Вы видите копию треда, сохраненную 13 мая 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Число зараженных компьютеров ежечасно застет с громадной скоростью.
ТРЕД №16
Первый тред: https://2ch.hk/b/res/152930021.html (М)
Второй тред : https://2ch.hk/b/res/152936528.html (М)
Третий тонет https://2ch.hk/b/res/152941163.html (М)
и т.д.
15 тред тонет тут https://2ch.hk/b/res/152971325.html (М)
-------------------------------
ПРЕДИСЛОВИЕ:
_____
Началось массовое заражение криптовирусом по всему миру. На данный момент известно о больницах в Лондоне, ГИБДД и МВД России, Мегафоне. Запасаемся попкорном и ждем развития событий.
https://nation-news.ru/264825-virus-zakralsya-v-informacionnuyu-sistemu-gibdd-istochnik
https://meduza.io/news/2017/05/12/v-britanskih-bolnitsah-odnovremenno-proizoshel-tehnicheskiy-sboy-hakery-zablokirovali-kompyutery-i-trebuyut-vykup
http://m.pikabu.ru/story/kriptoshifrovalshchik_porazil_set_mvd_5044435
------------------------------------
ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
http://www.catalog.update.microsoft.com/Search.aspx?q=4012215
http://www.catalog.update.microsoft.com/Search.aspx?q=4012212
-----------------------------------
Для Windows 7: SMBv1 отрубается на семёре через ps командой
(запускать от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Запустил от имени админа но теперь вообще ноль реакции на команду
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась
Для Windows 10
Третий пик в ОП посте
---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:
1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.
https://geektimes.ru/post/289115/
----
Еще про распространение:
ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.
У тех кто начал эту атаку есть
>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер
Как это работает?
>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.
КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
---------------------------------
Интерактивная карта распространения вируса в режиме реального времени
https://intel.malwaretech.com/WannaCrypt.html - это карта страдающих пидарах по всему миру
--------------------------------
КОШЕЛЬКИ ХАКЕРОВ
https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
--------------------------------
НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:
Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)
Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)
Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (эксперты из треда оспаривают это заключение)
---------------------------------
СОТРУДНИКИ ПОЛИЦИИ БУГУРТЯТ ИЗ-ЗА ВИРУСА В ВК:
https://vk.com/wall-28464698_720473
---------------------------------
В треде присутствует группа анонов, которые пошли в отрицалово и не верят в существование вируса, так же пытаются оспорить заявление СМИ и Лаборатории Касперского (Хотя уже пруфов было столько, шо пиздец). По неподтвержденным данным (информация проверяется) это дело рук Нэвэльного.
---------------------------------
Позиция Анатолия ШАРИЯ по этому вопросу:
Тут дело скорее не в каких то хакеров из-за океана, а просто Украина решила таким образом отомстить России за Донбасс. Хотя сколько можно им говорить, что Россияне принимает участия в конфликте на востоке Украины и то, что жители путем референдума сделали свой выбор отсоединения от незалэжной. Суть вируса в том, что бы просто навести панику, которой не поддается общество. Ведущие it специалисты России прямо сейчас решают эту проблему и очень успешно.
----------------------------------
ПОЗИЦИИ РУССКИХ РЭППЕРОВ по данному вопросу.
Витя СД - сидит итт и активно поддерживает пострадавших от вируса.
Павел Техник - пожелал лично расправиться с хакерами физически.
Галат - предложил ОБОССАТЬ ХАКЕРОВ, а не сидеть на жопе.
Хованский - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОЕЙ ЕЛДОЙ.
Саша Скул - предложил наказать ОХУЕВШИХ ПРОГРАММИСТОВ.
СЛАВА КПСС ХРАНИТ МОЛЧАНИЕ.
Шокк - высрал два невнятных твита.
ОКСИМУРОН - В панике, плачет в вк, т.к. зашифрованы все треки
НОЙЗ МС - Надеется что двач остановит этот хаос
ЛАРИН - Нервно покуривает, т.к. зашифровалось 400 гб с ЦП
Дайте ссыль на ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 8
Выполняй команду, как для семерки
Да, должен. Нет, не пробросит.
хуи сосешь?
тнус
Выполнил и ничего не произошло, это тип все правильно сделал?
СЛИТАЯ ФАЙЛЫ ЭКСПЛОЙТА, ПО НЕЙ СДЕЛАЛИ ЭТУ НАШУМЕВШУЮ ПАРАШУ
https://github.com/misterch0c/shadowbroker
УТИЛИТЫ, СОУСЫ И МНОГО ДРУГОЙ РАДОСТИ, ВЗЯТЫЕ У ТЕХ ЖЕ ХАКЕРОВ
Какие ваши доказательства, что ХеР с Вистой - подвержены атаке?
Откуда столько заражений тогда? Неужели столько компов с прямым подключением? У каждого второго же по вайфай роутеру в наше время
> Насобирал всего 7к баксов
> тебя ищет ФСБ, ГРУ, АНБ, ЦРУ, MI5... c желанием покарать твой анус
Успех хуле.
И степашка тоже.
Да. МС уже выпустили патч для ХП.
Это ты еще не видел поиска порноактрис в свое время
Нет. Вирус рассчитан на успешных людей, с нищебродов на XP нечего взять. Табличка с требованием 300 баксов на компьютере с Windows XP, выглядит как вымогательство миллиона долларов с грязного бомжа на помойке.
