». Пруф на mp3
lubezniy
14.05.2017 20:09По факту большинство шифровальщиков и приходит по электронной почте с сообщениями, призывающими запустить вложение. Здесь, конечно, механизм иной. Полагаю, при его реально широком распространении он, скорее всего, сам себя загубит: начнётся двойное или даже многократное шифрование файлов разными программами, каждая из них будет требовать своих денег, расшифровка может усложниться до невозможности, и люди перестанут платить.
badfiles
14.05.2017 21:58+1С чего бы? Он меняет расширение и уже зашифрованные файлы повторно не зашифрует.
lubezniy
14.05.2017 22:07-1Разные шифровальщики (разных «производителей» или работающие в разное время) могут менять расширения на разные. А выбирать расширения файлов под шифрование не обязательно. И с ростом количества желающих заработать денег таким вот способом, думаю, возникнут коллизии.
Dee3
13.05.2017 17:11Подождите, разве подобные уязвимости не появляются чуть ли не каждый месяц?
То есть проблема не столько в самой уязвимости, сколько в том, что кто-то все таки решился использовать его в модели распространения «червь»ksenobayt
13.05.2017 17:14+3Проблема в том, что это был NSA'шный нуллдей, который запатчили меньше двух месяцев назад. Для ХР и старых серверов патчей не было в принципе до вчерашнего дня, а остальные машины, судя по характеру жертв, были или в корпсекторе (где апдейты выкатываются значительно, значительно позже, чем они появляются на WU), или же у домашних юзеров с отпиленным по тем или иным причинам автообновлении.
Проблема также и в специфике самой уязвимости: дыра в сетевом сервисе, что позволяет при наличии проброса порта на Самбу или прямом айпишнике вынести машину извне, без каких-либо действий со стороны юзера.
Именно сочетание техники распространения малвари (фишинг + червь), а также характер самой уязвимости, и дали в конечном итоге такой кумулятивный эффект.iroln
13.05.2017 21:09или же у домашних юзеров с отпиленным по тем или иным причинам автообновлении.
У меня лицензионная win 7 не получила это обновление (ни один из пакетов, упоминаемых тут), автообновления всегда были включены. Вчера поставил KB4012212 вручную. Патч встал со второго раза, в первый раз повесив систему. https://geektimes.ru/post/289115/#comment_10060121
ksenobayt
14.05.2017 11:53Вчера врубил автоапдейты матушке на ноуте, она их отключала вручную.
Апдейты приехали со свистом, несмотря на палёную винду с активатором типа «эмулятор SLIC» с руборда каких-то бородатых годов. Ничего не повесилось, ничего не умерло, накатилось весело и бодро. ЧЯДНТ?MTyrz
14.05.2017 15:32+1Все так сделали. У вас ошибка выжившего, у вашего оппонента ошибка не выжившего. Статистически встречаются оба варианта. Ваш кэп :)
chart41
13.05.2017 17:27привет, что если в windows 7 pro при вводе команды «dism /online /norestart /disable-feature /featurename:SMB1Protocol»
Выдаёт ошибку 0x800f080c
Имя компонента «Smb1Protolol» неизвестно.
Имя компонента Windows не распознано.
Значит всё в порядке?
Taciturn
13.05.2017 18:22К совету про «dism /online /norestart /disable-feature /featurename:SMB1Protocol» стоило бы дописать что это работает начиная с Windows 8.1.
Для 7 официальный способ:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Linsh
13.05.2017 18:26-1«Специалист по безопасности, который ведет твиттер @MalwareTechBlog»… Вот ему надо памятник ставить, а остальным не пострадавшим вследствии его действий — выделять этому товарищу грант… Очень уж красиво закрыл ботнет — прямо как в кино.
dom1n1k
13.05.2017 18:44Видел уже несколько сообщений, что установка официального патча рушит систему в бсод, причем иногда даже включая безопасный режим. Насколько массовая эта проблема?
DaHacka
13.05.2017 18:54Коллега по работе сегодня почитал новости, решил обновиться и убил себе win7, после этого смог только в консоль загрузиться, так что как минимум есть такое, насколько массово — не знаю
Ser_Slon
13.05.2017 21:40Win7, x64, SP1, нелицензионка. После установки вручную патча 4012212 и перезагрузки система уходит в постоянный ребут — система грузится до логотипа ивсё — перезагрузка. Удалось восстановить с помощью восстановления системы. В журнале отчёта Центра обновлений — у патча 4012212 стоит состояние «отказ» с кодом ошибки «80242016». Повторно ставить патч не рискнул.
vladiman
13.05.2017 19:19Кто может подсказать, стояла нелицензионная 7-ка, запустили автоматическое обновление и после обновления и перезапуска система перестала грузится.
Что делать, переустанавливать винду?jok40
13.05.2017 19:48Если включена защита системы, то можно попробовать откатиться на точку сохранения.
MTyrz
13.05.2017 19:53Для начала, если загрузка прерывается на этапе, когда должна появиться надпись «Welcome», или «Добро пожаловать» — но этой надписи нет, просто полностью выключите машину и включите ее снова.
Должно помочь.
I_Rusakov
13.05.2017 21:41Было такое, после обнов слетал загрузчик, в домене около 500 машин, слетало только на асерах, загрузка через восстановление системы и восстановление загрузчика всегда помогала.
mr_gopher
14.05.2017 02:28+7Я тоже вчера так «залатался», и неожиданно для себя получил защиту от эксплойта в виде циклического bsod при загрузке даже в safe mode.
Как я исправил, — загрузился в recovery tools, и там в cmd через dism нашел пакет обновления 4012212 и удалил его. После этого система загрузилась нормально.
Но… Проблема уязвимости то осталась. Есть причина по которой система валится от многих обновлений на определенных нелинцензионных сборках. Обьяснение от пользователя simplix:
проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться. Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.
Также он выложил фикс winkernel для решения проблемы с обновлением ядра. После него у меня KB4012212 встал без проблем.Massacre
14.05.2017 10:52-1Поэтому, если пиратить — то энтерпрайз. KMS по любому лучше, чем подмена системных файлов.
ra3vdx
15.05.2017 01:30Та же проблема. Как хотя бы вручную отключить SMB?
И дайте ссылку с фиксом. Прекрасно, что у Вас всё получилось, но хотелось бы тоже обезопаситься.dartraiden
15.05.2017 02:05+1После фикса вы всё так же будете иметь уязвимое ядро. Не к этой конкретной SMB-уязвимости уязвимое, но MS регулярно патчит ядро, закрывая в нём дыры.
mr_gopher
15.05.2017 18:32+1этот патч легко гуглится на первых строках выдачи. Но если желаете, то я брал тут:
https://forum.simplix.ks.ua/viewtopic.php?id=536
В описании сказано что он следит за актуальностью подменного ядра. Поэтому остальные уязвимости также должны быть закрыты.
dartraiden
15.05.2017 02:04+2Господи, да зачем же использовать активатор, который подменяет ядро на уязвимое, да ещё и подпирать его костылями, чтобы он продолжал работать?
Много лет уже существуют более «чистые» способы, которые не требуют вмешательства в системные файлы.mr_gopher
15.05.2017 20:24Да незачем, кто знал то? :) На тот момент это было простое и быстрое решение чтобы оперативно закрыть дыру и не знакомится с новыми граблями по выпиливанию активатора. Правильнее конечно переделать эту кухню на каноническую.
Nikolaich
15.05.2017 16:52Нижеприведённый код сохранить в текстовом виде с расширением .cmd и запустить от имени администратора. Будет восстановлено оригинальное ядро, система перезагрузится. Скорее всего, слетит пиратская активация, можно использовать альтернативный активатор, не затрагивающий ядро, например, лоадер.
DEL "%windir%\system32\drivers\oem-drv64.sys"
DEL "%windir%\system32\xNtKrnl.exe"
DEL "%windir%\system32\xOsLoad.exe"
DEL "%windir%\System32\ru-RU\xOsLoad.exe.mui"
DEL "%windir%\System32\en-US\xOsLoad.exe.mui"
%windir%\System32\BCDEDIT.exe /set {current} path \Windows\system32\winload.exe
%windir%\System32\BCDEDIT.exe /deletevalue {current} kernel
%windir%\System32\BCDEDIT.exe /deletevalue {current} nointegritychecks
%windir%\System32\BCDEDIT.exe /deletevalue {current} custom:26000027
REG DELETE HKLM\SYSTEM\CurrentControlSet\services\oem-drv64 /va /f
shutdown -r -t 0
wych-elm
13.05.2017 21:41Win 7 x64 SP1 не лицензия.
В «Компонентах Windows» нет ничего похожего на «SMB1.0/CIFS File Sharing Support».
ПробовалSet-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
перезагружался,
также устанавливал правила для портов 135 и 445 на штатный firewall с помощью
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135".
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Все равно можно подключится к этим портам.
Обновления ставить не рискуют, так как писали что после него система может падать в BSOD.
