Comments 856
Спасибо что сообщили
Сегодня в Ubuntu/Apple/любом другом дистрибутиве открывают шампанское, тк сколько будущих тендеров они победят теперь :)
Ну собственно снова мы убедились, что СПО лучше закрытого…
Ну собственно снова мы убедились, что СПО лучше закрытого…
Вспоминаем heartbleed и прочие разности. Дырки есть везде.
Руководителям и СМИ данная «атака» нагляднее, чем какие-то перехваты RAM на сервере.
Т.е. в тендере так и писать «руководителями и СМИ не должна быть замечена атака на ....»?
В тендере можете писать всё что угодно, я говорю о том, что новость о heart bleed не настолько сильно была растиражированы и обычный потребитель скорее всего не заметил влияние на себя. А тут у нас как минимум:
1) мегафон
2) ск/фсб
Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.
Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
1) мегафон
2) ск/фсб
Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.
Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
> «что бы не было как 12 мая по всему миру»
А, собственно, что случилось то?
1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.
И там ниже говорят аж 24 человека заплатило на текущий момент.
Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
А, собственно, что случилось то?
1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.
И там ниже говорят аж 24 человека заплатило на текущий момент.
Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
Из самого серьёзного — это множественные перебои в работе службы здравоохранения в Англии и Шотландии.
А Мегафон до сих пор не работает, по крайней мере в Поволжье.
А Мегафон до сих пор не работает, по крайней мере в Поволжье.
> А Мегафон до сих пор не работает, по крайней мере в Поволжье.
Откуда инфа?
> Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.
> Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised
Ну… Переустановят винду завтра.
У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
Откуда инфа?
> Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.
> Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised
Ну… Переустановят винду завтра.
У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
+ Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Вообще NHS еще давно предупреждали. Если безопасники профукали слив пачки 0-day эксплойтов и за два месяца не обновили сеть… То сами виноваты.
XP увы еще много где есть, на неё есть патч?
Разве что превратить её в POSReady версию с помощью ключа реестра и скачать обновления. Но это неофициальный метод.
Да, выложили на блоге Microsoft
Меня смущает embedded в названии апдейта. Скачал, попробовал запустить — выругалась на неподдерживаемую версию оси. Видимо таки для обычной ХР нет патча…
Есть на обычную XP, но часто ссылка на embedded ведет (даже на русскую версию с сайта майков). Нужно та, где только custom в названии.
В этом комментарии есть правильная ссылка
Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.
В этом комментарии есть правильная ссылка
Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.
Была такая же проблема. Cкачал по ссылке которую выложили на ruboard. Помогло.
Там же есть патч для английской не-embedded XP. Но проверять не на чем. Embedded действительно на consumer версии не ставится.
вот прямая ссылка для XP
угу, но только уже после факта массового заражения :)
У вас методичка старая, зайдите к куратору, по п.2 уже признали. Да и рунет пошёл скриншоты со странными названиями папок обсуждать.
Достаточно 10 историй о потерянном архиве детских фотографий и дипломных работ растирают повинных в соц. сетях.
И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
p.s. надеюсь автора зловреда устраняет при сопротивлении во время задержания.
> И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.
Это аргумент в копилку людей, выступающих за бекапы.
Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.
Это аргумент в копилку людей, выступающих за бекапы.
Увы это вам очевидно, как понимающему как работают криптовалюты в текущем правовом поле.
Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
Не надо путать причину со следствием. Когда хотят бороться с анонимностью и тратить деньги — для этого подходит любой высосанный из пальца аргумент, «копилки» там не нужны. Ну то есть нужны, но совсем другие, не с аргументами.
> ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
> ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
Почему вы априори считаете что хотят увеличить расходы?
Большая часть людей когда предлагает ту или иную идею как решить текущую проблему ( на их взгляд ) не задумывается над тем какие косвенные затраты предлагаемое решение даст.
Это как с установкой знака 40 в на трассе в поле где случилось 2 серьёзных аварии за год, вроде разумное решение(интуитивно снизить опасность ДТП), но не учитывает многих аспектов.
«Автозамена» в Android творит чудеса.
растирают повинных — растиражированных
устраняет — устранят.
НЕ заметнее???)))
Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
А, собственно, что случилось то?
НУ например, несколько часов, в моем городе не работали терминалы оплаты.
Не знаю как обычные офисы Мегафона, но в пятницу корпоративные офисы не работали.
Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
Более того эти антивирусы сертифицированы по требованиям ФСТЭК, конмпьютеры, сети аттестованы, за все уплочено, а на выходе пшик!!!
Собственно, аргумент, что эти недоподелки от серьёзных проблем не спасают. Какие-нибудь банеры и что-нибудь в этом духе — может быть, но не более. Кстати, от совсем простых тоже не спасают. Был случай: вирус подправил ссылки в ярлыках браузеров. Ни стоящий на машине nod, ни cure it, ни даже avz ничего не обнаружили.
сколько будущих тендеров они победят теперь :)
В пределах погрешности.
Мы убедились, что за два месяца админы не поставили патч, закрывающий эксплуатируемую уязвимость.
Ага, heartbleed в СПО как раз было. И было долго-долго.
Поглядите свежие новости, про заражения macOS.
перехожу на убунту)
Пару дней попробовал вот уже в который раз — вернулся обратно. Всё ещё рановато.
offtop: а что не понравилось, если не секрет?
Видимо, windows головного мозга не даёт понять, как эта хрень вся работает.
Не хватает фара, для начала. MC не предлагать.
Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
Это очень быстро навевает тоску и diskpart, select disk 0, clean
Более менее живые — только appliance версии софта, и то не все.
Не хватает фара, для начала. MC не предлагать.
Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
Это очень быстро навевает тоску и diskpart, select disk 0, clean
Более менее живые — только appliance версии софта, и то не все.
Так тут проблема в ваших привычках, а не в Ubuntu.
Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
Привычка — само собой, но тот же android берешь в руки, и там как-то сразу можно начать решать нужные задачи. Т.е. продукт допилен. Что бы поставить любую программу, мне не надо вчитываться в ошибки в консоли.
Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
Привычка тут на пятом-десятом уровне важности.
Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
Без Esc и Backspace на новых маках — ну его в баню :)
Качайте отсюда — Linux Mint, например KDE-версию, и пробуйте. Файловые менеджеры там (в линуксе) гораздо приятнее. Будет и «плазма» и рабочий стол кубом.
Удивительно, но вместо фара под линуксом есть… FAR. Правда новость от февраля этого года и по видимому там работа еще идет. Или можно еще double commander <-> тотал командера. Заявлялась даже совместимость плагинов, хотя подтвердить не могу.
А чтобы облегчить переход на убунту с винды то пожалуй лучшим советом будет сразу забить на Unity, тем более что сам Canonical от него отказался. Рекомендую посмотреть в сторону KDE или MATE версий убунту LTS. Для первых linux mint KDE или KDE neon (c kubuntu не сдружился, уже и не припомню почему). А для мате соотв. версия mint'a.
P.S. сам в восторге от KDE5.
Не споткнитесь. Там даже для Солярки 0-day выложили.
Родителям дома поставил Ubuntu 16, пользуются браузером Хромиум. Недавно пожаловались, что невозможно пользоваться интерентом из-за рекламы. Заразился хромиум черти-чем, поверх любой страницы показывал тонны рекламы, кнопки настройки браузра — не работают, горячие клавиши — отключены. Пришлось помучиться, что бы избавиться от этой заразы.
а в чём было мучение? каталог у хромиума всего один же ~/.config/chromium
его надо только снести и всё
его надо только снести и всё
А вкладки, исторя, пароли и т.д.? Но смысл не в этом, а в том, что вирусы есть под все, а то господин "shifttstas" слишком самоуверен...
Это кем надо быть чтобы держать открытым 445 порт наружу?
Вирус только для лошара-админов и тех кто не ставит обновления годами.
Вирус только для лошара-админов и тех кто не ставит обновления годами.
На всяких пикабу пишут, что оно и через NAT проходит. =)
— Как оно проходит, роутеры ломает?
— Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
— Как оно проходит, роутеры ломает?
— Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
Под рукой 2 сервера 2008R2 без патчей, один с прямым IP другой за роутером
Никаких вирусов не прилетало, фаервол штатный
Никаких вирусов не прилетало, фаервол штатный
Шансы поймать даже скан на конкретный IP-адрес довольно малы. Не думаю что там запустили сканирование всея интернета, даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
UFO just landed and posted this here
На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
masscan + PF_RING + десять серверов на ксеонах с гигабитными интелами (и каналами) = 30 минут на весь диапазон по 1 порту
упс, уже писали, удалено.