Антивирус Попова ловит эту хуйню
Я в этих портах не разбираюсь. Достаточно ли иметь включённый брандмауэр?
Как же ты приложил этих нищеебов
Что же ты таоришь содомитю
> Вирус рассчитан на успешных людей
> Основное место заражения - рашка
> Из 60к+ заражённых задонатили всего 45
> > Вирус рассчитан на успешных людей
Давай хуле.
Надо было тащеммто на макось вирусню писать и требовать лям баксов за разлок. Успех гарантирован.
Q: What's wrong with my files?
A: Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Let's start decrypting!
Q: What do I do?
A: First, you need to pay service fees for the decryption.
Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
> ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
> http://www.catalog.update.microsoft.com/Search.aspx?q=4012215
> http://www.catalog.update.microsoft.com/Search.aspx?q=4012212
Подожжите, я не понял. Мне что, еще что-то устанавливать? А не охуели ли вы?
> Для Windows 7: SMBv1 отрубается на семёре через ps командой
> Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Вот тут по-подробнее. Что есть ps-то?
Ну ты же понимаешь, что это зависит от настроек браундмауэра. Если порт открыт для локалки то всё норм, а если он смотрит в Интернеты то пезда.
Когда вижу заражение в районе башкирии сразу очко начинает сжиматься
Сейчас же откройте cmd.exe от имени админа и пропишите netstat -an
Если там есть 445 пор, то хуй вы чё закрыли, а не порт. Это значит вас всё еще могут трахнуть в задницу.
Удалил все фотографии нашего царя-батюшки.
Попадает через воздух, кровь, через пару минут человек не контролирует себя, очень похоже на вирус бешенства у зверей, он тоже бросается на всех подряд и кусает
Антивирусы говорят ЗАРАЖЁННЫХ ФАЙЛОВ НЕ ОБНАРУЖЕНО))))))000
Слетело обновление шиндоус, накатить их не могу, а вговорят только оно может защитить от вируса. Что делоть
разжевал тебе на лицо, даун
>We will decrypt your files surely because nobody will trust us if we cheat users.
БЛЯ РЕБЗИ МЫ КОНЕЧНО ВАМ ПЕКУ ЗАШИФРОВАЛИ НО МЫ РЕБЯТА ЧЕСТНЫЕ БЛЯ БУДУ ОБМАНЫВАТЬ ВАС НЕ БУДЕМ БАЗАРЮ НАХУЯ НАМ ЛЮДЕЙ ОБМАНЫВАТЬ
ОП, на тебе ТАЛОС http://blog.talosintelligence.com/2017/05/wannacry.html?m=1
включи в оппост
NHS (uk) turning away patients, unable to perform x-rays.
Telefonica (spain)
power firm Iberdrola and Gas Natural (spain)
FedEx (us)
University of Waterloo (us)
Russia interior ministry & Megafon (russia)
Сбера bank (russia)
Shaheen Airlines (india, claimed on twitter)
Train station in frankfurt (germany)
Neustadt station (germany)
the entire network of German Rail seems to be affected (@farbenstau)
Russian Railroads (RZD), VTB russian bank
Portugal Telecom
Если он у тебя уже на пекарне, то никакое обновление тебе не поможет.
Гоогли wcrypt
Пострадавшие от вируса люди городов выходят на улицы, устраивают собрания для решения данной кибер-проблемы.
Все надеятся на Двач.
Уже атака достигла Сургут, Нижний Новгород и Казань
Работаю в ГазпромТрансгазТомске, у нас пока все тихо. У РАБочих интернета нету. У сисадмина кашперский и порты закрыты. Вируса вроде нету. Хотя в пятницу один бегал и бугуртил, что что-то не запускается
А pxls?
на пиратскую спермерку не ставьте обновы.
Как вариант - нагоняют хайп для поднятия популярности. Потом будут собой пугать.
>>152975010
Чему нет блядь. На нем вообще линукс плюс встроенный брандмауэр. как ты его заразишь
Вы заебали, это powershell
Но его можно удалить? понятно что файлы не вернуть, но от самого вируса можно избавиться? я его вручную из папок типа Program Data успешно удаляю
Поставил 4012212 на пиратку, всё работает.
Заебали копировать шапку с говном! Нормально инструкцию надо писать - PowerShell, запускать от администратора, если не сработало - вручную через regedit добавить.
445
она сама тебя найдёт
как это сделать?
без задней мысли
> СУКА ГУФ УМЕР ОТ ПЕРЕДОЗИРОВКИ ЭТОЙ ДРЯНЬЯ ТЫ МРАЗЬ ХУЛИ ТЫ ПИЗДИШЬ ЧТО ОН БЕЗВРЕДЕН ПИДОР!!1
> на пиратскую спермерку не ставьте обновы.
Не ставь обнову, написано же, что можно просто отключить службу и всё
По уму, 135, 137, 139, 445, 49152-49156
Читай принцип работы в шапке.
никто не знает что делать
Тогда уж сетевой кабель вынуть проще.
Нет, пруфов вообще нет. Вообще обновление закрывающее дыру было еще в марте. Плюс у многих порты закрыты. Остальные, если их реально залочило, сейчас заняты ПЕРЕУСТАНОВКОЙ ШИНДОУС а не фотканьем пруфов
У меня дома все устройства связаны, все через общий доступ. Если я закрою этот smb1 - то всё наебнется?