Hadmi
13.05.2017 21:41+1А уже была информация об успешности или безуспешности расшифровки после оплаты? Уже за 22к$ платежи перевалили, это больше 70 выкупов, и никакой информации в рунете.
JavierBardem
13.05.2017 21:42+1Не могу поставить обновление на Windows 7 64. При попытке установки произошла ошибка, еле-еле загрузился после этого. Отличный патч! Подскажите, что теперь делать?
Razaz
13.05.2017 22:22https://social.technet.microsoft.com/Forums/windows/en-US/47e5b345-8a45-4889-bc86-75a199fb28e9/update-for-windows-7-32bit-kb2952664-failed. Удалить апдэйт и переставить.
JavierBardem
13.05.2017 22:27много людей пишут про бсод при установке это патча, я как-то очкую теперь
пока отключил 445 порт, может этого хватит?
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=«Block_TCP-445»Razaz
13.05.2017 22:34А SMB Отключить? И обновить дефендер.
JavierBardem
13.05.2017 22:39создал точку восстановления, сейчас попробую через центр обновлений винды обновиться
не знаю как отключить SMB
wych-elm
14.05.2017 13:21+1Встроенный в Win7 firewall не очень хочет блокировать такие порты, я проверял, подсоединяется с этим правилом без проблем. Лучше
спилитие мушкуотключите сервер SMB.JavierBardem
14.05.2017 22:49-1Я много страдал в эти выходные, но сейчас вроде норм. Решил, что обновления не накатываются из-за кривого кряка винды и решил его помнять. Нагуглил такой совет для удаления старого архиватора:
slmgr.vbs /upk
прописал, но, когда попытался крякнуть других активатором, он начал ругаться, что чего не может открыть. После поисков стало ясно, что простой команды в cmd недостаточно для удаления старого активатора. Надо найти odin 1.3.7, запустить и удалить через него. Найти его оказалось не так просто, но хуже всего, что при попытке его запустить, винда останавливала работу этой программы. Чудом нашел список команд, которые позволяют это сделать вручную, после чего удалось крякнуть винду и, наконец, установить обновления.
kolinzu
13.05.2017 21:42не совсем понятен этот момент про коды 4012212 или 4012215.
У меня windows server 2008 r2 x64, выполняю команду wmic qfe list | findstr 4012212 и затем 4012215,
но у меня не находит эти коды.
Я скачиваю обновление безопасности для windows server 2008 r2 x64 файл windows6.1-kb3212646-x64....msu. Но у меня в сервере это обновление kb3212646 уже было установлено в январе, и установщик пишет что данное обновление на моей системе уже есть. что мне дальше делать?I_Rusakov
13.05.2017 21:49Если есть желание, можешь посмотреть в установленных обновах по номеру, но если пишет, что есть, то есть.
Deom
13.05.2017 21:42После установки патча винда упала (Win7). Пришлось делать откат.
В Windows 7 smb1 отключается этими командами:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabledVaskrol
14.05.2017 02:28У меня тоже 7x64 упала после апдейта :( И любой исправляющий это апдейт её роняет. Видимо, придётся накатывать систему заново.
Extar93
13.05.2017 21:42Виндус не перестает удивлять.
P.S. Обновление почему-то не устанавливалось, поэтому просто отключил Самбу.
Antibug
13.05.2017 21:57+1Вероятно обновление уже было установлено. Я получил такое же сообщение, а потом оказалось, что обновление приехало автоматом несколько дней назад.
ndorofei
14.05.2017 17:40У меня на 2008 R2 тоже выдавало «Обновление неприменимо к вашему компьютеру». Потом включил автоматические обновления и после нескольких обновлений с перезагрузкой стало возможно установить это обновление (на нем больше года назад было отключено автоматическое обновление).
Видимо, для его установки нужны предыдущие обновления
Rast1234
13.05.2017 22:25Жаль, что все так сложно с проверкой на уязвимость. Вроде бы достаточно проверить, установлено ли определенное обновление, но…
- нет нормального 100% работающего способа грепнуть полный список, судя по тому что пишут выше в комментах
- само обновление могло входить в кумулятивное (или как это правильно называется?), и не понятно что искать
- или обновление не нужно потому что сборка винды слишком новая, например 1703, если я правильно понял
- или уязвимый компонент отключен (или как-нибудь выпилен)
Скачал вручную гигабайтный апдейт от Microsoft по ссылке из статьи, а он мне — this update is not applicable. И то ли апдейт уже установлен, то ли нет и надо искать другие пути решения, то ли не надо потому что smb1 отключен. По советам одной из статей проверил циферки в winver, но это как-то не успокаивает, потому что не очевидна взаимосвязь циферок и наличия патча.
Кто-нибудь знает простой надежный алгоритм чтобы определить, можно спать спокойно или нет? Открытость порта 445 на машине — не показатель, потому что служба, которая его слушает, может быть сейчас отключена, а завтра что-нибудь в винде захочет ее включить, и приехали.Razaz
13.05.2017 22:34Если Win Defender используете — то в базы уже добавили Ransom:Win32/WannaCrypt.
Вы правильно версию ОС выбрали?
Наслаждайтесь :)Rast1234
13.05.2017 22:51спасибо за ссылку. но все равно не понятно, какой номер искать. :)
версию выбрал правильно, смотрел в winver перед тем как качать.
а еще, насколько я понимаю, defender сродни антивирусам, т.е. найдет малварь только если она просочилась и запустилась, разве нет?
интересует-то именно гарантия того, что уязвимость в сервисе закрыта. если б это был linux, можно бы было проверить версии пакетов и библиотек которыми пользуется конкретный демон. а тут остается только ориентироваться на статьи, в которых пишут советы и списки версий, и на KB от Microsoft (кстати в какой-то статье видел что-то вроде «в KB неправильная информация, вот правльиная..»)Razaz
13.05.2017 23:24-1Думаю дефендер сразу спалит и в карантин запихает.
Какая версия винды?Rast1234
14.05.2017 00:00Windows 10 version 1607 build 14393.1198
Razaz
14.05.2017 00:11У вас оно стоит уже.
https://support.microsoft.com/ru-ru/help/4019472/windows-10-update-kb4019472 — 14393.1198
KB4013429 —
This update has been replaced by the following updates:
2017-05 Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4019472)
dmih
13.05.2017 23:41+4Я у себя в сети без затей делаю так
dir \\localhost\c$\WINDOWS\system32\drivers\srv.sys
дата должна быть 11.02.2017 или новее, значит стоит обновление.
Если нет, то нет.
Совет универсален для всех версий Windows.drkk
14.05.2017 12:12Спасибо.
Сделал так для быстрого доступа\проверки:
Создаем ярлык\Shortcut для \\localhost\c$\WINDOWS\system32\drivers\srv.sys
в общедоступной сетевую папке.
Затем на любом компьютере сети: открываем эту папку — правый клик на ярлыке — «Открыть расположение файла»
Смотрим версию (дату)drkk
14.05.2017 12:20Вместо
\\localhost\c$\WINDOWS\system32\drivers\srv.sys
можно использовать
%windir%\system32\drivers\srv.sys
Будет работать даже если на конкретном PC какие-то проблемы с сетевым доступом.dmih
14.05.2017 15:35%windir% безусловно точнее.
Но у меня периодически встречаются для общей совместимости средства удаленного управления на основе 32 бит, соответственно 32 битные консоли/cmd получаются и так далее.
И в этом случае \\localhost при любых обстоятельствах попадет в нужную папку при любом сочетании битности вызова и системы, а %windir% из 32 битного RPC на 64 битной системе пройдет мимо файла.sumanai
14.05.2017 17:31Разве каталог drivers не находится в списке исключений перенаправления WOW64?
dmih
14.05.2017 17:35На разных системах по разному. Я писал команду, которая работает от XP до 10ки любой битости без исключений.
На 10-ке например действительно drivers похоже общий.
А на 2008 R2 это вот так выглядит
C:\Windows\System32\drivers>dir C:\Windows\System32\drivers\
Volume in drive C has no label.
Volume Serial Number is 64EC-60CA
Directory of C:\Windows\System32\drivers
23.06.2011 19:50 .
23.06.2011 19:50 …
14.07.2009 08:41 en-US
23.06.2011 19:51 58 368 FILEM70.SYS
11.06.2009 00:14 3 440 660 gm.dls
11.06.2009 00:14 646 gmreadme.txt
14.07.2009 02:14 115 712 mrxdav.sys
14.07.2009 08:41 UMDF
14.07.2009 04:19 19 008 wimmount.sys
5 File(s) 3 634 394 bytes
4 Dir(s) 383 884 656 640 bytes freesumanai
14.05.2017 17:51Я писал команду, которая работает от XP до 10ки любой битости без исключений.
Если закрыть административные шары, то не пашет:
Сетевая папка недоступна. За информацией о разрешении проблем в сети обратитесь
к справочной системе Windows.
На 10-ке например действительно drivers похоже общий.