Что что, на пикабу как раз в комментариях про роутеры и NAT пишут, ни слова про всякие АНБ )
Некоторые провайдеры режут 445 и 139 порты у абонентов, РТ точно так делает
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс
То есть нужно только подключение к интернету?
А если повторить но без сетевого подключения т.е. физически его оставить а просто отключить сеть в винде?
Совершенно верно, достаточно только подключения к интернету, возможно прямого т.е. не через роутер.
Без сетевого подключения понятное дело что ничего не произойдёт, без сетевого адреса скачивание чего-либо из интернета невозможно.
Меня заразило через ADSL роутер. NAT ему не помеха.
Как интересно, значит похоже что винда сама что-то скачивает, и это объясняет обход фаервола.
NAT != firewall
Да, но порт ведь просто так снаружи не доступен, если явно не проброшен. Разве нет?
UPnP же! Особенно в современных роутерах…
Т.е. с использованием UPnP можно открыть порт снаружи? Я всегда думал, что оно работает только изнутри.
Нет, пользовательский компьютер запрашивает проброс порта SMB и вуаля.
Ситуация: из нашей локальной сети в офисе есть доступ в подсеть абонентов, ряд наших серверов, то же видеонаблюдение настроенное на Windows Server 2008 или Telescan на Windows 7 смотрят в мир с публичным IP. Предположим, по причине криворукости наших админов, вирус поразил один из этих серверов и если вирус достаточно умен, далее по цепочке он заразит нашу локальную сеть, а из нашей локальной сети немалую часть машин наших абонентов. Вот так вот абонент находясь за провайдерским NAT может стать уязвим.
Либо ситуация еще проще: предположим у человека на роутере NAT, все пробросы запрещены и даже адрес серый, т.е. человек находится за двумя NAT — роутера и провайдера. Но что мешает человеку притащить зараженное устройство к себе в локальную сеть? Будь это рабочий ноут или ноут друга?
Но и это не все. На хабре бывало проскакивали статьи что NAT и firewall не есть одно и то же и рассматривать NAT как защиту — неправильно. Вот что смог найти сходу:
А можно подробности? Что за роутер, какие у него настройки, нет ли проброса портов? Есть ли другие компьютеры за роутером? Нет ли ноутбука, который принесли и подключили к той же сети?
А заразившийся компьютер у ADSL роутера не в DMZ случайно? На них это довольно распространенная конфигурация.
UFO just landed and posted this here
достаточно остановить службу «сервер». Будет защита и от локалки и от внешней сети.
Возможно, что дело в уязвимости самбы. В любом случае, звучит очень жутко.
П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
Вполне возможно, т.к. апдейты в систему ещё не устанавливались, но мне дико интересно каким образом оно обошло виндовый фаервол?
Вроде вот патч
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Простите за глупый вопрос, если винда стоит на самообновлении, то всё будет нормально? Или этот патч надо обязательно отдельно качать?
Если авто — то уже давно скачался.
Даже если после поиска номера нужного патча через командную строку, он не был найден?
Он может быть заменен свежим кумулятивным обновлением. Попробуйте проверить историю обновлений которые начинаются с чего-то типа 2017-05 Cumulative Update. Там по ссылочке на сайт и внизу описано что было заменено. Ну и отключите SMBv1
Сегодня делал обновление Windows Server 2008 (не R2). Сначала сделал автоматическое обновление — соответствующей KB в журнале не появилось. Потом скачал апдейт вручную и установил — апдейт установился и не ругался, что уже установлен.
А кумулятивные не ругаются вроде. Они что-то делали что вычисляется набор патчей которые уже есть, докачивается остаток и все это дело гордо обзывается CU. Но хз работает ли на 2008 так.
Так не ругнулся не кумулятивный, а именно апдейт под эту дыру, хотя я ставил его после автообновления и затем поиска обновлений, показавшего, что система свежая, обновлений больше нет. Благо в настройках сетевого адаптера, смотрящего во внешнюю сеть, я ещё несколько лет назад (когда ставил Win) отключил Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft; получилось, что 445 порт открыт не был.
Вот еще офлайн установщик обновления, если кому нужен.
по ссылке выдаёт ошибку, чё ж делать?
Открыть центр уведомлений, найти это обновление и установить его.
Тыкать вновь и вновь. Центр обновлений конкретно так прилёг.
Я выкачал себе апдейты на х64 и х32, могу залинковать.
Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
Я выкачал себе апдейты на х64 и х32, могу залинковать.
Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
XP ещё не хватает.
Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
Подхватил эту дрянь тоже. Вроде как помогло отрубание SMB у сетевого адаптера. Перестал появляться после удаления. Удалял при помощи Malwarebytes и оставил ее включенной на всякий пожарный.
Наш отдел безопасности (но на английском, правда) практические советы опубликовал
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
Эхх… как же скучно я живу.
Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
Same story bro. Диски чаще ломаются чем вирусы подхватываешь. Возможно ентерпрайз сектор больше подвержен атакам по многим причинам. Фишинг, открытые шары типовые конфигурации.
Вы вообще заметили, о чем пост? Все что нужно для заражения — это Windows, выход в интернет и немного невезения.
Я заметил что заразилась только серверная винда с индексом 2008 в имени.
Кроме того например в организации где я работаю (крупная it компания), на корпоративные ноутбуки всем продолжают устанавливать windows 7 хотя 2017 год на дворе. Это и приводит к массовым заражениям. Одно дело домашние пользователи с зоопарком, другое дело несколько тысяч одинаково настроенных машин с одной и тойже дырой в безопасности.
у нас так же было. купил просто директор в лохматые годы пачку лицензий и всё. с новых ноутов сносили win10SL и ставили win7. дров, ессно не было, из мощных ноутов получался дырявый во всех смыслах хлам.
Для Win7 обновления безопасности все еще выходят.
Да выходят, но в новых системах старые баги могут быть закрыты по умолчанию. «The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.» https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
Простите, а семерку обновлять вовремя религия не позволяет?
Моего товарища заколебала попытка MS установить Win 10 вместо Win 7, вот он и отрубил автообновление и забыл про это.
Присоединяюсь, по этой же причине поймали этого зверька.
(знаю, сами балбесы)
(знаю, сами балбесы)
UFO just landed and posted this here
GWX изредка «глючил» и ставил обновления несмотря на политики и членство в домене.
нет-нет. Это как будто вы предлагаете разобрать замок на двери и убрать в нём пару деталей, чтобы заедающие части не мешали. При том что вы не разбираетесь в замках.
Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.
Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.
Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
Судя по тому, что обновление было выпущено ещё в марте, пост о том, что бывает с теми, у кого отключены автоматические обновления, ну либо с теми, кто только устанавливает винду, но для вторых заражение не так критично.
Как сказать, винда не всегда на голый комп ставится
хитрый пиар-ход microsoft для сервиса автообновлений)
В приличных конторах автообновления включены, но только качаются с собственного сервера обновлений. А перед тем, как одобрить обновление для массовой установки, оно может несколько месяцев тестироваться в лабе или на не-критичных серверах. Потому что поймать локера — это грустно, спору нет. Но никак не менее грустно, когда после массовой установки недостаточно хорошо протестированного обновления у вас все виндовые сервера полягут. Поэтому дельта в несколько месяцев между выходом и установкой обновления — это суровая производственная необходимость.
Интернет не обязателен. Достаточно наличие в локальной сети хоть одного зараженного.
выход в интернет и немного невезения
Забыли добавить, заодно все порты открытые. Вирус же порты сканирует, достаточно обычного маршрутизатора…
Дома лишь однажды заразу подхватил. Это было в эпоху до интернетов и возможно до винды на моих компах. Вирус как-то назывался cih или wincih.
Nmap даже не сканировал порты, так как хост не отвечал на пинг. Попробуйте просканировать принудительно с ключом -Pn.
Вы абсолютно правы, вот вывод:
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 5.92 seconds
Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
Может быть кто-то из сотрудников забирал домой ноутбук, который там и был заражен. После возвращения в корпоративную сеть началось веселье.
Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно? Хотя, возможно, я смотрю на мир идеально...
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
3G модем, как вариант. Или роутер в режиме моста. Хотя мне доводилось встречать и файерволл, настроенный на «всем можно всё». Некогда было начинающему админу разбираться после переезда, а потом он попросту забыл до того момента, когда начались проблемы.
3G модем, по умолчанию, ни у одного сотового оператора не выдает внешний IP абоненту, там все за NAT спрятано — реальный адрес подключит только тот, кому это действительно надо… Тоже и с режимом моста — такое настроят только те, кто разбираются.
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
В моём конкретном случае, я подготавливал базовые образы Windows для публичного облака, в дальнейшем они будут использоваться как темплейты при создании VPS.
То что виртуалка имеет один внешний IP-адрес — совершенно обычное дело.