Нет
Потому что вы малолетние уебаны из бэ, точно
Как оно называется?
Алсо вопрос. Как ВРУЧНУЮ накатить обновления? у меня центр обновления накрылся.
Какой антивирь?
> нагоняют хайп для поднятия популярности
> ищут ФСБ, ГРУ, АНБ, ЦРУ, MI5...
Но ведь найдут же и покарают.
Да ну, это реально говнослужбы которым незачем светить. Еще 22 забыл.
У меня вообще разрешены только 80 (http) 443 (https) и еще пара для торрентов и DC++
Ничего не будет. Это хуйня для специфических задач.
У меня нет шелла.
В ком строке вводил
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Грит что не знает никакого смб1.
В регистре нет параметра смб1.
Убунту очевидно.
Gentoo
Dr web curelt,AVZ, средство от Microsoft и тд
Тогда это в строке
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Необновляющиеся долбоебы с синдромом особой важности насосались хуев.
smb2 останется поэтому ничего не наебнется. Но это неточно.
один жух. он даже имени админа не требует
Поставь Касперского триал и проверь
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
echo "Thx, Abu"
ОП-член, добавь в шапку.
Puppy Linux, рекомендую.
Обновился через центр обновлений на семёрке, но почему-то номер самого обновления отличается от того, что указан и в статье из ОП-поста, и на сайте мелкософта.
Если бы каждый разработчик антивируса отвечал за свои проёбы, то они уже банкротами бы стали.
У тебя за щекой.
Нет, я выключил. домашняя группа пашет, шары работают. Нахуя вообще этот СМБ1 сделан непонятно. Видимо чтобы вирусы пропихивать.
В твоем папке.
Эксперты двача просят не паниковать жителей и сообщают о том, что проблема активно решается
а пососать не завернуть?
Ты недооцениваешь непредсказуемость тупизны.
Ты забыл уже историю про двух кассирш из сбера, укравших несколько десятков лямов рублей, и пошедших на следующий день феррари покупать?
Вымогатели принципиально ничем не отличаются. Более того, они даже могут не до конца разбираться в рассылаемом зловреде, т.к. покупают основную его часть.
>У меня вообще разрешены только 80 (http) 443 (https)
Нахрена? Ты держишь вебсервак на рабочей машине?
Также не качаю нихуя нигде.
Есть риск схватить этот вирус?
Что за ps команда? Это типа консоль cmd?
Ты тут полгода блядь?
Так-то это фото из лаборатории какого-то итальянского универа.
Конечно.
Эм, ну я как бы покупаю антивирус, а он не работает. Наеб покупателя.
Но ведь так и есть.
Ньюфаг не застал колесный тред на тирече.
Очевидная НУБУНТУ очевидна. Можешь еще mint попробовать, чтобы не привыкать к интерфейсу НУБУНТЫ.
Проснулся, а тут такой пиздец, вирусы всякие, охуеть вообще!
Zoebal.
powershell
Та же хуйня и диска с виндой нет. И хули мне делать? Жизнь боль
Тебе суп нарисовать?!
Если мой айпи недоступен из вне, мне нечего бояться?
ПС: это тот самый знаменитый шифратор-вымогатель? Ему лет больше чем местной пиздюшне
ЛФС собирают исключительно наркоманы. Адекваты собирают Red Hat Custom с помощью божественного rpmbuild.
Двачеры просто панику напускают.
>>152975811
Там же написано - ПОСЛЕ ЖИВОДЕРОК*, а не до.
Тупые блять страдальцы от криптовируса
Нет не будут, потому что во всех EULA на все, вообще все, написано что software as is. Короче как работает так и работает.
А сам как думаешь?
Если ты поставил мартовские фиксы или просто сидишь за NATом, всё норм. За исключением возможности скочать вирос ручками.
Пошёл нахуй черт ебал твою мать
Хераси клава на пикче титановая? Обычноклава разлетится к хуям и даже не поцарапает экран.
Ну вот фоточка с лаборатории выше - там что эти два компа напрямую в интернет подрублены? Хуй поверю, думаю что есть альтернативный вариант распространения этого вируса
Что значит недоступен? Ты кабель выдернул? Зайди на myip.ru у тебя есть айпи иначе бы ты не писал.
Нет другой.
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы
Удвоил этого.
>>152974937
Старое железо можешь мне отправить, я уничтожу.
>КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?
>
>В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется
Лол, обосрался с даунича. Чтоб сканировать, надо отправить запрос и получить на него ответ. Как ты получишь ответ, если поменял адрес отправителя на рандомный?
Как видишь Сбер, ГИБДД, МВД и сотни тысяч компов по всему миру Казань, Нижний Новогород, Сургут пострадали меньше чем за сутки
NAT не панацея, есть же всякие приколы с пробросом портов.
Долбеб, имелось ввиду что по его мнению живодерки на первом месте по величине цепочки, довен
Тоже интересно
А если сижу за двойным натом?
Пишут шо хуйня, возможно уже есть версия без проверок, заражение растет.
Промыть водой плату на жестком диске, видеокарте и обильно смазать ножки процессора термопастой, а то при включении может сгореть.
Лел, моник-то заранее разбили и клаву потом вставили для лулзов. Поколение ютуб, блеать.