А на 2008 R2 это вот так выглядит
Видимо я перепутал с \drivers\etc, так как помню, что этот механизм древний.dmih
14.05.2017 17:58да, etc с целью hosts везде общий, это я давно заметил
Но по крайней мере в дефолте это обычно работает.
К сожалению я не знаю хорошего способа долезть до 64 битных папок из 32 битной программы. У меня много где прописано \\localhost\...\system32 и так далее. Наверняка есть какой-то более цивилизованный способ, чем ходить через редиректор, но мне ничего в голову лучше никогда не приходило.
К сожалению если софт управления сетью x86 из очевидных соображений совместимости, приходится всем этим заниматься. Многих утилит в x86 папках вообще нету.Taciturn
14.05.2017 18:33Начиная с Vista/2008 — %windir%\Sysnative.
mayorovp
17.05.2017 09:04Что-то не вижу я никакого %windir%\Sysnative на своей 8.1...
Taciturn
17.05.2017 09:10Да, его не существует в виде каталога. Но если из из %windir%\SysWOW64\cmd.exe сделать
dir %windir%\Sysnativeто увидете содержимое %windir%\System32. А вотdir %windir%\System32покажет %windir%\SysWOW64.
CaptainFlint
17.05.2017 00:26Vista и выше — SysNative. Ниже — можно установить отдельно скачиваемый пакет, который добавит эту виртуальную папку.
Альтернативный путь: вручную создать символическую ссылку или Junction на System32 (обозвав, скажем, System64), и на неё перенаправление действовать не будет.sumanai
17.05.2017 05:21можно установить отдельно скачиваемый пакет
Блин, вот как находить эти непубличные обновления? Есть где полный список?CaptainFlint
17.05.2017 12:46Просто это не обновление безопасности и не исправление ошибок, поэтому через канал обновлений оно не приходит. Таких фиксов много, и предполагается, что их не надо ставить всем подряд, а только тем, у кого возникает конкретная проблема (ибо кому-то этот фикс поможет, а кому-то сделает хуже). Конкретно Sysnative, конечно, вряд ли может что-то испортить, но это общий подход ко всем подобным обновлениям.
P.S. Между прочим, мне самому больше нравится вариант со ссылкой, потому что Sysnative виден только 32-битным приложениям, а ссылка — всем. То есть во втором случае я могу написать универсальный путь и не беспокоиться о том, из какого приложения его использую. Примерно как тот трюк с localhost'ом, но выглядит красивее. Хотя, в отличие от него, требует предварительных ручных действий.sumanai
17.05.2017 15:38Таких фиксов много, и предполагается, что их не надо ставить всем подряд, а только тем, у кого возникает конкретная проблема
Я знаю. Но мало ли, вдруг есть исправление, фиксящее какую-нибудь ошибку, на которую я давно забил, но как его найти? Вот был бы список всех этих обнов, можно было бы по нему пройтись.
Taciturn
18.05.2017 10:16+1Иногда Windows бывает не на диске C. А иногда и не в каталоге Windows.
CaptainFlint
18.05.2017 13:13Сорри, не улавливаю, как это относится к моему комментарию.
Taciturn
18.05.2017 13:38+1Вы же сами писали «То есть во втором случае я могу написать универсальный путь и не беспокоиться о том, из какого приложения его использую.» — но т.к. Windows может находится не только в \\localhost\c$\WINDOWS, то путь получается совсем не универсальный.
CaptainFlint
18.05.2017 14:59Я говорил про ссылочный, его можно записать как %windir%\System64. А localhost можно и подправить для конкретной машины при необходимости, и он останется валидным одновременно для 32- и 64-битных приложений — я говорил лишь про эту универсальность.
drkk
14.05.2017 13:19А можно и командным файлом:
@wmic datafile where Name=«C:\\Windows\\system32\\drivers\\srv.sys» get Version,LastModified
pause
Вывод команды будет прибл.таким:
Без обновлений:
LastModified Version
20141029040525.331129+180 6.3.9600.17415
С обновлениями:
LastModified Version
20170402194110.836365+180 6.3.9600.18655
Kesantielu
14.05.2017 17:37+1Для еще большей универсальности
dir %windir%\system32\drivers\srv.sysdmih
14.05.2017 17:43+1У товарищей с FAR-ом и прочими подобными достаточно типично оказаться в 32-битной консоли, и иногда это может не сработать. Отсюда небольшое развитие идеи совета по ссылкам немного выше, правда, в захардкоженом c:\windows тоже, конечно, ничего хорошего.
smkuzmin
17.05.2017 13:33@echo off set PATH=%SYSTEMROOT%\SYSTEM32;%SYSTEMROOT%;%SYSTEMROOT%\SYSTEM32\WBEM; for /F "tokens=1" %%i in ('dir 2^>nul \\localhost\C$\WINDOWS\system32\drivers\srv.sys^|findstr.exe 2^>nul srv.sys') do ^ for /F "tokens=1-3 delims=." %%j in ("%%i") do ( if "%%l.%%k.%%j" lss "2017.02.11" ( echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010! exit 1 ) echo Checking the date srv.sys: %%i - OK exit 0 )mayorovp
17.05.2017 14:22+1dir | findstr— это вы так информацию о файле запросили?
Вот так же проще:
@echo off for %%x in (\\localhost\C$\WINDOWS\system32\drivers\srv.sys) do ^ for /F "tokens=1" %%i in ("%%~tx") do ^ for /F "tokens=1-3 delims=." %%j in ("%%i") do ( if "%%l.%%k.%%j" lss "2017.02.11" ( echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010! exit 1 ) echo Checking the date srv.sys: %%i - OK exit 0 )mayorovp
17.05.2017 14:28+1Вот еще вариант без сетевой папки:
@echo off set DIR=%windir%\system32\drivers;%windir%\sysnative\drivers for %%x in (srv.sys) do ^ for /F "tokens=1" %%i in ("%%~t$DIR:x") do ^ for /F "tokens=1-3 delims=." %%j in ("%%i") do ( if "%%l.%%k.%%j" lss "2017.02.11" ( echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010! exit /b 1 ) echo Checking the date srv.sys: %%i - OK exit /b 0 )
Bronx
17.05.2017 23:42Что только люди не сделают, лишь бы не пользоваться PowerShell:
$(Get-Item $env:SystemRoot\System32\drivers\srv.sys).LastWriteTime -lt $(Get-Date "2017-02-11")
skullodrom
14.05.2017 00:23У меня 8.1 64 битная, Windows Update здох пол года назад и не лечится, при включении сервиса отжирает на 100% процессорное ядро и так навсегда, естественно патч у меня не ставится, есть ли какие ни будь варианты установить этот патч без этого гребанного Виндоус Апдейта?
Razaz
14.05.2017 00:40Выше в коментах ссылка на КБ с фиксом.
skullodrom
14.05.2017 10:30У них расширение msu, они без работающего Windows Update не устанавливаются
enotz
14.05.2017 17:37attrib -h -r -s %windir%\system32\catroot2
attrib -h -r -s %windir%\system32\catroot2\*.*
net stop wuauserv
net stop CryptSvc
net stop BITS
ren %windir%\system32\catroot2 catroot2.old
ren %windir%\SoftwareDistribution SoftwareDistribution.old
ren "%ALLUSERSPROFILE%\application data\Microsoft\Network\downloader" downloader.old
net start BITS
net start CryptSvc
net start wuauserv
jok40
16.05.2017 08:29Вы уже попробоавли установить и увидели, что не устанавливается, или же просто предполагаете, что «msu без работающего Windows Update не устанавливаются»?
fuzzi
16.05.2017 13:26у меня, на 8-ми w2k8r2, с остановленным Windows Update, не ставились.
после запуска WU — msu установился.jok40
16.05.2017 13:52-1Ну это понятно, что служба должна быть запущена. Она может при этом страшно глючить при попытке найти обновления через интернет — грузить процессор и жрать память. Но при всём при этом её «глючность» никак не мешает ручному запуску msu-обновления, которое лечит её «глючность».
drkk
14.05.2017 17:18Апдейты можно устанавливать и через DISM.
Либо прямо из .msu,
DISM.exe /Online /Add-Package /PackagePath:c:\kb976571\Windows6.1-KB976571-v2-x64.msu
Либо распаковать .msu, найти в нем .cab и
DISM.exe /Online /Add-Package /PackagePath:c:\temp\976571\Windows6.1-KB976571-v2-x64.cab
https://blogs.technet.microsoft.com/askcore/2011/02/15/how-to-use-dism-to-install-a-hotfix-from-within-windows/skullodrom
14.05.2017 18:15c:\temp\Новая папка>DISM.exe /Online /Add-Package /PackagePath:c:\Dropbox\install\WannaCry\windows8.1-kb4012213-x64.msu
Cистема DISM
Версия: 6.3.9600.17031
Версия образа: 6.3.9600.17031
Обрабатывается 1 из 1 — Произошла ошибка — «c:\Dropbox\install\WannaCry\windows8.1-kb4012213-x64.msu» Ошибка: 0x80070032
Ошибка: 50
Такой запрос не поддерживается.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.logdrkk
14.05.2017 18:52Попробуйте не Новая папка, а короткое имя латинскими буквами.