Я хоть и работаю с VPS только на Linux, но в первые же моменты их настройки, с помощью iptables открываю 22 порт для своего IP адреса и закрываю абсолютно все другие входящие порты, делая открытыми по мере необходимости… Как-то это уже само собой прижилось.
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
Мда… неприятная штука… Сегодня такую же подхватил. Жила себе виртуалка с бэкапом базы на 2008R2, понадобилось напрямую с неё слить несколько файлов, думаю дай пропишу реальный IP, ну всего-то на пару минут. Копирую себе, ничего не подозреваю, глянь а там уже почти все файлы зашифрованы.
Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
Все очень быстро.
Хорошо бэкап был…
Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
Все очень быстро.
Хорошо бэкап был…
Об этом вещает даже федеральный канал:
http://www.vesti.ru/doc.html?id=2887397
http://www.vesti.ru/doc.html?id=2887397
На Пикабу говорят, что вся внутренняя сеть Мегафона поражена этим вирусом, и частично Билайн и МТС. Не знаю, насколько можно верить Пикабу, но об этом сообщили несколько человек.
Показали по телеку, комментарии от Мегафона, Клименко и других личностей.
https://files.catbox.moe/b1hi5w.webm
https://files.catbox.moe/b1hi5w.webm
да, там в МГФ все очень серьезно было.
Просто охренеть, и еще ведь Windows-инфраструктуры закупаются в гос учереждения, школы, магазины
Будет подходящий «клиент» на Линуксе — напишут и под него локеры. Пока линуксом пользуются программисты, админы и просто энтузиасты — народ технически подкованный, локеры писать на него нет смысла.
Так может в этом все и дело, как раз после OS Day.
Охренеть, что админы не обновляют системы? Уязвимость поправили еще до слива тулкита АНБ.
ну так ты попробуй обновить старенький комп, на это несколько суток уйдет. микрософт давно разогнал программистов способных делать что то годное
+100 Загрузка памяти до 2гиг при наличии всего 2 гиг и так несколько часов — система ищет в фоне обновления. На старых машинах обновления зачастую нереально запускать, а СП не выпускают. Опять же рекорд установки автообновления был около 16 часов, 16 часов компьютер писал не выключайте и не перезагружайте, а работать люди когда будут?
UFO just landed and posted this here
… распространяющийся через нерабочую систему автообновления?
Для семёрки — KB3102810. Нужно скачать и поставить ручками. После перезагрузки обновление опять начнёт работать гладко — как в старые, добрые времена.
Очередь за талонами на талоны…
А может стоит почаще обновляться и узнать, что обновления переделали. И обновлять в ночное время?
Где что переделали? В вин10 некоторое время обновления ставились с такой скоростью будто в микрософте что то изменилось но со временем стало понятно что ничего не меняется.
У нас где-то месяц назад одно из обновлений Windows сделало массу машин неработоспособными: в процессе обновления процесс сжирал всю память и проц (включая серваки с 32 ГБ оперативы на борту) и не завершался даже по прошествии нескольких суток. Узнал по жалобам пользователей сервиса, у которых загрузка данных с серверов стала жутко тормозить. С тех пор обновляемся только руками.
Если вы админите сеть то через WSUS накатывайте и валидируйте обновления.
Вкратце, как это происходит? Не использовал WSUS.
Тут интро с TechNet.
Тут QuickStart.
Так же сверху накинуть DeviceGuard. Еще сейчас разбираюсь с WDATP.
Тут QuickStart.
Так же сверху накинуть DeviceGuard. Еще сейчас разбираюсь с WDATP.
Просто не нужно было отключать обновления и все. А то больно уж это похоже на борьбу с терроризмом — боремся только в день теракта и на следующий, потом забиваем, пока опять не рванет.
что бы обновить систему зачастую нужно разрешение + обновление на физическом носителе.
проще не подключать систему к инету.
и обновление вполне может приходить с отставанием год- или два.
А майкрософт в чем виноват-то? В том что люди не обновляются, ставят касперские и прочую гадость и чего-то ждут?
Видать народ не спешит отказываться от Win7.
UFO just landed and posted this here
Смеялись над теми, кто не хотел слезать с XP те, кто сейчас смеются над теми, кто не слезает с семёрки. XP еще менее безопасна во всех смыслах.
UFO just landed and posted this here
Самое веселое, что на XP вирус не работает.
Есть доказательства?
На десятке до сих пор часть драйверов отсутствует или не работает. Например, один из самых популярных USB-UART — CH340/341SER.
Работает.
Не вводите людей в заблуждение, все прекрасно работает.
Работает, но только для оригинальных чипов, а не для китайских копий. Просто последняя версия драйвера стала проверять чип на подлинность, у вас видимо не проходит, вот и не работает. А старые дрова без проверки подлинности не имеют сертификата или вешают систему в блускрин. Так и живем)
А вы не перепутали FTDI/PL2303 с CH340/341? Последнее чисто китайский продукт, к которому есть подписанные драйвера, включая 10.
Вот я все смотрю на китайские чипы 2303 и аналогов и веселье с драйверами от 2007 года.
А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
Патч был еще в марте, и на Win7 тоже https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Автообновление Windows спасает
Автообновление Windows спасает
у меня включено автообновление, но почему то не было этого патча, пришлось ставить руками, причем поиск обновлений выдает, что нет доступных.
Вот и у меня тоже самое, поиск обновлений говорит все ок, но патча нет, в ручную ставится.
И так на 3 серверах.
Как-то странно, у кого-то есть мысли почему так может быть?
И так на 3 серверах.
Как-то странно, у кого-то есть мысли почему так может быть?
Так патч и номера в статье — мартовские, а сейчас май. Обновления качества кумулятивные. Номер уже другой.
Т.е. способ проверки наличия патча, предложенный в статье, не работает?
На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).
Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?
На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).
Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?
да, KB4019264 кумулятивно содержит в том числе патч smb1 по которому работает этот вирус.
А если поверх установить спец патч для SMB? Будет ли конфликт? Я кстати не знаю, как в виндах обрабатывается этот момент.
при установке обновления или патча он сам разберется что делать, так что конфликта не будет. Этот момент целиком и полностью определяется программистами при написании патча. Скажем я как программист могу решить что мой патч может доделать что либо уже за установленным патчем или может снять его и сверху накатить новую версию. В любом случае это решается не пользователем. Куча обновлений которые вы ставите являются кумулятивными, т.е. их часть гарантированно уже стоит в вашей системе и проблем у вас при установке не возникает. Так что не паримся.
Windows 7 официально поддерживается до 2020 года и уязвимость имеется не только у Windows 7.
Окончание расширенной поддержки Win7 закончится только в 2020 году, нет никакого смысла отказываться от неё. За 20 лет на виндах я усвоил простое правило: лучше ставить Windows значительно позже её релиза, чтобы систему успели привести к работоспособному состоянию, весь софт успел обновиться для её поддержки и т.п. И не забывайте о железе, поддержка которого прекращена, а потому драйверов под новую версию не будет. Так мне придётся выбросить мою звуковуху и потратить ещё тысяч 25 рублей на покупку новой, чтобы перейти на Win10.
Совершенно не факт, что придется. Отсутствие актуальных драйверов не означает обязательной неработоспособности устройства. Например, я использую на своей win10x64 1607 древнюю звуковуху M-Audio Revolution, дрова на которую есть только под Висту. И что же — все ставится и чудесно работает в десятке. Поэтому — сначала проверьте.
Причем тут семёрка? Уязвимы все версии с XP по 2016.
Мне почему-то кажется, что данный инцидент станет причиной множества нововведений в сфере контроля над интернетом в РФ… :(
Так и будет, до 12 июня надо успеть заблокировать youtube
Какая взаимосвязь? Хотя ее найти можно. Но все же.
Да. К сожалению такое возможно. Даже как по мне очень и очень вероятно.
Скорее болгенOS и антивирусы Попова.
Хорошая ОС, и вирусы интересные… Позавчера торрент скачал, кино, тыкаю на него, выскакивает предупреждение безопасности о запуске исполняемого файла. Смотрю расширение обычное, mkv, но в середине имени файла — еxe. Пытаюсь редактировать имя файла, а в нем, видимо, какой-то спец-символ юникод и текст идёт то слева направо, то справа налево, т.е. расширение как бы вовсе и не в конце оказалось. Какие ещё фокусы допускает система с именем файла, я не знаю, может гиперссылку туда вставить можно, скрипт? Или это в следующих версиях ждать?
UFO just landed and posted this here
Технически очень сложно. Юникод запрещать нельзя, потому что домохозяйка где-нибудь в индии хочет назвать файл на родном языке. Фильтровать символы в юникоде на буквенные/небуквенные то еще развлечение.