Сервер смотрит открытым портом в интернет - этого достаточно.
если порты закрыты, то нет
Так этот порт вручную надо наружу пробрасывать - кто такой конченый чтобы это делать?
Ответ они не получают, очевидно же.
Если ты пробросил наружу самбу и нетбиос - тебя и без ВИРОСОВ ждет масса сюрпризов.
rzd это их официальная транскрипция, внезапно. Можешь сайт посмотреть. И лого.
Да вот непонятно на этом пике вообще комп клуб заразились как-то. Там явно роутер. В теории юпнп сам пробросит порт
>>152975690
Не связывайся с этим на пеке. Линукс у тебя в роутере уже стоит.
Это как натянуть 2 гондона.
Понятно
>>152974531
>>152974676
>>152974702
Схуяли тогда столько заражений в больницах Англии, мегафоне и тп.? Они что все с индивидуальным подключением?
Хуи сосешь? Бочку делаешь?
У меня. Но это скоре всего из-за того что я случайно один системный файл удалил, и не помню какой. Сейчас вот диагностику делаю
Блять, критин ебанутый. Там я написал просто что после живодерок (из ближайших массовых собитый) такого тредосоздания не было.
Мань, ну что ты? на няшу
Быдлопроблемы. Переустановка занимает 20 минут.
Ну ты и гуманитарий. Понятно же что на пути обратно адрес заменяется на первый
Таки пришло время переустанавливать шиндоус? Или еще есть шанс?
Я никак не думаю, так как вирусы некоторые на столько хитрые, избавить от них можно только отфармотировав вообще все, чтобы после переустановки вирус обратно не залез в венду. А есть такие, что после переустановки просто пропадают. Но это все так давно было, я вообще не знаю, как вирус подцепить, если это не такой вот хитрый, который автоматом по открытым портам шароебится.
вообще, да, так как он шифрует бд и всё такое, но с другой стороны, я думаю, есть разные бэкапы.
> В случае удачного обнаружения SMB сервиса, посылает эксплойт
> программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
Не понял, как она определяет обнаружение, если обратный адрес — рандомный?
Как отсылаются пакеты с ответом в обратную сторону, если её адрес не настоящий?
Через сайт "проверить порт онлайн"
Ну то есть сначала сервер заражается, а потом зараза ползёт по локалке?
Потому что их админы тупые дебилы, блядь, которых "по знакомству набрали". Или ты думаешь, что банки грабят сверхумные хакеры? лел.
uPNP, DMZ, вроде дохуя вариантов что админ локалхоста и знать не будет что у него само открывается.
Есть видите цепочку тредов, то значит это пилит не анон, а всякие пидоры из различных центров исследований.
А это и ненужно
> Переустановка занимает 20 минут.
Не помогает жи. Они же не шинду шифруют, а файлы на ней.
Может просто уже началось?
А никак, нинужна - само "обнаружение" заключается в отправке эксплойта с вирусом
Зачем ему "понимать" если можно просто тупо слать сразу пейлоад?
Ну да, я не люблю разбираться в этом гавне, работает и хуй с ним.
Бамп.
мне тоже интересно
Да, именно, через SMB. Но на самом деле достаточно сервер заразить, чтобы зашифровать файлы в локалке. А заражение компов это скорее уже побочный эффект.
Кто из хохлостана, доложите обстановку. Кулхацкеры уже поставили рендж айпи хохлостана?
Это криптор. Если он у тебя есть, то все, не лечится.
Закрой 135 и 445 порты, отключись от локальных сетей и отруби SMBv1, тогда не пролезет.
А оно надо? Ты заранее грузишь говно в память, очевидно что они тестили свою прогу и в if(request.done()){
print("ok")
} не нуждаются.
Да.
Вирус уже поимел твой антивирусник и подменил его базу сигнатур.
На пикабу татарстанец написал сщо у них в МВД компы на ХР по пизде пошли. На ХР можно и без всяких новых вирусов через 445. Дебилов полон свет, но думаю в этом тхреде уже всё обсуждалось. Пакеда
Как это проверить? Я постоянно слышу про проброс портов и подобное гавно. Нихуя не понимаю что это значит.
Как проверить. И как таки закрыть? Это на роутере делается?
Да, но в хохлостане нет критической инфраструктуры, так что ничего не пострадает.
лфс нужна скорее чисто как вещь для получения опыта. Работать серьёзно на ней нельзя.
Любой адекватный человек уже давно сидит на пакетных дистрах, делая минимальную установку и докидывая необходимые пакеты.
ТАЛОС запрещен блядь, талмор придет, на бутылку посадит.
И чё? Новая ОС - новые файлы
У меня вчера началось, в треде писал. Съедены jpg, текстовые файлы и видосы. Просто я вытиран войн с вирусами и нахожу где лежат их главные файлы в системных папках лучше всех антивирусов вместе взятых, и удаляю их анлокером. Потом уже прогоняю комп антивирусами. И вот настал тот момент когда я удалил что-то не то. Ёбаный стыд.
NEEKAQUE, ты проиграл в этой лотерее.
Шарий же пишет, что это Укропы сделали
Запусти powershell.exe и туда вбей, тупой.