Или извлеките .cab из апдейта устанавливайте его.
В статье по ссылке все описано.
Извлечь cab можно и командой
filename.msu /extractskullodrom
14.05.2017 18:59тоже самое
drkk
14.05.2017 21:12+1Неоднократно пользовался установкой обновлений через DISM+CAB.
Конкретно эти обновления так правда, не устанавливал.
Почему оно не срабатывает у вас — не знаю.
rionnagel
18.05.2017 13:01Как тоже самое? dism /online не умеет *.msu архивы и это нормально. Распаковываете хоть винраром msu и там могут быть несколько .cab, убедитесь, что пробуете dism'ом верный cab. С cab dism работает замечательно. Если такая же ошибка — то либо вы пробуете не cab, либо что-то неверно ввели, иначе был бы return.
Эти же обновления пробовал — и через wusa, и через dism, и через powershell модуль pswindowspupdate… вроде всё ок было, за редкими исключениями.
vvpoloskin
14.05.2017 02:13-1Интересно, какую конечную цель преследуют ребята, запустившие все это. Ведь понятно, что затраты на такой массовый запуск себя не окупят на простых платежах за дешифровку, крупные конторы восстановят все из бекапов (им бабки точно платить не будут). Что стоит за всем этим шумом?
hooyec
14.05.2017 17:38-1А это мы узнаем позже. Возможно будут проталкивать какие-то законы, быть может даже международные.
Ну или ребята реально отморозки какие-то без мозгов, школьники например. Всё же думаю, что это спланированная акция с какими-то конкретными целями.
OSYStec
14.05.2017 02:28А что делать владельцам десятки? Стояла версия Windows 10 Version 1511, поиск обновления по коду на компьютере ничего не дал(да и не мог дать — последнее обновление было в январе 2017, с тех пор обновления были принудительно отключены). Скачал обновление по прямой ссылке, однако обновиться не удалось — выводил ошибку. Со страху включил обновления, все обновилось аж до Windows 10 Version 1607, однако соответствующего обновления все равно не находит. В журнале обновлений есть информация лишь об обновлении до версии 1607, о других обновлениях ничего нет. Значит ли это, что бояться уже нечего? Обнова установилась? Или все же отключить протокол, по которому происходит заражение?
LESHIY_ODESSA
14.05.2017 13:31Ставьте всё подряд.
Прямые ссылки на загрузкуWindows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msuxelavoklov
14.05.2017 02:29Подскажите пожалуйста мне двоечнику(не сарказм), только не минусите. Возможно я что-то не понял или вообще не понимаю. На самом первом фото с офисом, видно что точно заражено 3 компьютера(может и больше). Получается что у них в офисе у 3-их, рабочие компьютеры(не серверы) сидят на внешних ip? или он попадая на один с внешним начинает дальше уже сканировать локальную сеть?
sumanai
14.05.2017 02:38+2или он попадая на один с внешним начинает дальше уже сканировать локальную сеть?
Именно.
kelevra
14.05.2017 07:46+1шифрует только файлы на локальных дисках или доступные сетевые подключения тоже пытается?
jok40
14.05.2017 10:22Шифрует всё, до чего сможет дотянуться. Если через сеть доступны компы с открытым портом 445 и без установленного обновления — туда тоже установится и всё ценное зашифрует.
kelevra
14.05.2017 10:28а если, например, по сети доступны подключения с уже установленым патчем или на самбе, но доступные на запись? файлы, доступные на запись по сети тоже шифрует?
GoldenStar
14.05.2017 08:50Перешел по ссылкам на обновления в статье, а там ошибка сервера. Ни чего скачать не получается. Это как понимать? Microsoft уже то же хакнули?
read2only
14.05.2017 09:05Проверил, открывается. Возможно были временные проблемы из-за слишком большого количества желающих скачать «заплатку».
Decker
14.05.2017 15:38Ссылки на соответствующие патчи для всех ОС приводили выше в виде текстовика. Я просто сделал wget -i urls.txt и скачал их все «про запас» на съемный HDD. Абсолютно все приведенные ссылки рабочие.
Serge78rus
14.05.2017 11:04Кто-нибудь пробовал патч для 2003 SP2 сервера? Смущает поспешность, с которой MS его написал и выкатил.
Razaz
14.05.2017 11:09Патч был готов когда все остальные выкладывались. Просто его давали тем, кто бабки за спец суппорт платит. Но решили что с таким масштабом проще всем открыть.
stDistarik
14.05.2017 11:48Дык майкрософт, что, за денги продаёт обновления?
Razaz
14.05.2017 11:52Для XP и 2003 только за большие бабки. Они официально не поддерживаются вообще. Стандартная практика у многих вендоров ОС.
stDistarik
14.05.2017 11:59Даже представить такого не мог. Спасибо.
Razaz
14.05.2017 12:15+1Red Hat примерно так же делает. Если ваша версия out of support но вам дико прижало, то велкам ту
https://access.redhat.com/articles/rhel-eus
https://access.redhat.com/support/policy/updates/errata.
За бесплатно такое старье никто суппортить не будет :D
drkk
14.05.2017 13:02Какие деньги?
В шапке все есть. Для ленивых:
Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exeRazaz
14.05.2017 13:51Для тех, кто не умеет читать — MS сделала исключение и выпустила этот патч для всех, но те кто платил за суппорт получили его еще два месяца назад.
badfiles
14.05.2017 17:37Да они поддерживается до сих пор совершенно бесплатно. Просто места надо знать.
OksikOneC
14.05.2017 12:39Так вы поставили в итоге или нет? Я (если что) тоже жду «отзывов». На xp встал без проблем, как с локализацией, так и родной.
Serge78rus
14.05.2017 19:50Так и я жду «отзывов». Вот jok40 отписался, что все OK — завтра попробую, если начальство даст добро.
Mako_357
14.05.2017 12:42У меня на 3х серверах с 2003 R2 x86 без проблем накатилось, только перезагрузку требует.
Serge78rus
15.05.2017 12:55Отчитываюсь: установилось нормально. После установки потребовалась перезагрузка.
SabCoopers
14.05.2017 14:29Камрады! Если 445 порт закрыт, то можно расслабиться или патч надо в любом случае ставить?
dmih
14.05.2017 15:45Даже с закрытым 445 у вас остается навсегда вероятность атаки «поднятие привилегий», потому что на localhost 445 вы никакими очевидными средствами не закроете (а даже если закроете, то заодно половина Windows в неочевидных местах работать перестанет).
Так что тут патчится самый практичный вариант.Massacre
14.05.2017 22:38От 445 как раз можно избавиться, у меня выключено всё, что связано с локалкой MS (службы и на сетевом интерфейсе). Вот в случае 135 уже проблемы, ведь это RPC. Но и его можно заблокировать, сторонним файрволом.
dmih
14.05.2017 22:57В каком смысле избавиться? от localhost до localhost? Мне кажется даже если вообще никакие правила в firewall-е не разрешены, всё равно такое соединение в Windows работать будет.
Ну может ошибаюсь конечно, но так мне кажется.Massacre
15.05.2017 07:12Вообще избавиться, у меня на 445 ничего не слушает. Достаточно выключить службу «Server» + netbios в свойствах сетевых адаптеров.
avelor
14.05.2017 15:52мало ли, вдруг кому пригодится — выкачал заплатки и собрал их в один архив https://yadi.sk/d/BGagsF2q3J7soQ
stepanovio
14.05.2017 15:52+1-Сработает ли официал патч для старых систем на нелиценз вин xp?
-Когда началась атака? 12го? или он внедрялся еще раньше, а 12го было заложено только сообщение о вымагательстве?
Т.е. он предварительно шифрофал данные на захваченных машинах еще до 12го или нет?
Об этом ничего не нашел.sumanai
14.05.2017 17:37-Сработает ли официал патч для старых систем на нелиценз вин xp?
А они когда-то это проверяли? Всё прекрасно пашет.
Doomzzz
14.05.2017 15:53По поводу bsod
Все старое хорошо забытое старое, не помню после какого обновления переставали запускаться файлы, вина тому активатор от Odin.
Корсарский способ (все на свой страх и риск!!!):
— удаляем активатор odin
— устанавливаем активатор Windows 7 Loader eXtreme в режиме loader, пару перезагрузок
— проверяем что лицензия встала
— обновляемся.
Я ставлю сборку iDimm, в ней дырявый сервис отключен, вот кому надо сказать спасибо.
Urgumka
14.05.2017 15:53Есть информация о других способах распространения вируса кроме 445 порта?
Также интересно по какому алгоритму он сканирует сеть.