Подозреваю, что письмо справа налево и обратно слишком часто пользуется в более арабских языках, чем наш.
вас развели как обычно )))
Старый добрый спуфинг имени файла. Достаточно создать вредоносный исполняемый файл с именем, допустим, 3pm.scr и при переименовании выбрать по ПКМ меню «Вставить управляющий символ Юникода -> RLO». Вуаля, мы получили rcs.mp3 и он всё ещё исполняемый.
Значит, программисты антивирусов зря едят свой хлеб, если анализаторы это не ловят.
Разрабы антивирусов едят свой хлеб _только_ потому что такие трюки возможны.
Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату — юзер лишается возможности работать со своими файлами, пока не расшифрует их.
Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.
Не получится запретить доступ к документам. Не получится запретить запуск [url=https://www.gnupg.org/]gpg.exe[/url] — это полностью легитимная утилита. И так далее. Только строго ограничить список директорий, откуда могут запускаться программы. Никаких %Temp% (да, придётся снимать запрет на время установки нужных программ и обновлений%, никуда не денешься), %Desktop% и т. п.
В принципе, частичное решение возможно. Я про такое писал, только на примере GNU/Linux
https://habrahabr.ru/post/113143/
И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
https://habrahabr.ru/post/113143/
И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
Символ Юникода RLO
http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
хабраэфект положил сайт со статьей :)
добавлю информацию в статью
Патч от 28 марта? Сегодня вроде уже середина мая. Этот шифровальщик уже так давно бушует чтоли?
Охохо, вот это я вовремя подсуетился.
А для Windows XP и патча теперь не будет.
А еще для 95/98/2000.
Для XP выпускаются апдейты если что. Их просто нужно включить
http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hack
http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hack
UFO just landed and posted this here
вроде и для x64 есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
UFO just landed and posted this here
А что с Win2000, не знаете? Я, конечно, закрыл 135 и 445, проверил компоненты системы на наличие SMB — пусто.
По хорошему, конечно, пора закапывать.
Можно поинтересоваться, почему вы все ещё пользуетесь ею?
Можно поинтересоваться, почему вы все ещё пользуетесь ею?
Конечно, пора. Обслуживаем АСКУЭ, у заказчика стоят старенькие УСПД на железе Advantech с 2000 виндой на борту. Для опроса имеющегося количества счетчиков их хватает. Если обновлять — то только с железом, что выйдет не очень дешево, плюс имеются тонкости построения самой АСКУЭ. Хотя, пожалуй, подниму еще раз вопрос об этом.
Пишут, что выпустили спец-update для Windows XP, Windows 8 и Windows Server 2003:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Удивительно, но Microsoft сделала обновления и для нее, вот офлайн установщик обновления. Обновление вышло в том числе для Windows XP, Windows XP x64 Edition, Windows Server 2003 и Windows Vista.
На ХР до сих пор выпускаются обновления и все уязвимости закрываются как и, например, на семерке.
Это всё из-за того, что люди не предохраняются от открытых виндовых портов в инет. И пофиг, какая версия — эта проблема ещё с 98й как минимум существует в разных проявлениях. Апдейты винды не панацея.
А какой рецепт для среднестатичного пользователя?
Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.
Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.
Comodo (CIS). Использую только файрвол. Мне на Win7 x64 хватает версии 5.10, как самой стабильной и нетребовательной к ресурсам.
Не нужны никакие комбайны. Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.
А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.
Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
В статье я писал, что виндовый фаервол не защитил windows от данной атаки, даже несмотря на то что сеть была помечена как "общественная"
А есть новости, как эта штука за NAT пробирается? И насколько я понял 100% защита от неё — это только патч от MS?
Но nmap выдал открытые порты. Фаервол был открыт.
Вероятность того, что сам по себе «фаервол не защитил» стремится к нулю. Тут есть еще один нюанс, при попытке воспользоваться сетевыми ресурсами в общественной сети «Проводник» Windows предлагает 2 варианта:
Если выбрать второй вариант, то изменятся настройки фаерволла, которые закрывают порты данной службы. В таком случае все последующие «общественные сети» будут для данного компьютера опасны.
- Сделать сеть частной
- Разрешить общий доступ к файлам и принтерам в «общестенных сетях»
Если выбрать второй вариант, то изменятся настройки фаерволла, которые закрывают порты данной службы. В таком случае все последующие «общественные сети» будут для данного компьютера опасны.
Я с «Agnitum Outpost Firewall» пересел на «Jetico Personal Firewall» для домашних пользователей он бесплатный и в отличие от первого гораздо шустрей.
Пост от ЛК по этому поводу.
И им платят по этому адресу, хотя транзакция ещё не потверждена
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Update: уже потверждена.
https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
Update: уже потверждена.
Я не понимаю, как они идентифицируют компьютер и платеж, если, судя по скриншотам, в программе вбит единственный Bitcoin-кошелек. Либо ключ расшифровки один на все компьютеры, либо файлы только шифруются, но не расшифровываются.
Именно! Я смотрю — там второй платёж пошёл уже, значит вы правы — адрес не уникален и либо один ключ на всех либо просто вымогательство без расшифровки.
Ну короч, в семпле, который у меня, три биткоин-кошелька вбиты.
Внутри EXE-файла — ZIP-архив с паролем WNcry@2ol7. Внутри архива много файлов, один из них — сам exe-файл вируса и шаблон текста, куда заносится fprintf'ом выбранный кошелек. Также в комплекте Tor с хостами для него.
Внутри вируса из ZIP еще один кошелек (совпадает с одним из предыдущих):
Качается дллка с тор-сайта, загружается через loadlibrary, там функции CryptImportKey && CryptDestroyKey && CryptEncrypt && CryptDecrypt && CryptGenKey
Сейчас дальше посмотрю.
Внутри EXE-файла — ZIP-архив с паролем WNcry@2ol7. Внутри архива много файлов, один из них — сам exe-файл вируса и шаблон текста, куда заносится fprintf'ом выбранный кошелек. Также в комплекте Tor с хостами для него.
Внутри вируса из ZIP еще один кошелек (совпадает с одним из предыдущих):
Качается дллка с тор-сайта, загружается через loadlibrary, там функции CryptImportKey && CryptDestroyKey && CryptEncrypt && CryptDecrypt && CryptGenKey
Сейчас дальше посмотрю.
Это «адреса», не кошельки. Они могут принадлежать одному кошельку либо разным, кошелёк может выдавать адрес на одну транзакцию или использоваться для нескольких. Нормальная современная практика для приёма крипто-платежей — это генерировать уникальный адрес для каждого платежа, чтобы затем мониторить поступление платежа на конкретный адрес и, таким образом, знать за что пришёл платёж. Здесь же всего три адреса (всё равно что один), так что непонятно от кого пришёл платёж и какой конкретно компьютер нужно расшифровать.
Я знаю. На первый взгляд, сервер сообщает точную сумму перевода, и для каждого компьютера различие в сумме платежа разное. Так и отличают.
Еще в вирусе можно отправлять сообщения автору.
Еще в вирусе можно отправлять сообщения автору.
Ну да, как-то по детски всё-таки. Похоже что нет какого-то серверного кошелька, который можно мониторить и реагировать на входящие транзакции, а есть десктопный или мобильный кошелёк-клиент (скорее — три) и поступление средств на него наблюдают просто глазами).
Возможно они сами не ожидали, какую дверь открывают.
На данный момент на все 3 адреса поступило 4.21630739 BTC (около $7,200 по текущему курсу) — на всемирную эпидемию не катит, только 24 жертвы заплатили. И это хорошо.
>> Еще в вирусе можно отправлять сообщения автору.
кто-то передал 1FuckUT7EhQ2dbuk3bErxS4RcFzDyX8u8d 0.00001 BTC
кто-то передал 1FuckUT7EhQ2dbuk3bErxS4RcFzDyX8u8d 0.00001 BTC
Требование на всех компьютерах заплатить $300. То есть суммы разные, но привязаны не к компьютеру, а к курсу биткоина.
Ошибся насчет загрузки длл, с тор-сайта загружаются ключи шифрования, а функции подгружаются из криптопровайдера Windows. Легко расшифровать, похоже, не получится.
http://blog.emsisoft.com/2017/05/12/wcry-ransomware-outbreak/
Unfortunately, after evaluating the way WCry performs its encryption, there is no way to restore encrypted files without access to the private key generated by the ransomware. So it’s not likely a free WCry ransomware decrypter will be available for victims.
А ключи загружаются туда или обратно? Где они генерятся?
Могли бы вы скопировать текстом номера BTC-кошельков?
А не проще Tor на firewall из внутренней сети заблокировать?