400 ГБ ЦП И ЦВЕТНЫХ КОНЕЙ ЗАШИФРОВАЛИ БЛЯДЬ, СЕЧЕШЬ????? ТЫ ВООБЩЕ ОСОЗНАЕШЬ ВСЮ УЖАСНОСТЬ ПРОИСХОДЯЩЕГО???
Как будто им это надо
Я уверен что на твоем компе шароебится дохера вирусни, просто они нихуя не ломают, а только отсылают данные. Пароли, фотки, видосики, скрины камеры... etc.
ахахахахахахахаха
Тупица тупая, бурят
У тебя вирусняк. Не пускает обнову. Поздравляю. Сохраняй данные пока можешь.
В винде есть нетстат?
Какой реп такие и реперы.
если нету такого компонента как на 3 пике и в реестре тоже нету в папке параметерс инфы о смб1
Расшифруйте плз "Для Windows 7: SMBv1 отрубается на семёре через ps командой
(запускать от имени администратора)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Запустил от имени админа но теперь вообще ноль реакции на команду
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась"
что значит через ps? через cmd?
Использую ВЕСТУ обновлений не было все идеально вируса нет
Затем что есть, разница, отправить миллиону адресов по 100 байт информации или по несколько мегабайт.
Про 445 написано Listening. Я в апаснасте?
сижу на ХР без антивирусника, мне пизда?
Внутри локальной сети порты доступны. Если пролез каким-либо путем на один из компьютеров в локальной сети, остальные окажутся под ударом.
Через cmd под админкой:
1. sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
2. sc.exe config mrxsmb10 start= disabled
Необучаемый сельский житель, что с него взять...
как ета нет? какой умный сисьадмин поставит для фирмы винсервер?
Ну и похуй, спецам если надо они президентав взламывают, простому уважаемому господину не спастись
Пробрасывает ли домашний роутер порт 445 автоматически, без явной настройки этого? Если нет, то хули париться?
я хз, я похуист, цп не храню, рефераты не пишу, игры у меня в стиме, так что мне похуй, но вообще все пиздят про 445 порт, я на 2ip.ru посмотрел, написано, что закрыто.
10240.17319
10586.839
14393.953
15063.0
Ну команда в консоли. netstat - Отображение статистики протокола и текущих подключений TCP/IP.
*провайдера
Пакеда.
У тебя опечатка в browser
Из России
netstat -an
Крестик нажми ебать
Вы что, ебанутые? Нахуя это вообще делать через помершелл? У вас regedit спиздили или cmd в reg add разучился?
Дико двачую.
Расскажи плиз как ты к интернету подключен был? Через роутер или нет
ВИШМАСТЕР
нахуя наебываешь?
Нет, лезет. Порты закрой.
Потому, что там атака не только через 445 порт идет, а еще через Nat
Как забавно, что вытиран борьбы с вирусом подхватил эту хуйню, а Васяны с харкача которые кнопку выключения ПК по полчаса ищут так и не подхватили. По-крайней мере ни одного пруфа не было.
Умный и поставит виндовый сервер с активными директориями и шарепоинтом и 1сом
>>152976468
Палехче, пасаны, у меня пека чисто для игор и втыкания в браузер, я никогда не интересовался администрированием и прочим в этом духе.
Ну как бы более 100000 случаев заражения за сутки, значительная часть из них — в этой стране.
Обратись к администратору веб-узла.
Виталя?
НЕ СТАВЬТЕ ОБНОВЛЕНИЯ
Они не могут написать, переустанавливают шиндоус.
Ну, если не ломают ничего, то и пусть. У меня обычная защита от вин10 врублена, думаю этого достаточно. Ну и ногда прогоняю проверку какую нибудь, вроде Кьер ит! от др веба. Алсо, если вирусы и есть, то они какие-то хуевые и ни один пароль у меня никогда не крали.
У меня три компа, все три в домене, если ли опасность ставить эксперимент?
Если напрямую к интернету подключишься и нету той последней обновы от микрософт - то да
135 еще. И если в твоей сети заражен хоть один комп, то уже похуй на порты - пролезет.
Брандмауэр вырублен, защитник винды тоже, сидел за пекой всю ночь и никауого вирусняка не поймал, чяднт?
Лучший бесплатный антивирус тащемта. А ты червь-пидор, который обмазался зондами от всяких касперских и прочих нодов.
проиграл
Какая значительная, ебанутый? На пикчу свою посмотри, единичные случаи, вся рашка пустая.
>Васяносборка
Ты обосрался, шкальник, у меня оф. американская версия
Алсо это про сайт у них лагал, сейчас всё ок скачалось
Бамп.
Я шляюсь по таким местам, где без него никак. А виртуалку с песочницей заебешься каждый раз поднимать.
Двачую инфу про ржд. В прошлом треде еще писал, что папка в главной конторе запсибмагистрали работает, там много компов зразилось.
>>152976686
В брандмауэре создай правило. покопайся там в настройках, найдешь как
Адекват ИТТ. Мелкософт замешан в этом через АНБ. Если ты хикка, то похуй. Основное направление атаки инфраструктура.
Анонсы он пиздит? Или этому знающему можно доверять?
двачую
Выбор способа оплаты для снятия блокировки пеки.
Похуй,ставь,на виртуалке защищено все:)
Никогда не ставил антивирус
Это ты от страха нажал F12
СПАСИБО МИСТЕР ТРОЯНЕЦ
Поясни
Там все пиздешь
Нет, все верно. Боузер.