Есть ли сетевой сканер на уязвимость MS17-010?Zapped
15.05.2017 08:58+1Распространение идёт через уязвимость в SMBV1. Она висит (в том числе) на 445-ом порту. Сканнер есть в Metasploit Framework (ссылку могу пульнуть позже, как доеду до компа). Я пару своих серверов проверял им до установки фиксов и после них)
Zapped
15.05.2017 10:13+1Также интересно по какому алгоритму он сканирует сеть
Думаю, примерно так же как в описании сканнера-модуля Metasploit:
Uses information disclosure to determine if MS17-010 has been patched or not.
Specifically, it connects to the IPC$ tree and attempts a transaction on FID 0.
If the status returned is «STATUS_INSUFF_SERVER_RESOURCES», the machine does
not have the MS17-010 patch.
If the machine is missing the MS17-010 patch, the module will check for an
existing DoublePulsar (ring 0 shellcode/malware) infection.
This module does not require valid SMB credentials in default server
configurations. It can log on as the user "\" and connect to IPC$.
https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010
есть ещё, я так понимаю отдельный сканнер на Python (ссылка из ссылки выше)
https://github.com/countercept/doublepulsar-detection-script
maxwolf
17.05.2017 21:25Есть скрипт для nmap: https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse (nmap нужен поновее, положить этот скрипт ему в директорию scripts, и запускать как-то так: nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse X.X.X.X/X -oN scanlog )
SuperPups
14.05.2017 15:54+2По умолчанию в Windows включены и работают 6to4 адаптер и Teredo, брандмауэр windows их закрывает — но если установить другой брандмауэр тогда он отключит родной брандмауэр windows, а все порты через 6to4 адаптер и Teredo по протоколу IPv6 будут открыты.
student_it
14.05.2017 15:54При установке обновления заменяется файл Srv.sys. Он сидит в памяти даже если отключить службу «Сервер» (LanmanServer), поэтому на отключение этой службы как на способ обхода уязвимости я бы не полагался.
Чтобы это отключение точно сработало, нужно немного поковырять реестр.
1. В раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer добавить мультистроковый параметр DependOnService.
2. Прописать в него первой строкой значение «Srv» (без квычек).
3. В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv изменить значение параметра «Start» на 3.
После этой правки драйвер Srv.sys будет загружаться только при запуске службы «Сервер». Наличие галки напротив «Служба доступа к файлам и принтерам» в настройках сетевого адаптера на запуск службы «Сервер» никак не влияет.
NemchinovSergey
14.05.2017 15:55Поставил патч на свою Win7 x64 SP1, система попросила перезагрузиться. Отправил в перезагрузку и больше она не загрузилась, при загрузке выпадала в синий экран. Предполагаю что это из-за того что система совсем не обновлялась с момента установки.
Пришлось откатиться через восстановление системы. Так что будьте осторожны! Приготовьте диск для реанимации.VadimGrad
17.05.2017 09:09Поставил патч на свою Win7 x64 SP1, система попросила перезагрузиться. Отправил в перезагрузку и больше она не загрузилась, при загрузке выпадала в синий экран.
На лицензионной Windows 7 SP1 64 такой проблемы нет.
При использовании KMS-activation v3 (AIO) Windows, после установки нужного патча, бесконечно перезагружается.
RedCatX
14.05.2017 16:36-2Microsoft, обнаружив критические уязвимости в своих продуктах, не исправляет их, а отправляет информацию спецслужбам. А потом, информация от спецслужб утекает, и под ударом оказываются миллионы пользователей. Доколе?!
Alexey2005
14.05.2017 19:07+1Думаю, спецслужбы их сами обнаружили. Или даже вовсе купили у тех исследователей, которые нашли.
Но да, вместо того, чтоб вовремя сообщить о найденной уязвимости, её просто «зажали» на случай, если вдруг самим пригодится.
Итог вполне закономерен. Суммарный ущерб от вируса по всему миру вполне может превысить ущерб от общепланетарной террористической активности за весь прошлый год.
Спецслужбы могли бы реабилитироваться, отловив авторов данного вымогателя, но это сложно, это ж работать надо. Очевидно, что никто даже не попытается его найти, гораздо выгоднее вместо этого ещё больше финансирования АНБ выклянчить или какой-нибудь закон протолкнуть о расширении полномочий спецслужб, якобы для борьбы вот с такими угрозами.
M0N3
14.05.2017 17:39Ребзя, вопрос по нашумевшему WannaCrypt — он заражает ток компы с выделенным ипшником? Если динамический от провайдера — то все норм, и заражения можно не ждать? (Сорян, если тупой вопрос — не силен в «хакерстве»)
SuperPups
14.05.2017 19:176to4 адаптер работает на белых IP, а Teredo и IPv6 туннели могут работать и за NAT.
Так что рискуют все кто это использует без брандмауэра Windows.
badfiles
14.05.2017 22:15+1Нет, не норм. Зараза бомбит случайные ip и на моём импровизированном ханипоте (2 ip) 66 попыток заражения в сутки, все с разных ip.
goldenoak
14.05.2017 19:38Если вирус атакует только определённые типы файлов, то как он их определяет, по расширению? Тогда может в добавок ко всему просто сменить расширения всех целевых файлов?
aalebedev
14.05.2017 19:58А так оно и есть. Есть список расширений которые шифруют или расширения, которые не шифруют. Первое гораздо чаще.
Если шифровать все, то так можно убить систему и жертва не знает кому платить.
Одно из правил бекапа, хранить бекапы не со стандартным расширением. Помогает не на 100%, но иногда может спасти.
Вот список для WannaCry:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .docSerge78rus
16.05.2017 09:30Странно, есть экзотические .sqlite3, .sqlitedb, но нет более часто встречающегося для SQLite расширения .db
Sergey-S-Kovalev
14.05.2017 22:27kvaps
Скрипт проверки на подверженность атаки будет весьма кстати. Утром в понедельник он будет ой как кстати.
Скрытый текст# Powershell # Скрипт проверки на подверженность атаки Wana decrypt0r 2.0 (WannaCry) # Не проверяет заражена ли система (мне пока не чем проверить) # При запуске с клиентского ПК требует установленной RSAT и возможно WMF5 # habrahabr / @sergey-s-kovalev / 15.05.2017 / free for use cls Import-Module ActiveDirectory $domainname = "domain.local" # Задаем имя домена которое хотим проверить $ResultPath = "D:\WannaCry\" # Указываем путь до папки, куда складывать отчеты # Задаем списки для сохранения списков ПК $SafeHosts = @() $VulnerabilityHosts = @() $OfflineHosts = @() $NotManagedHosts = @() $SafeDate = Get-Date -Date 11-2-2017 -Hour 0 -Minute 0 -Second 1 # Определяем безопасную дату файла # Получаем список ПК из домена $DomainComputers = Get-ADComputer -Server $domainname -Filter * -Properties * #| Where-Object {$_.OperatingSystem -like '*Server*'} | Sort Name # Используем маски в случае необходимости # Общий список ПК Write-Host "Всего хостов обнаружено:" $DomainComputers.count foreach ($ComputerName in $DomainComputers.DNSHostName) # Для каждого ПК из списка { Write-host "Проверяем",$ComputerName $PingResult = Get-WmiObject Win32_PingStatus -Filter "Address = '$ComputerName'" # Проверяем доступность ПК в сети If (($PingResult.ResponseTime -ne $null) -and ($PingResult.IPV4Address -ne $null)) # Если нет пингов до хоста или у него нет ip адреса { $Command = {(Get-Item c:\WINDOWS\system32\drivers\srv.sys).LastWriteTime} # Команда которая получает дату файла $Result = "Empty" # Задаем значение по умолчанию # Пробуем запустить команду на удаленном ПК Try {$Result = Invoke-Command -ComputerName $ComputerName -ScriptBlock $Command -ErrorAction Stop} Catch {write-host -foreground yellow $ComputerName, "включен, но управление через WinRM недоступно";$NotManagedHosts = $NotManagedHosts + $ComputerName} if ($Result -ne "Empty") { # Если результат не пустой # Сравнить дату файла с контрольной датой if ($Result -lt $SafeDate) {write-host -foreground red $ComputerName,"уязвим! Дата файла",$Result;$VulnerabilityHosts = $VulnerabilityHosts + $ComputerName} else {write-host -foreground green $ComputerName, "имеет необходимое обновление. Дата файла",$Result;$SafeHosts = $SafeHosts + $ComputerName} } # Если результат пинга пустой } else {write-host -foreground DarkRed $ComputerName, "не в сети, не имеет IP-адреса или фаерволлом запрещен PING";$OfflineHosts = $OfflineHosts + $ComputerName} } $LogTime = get-date -format yyyy-MM-dd_HH-mm-ss # Получить текущее время # Выгрузить списки компьютеров в той или иной категории $SafeHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-SafeHosts.log" -Encoding utf8 -Force $VulnerabilityHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-VulnerabilityHosts.log" -Encoding utf8 -Force $OfflineHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-OfflineHosts.log" -Encoding utf8 -Force $NotManagedHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-NotManagedHosts.log" -Encoding utf8 -Force
dos
15.05.2017 17:27+1wmic qfe list | findstr 4012212
- WMI не всегда возвращает весь перечень установленных обновлений. Это связано с тем, что класс Win32_QuickFixEngineering возвращает только те обновления, которые установлены с использованием Component Based Servicing (CBS). Те обновления, которые установлены с помощью Microsoft Windows Installer (MSI) или с сайта обновлений Windows, не детектируются через WMI.