И тогда, даже, зараженные машины из внутренней сети не смогут скачать часть программы с шифрованием
И тогда, даже, зараженные машины из внутренней сети не смогут скачать часть программы с шифрованием
Q: How can I trust?
A: Don't worry about decryption.
We will decrypt your files surely because nobody will trust us if we cheat users.
Они объяснили это так. Ещё в программе есть кнопка check payment, которую нужно нажать после оплаты, но что она делает они не написали. По каким-то причинам эта кнопка работает лучше по будням с 9 до 11.
Положили кошелек на дороге и надеются, что никто не возьмет.
Зачем 135/445 открывать наружу? Ёжику понятно, что есть 100500 дырок в нем нашли, то и 100501 найдут.
Всё вполне ожидаемо, но плюс есть — будут умнее.
Зачем 135/445 открывать наружу? Ёжику понятно, что есть 100500 дырок в нем нашли, то и 100501 найдут.
Всё вполне ожидаемо, но плюс есть — будут умнее.
С форума касп-клаба:
Рекомендации по лечению:
— Убедитесь, что включили решения безопасности.
— Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
— Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
— Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
Рекомендации по лечению:
— Убедитесь, что включили решения безопасности.
— Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.
— Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».
— Проверьте всю систему. Обнаружив вредоносную атаку как MEM:Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.
— Откажитесь от продуктов «Касперского»
«Сконтактировавшись с бывшими коллегами...»… Жесть! Связавшись же!
Вы пишете
Если находишься за нат то в принципе можно не переживать? Мне не очень понятно что за уязвимость SMBv1.
+все апдейты ставятся автоматически(как было по умолчанию от Майкрософт).
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс на ней, как сразу же в течении нескольких минут она была заражена.
Если находишься за нат то в принципе можно не переживать? Мне не очень понятно что за уязвимость SMBv1.
+все апдейты ставятся автоматически(как было по умолчанию от Майкрософт).
Мне бы тоже хотелось узнать.
Сейчас 3 компа за модемом, а ведь пул айпи примерно или полностью известен.
Но пока 2 семерки (не могу ничего сказать про обновления) и 10(обновление 2х недельной давности.). Я бы уже перешел на линукс, но хочу узнать, сможет ли он весь диск поразить, а не только логические.
Сейчас 3 компа за модемом, а ведь пул айпи примерно или полностью известен.
Но пока 2 семерки (не могу ничего сказать про обновления) и 10(обновление 2х недельной давности.). Я бы уже перешел на линукс, но хочу узнать, сможет ли он весь диск поразить, а не только логические.
+все апдейты ставятся автоматически(как было по умолчанию от Майкрософт).
Тогда патч (MS17-010) от Microsoft у вас уже стоит с пачкой других обновлений вместе ( https://support.microsoft.com/en-us/help/4019472/windows-10-update-kb4019472 )
Security updates to Windows COM, Windows SMB Server, Windows server, Internet Explorer, and Microsoft Edge.
Хотя мне 4019472 поставилось только два дня назад (10.05.17)… повезло? Или когда это всё началось с вирусом?
Беспокоится стоит как обычно в первую очередь только тем, кто сидит на глухой пиратке без обновлений или там где обновления сильно запаздывают
Чтоб проверить — откройте свой журнал обновлений windows 10
или если у вас 7- (там не наборами ставятся обновления в отличии от 10 и server 2016):
dism /online /get-packages | findstr KB4013389или
SYSTEMINFO.exe | findstr KB4013389
спасибо, добавил в статью
Вы в статье укажите, для какой версии (10?) эта проверка.
Для Server 2012 нужно искать 4012214, например.
Для Server 2012 нужно искать 4012214, например.
Мои разбирательства в том есть ли у меня апдейт или нет привели к тому что апдейта 4013389 может и не быть.
1. Для моей сборки должен был быть KB4013429 (вот тут можно смотреть https://support.microsoft.com/en-us/help/4013389/title)
Security update file name
For all supported x64-based editions of Windows 10:
Windows10.0-KB4012606-x64.msu
— For all supported x64-based editions of Windows 10 Version 1511:
Windows10.0-KB4013198-x64.msu
— For all supported x64-based editions of Windows 10 Version 1607:
Windows10.0-KB4013429-x64.msu
2. Апдейт заменяется
http://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=724ee219-b949-4d44-9e02-e464c6062ae4
Третья вкладка.
This update has been replaced by the following updates:
и дальше перечислено. У меня оказалось последнее. KB4019472
1. Для моей сборки должен был быть KB4013429 (вот тут можно смотреть https://support.microsoft.com/en-us/help/4013389/title)
Security update file name
For all supported x64-based editions of Windows 10:
Windows10.0-KB4012606-x64.msu
— For all supported x64-based editions of Windows 10 Version 1511:
Windows10.0-KB4013198-x64.msu
— For all supported x64-based editions of Windows 10 Version 1607:
Windows10.0-KB4013429-x64.msu
2. Апдейт заменяется
http://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=724ee219-b949-4d44-9e02-e464c6062ae4
Третья вкладка.
This update has been replaced by the following updates:
и дальше перечислено. У меня оказалось последнее. KB4019472
C Windows 10 всё довольно просто — достаточно выполнить в консоли команду winver и ориентироваться на номер версии и сборки. Вы в безопасности, если:
— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
— версия 1703, любая сборка
— версия 1607, сборка 14393.953 или выше
— версия 1511, сборка 105867.839 или выше
— версия 1507 (эта версия может не отображаться, тогда ориентируйтесь по сборке 10240), сборка 10240.17319 или выше
Разве для 7 не KB4012212 надо искать?
Мне KB4019472 прилетела также вчера, все обновления включены на автоматическую установку
Для win10 x64 KB4016871 как я понял.
3 компьютера с 7кой, 3 компьютера с 10кой ни один не заразился.
обновления накатываются автоматом.
обновления накатываются автоматом.
У меня сегодня на сайте (сервер на линуксе) поднялись просмотры в два раза. Может это из-за того, что много сайтов на винде полегло?
Забавно, что это тот самый вендекапец, который пророчил Сноуден после слива shadowbrockers. Используется эксплойт из арсенала Equation Group.
Прямо Conficker 2.0 и опять эпидемия началась через два месяца после выхода патчей.
Тэээкс. А можно поподробнее про поведение вируса? А то открываю Resource monitor, а там system фигачит на чтение и на запись на системной SSD. Экстренно выключил компьютер, теперь вот думаю, оно или не оно. Попробую загрузиться с live-флешки Ubuntu, поискать признаки работы вируса. SSD в качестве системного диска впервые сыграла со мной злую шутку — хруст винтов я бы услышал, или заметил бы тормоза.
Возможно это superfetch так работает, он как раз использует system.
Ну superfetch бы грузил только на чтение по идее, а там и чтение, и запись, к тому же в таких масштабах, которых я при обычной работе системы никогда не видал. Ну, в любом случае, лучше я перестрахуюсь.
На запись тоже. Я конечно могу ошибаться и это действительно вирь, но не раз видел, что system начинал фигачить, поглощая при этом и процессор и загружая диск на 100%, судя по показаниям диспетчера задач. Особенно это касается HDD, но на SSD тоже бывает.
Обычно такое бывает при нехватке ОЗУ. У себя я такое наблюдаю, когда аптайм винды переваливает за 2 недели.
Обычно такое бывает при нехватке ОЗУ. У себя я такое наблюдаю, когда аптайм винды переваливает за 2 недели.
superfetch — когда система стоит на SSD отключен средствами самой винды, если это 8 и выше. 7-ка сама его не отключает.
Trusted Installer?
Насколько я понял заразиться можно только если комп с Виндой по SMB-протоколу доступен из инета.
Я знаю только две ситуации когда это возможно:
1) Винда смотрит напрямую в инет(без NAT)
2) SMB порты проборшены через NAT
В любой организации нужно увольнять админа который допустил подобную ситуацию.
Если нужнен доступ по SMB протоколу из инета, то для этого придумали VPN. (это конечно не панацея, но прямой взом компов в сети будет почти невозможен, нужно с начала захватить комп с VPN, но это уже другая история)
Частным лицам вообще подключать комп в инет кроме как через NAT роутера это как приглашение для взлома. Вот этой информацией и нужно начинать и заканчивать статьи о такого рода проблемах
Так что сижу, читаю и просто удивляюсь.
Я знаю только две ситуации когда это возможно:
1) Винда смотрит напрямую в инет(без NAT)
2) SMB порты проборшены через NAT
В любой организации нужно увольнять админа который допустил подобную ситуацию.