Гугл не работает?
Нахуй мне пиздеть, поехавший?
МОЖ ЕЩЕ ЗОНД КАСПЕРЫЧА ПОСТАВИТЬ ПРЕДЛОЖИШЬ?
У меня медиаплеер качает самбой с компа киношки и прочий контент.
Такая себе отговорка. Век технологий. У многих по несколько ПК, планшеты или телефоны для доступа в интернет есть практически у каждого. Да и винда новая 15 минут переустанавливается.
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
Действие в павер шелле
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Давным-давно установленная нелецензионная семерка. Все правильно сделал?
> у меня оф. американская версия
Сидит на российской борде, пишет на русском. Ты какой-то даун видимо
А если такие же как на скрине значит у меня вирас?
Там должно быть browser, зеленый.
>Велика ли вероятность, что этот вирус пойдет по домашней сети?
100% Не шучу. Виртуалка должна быть наглухо отключен от сети.
Оракл шифратор не берет, не ссыте.
НО ОНИ НЕ МОГУТ ЕЕ СКАЧАТЬ
Я не зеленый, а вот ты не очень умный.
Поясняй как закрывать.
Через фаервол комодо закрыл вроде как.
нетстат говорит листенин:
TCP_______0.0.0.0:445__________0.0.0.0:0 ________LISTENING
TCP_______[::]:445__________[::]:0 ________LISTENING
> Если напрямую к интернету подключишься и нету той последней обновы от микрософт - то да
Ну я через роутер сижу. 11го мая прилетела обнова безопасности, сейчас качается Creators Update
Включил его и пошел ссать, дома я один
В той части, что пустая нету населения, чушка ты тупая, опущенный пидор, гугли плотность населения
> Если цифры справа после точки в вашем былде шындоус больше этих
> 1198 > 953
Сам-то подумай.
Объяви карантин.
А теперь проверь в cmd. Пиши netstat -an
Скорее дауны те, кто пользуются программами на русском - там же перевод корявый почти везде
И в случае какой-то проблемы - хуй загуглишь
И репортнешь в тред.
Отключись. Да и вообще, хули вы даете сетевой доступ и делаете домашние сети, раз у вас второй комп засран хуйней всякой?
Какой же ты тупой, просто пиздец.
РЖД кстати пизда. У них там собственная локалка завязанная на организации по всей стране. Безопасники там пинают хуи с момента зарождения вселенной.
мимобезопасник-ушедший-после-1года-работы-в-этой-говноконторе
Синий экран был? Что-то из вышепредложенного для защиты пытался сделать?
Хули шиндоус не обновляешь?
Хуи сосешь?
Это всё Трампец виноват
Просто слепо верить Антону в треде про вирусы как то небезопасно!
Ну ладно. Я не совсем понял больше каких конкретно цифр должно быть, чтобы бы было похуй?
Можешь пруф что-ли дать?
Да я поехавший чутка и тупой.
Откуда эта хуйня берется,где ее подхватить можно?
WNcr@20L7 подходит?
А американская винда тут причем?
Вирус ета вам не динува, рано или поздно доброхакиры сделают декриптор, который расшифрует ваши недопека. Поэтому если есть возможность пользуйтесь вторым винтом и ставьте туда шиндовс а зараженный пусть лежит если там чтото важное. Таких вирусов было и будет всегда, как и декрипторов от них
на маке ?
>smb1
Пидоры из виндовс не могли не обосраться. Какого чёрта это старинное говно вообще включено по дефолту?
Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.
1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-01...
2. Отключитесь от интернета.
3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
4. Вписываете эту команду в командную строку:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.
5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
7. Перезагрузите компьютер.
8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.
Вот и всё. У меня и моих друзей всё заработало.
Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry
Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.
2 выбирай, тут выбираешь с какого диска загружаться. 2 это твой винт
зачем тебе плёнка на мониторе, ебучий шизофрен?
Угумс
Ок, спасибО!
Это не ко мне, а к Биллу с промтопереводом.
спустя почти сутки после начала атаки компания всё-таки решила выпустить экстренные обновления для Windows XP, а также Windows Server 2003 и Windows 8.
в мвд
дебил ебаный, у тебя в панели задач только браузер открыт, иди нахуй со своим паинтом
Нет, нам платят за это.
Саги.
Ору блять с хакиров
Поссал Ленке на ебало
Показать сиськи с пруфами
Пошла на хуй, шлюха ебливая.
Два эти ебаных порта Listening. Пизда.
>уже не поддерживающихся систем
>Windows 8
Неужели в микрософте совсем обленились и восьмерку не поддерживают?
Я просто перезагрузил компьютер и все ок, странно. Это наверное первая стадия заболевания вирусом
Если твой билд больше, чем цифры после точек, то должно быть похуй, это билды, в которые вшили 17-010.
Довен не понимает что закрыть порт и отключить сервис - не одно и то же
> вытиран борьбы с вирусом подхватил эту хуйню
Тык вытираны как раз и подхватывают. Васянам то что? В вкшку зайти и в одноглазники, ну может еще киношку посмотреть без смс. А кулхакеры лезут на всякие хукер.ру, оттуда качают вишмастер под видом радмина, устанавливают и получают то что получают.
ОП-пост читай или пиздуй на пикабу. Там все есть.
>Синий экран был?