- 4012212 это обновление только для Windows 7 и Windows 2008 R2. При чем оно может быть отдельно не установлено, а быть установлено в рамках месячного обновления.
Лучше всего проверять через обращение к службе Windows Update, используя PowerShell
$KB = @() $KB += "4012212" # Security only update for Windows 7 and Windows Server 2008 R2 $KB += "4012213" # Security only update for Windows 8.1 and Windows Server 2012 R2 $KB += "4012214" # Security only update for Windows Server 2012 $KB += "4012215" # Monthly rollup (March 2017) for Windows 7 and Windows Server 2008 R2 $KB += "4012216" # Monthly rollup (March 2017) for Windows 8.1 and Windows RT 8.1 and Windows Server 2012 R2 $KB += "4012217" # Monthly rollup (March 2017) for Windows 8 and Windows Server 2012 $KB += "4012598" # Other old Windows versions https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ $KB += "4012606" # Cumulative update (March 14, 2017) for Windows 10 $KB += "4013198" # Cumulative update (March 14, 2017) for Windows 10 1511 $KB += "4013429" # Cumulative update (March 14, 2017) for Windows 10 1607 $KB += "4015217" # Cumulative update (April 11, 2017) for Windows 10 1607 $KB += "4015219" # Cumulative update (April 11, 2017) for Windows 10 1511 $KB += "4015221" # Cumulative update (April 11, 2017) for Windows 10 $KB += "4015438" # Cumulative update (March 20, 2017) for Windows 10 1607 $KB += "4015549" # Monthly rollup (April 2017) for Windows 7 and Windows Server 2008 R2 $KB += "4015550" # Monthly rollup (April 2017) for Windows 8.1 and Windows Server 2012 R2 $KB += "4015551" # Monthly rollup (April 2017) for Windows 8 and Windows Server 2012 $KB += "4016635" # Cumulative update (March 22, 2017) for Windows 10 1607 $KB += "4016636" # Cumulative update (March 22, 2017) for Windows 10 1511 $KB += "4016637" # Cumulative update (March 22, 2017) for Windows 10 $KB += "4016871" # Cumulative update (May 9, 2017) for Windows 10 1703 $KB += "4019215" # Monthly rollup (May 2017) for Windows 8.1 and Windows Server 2012 R2 $KB += "4019216" # Monthly rollup (May 2017) for Windows 8 and Windows Server 2012 $KB += "4019264" # Monthly rollup (May 2017) for Windows 7 and Windows Server 2008 R2 $KB += "4019472" # Cumulative update (May 9, 2017) for Windows 10 1607 $KB += "4019473" # Cumulative update (May 9, 2017) for Windows 10 1511 $KB += "4019474" # Cumulative update (May 9, 2017) for Windows 10 $Session = New-Object -ComObject Microsoft.Update.Session $Searcher = $Session.CreateUpdateSearcher() $HistoryCount = $Searcher.GetTotalHistoryCount() $Updates = $Searcher.QueryHistory(0, $HistoryCount) Foreach ($item in $Updates) { if ($item.Title -match [String]::Join("|", $KB)) { Write-Host 'MS17-010 installed' } }
Учитывая эти нюансы и то, что требуется проверка множества компов в локальной сети, я написал следующий скрипт: https://github.com/R-Vision/ms17-010Flosik
16.05.2017 13:26Что-то не работает он. С консоли PowerShell запускаю: .\rvision-ms17010.ps1 -StartIPv4Address 192.168.0.0 -EndIPv4Address 192.168.0.254 -UseCredentials -IncludeSMB
выдает ошибку:
Invoke-IPv4NetworkScan: Не удается обработать преобразование аргументов для параметра «IPv4
азовать значение „IPv4Address“ в тип „System.Net.IPAddress“. Ошибка: „Указан недопустимый ад
C:\rvision-ms17010.ps1:1069 знак:23
+ Invoke-IPv4NetworkScan <<<< args
+ CategoryInfo: InvalidData: (:) [Invoke-IPv4NetworkScan], ParameterBindin...m
+ FullyQualifiedErrorId: ParameterArgumentTransformationError,Invoke-IPv4NetworkScan
Если запускаю: .\rvision-ms17010.ps1 192.168.0.0 255.255.255.0 — идет сканирование вроде как и по окончанию пусто ничего не выдает.dos
17.05.2017 19:20PowerShell 4.0 нужен. Если сканирование ничего не вернуло, то значит не нашлось ни одной машины с открытым 445 портом.
Whitesunset
15.05.2017 21:00+1По мотивам статьи на Хабре собрал страницу, где можно следить за балансом кошельков в прямом эфире
https://whitesunset.github.io/wannacrypt_balance/
shadyxtx
16.05.2017 09:41Я правильно понимаю, что условный сохо роутер, с включённым натом и отключёнными upnp, "dmz", пробросом 445 порта(то есть с дефолтным настройками) закрывает уязвимость?
moydedushkarembo
16.05.2017 09:42Еще стоит не забыть про vpn, если зараженная машина подключается используя VPN — сразу попадает в сеть, то есть может заразить машины внутри сети.
Следовательно это еще одно место в сети, которое надо прикрыть.
Raider86RUS
16.05.2017 09:42Прислал коллега сегодня ссылку на Вашу статью, информацию пригодилась. Некоторое время назад у нас в организации поймали другой шифровальщик da_vinci, хотя установлен антивирус Касперского. Недавно наткнулся на ролик с рекомендациями от Касперского, что можно защитить данные от шифрования, посредством добавления нужного расширения в политику безопасности и применением ее на другие ПК.
Может и тут сработает, есть список расширений на которые нацелен данный шифровальщик:
securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world
В принципе может быть данная мысль поможет (но только для обладателей лицензии kaspersky endpoint security 10). Ссылка на ролик — www.youtube.com/watch?time_continue=37&v=pwJMXBk8uqM
Можно сделать по аналогии, но уже под данный шифровальщик.
sashademeshkin
16.05.2017 09:42-1А что если написать на Autohotkey скрипт, который следит за количеством директорий в папке Users и начинает орать если там что-то изменилось (добавилось или убавилось). Например так:
#NoEnv; Recommended for performance and compatibility with future AutoHotkey releases.
#SingleInstance force
; #Warn; Enable warnings to assist with detecting common errors.
SendMode Input; Recommended for new scripts due to its superior speed and reliability.
SetWorkingDir %A_ScriptDir%; Ensures a consistent starting directory.
DetectHiddenWindows, On
#Persistent
; выполнять скрипт каждых 1000 милисекунд
SetTimer, UsersDirectoryWatch, 1000
return
UsersDirectoryWatch:
; тут значение количества директорий до атаки, в нормальном состоянии (у меня их шесть)
count_normal=6
; считаем количество директорий в папке users (включая скрытые директории)
loop, C:\Users\*.*, 2, 0
{
count++
}
; если значение превышено — выводим сообщение
if (count > count_normal)
MsgBox, ВНИМАНИЕ! В ДИРЕКТОРИИ USERS ОБНАРУЖЕНЫ НОВЫЕ ПАПКИ!
; обнуление счетчика
count=0
; конец скрипта
return
; для выключения скрипта нажать ctrl+alt+shift+0
!+^0::ExitApp
У меня все работает. Скрипт надо выполнять от админа. Можно сделать .exe. Можно так же выполнять и другие действия, а не просто выводить сообщение в случае подозрения на атаку.drkk
16.05.2017 14:17-1kvaps
Может кому понадобиться:
Запрет SMB1, Официальный документ
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Ajex
16.05.2017 20:39А что по поводу расшифровки? Кто знает, насколько длинный там может быть ключ? Может получиться сбрутить его или вычислить через расшифрованные файлы?
Принесли мне тут пациента. Удаленные файлы затерты. Теневые копии удалены, все архивы также зашифрованы.x85arkh
19.05.2017 12:47исполняемые файлы заразы остались? Можно попросить упаковать раром с паролем и выслать на опыты?
moneal
17.05.2017 03:13-1У меня после установки обновления, после перезагрузки ошибка NetStart, при запуске восстановления она же, в безопасном режиме не грузится та же ошибка, через ERD установленное обновление не отображается!!! Хелп!!! Все загугленные варианты перепробовал не помогло
DinoAsm
17.05.2017 04:07-1У меня появилась идея, как восстанавливать файлы с зараженных компов. Жаль, что так поздно. Никто не пробовал искать не затертые копии файлов на жестком диске по сигнатурам с помощью, например, foremost/scalpel?
Pogreb33
18.05.2017 04:27Странно, но у меня ни одна из KB на Win10 не устанавливается.