Если нужнен доступ по SMB протоколу из инета, то для этого придумали VPN. (это конечно не панацея, но прямой взом компов в сети будет почти невозможен, нужно с начала захватить комп с VPN, но это уже другая история)
Частным лицам вообще подключать комп в инет кроме как через NAT роутера это как приглашение для взлома. Вот этой информацией и нужно начинать и заканчивать статьи о такого рода проблемах
Так что сижу, читаю и просто удивляюсь.
Заразиться можно, если в локалке хотя бы один комп с виндой [далее по вашему тексту].
Для меня пока главная загадка: есть много сообщений вида «комп за натом, порты не проброшены, единственный комп в сети, всё равно заразился». То ли люди просто не в курсе, что у них там проброшено, то ли есть ещё какой-то канал распространения.
Для меня пока главная загадка: есть много сообщений вида «комп за натом, порты не проброшены, единственный комп в сети, всё равно заразился». То ли люди просто не в курсе, что у них там проброшено, то ли есть ещё какой-то канал распространения.
AFAIK винда на белые IP ставит Public Network по-дефолту (серверные и клиентские оси) и соответственно дефолтно порты самбы не видны. Поэтому смотреть «напрямую в инет» не должно быть проблемой.
Скажите, а как же так получается, что в Azure есть готовая услуга — доступ до расшаренной папки по SMB-протоколу? Без всяких VPN-ов вы можете получить доступ до такой папки, и это очень удобно и недорого, если людям нужно совместно пользоваться файлами.
Как я понимаю, в качестве временной меры (чтобы хотя бы выпустить компьютеры за обновлениями) можно на маршрутизаторе сделать что-то вроде
iptables -t nat -A PREROUTING -p tcp --dport 135 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 445 -j DROP
Сделал — за 5 минут набежало:
Chain FORWARD (policy DROP 3496 packets, 163K bytes)
pkts bytes target prot opt in out source destination
53 3758 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:49154
243 11856 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
8 408 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:135
...
А что за порт 49154?
Port 49154 allows remote viewing and administration of Scheduled TasksНо я не совсем понимаю, какое отношение он имеет к 135 и 445.
Один из портов RPC, этот конкретный слушает svchost/task scheduler. Лучше заблокировать весь диапазон, как минимум 49152-49156 (это в случае Win7). Могут быть и другие порты после 49152.
Вас бить надо, уж простите! И по многим пунктам.
1) Зачем вы используете таблицу nat для правил разрешения/запрета трафика? Есть же специально обученный filter.
Правильно (при прочих равных):
iptables -I FORWARD 1 -p tcp --sport 135 -j DROP
iptables -I FORWARD 1 -p tcp --sport 445 -j DROP
2) Да хватит и первого.
P.S. простите, не сдержался, меня избили за такое, на всю жизнь хватило )) Но попытка норм. +1 в душе ;)
1) Зачем вы используете таблицу nat для правил разрешения/запрета трафика? Есть же специально обученный filter.
Правильно (при прочих равных):
iptables -I FORWARD 1 -p tcp --sport 135 -j DROP
iptables -I FORWARD 1 -p tcp --sport 445 -j DROP
2) Да хватит и первого.
P.S. простите, не сдержался, меня избили за такое, на всю жизнь хватило )) Но попытка норм. +1 в душе ;)
и чтобы не быть голословным
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES
http://www.opennet.ru/docs/RUS/iptables/#TRAVERSINGOFTABLES
UFO just landed and posted this here
5 копеек в тему: в моей сети все машины за NAT'ом, естественно что снаружи 135, 137, 139 и 445 закрыты. Но где-то с полгода назад, прочитал здесь же или на Хабре об интересном методе атаки (подробности, номер уязвимости и т.п., к сожалению не вспомню, если кому-то тема близка — дополнят), смысл которой заключался в том, что при посещении определенных web-ресурсов подверженные уязвимости ПК сами открывали исходящее соединение во вне на один из портов 135, 137, 139, 445 (по-моему уязвимость носила название BadTunnel), после чего устанавливался UDP туннель (если память не подводит, то частично эксплуатация этой уязвимости была связана с WPAD) и если машина была уязвима, то весь ее трафик мог быть перенаправлен через сервер злоумышленников. Поэтому еще тогда я запретил любые исходящие во вне, т.е. вне диапазона локальных подсетей на 135-139,445 TCP + UDP. Так что «кризис MS17-010» прошел для меня незаметно.
Если у вас UPnP, то все логично. Зараженная машина просит открыть порт, рутер по upnp открывает. Велкам.WPAD тут, вероятнее всего не при чем, в кучу собрали.
Вы о чем? Явно путаетесь в показаниях.
запретил любые исходящие во вне, т.е. вне диапазона локальных подсетей на 135-139,445 TCP + UDP.
Вы о чем? Явно путаетесь в показаниях.
Я про вот это — https://habrahabr.ru/company/pt/blog/304842/ и конкретно сценарий с NBSTAT сообщением во вне на 137 порт:
«При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.»
p.s. Как видите, «в кучу» я ничего не собирал…
«При обработке этого адреса первоначально будут отправлены запросы на порты 139 (NetBIOS Session) или 445 (Microsoft-DS Active Directory, Windows shares). Если эти порты будут закрыты, то жертва отправит NetBIOS Name Service (NBNS) NBSTAT сообщение на 137 порт, тем самым открывая UDP-тоннель и позволяя злоумышленнику слать запросы прямиком жертве, минуя NAT и Firewall.»
p.s. Как видите, «в кучу» я ничего не собирал…
У меня вопрос. Есть сервер с CentOS 6.8 у которого 2 сетевых интерфейса — один в мир с белым ip, второй в локалку. К этому серверу смонтирована CIFS шара из локалки (файловый сервер на win2003). iptables не настроен. nmap из мира показывает, что порты 445 и 135 доступны.
Мне стоит волноваться? Интересует только данная уязвимость
Мне стоит волноваться? Интересует только данная уязвимость
На 2003 уязвимость вроде как не актуальна. Как и на XP. Все выше висты.
Актуальна, для XP выше проскакивала ссылка на патч https://geektimes.ru/post/289115/#comment_10059613
Это слегка необычная XP. Гляну в первоисточниках. Вроде все указывают на Vista +.
Эта слегка необычная XP, внутри вполне себе XP, но она еще поддерживается, в отличие от «обычной» и поэтому для неё есть патч от этой уязвимости. Я думаю, что патча бы небыло, если бы не было самой уязвимости.
Возможно. У меня по ней инфы небыло. Но SMB1 надо в любом случае выносить. Причем для админов еще в 2016 году писали в сентябре.
Обычная XP. Только в реестр надо ключик один добавить и можно накатывать патч.
http://www.manhunter.ru/download/19517/WinXP.to.POSReady.zip
Для английской версии: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-enu_9152d114029dd47afbf6d5108012ac513a720cf7.exe
Для русской: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-rus_448a6447042b011012d902ea66a87786be3b4b58.exe
http://www.manhunter.ru/download/19517/WinXP.to.POSReady.zip
Для английской версии: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-enu_9152d114029dd47afbf6d5108012ac513a720cf7.exe
Для русской: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/04/windowsxp-kb4018466-x86-embedded-rus_448a6447042b011012d902ea66a87786be3b4b58.exe
Если она не на XFS :D
у меня 2003 R2, что-то не катит, патч не становится. К тому же это файловый сервер, SMB не могу выключить (
Вот тут пишут что выпустили апдейт для 2003 R2 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Но у меня файлы не качаются.
Но у меня файлы не качаются.
Спасибо, сработало!
Да, вам стоит волноваться, вне зависимости от того, стоит там самба или нет. у вас не настроен фаервол и вы светите ненужными сервисами голым задом.
Лучше перевесить самбу на внутренний интерфейс.
хочу из спортивного интереса накатить Windows 7 без патча безопасности в Virtual Box и попробовать словить этот вирусняк. Прокатит? и не вырвется ли он за пределы окружения Vbox?
Если сам vbox стоит на винде и у них будет общая сеть, то вырвется.
Чисто теоретически — возможны любые варианты. Исход с «прорывом» окружения VirtualBox рассматривается скорее всего как менее вероятный, однако, при таком эксперименте лично я бы настроил сетевой адаптер виртуальной машины так, чтобы он вообще не имел доступа к локальной сети, т.е. только вовне. Например, если предположить что после заражения уязвимая машина начинает сканировать и локальную сеть в поисках уязвимых ПК — то результат подобного эксперимента предсказуем. В случае же когда виртуальная машина будет иметь только доступ к WAN и больше ни к чему — такой исход сведен к минимуму. Ну и плюс, кто его знает что там придумали авторы вымогателя. Например в целях затруднения анализа он вообще может не запускаться в виртуальном окружении, определить что процесс запущен под VirtualBox, VMWare или другими средствами виртуализации достаточно просто.