Был.
>Что-то из вышепредложенного для защиты пытался сделать?
Нихуя, потому что ещё вчера днём начал действовать вирус.
>>152977120
>WNcr@20L7 подходит?
Что это?
Мыться с мылом
Возможно роутер защищает, возможно диапазон твоего айпи еще не были под атакой.
Это шинда.
>не сидеть в виртуалке и не хранить данные в облаке
Проиграл с поехавших. Еще небось антивирусами пользуетесь?
Скажи пожалуйста, как к интернету подключен? Через роутер?
Это первая стадия заболевания аутизмом.
не пизди, он у них чистый
Через кабель.
Гы. У меня тоже. Пойду в роутере их анально заблочу.
Его надо постоянно прописывать при запуске через администратора. Хз как батник такой сделать. Через рунас не работает
Дошел. СМБ1 не нашел. Мне пизда? Или что-то не так.
>Для Windows 7: SMBv1 отрубается на семёре
Как ввести команду от имени админа? он мне ошибку выдаёт
А у меня нет роутера.
Бля, я подумал больше тех что на скрине, а в посте варианты безопасных винд
Ебать дебил.
еблан, тебе не надо его скачивать, он сам тебя скачает.
поделись ключеком
Т/Й?
Лицухобоги покупают игори и не двигаются даже в сторону закрытия каких-то ссаных портов.
создай его еба
Руками напиши
Не то своё место сфотала
откуда инфа?
Порванка тупая, угомонись
Хороший гой. Купи еще касперского года до 2050. Когда два антивируса стоит, они эффективнее работают.
Я уже десяток сомнительных сайтов с отключенным антивирусом обошел и ничего
Это не так работает, дебилио.
Ну, тогда если что, ты сам себе злобная буратина.
Например, потому что LibreOffice - дно ебаное. А так не знаю конечно...
Он сам тебя найдет, главное, чтобы билд был меньше этих:
10240.17319
10586.839
14393.953
15063.0
попробуй и как для семерки и как для десятки
ВЕЛ ЕТУ ХИНТУ У МНЯ НАЧАЛИ ВИРУСЫ КАЧАЦА
я в твою мамку без антивируса вошел,привет сынок
Куда его писать?
Б А М П.
Какая же у нас страна незаселенная, пиздос.
Проиграл с Камчатки.
Во первых у меня написано не построение ОС, а Сборка ОС
Во вторых 15063.293
Тоесть больше и мне якобы должно быть похуй?
на самом деле мне и так похуй на пеке ничего важного нет
2/3 площади России занимает вечная мерзлота.
Основная часть жителей обитает в европейской части страны.
Даун не понимает что система использует ПОРТ, а не СЕРВИС
Так винда же работает, хули они пиздят?
Жди пока они будут бомбить диапазон адресов, куда войдёт твой.
Поставить патч.
Пруф уровня /b/
А 135 это что такое?
Да. Теперь напиши мне еще 3 поста, чтобы точно удостовериться.
С первого в голос
Очень мало.7200 бачей
Посчитай, блядь, кошельки же указаны.
плюсую вопрос
Поясни нубу, у меня закрыты даже 80 и 443 порт, что уж говорить об остальных. Нужно ли их открыть или похуй?
> у каждого видно всякое говно, типа торрентов и прочей хуйни
Ебать ты конченый
Как торренты связаны с открытым наружу SMB?
отклеилась
А защитник шиндовс, на 10ке который, считается антивирусом?
cmd запускай от имени администратора. В папке системс 32 если что.
Слабо верится, почему так мало?
Тоже через T nod до 20 продлил.
DCOM
тебе это и до вируса непонятно было? сходи на банки сру и почитай как аноны лишаются вкладов и потом сосут хуи в судах, так как спермбанк хос. струхтура.
Дохуя. Те, кто установили хуйню от мелкософта - открыли доступ к файлам. А метили во всякие гос. учреждения
Но ты пруфы так и не скинул, откуда инфа?
первый из трех постов для полного удостоверивания
ya ya sosai lalka
ПЕРЕКОТ https://2ch.hk/b/res/152977799.html (М)
ПЕРЕКОТ https://2ch.hk/b/res/152977799.html (М)
Хоть бы погуглили сначала как OS X пишется
MSBlast
долбоебы блять, это утка. у каждого компа свой пароль и 128битное шифрование
Интересно, а можно так кредитов лишиться? Хотя бы в теории.
Это сама программа этим ключом зашифрована, дурик
Ну напиши мне основные отличия, если я даун такой.
что объяснять. там просто по умолчанию все эти порты закрыты
Это в прогу вводить надо
>Так винда же работает, хули они пиздят?
Я поставил другую винду.
>>152977781
А потом придёт пиздец. Спасибо, не надо.
хуегу даун
Задавайте ответы
так и должно быть. это нормальное поведение. Говорит о том, что команда применилась"
Плюс в командной строке команы не выполняются
Да мне даже пак котиков и пепе было бы обидно проебать
Цикай
Ну да, им же зашифрован контейнер с ключами.
Надо было не SMB отрубать а только SMBv1. Почитай уже нормальные источники https://geektimes.ru/post/289115/
Нет. Без шансов.
Кредиты в отдельной комнате хранятся. А то бы слишком изи было - взял кредит, поджог сбербанк и свободен.