Пишет — «Обновление не применимо к данному компьютеру»
Система Windows 10x64 Pro лицензионная, сборка 1511.
Ставлю KB 4013198
Попробовал и 4013429 и 40122606 — тоже самое.
На WSUS тоже пишет, что не применимо.
Как же мне установить на Компы данную КВ?rionnagel
18.05.2017 13:07Выше товарищ писал полный список обновлений, которые содержат заплатку. У вас скорее всего установлена «4019473» # Cumulative update (May 9, 2017) for Windows 10 1511
Pogreb33
18.05.2017 13:13И такой тоже нет
Хотя сборка у меня OS Build 10586.916rionnagel
18.05.2017 14:30А что у вас вообще из 401+ установлено?
покажите powershell get-hotfix | findstr 401*Pogreb33
18.05.2017 14:42PS C:\> powershell get-hotfix | findstr 401*
100 Update KB3140741 NT AUTHORITY\???????
100 Update KB3140743 NT AUTHORITY\???????
100 Security Update KB3140768 NT AUTHORITY\???????
100 Update KB3181403 NT AUTHORITY\???????
100 Update KB4015220 NT AUTHORITY\??????? 04.12.2017 0:00:00
100 Security Update KB4020821 NT AUTHORITY\??????? 05.11.2017 0:00:00
100 Security Update KB4019473 NT AUTHORITY\??????? 05.12.2017 0:00:00rionnagel
18.05.2017 14:46… Последнее же) установлено именно то, об котором я вам писал.
Pogreb33
18.05.2017 14:54Значить выводу в CMD верить нельзя
C:\Users\GNV>dism /online /get-packages | findstr KB4019473
C:\Users\GNV>
А в повершелл все норм
PS C:\> SYSTEMINFO.exe | findstr KB4019473
[17]: KB4019473
Хотя видимо команда крвовата
PS C:\> dism /online /get-packages | findstr KB4019473
PS C:\>rionnagel
18.05.2017 15:06+1Я как-то так проверяю паппетом с записью факта через powershell скрипт… нашел пример уже в готовых модулях.
$patches = «KB4012212», «KB4012213», «KB4012214», «KB4012215», «KB4012216», «KB4012217», «KB4012598», «KB4012606», «KB4013198», «KB4013429», «KB4015217», «KB4015219», «KB4015221», «KB4015438», «KB4015549», «KB4015550», «KB4015551», «KB4016635», «KB4016636», «KB4016637», «KB4016871», «KB4019215», «KB4019216», «KB4019264», «KB4019472», «KB4019473», «KB4019474»
$computer = $ENV:COMPUTERNAME
$patch = Get-HotFix -ComputerName $computer |
Where-Object {$patches -contains $_.HotfixID} |
Select-Object -property «HotFixID»
if($patch) {
Write-Output «wannacry_vulnerable=false»
} else {
Write-Output «wannacry_vulnerable=true»
}
e2002
19.05.2017 03:31Ему чего-то не хватает. Из предыдущих обновлений. На 2012R2, к примеру, KB4012213 не устанавливается без KB2919355. Нужно ставить рекомендуемые из центра, пока не будет применимо.
MarioFly
18.05.2017 04:27-1В наше время отследить куда уходят деньги за оплату расшифровки не проблема, так что вся эта затея более чем одобрена «сверху». И не надо изменять понятие «хакер», хакер деньги не ворует, тем более не вымогает, а делает все деяния ради идеи, а не наживы. А статья про преступников.
mayorovp
18.05.2017 08:43Отследить перевод с биткоин-кошелька — как раз проблема. Даже если она решаема, она все равно остается проблемой.
Кстати, автор вируса еще не переводил никуда со своих кошельков деньги, они там так и лежат.
Pogreb33
18.05.2017 14:58-1У кого в качестве прокси сервера установлен FortiGate, то обратите внимание на ссылку
И кому интересно завтра будет вебинар по данному шифровальщику
Pogreb33
18.05.2017 15:03-1Сылка https://fortinet.egnyte.com/dl/IL9YQSqmgv
Вебинар http://go.fortinet.com/LP=3318?elqTrackId=57a88c12b95d4158849d0c136909cc84&elq=b11706d7097c46bcb9f17428b40fa62e&elqaid=6094&elqat=1&elqCampaignId=6613
bekkuz
19.05.2017 03:31Поставили обновление на Windows 2008 R2. После перезагрузки система не загружается. Админа нету. Что делать?
jok40
19.05.2017 16:04+1система не загружается
Что это означает? Начинает загрузку и вываливается в BSOD? Начинает загрузку и через некоторое время уходит в перезагрузку? Не начинает загрузку совсем? Какое сообщение при этом выводит? Ну и т.д. Помните: правильно заданный вопрос — половина ответа.
alk
19.05.2017 10:47-1Wannakiwi — частичное решение по расшифровке для Windows XP/7:
https://github.com/gentilkiwi/wanakiwi/releases
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
bitaps_com
20.05.2017 17:06Вот их кошельки:
https://bitaps.com/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
$23k+
https://bitaps.com/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
$35k+
https://bitaps.com/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
$32k+
Кто то упорно закидывает платежи. За последние пару дней у них прибавилось ещё 30к в сумме.
Но проблема в том что файлы, на самом деле, не дешифруется!
Wan-Derer
21.05.2017 09:14А поясните для ламеров…
Я когда сеть в винде настраиваю, всегда отключаю "клиент микрософт" и "обмен файлами/принтерами". Моя логика: если я не собираюсь этого делать, зачем ему быть включённым? Мне бы не прилетело?
Если отключить службы "сервер" и "раб станция", это защитило бы от подобной атаки? На какие "общечеловеческие" программы влияют эти службы?
ЗЫ: мне вообще не понятен этот подход в современных ОС: разрешено всё, а закрывать ненужное руками или спец программами. Вот в Андроид хорошо: всё закрыто, при установке поограммы предупреждают какие ресурсы ей понадобятся, при запуске предлагают их предоставить (или не предоставить). А постоянные запросы в 7-ке только раздражают и не спасают, судя по обсуждаемому случаю…sumanai
21.05.2017 16:16мне вообще не понятен этот подход в современных ОС
Суть в том, что ОС не современные, а замшелое легаси, тянущееся с 90-х. В самых первых NT была возможность грамотной настройки прав, но во имя совместимости настройки по умолчанию были не безопасными.
Вот в Андроид хорошо
И это ему не помогает. Вот как отключить работу с MMS, чтобы не быть подверженным уязвимости, когда телефон взламывается посылом на него специально сформированного сообщения?mayorovp
22.05.2017 07:02И как вам поможет грамотная настройка прав, когда уязвимость — в системном процессе?
Pogreb33
22.05.2017 16:46Якобы уже лазейки нашли для расшифровки
http://4pda.ru/2017/05/21/342335/#comment3853501
antonsr98
Спасибо что сообщили
shifttstas
Сегодня в Ubuntu/Apple/любом другом дистрибутиве открывают шампанское, тк сколько будущих тендеров они победят теперь :)
Ну собственно снова мы убедились, что СПО лучше закрытого…
kekekeks
Вспоминаем heartbleed и прочие разности. Дырки есть везде.
shifttstas
Руководителям и СМИ данная «атака» нагляднее, чем какие-то перехваты RAM на сервере.
areht
Т.е. в тендере так и писать «руководителями и СМИ не должна быть замечена атака на ....»?
shifttstas
В тендере можете писать всё что угодно, я говорю о том, что новость о heart bleed не настолько сильно была растиражированы и обычный потребитель скорее всего не заметил влияние на себя. А тут у нас как минимум:
1) мегафон
2) ск/фсб
Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.
Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
areht
> «что бы не было как 12 мая по всему миру»
А, собственно, что случилось то?
1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.
И там ниже говорят аж 24 человека заплатило на текущий момент.
Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
Mako_357
Из самого серьёзного — это множественные перебои в работе службы здравоохранения в Англии и Шотландии.
А Мегафон до сих пор не работает, по крайней мере в Поволжье.
areht
> А Мегафон до сих пор не работает, по крайней мере в Поволжье.
Откуда инфа?
> Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.
> Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised
Ну… Переустановят винду завтра.
У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
Mako_357
Я просто взял сейчас и позвонил на 0500, чтобы не быть голословным) Говорят, что доступны только услуги через сайт или роботов, а что-либо сделать через сотрудников контактного центра нельзя.
areht
судя по отсутствию новостей(точнее последние «мегафон восстановил работу») я был прав, никто не заметил, что «мегафон не работает».
yosemity
У мегафона был какой-то факап и они решили подстраховаться. нуачо. мейби. ссылки на сам мегафон же нет, а СМИ, такие сми.
Dmitry_4
Так их ублюдошный калцентр уже сто лет не работает нормально — IVR по кругу гоняет
Mako_357
+ Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Razaz
Вообще NHS еще давно предупреждали. Если безопасники профукали слив пачки 0-day эксплойтов и за два месяца не обновили сеть… То сами виноваты.