Decker я думаю им пофиг с кого денег брать это же вымогатель, так что вряд ли там есть проверка на вм. а если у вм есть доступ в сеть то вообще прекрасно ))))
совет про ограничение сети для VM действительно логичен, спасибо. про проверку троянцем виртуального окружения — сомневаюсь. судя по масштабам он добирается до всех уязвимых систем без разбору, вряд ли он будет заморачиваться с проверкой «виртуалка это или физическая машина».
UPD: я всегда буду обновлять комментарии перед публикацией своего…
UPD: я всегда буду обновлять комментарии перед публикацией своего…
Выпилить SMBv1 из системы можно через командную строку.
Вообще я это делал каждый раз когда ставил чистую систему ещё со времен Windows 7. Всегда избавляюсь от разных компонентов в системе, в которых не вижу абсолютно никакого смысла и пользы для себя.
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Вообще я это делал каждый раз когда ставил чистую систему ещё со времен Windows 7. Всегда избавляюсь от разных компонентов в системе, в которых не вижу абсолютно никакого смысла и пользы для себя.
Вот за это, спасибо!
работатает в v3 написано же
чукчи писатели но не читатели.
В семерке вроде бы не работает:
Версия образа: 6.1.7601.18489
Ошибка: 0x800f080c
Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
Ну или в PowerShell:
для Win 8 и выше,
для Win 7.
Reboot не забудьте.
Set-SmbServerConfiguration -EnableSMB1Protocol $false
для Win 8 и выше,
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
для Win 7.
Reboot не забудьте.
Напишите:
SYSTEMINFO.exe | findstr KB4012212
Нажмите Enter
Если в ответе вы увидите KB4012212, это значит что патч у вас уже установлен и можно спать спокойно
Если же ответ вернет вам пустую строку, рекомендуется незамедлительно установить обновление по ссылке выше.
апдейт установлен, но выдает все равно пустую строку :)
У меня так же :-)
Возможно у вас установлен другой патч.
Подправил инструкцию, думаю теперь будет понятнее.
Блин, я вот не понимаю M$, вроде сейчас это такая проблема распространенная, а они не могут выпустить единого бинарника (или ifixit-скрипта) который разом проверит и пофиксит эту проблему.
Почему обычные пользователи должны разбираться в кодах всех этих апдейтов?
Для этого есть автоапдэйт. Два месяца жужжат уже про утечку тулкита АНБ и выпуск патча. Даже Patch Tuesday переносили.
Вот если бы он еще нормально работал, я бы согласился.
Но насколько я помню этот Windows Update отжирает туеву хучу ресурсов, нередко заставляет пользователей сидеть часами наблюдая процесс установки обновлений, а еще всякие приколы с автообновлением до Windows 10.
Это все заставляет рядового пользователя делать шаги на отключение этого функционала в своей ОС.
Пофиксили уже где-то с год назад это. Собсно как перестали бесплатно 10ку раздавать так и пофиксили :D
Вообще апдэйт фиксили. В 10 шустро стал проверять и выкачивать. Плюс можно либо кумулятивный либо дельту получить. Автообновление до 10 то же отрубили давно. Если уж отключили, то хотя бы раз в месяц секьюрити патчи ставить. Причем MS как раз подорвался и успел выпустить патч до слива.
а вот эта команда
выдает:
Полагаю, команда SYSTEMINFO.exe | findstr KB4012212
не выдает результата, т.к слишком много обновлений установлено.
Если ввести SYSTEMINFO.exe, то не все KB отображаются
dism /online /get-packages | findstr KB4012212
выдает:
Удостоверение пакета : Package_for_KB4012212~31bf3856ad364e35~amd64~~6.1.1.0
Полагаю, команда SYSTEMINFO.exe | findstr KB4012212
не выдает результата, т.к слишком много обновлений установлено.
Если ввести SYSTEMINFO.exe, то не все KB отображаются
если ты сидишь дома за роутером то тебе не страшно, ну если только дома у тебя жена дети за компами.
В публичный Wi-Fi без обновлений не подключайтесь.
В публичные сети сейчас и с обновлениями лучше не подключаться)
В публичных сетях Wi-Fi не дают белых IP, там кругом NAT жесточайший, как и в сотовых сетях. И конечно клиенты друг от друга изолируются, они же не на домашних маршрутизаторах крутятся, а на хотспоте или брасе.
Ну ты заходишь в бар… где руководство подключило интернет через формулировку провайдеру "а подключите нам вифи"...
Какая изоляция, в кафешках обычные тплинки и зюксели раздают интернет.
UFO just landed and posted this here
Это самодеятельность, нормальная кафешка так общественную сеть не выставит.
Ну смотря что вы считаете нормально кафешкой). Готовят хорошо, обслуживание отличное, а технически подкованного специалиста нет. Если законом не запрещено/запрещено, но никто не следит — могут без проблем наколхозить так и не заморачиваться. Еда/алкоголь есть? есть. Через wifi интернет работает? работает.
правая кнопка по иконке с компьютером внизу справа центр управления свойства убрать галочку клиент для сетей микрософт и общий доступ к файлам и принтерам. это решит вашу проблему без патчей если вы одни дома )
Имхо более толковая инструкция по определению уязвимости системы:
http://www.infoworld.com/article/3191897/microsoft-windows/more-shadow-brokers-fallout-doublepulsar-zero-day-infects-scores-of-windows-pcs.html
Нашел ее после того как я попытался последовать советам из этой статьи но у меня ничего не получилось :)
По ссылке простая, понятная и работающая инструкция что проверять и что делать
http://www.infoworld.com/article/3191897/microsoft-windows/more-shadow-brokers-fallout-doublepulsar-zero-day-infects-scores-of-windows-pcs.html
Нашел ее после того как я попытался последовать советам из этой статьи но у меня ничего не получилось :)
По ссылке простая, понятная и работающая инструкция что проверять и что делать
скачал пакет, установил, получил синий экран.
Восстановление слава Богу сработало.
Восстановление слава Богу сработало.
А что в синем экране было сфоткали/записали?
у меня тоже синий экран. Ошибка c000145. Далее ребут, и снова синий экран. Восстановление сработало, хвала небесам! Но что делать то?
UPD/
покопался в комментариях, нашёл вот это https://geektimes.ru/post/289115/#comment_10060495
у меня почти то же самое, только различия в версиях. У кого cmd такое выкидывает, можно быть спокойным. smb нету.
UPD/
покопался в комментариях, нашёл вот это https://geektimes.ru/post/289115/#comment_10060495
у меня почти то же самое, только различия в версиях. У кого cmd такое выкидывает, можно быть спокойным. smb нету.
На одном из компьютеров стоит win 7 pro. Автоматические обновления включены. Этот пакет почему-то не был установлен и его не видно при поиске обновлений. Установил вручную из оффлайн установщика. Винда уже час крутится в "Подготовка к настройке. Не выключайте компьютер". Есть подозрение, что что-то пошло не так. :)
Между тем, об этом предупреждали давно)
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
>September 16, 2016
https://twitter.com/NerdPyle/status/863170267735924736
И этот чувак буквально час назад еще раз ссылался на эту статью.
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
>September 16, 2016
https://twitter.com/NerdPyle/status/863170267735924736
И этот чувак буквально час назад еще раз ссылался на эту статью.
Странная вещь (ошибка?) для Server 2012\2012 R2.
В списке обновлений — 4 файла, причем 2 из них имеют в названии RT, при этом таблица для Windows RT 8.1 — пуста.
Та же картина и в именах файлов тут:
https://support.microsoft.com/ru-ru/help/4013075/ms17-013-security-update-for-microsoft-graphics-component-march-14-201
Microsoft, вероятно, ошиблась, и для Server 2012\2012 R2 нужны только
Windows8.1-KB4012213-x64.msu
и\или
Windows8.1-KB4012216-x64.msu
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
В списке обновлений — 4 файла, причем 2 из них имеют в названии RT, при этом таблица для Windows RT 8.1 — пуста.
Та же картина и в именах файлов тут:
https://support.microsoft.com/ru-ru/help/4013075/ms17-013-security-update-for-microsoft-graphics-component-march-14-201
Microsoft, вероятно, ошиблась, и для Server 2012\2012 R2 нужны только
Windows8.1-KB4012213-x64.msu
и\или
Windows8.1-KB4012216-x64.msu
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
Да забейте. Не пролезет, если вы не тупили раньше юзая ХР, винду без апдейтов, не слушая вопли про SRP и в идеале 802.1x, Скоро в сурикаты прилетит всякие. Увидим, если не дурость какая-то.