Допустим, но ведь все работает, что не так?
Да.
Ты перестанешь бомбить уже, ебанутый? На пике половины городов миллионников даже не было.
блять, молитва от вируса.хуле дебался?
ПЕРЕКОТ https://2ch.hk/b/res/152977799.html (М)
ПЕРЕКОТ https://2ch.hk/b/res/152977799.html (М)
Ты понял, что написал вообще, петушок?
для тупого поясняю - есть сервис, он слушает на 445 порту например, если мы порт закрываем фаерволом, то сервис от этого не перестаёт слушать на этом порту, т.е. в выводе netstat -an всё ещё будет LISTENING, а подключиться к этому порту снаружи никто не сможет из-за фаервола
это пароль в крипнутый зип-архив с вирусом, запускается распаковка с этим паролем для распаковки вируса на пеку.
спасибо
Так в шапке же как раз 1, нет? Я его вырубил и все.
Гы, я не нашел как у себя заблочить. Есть только фильтр айпи
Так введи код перед этим. Всё равно сносить будешь - хуже не станет
Я не он, но
1. ператке для сети понадобится всякие хамачи и прочее дерьмо
2. в инструкциях к торренту советуют включать всякие upnp то есть авто открывание портов если туда кто то стучится
Так что да на ператках риск больше, потому что есть шанс наебаться и открыть лишнего.
база кредитных историй есть отдельная всероссийская. лишиться кредита не получится, а вот получить обратно уже оплаченный в спермбанке возможно
переименовали в macOS официально уже
Все ровно почему так мало? Среди моих знакомых с пк каждый второй побежал бы платить 300$, а если они подняли столько хайпа ради 7.2к смешно
Я пока что хочу подождать. Может найдут какое-нибудь решение. Если нет, то через день так и сделаю.
Не совсем. На всякий случай включи на роутере DMZ на свой локальный айпи, тогда будешь 100% защищен
Если они там есть, а не присылаются через C&C.
О, братюня с правильным процессором.
Какой смысл наебывать пиратов, если они нищеброды в основном? Если он зажал денег на Винду, игры и т.д, то схуяли он заплатит 300 баксов?
>Microsoft потихому прикрыла дырки обновлением MS 17-010
Но ведь последнее 17-03 не?
https://support.microsoft.com/ru-ru/help/4018124
Так надо сразу делать разметку в либре. И макросы это говноедство, писать надо нормальные проги хотя бы на nodejs
И ради этого имеет смысл покупать Офис от MS?
Блять ну ты олень. Нашли же решение ёбыч. Код введи.
я не понял, это вирус?
Пиксель тредов было больше 50
ТОНУЩЕГО РУБЛЯ ТРЕД
>>152978357
Вы не понимаете, что в работе эта хуйня не допустима
Присылает человечек документик, а секретутка распичатать не может - всё пизда, момент упущен
А как же ТНУС?
Я с прямым подключением.
Конечно закрыты, раз 2ip так говорит
Да блять
тонущего рубля тред, алё, вы чо
Можно, но не в госкомпаниях же. Изначальный вопрос о них был.
И никто куротреды блядь не вспомнил
Да.
Переучивать марью ивановну 1956 года рождения на новую программу сложно, нет? Хорошо это или нет скорее плохо некоторые программы стали стандартом. От человека требуют уметь ими пользоваться.
Всегда проигрую с карты пидорахи
Если последние обновления стоят - то все ок
Я не обновлял свою семёрку уже больше года и норм. Пришёл к выводу, что все эти парашные обновления ненужная хуйня
Вроде да. Но, боюсь, это нихуя не значит, что он закрыт или не будет открыт потом.
Ты дурак блять совсем?
Поставил все обновы, включая эту свежую прям с сайта микрософта, все работает.
Ссылку пожалуйста
Защищён?
SMB через реестр запретил, но обнов не ставил, пускай мелкомягкие в пизду езжают со своими дополнительными зондами
Только через ИЕ работает этот способ
Да что то нихуя не остоновили смотря на карту
>Как выяснили специалисты по безопасности, этот адрес был зашит в коде вируса
>По всей видимости, домен-белиберда был зашит в Wana Decrypt0r на самый крайний случай, если распространение вируса внезапно потребуется остановить
Откуда столько уверенности?
Кинь ссылку
крестик серый и не нажимается ебать
Этого же хватит?
Билд стоит
>14393.953
Но я слишком параноик.
Ты ебанутый? Нахуя ты исходящие заблокировал
Потери данных НЕ-БУ-ДЕТ
Кем заменяется? Рандомным адресом, получившим пакет - тогда какой же он рандомный, раз настроен на то, что нужно дальше сделать? Самим пакетом? Там в пакете код в пакете, самоисполняющийся медью проводов?
Нет, этот экплойт не про юсб.
Удостоверься, что у тебя официальная винда не от васяна и включено автообновление.
Не хуже, чем АСЯ МАСЯ ПАСЯ твое корейское.
С этим проблем точно нет, благодарю.
Че то я нихуя не понимаю.
Хуя у тни на пике пузо, пельменей пережрала или личинус завелся?
Хуйдожник проебал перспективу пояса и тень на футболке
За тобой уже выехали.
Хех, а мне мой варианты больше нравятся.
Уже на вики статья есть?
Вы видите копию треда, сохраненную 13 мая 2017 года.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.