Alexsandr_SE
XP увы еще много где есть, на неё есть патч?
kprohorow
Разве что превратить её в POSReady версию с помощью ключа реестра и скачать обновления. Но это неофициальный метод.
Alonso
Да, выложили на блоге Microsoft
Frankenstine
Меня смущает embedded в названии апдейта. Скачал, попробовал запустить — выругалась на неподдерживаемую версию оси. Видимо таки для обычной ХР нет патча…
Xaliuss
Есть на обычную XP, но часто ссылка на embedded ведет (даже на русскую версию с сайта майков). Нужно та, где только custom в названии.
В этом комментарии есть правильная ссылка
Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.
SuhoffGV
Была такая же проблема. Cкачал по ссылке которую выложили на ruboard. Помогло.
Lyr
Там же есть патч для английской не-embedded XP. Но проверять не на чем. Embedded действительно на consumer версии не ставится.
megaterminator
вот прямая ссылка для XP
megaterminator
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
NiTr0_ua
угу, но только уже после факта массового заражения :)
shifttstas
У вас методичка старая, зайдите к куратору, по п.2 уже признали. Да и рунет пошёл скриншоты со странными названиями папок обсуждать.
nikolayv81
Достаточно 10 историй о потерянном архиве детских фотографий и дипломных работ растирают повинных в соц. сетях.
И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
p.s. надеюсь автора зловреда устраняет при сопротивлении во время задержания.
areht
> И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.
Это аргумент в копилку людей, выступающих за бекапы.
nikolayv81
Увы это вам очевидно, как понимающему как работают криптовалюты в текущем правовом поле.
Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
areht
Не надо путать причину со следствием. Когда хотят бороться с анонимностью и тратить деньги — для этого подходит любой высосанный из пальца аргумент, «копилки» там не нужны. Ну то есть нужны, но совсем другие, не с аргументами.
> ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
nikolayv81
Почему вы априори считаете что хотят увеличить расходы?
Большая часть людей когда предлагает ту или иную идею как решить текущую проблему ( на их взгляд ) не задумывается над тем какие косвенные затраты предлагаемое решение даст.
Это как с установкой знака 40 в на трассе в поле где случилось 2 серьёзных аварии за год, вроде разумное решение(интуитивно снизить опасность ДТП), но не учитывает многих аспектов.
areht
Предлагать решение проблемы может любая бабка. Человек ответственный за решение проблемы обладает минимальной компетенцией.
Что бы не устанавливать рамки металлоискателей в метро не надо обладать даже компетенцией, или уметь считать затраты — достаточно на 30 секунд задуматься.
nikolayv81
«Автозамена» в Android творит чудеса.
растирают повинных— растиражированныхустраняет— устранят.coyote803
НЕ заметнее???)))
Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
areht
Что бы понимать о чём мы говорим, по каким ещё событиям за последний год вам Мама звонила?
last_hp
НУ например, несколько часов, в моем городе не работали терминалы оплаты.
ruYeti
Не знаю как обычные офисы Мегафона, но в пятницу корпоративные офисы не работали.
Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
saipr
Более того эти антивирусы сертифицированы по требованиям ФСТЭК, конмпьютеры, сети аттестованы, за все уплочено, а на выходе пшик!!!
neit_kas
Собственно, аргумент, что эти недоподелки от серьёзных проблем не спасают. Какие-нибудь банеры и что-нибудь в этом духе — может быть, но не более. Кстати, от совсем простых тоже не спасают. Был случай: вирус подправил ссылки в ярлыках браузеров. Ни стоящий на машине nod, ни cure it, ни даже avz ничего не обнаружили.
nidalee
В пределах погрешности.
Razaz
Мы убедились, что за два месяца админы не поставили патч, закрывающий эксплуатируемую уязвимость.
ElectroGuard
Ага, heartbleed в СПО как раз было. И было долго-долго.
AxisPod
Поглядите свежие новости, про заражения macOS.
danisvalishin
перехожу на убунту)
MnogoBukv
Пару дней попробовал вот уже в который раз — вернулся обратно. Всё ещё рановато.
Terranz
offtop: а что не понравилось, если не секрет?
MnogoBukv
Видимо, windows головного мозга не даёт понять, как эта хрень вся работает.
Не хватает фара, для начала. MC не предлагать.
Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
Это очень быстро навевает тоску и diskpart, select disk 0, clean
Более менее живые — только appliance версии софта, и то не все.
symbix
Так тут проблема в ваших привычках, а не в Ubuntu.
Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
MnogoBukv
Привычка — само собой, но тот же android берешь в руки, и там как-то сразу можно начать решать нужные задачи. Т.е. продукт допилен. Что бы поставить любую программу, мне не надо вчитываться в ошибки в консоли.
Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
vilehan
Сто лет уже так никто не делает.
Я и в windows в консоли работаю.
А в линуксе только когда ставлю не стабильные программы.
dom1n1k
Привычка тут на пятом-десятом уровне важности.
Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
Razaz
Без Esc и Backspace на новых маках — ну его в баню :)
stDistarik
Качайте отсюда — Linux Mint, например KDE-версию, и пробуйте. Файловые менеджеры там (в линуксе) гораздо приятнее. Будет и «плазма» и рабочий стол кубом.
Razaz
Спасибо, но я не хочу себе Линь на десктопе — только серваки. Я просто умею обновляться и настраивать ОС нормально :D Да еще и Ubuntu, Suse и Fedora скоро подъедут в виде консольки.
saipr
А поставьте Mageia с KDE, если хочется Microsoft Office иметь — поставьте Crossover, и поймете все прелести
.Можете конечно и отечественный Линь поставить, но я бы воздержался.
oldbie
Удивительно, но вместо фара под линуксом есть… FAR. Правда новость от февраля этого года и по видимому там работа еще идет. Или можно еще double commander <-> тотал командера. Заявлялась даже совместимость плагинов, хотя подтвердить не могу.
А чтобы облегчить переход на убунту с винды то пожалуй лучшим советом будет сразу забить на Unity, тем более что сам Canonical от него отказался. Рекомендую посмотреть в сторону KDE или MATE версий убунту LTS. Для первых linux mint KDE или KDE neon (c kubuntu не сдружился, уже и не припомню почему). А для мате соотв. версия mint'a.
P.S. сам в восторге от KDE5.
Meklon
Krusader тогда уже под kde.
Razaz
Не споткнитесь. Там даже для Солярки 0-day выложили.
saipr
Даешь импортозамещение в лице отечестного Линукса!
Seven-ov
Родителям дома поставил Ubuntu 16, пользуются браузером Хромиум. Недавно пожаловались, что невозможно пользоваться интерентом из-за рекламы. Заразился хромиум черти-чем, поверх любой страницы показывал тонны рекламы, кнопки настройки браузра — не работают, горячие клавиши — отключены. Пришлось помучиться, что бы избавиться от этой заразы.
Terranz
а в чём было мучение? каталог у хромиума всего один же ~/.config/chromium
его надо только снести и всё
Seven-ov
А вкладки, исторя, пароли и т.д.? Но смысл не в этом, а в том, что вирусы есть под все, а то господин "shifttstas" слишком самоуверен...
Sadler
Расширения не появляются сами собой при запуске браузера, их устанавливают собственными руками. Это не господин самоуверен, это Вашим родителям никто не объяснил правила «цифровой гигиены».
Seven-ov
Большентсов атак так или иначе завязано на человеческом факторе. А количество малвари прямо-пропорционально популяности платформы. Лично я сейчас наблюдаю популиризацию убунту и начало атак на эту систему.
newborn83
Это кем надо быть чтобы держать открытым 445 порт наружу?
Вирус только для лошара-админов и тех кто не ставит обновления годами.
Lsh
На всяких пикабу пишут, что оно и через NAT проходит. =)
— Как оно проходит, роутеры ломает?
— Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
newborn83
Под рукой 2 сервера 2008R2 без патчей, один с прямым IP другой за роутером
Никаких вирусов не прилетало, фаервол штатный
Alexeyslav
Шансы поймать даже скан на конкретный IP-адрес довольно малы. Не думаю что там запустили сканирование всея интернета, даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
sumanai
4 часа на весь диапазон IPv4, насколько я помню. И на тот же 22 порт SSH китайцы ломятся регулярно.
SolarW
На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
square
masscan + PF_RING + десять серверов на ксеонах с гигабитными интелами (и каналами) = 30 минут на весь диапазон по 1 порту
kAIST
Что что, на пикабу как раз в комментариях про роутеры и NAT пишут, ни слова про всякие АНБ )
Nerwin
Некоторые провайдеры режут 445 и 139 порты у абонентов, РТ точно так делает
forajump
Если РТК с IPoE, то оно и понятно, а иначе это просто бессмысленно.
Nerwin
почему бессмысленно если не IPoE? Дома ростелеком дает белый ip, хоть и динамический, через pppoe. Все порты доступны снаружи, а 445 нет