UFO just landed and posted this here
ок, так же n++ напишу.
>А чо, виндузятникам так трудно снять привязку службы «сервер доступа к файлам и принтерам» со всех интерфейсов?
А зачем, мне, хомяку и бухгалтеру это знать?
>Даже фаера не надо, и глупых антивирусов тоже и патчей(=нар_котиков)
это песня какая-то?
>Похоже я тут единственный истинный виндузятник, сидящий на фре :)))
это очень тяжело для вас, я понимаю.
>Весело, прям кирпичный заводик тут развели, как в августе 2003, только тогда были ребуты вместо шифрования.
кто вас плюсует?
дальше читать не буду. вляпался, хватит.
>А чо, виндузятникам так трудно снять привязку службы «сервер доступа к файлам и принтерам» со всех интерфейсов?
А зачем, мне, хомяку и бухгалтеру это знать?
>Даже фаера не надо, и глупых антивирусов тоже и патчей(=нар_котиков)
это песня какая-то?
>Похоже я тут единственный истинный виндузятник, сидящий на фре :)))
это очень тяжело для вас, я понимаю.
>Весело, прям кирпичный заводик тут развели, как в августе 2003, только тогда были ребуты вместо шифрования.
кто вас плюсует?
дальше читать не буду. вляпался, хватит.
Чуть не забыл самое важное. Что у вас в голове?
Вау. тут и мне персональный ответ. и да, у меня бомбануло, я все перепроверил и успокоился. Я хомяк — админ.
Вау. тут и мне персональный ответ. и да, у меня бомбануло, я все перепроверил и успокоился. Я хомяк — админ.
Windows что… скоро такое начнётся на android. Они же вообще не обновляются в большинстве случаев.
Вы так говорите, как буд-то это что то плохое.
Вот люди и узнают почему лучше покупать не китайские ноунеймы а производителей которые хотя бы заплатки выпускают.
Вот люди и узнают почему лучше покупать не китайские ноунеймы а производителей которые хотя бы заплатки выпускают.
А они выпускают? Единственное, что реально постоянно апдейтится — Nexus и Pixel. Остальные часто по полгода обновлений ждут, если не по году. Ну и младшие модели зачастую получают один серьёзный апдейт, а потом поддержку прикрывают.
Сяоми один-два раза в месяц присылает обновления.
Samsung Note 4. До сих пор обновления раз в квартал и по случаю праздников типа сегодняшнего. А вообще всегда надо быть готовым в итоге на народные прошивки переходить.
Омг. Тут проблема еще и в том, что большинство производителей со временем заплатки вообще выпускать перестают. Мне уже три года верой и правдой служит LG L Fino — отличный смартфон, для звонилко-плеера-мессенеджера. Но там до сих пор андроид 4 версии стоит, нет апдейтов. И что мне теперь, другой смартфон покупать? Причем именно такого, как мне нравится нет, что бы с кнопочками сзади и маленьким экраном. Везде дурацкие лопаты.
Как по мне, это проблема платформы. Если не все производители выпускают обновления регулярно, значит процесс до невозможности не удобен.
Почему 100500 дистрибутивов линукса, большинство их которых поддерживаются маленькой кучкой энтузиастов, обновляются превосходно?
Почему андроид не может использовать ту же архитектуру? Арм и тачскрин чем-то фундаментально отличаются от x86_64 и монитора с мышкой?
Проблема — в закрытости платформы. Несмотря на то, что формально это — опен сорс.
Готов поспорить что у Mer и Sailfish нет проблем с обновлениям на любых устройствах.
Почему 100500 дистрибутивов линукса, большинство их которых поддерживаются маленькой кучкой энтузиастов, обновляются превосходно?
Почему андроид не может использовать ту же архитектуру? Арм и тачскрин чем-то фундаментально отличаются от x86_64 и монитора с мышкой?
Проблема — в закрытости платформы. Несмотря на то, что формально это — опен сорс.
Готов поспорить что у Mer и Sailfish нет проблем с обновлениям на любых устройствах.
ARM на практике отличается от x86 гигантским количеством проприетарного железа, драйвера на которое пишут под конкретную минорную версию ядра и отдают сборщикам только бинарные блобы. Андроид тоже проблем добавляет своими тестами соответствия, но это уже скорее следствие сложившейся ситуации.
Как это влияет на органзиацию обновлений? Дыры в драйверах не дадут массовых эпидемий, потому что железо везде разное.
А ядро вы как обновлять собираетесь? В нём достаточно большая часть уязвимостей и находится.
Да даже если и не в нём, вся система сильно связная и обновление одного компонента тянет за собой остальные и в конце концов упирается в блобы и Compatibility Test Suite.
Заниматься бекпортированием обновлений безопасности на все существующие версии андроида никто не будет.
Да даже если и не в нём, вся система сильно связная и обновление одного компонента тянет за собой остальные и в конце концов упирается в блобы и Compatibility Test Suite.
Заниматься бекпортированием обновлений безопасности на все существующие версии андроида никто не будет.
Похоже, в этом направлении появился прогресс:
http://www.opennet.ru/opennews/art.shtml?num=46542
Компания Google анонсировала модульную систему Treble, которая позволит производителям создавать универсальные компоненты поддержки оборудования, не привязанные к конкретным версиям Android и используемым в них выпускам ядра Linux.
http://www.opennet.ru/opennews/art.shtml?num=46542
Проблема в деньгах.
Ты можешь поставить на ноутбук новый Windows/Linux и пр. И потому ты не будешь покупать новое устройство только ради обновления ПО.
А Android — покупают, в частности, из-за этого. Если гугл сделает работу с системой аналогичным образом с Windows (т.е. так же будут продавать предустановленную систему, которая сможет обновляться), то тогда:
- Покупать телефоны ради новых фишек будет меньше людей
- Придется выдерживать архитектуру драйверов так же, как и в Windows (где драйвер от Vista подходит к 10ке, если нет намеренных запретов)
- С какого-то момента придется отбиваться от людей, которые захотят ставить на телефон не Google Android, а Yandex Android (т.е. в случае ноутбука с Windows — как будто ставят Ubuntu)
И т.д., и т.п. А потому идеальное решение (с точки зрения заработка денег корпорацией) — валить всё на производителей телефонов. И набивать слитками комнату ;-)
> валить всё на производителей телефонов. И набивать слитками комнату ;-)
Что-то я запутался.
Слитками комнату забивает гугл, который андроид раздаёт бесплатно? У них доход от обновлений зависит?
А телефоны с новыми фишками продают производители? На их рекламе я програмных фишек не помню — там больше миллиметры и камеры…
Что-то я запутался.
Слитками комнату забивает гугл, который андроид раздаёт бесплатно? У них доход от обновлений зависит?
А телефоны с новыми фишками продают производители? На их рекламе я програмных фишек не помню — там больше миллиметры и камеры…
Что-то мне кажется что гугл не раздает андройд бесплатно.
"который андроид раздаёт бесплатно" — да ладно? )))
См. тут: http://www.businessinsider.com/google-android-software-is-not-as-free-or-open-source-as-you-may-think-2014-1. Просто цены скрыты, гугл больше пишет об Aplha Go, чем о подобных вещах.
Про слитки:
- Если Android сможет обновляться так же, как и устройства Apple, то корпорации потребуется потратить больше денег на адаптацию новых версий (ибо драйвера должны подходить и т.д.), усложнится разработка и т.п.
- Если Android стабилизируется, то это упростит жизнь разработчикам сторонних прошивок
- Сторонние прошивки с альтернативным маркетом могут порушить монополию гугла на эту открытую систему, что уменьшит приток и от рекламы, плюс уменьшит ряд таких же косвенных источников дохода
> for a license to use Gmail, Google Play and other parts of Google's mobile services
Во-первых, ключевое слово тут GMS. Он на китайских телефонах с андроидом может отсутствовать. Как и на каком-нибудь Amazon Fire.
>, a testing facility quoted $75,000 to test 100,000 devices.
Меньше доллара на устройство?
Причём, с версией и обновлениями андроида это никак не связано(*), как я понял.
> Если Android стабилизируется, то это упростит жизнь разработчикам сторонних прошивок
И? Про (*) помним? Гуглу это как-бы без разницы.
> Сторонние прошивки с альтернативным маркетом могут порушить монополию гугла на эту открытую систему
Альтернативных маркетов — как у дурака фантиков. Только ленивый не сделал. Считали бы это проблемой — просто запретили бы лицензией альтернативные маркеты.
А уж платный GMS идее подорвать развитие альтернативных маркетов на бесплатном андроиде совсем противоречит.
Во-первых, ключевое слово тут GMS. Он на китайских телефонах с андроидом может отсутствовать. Как и на каком-нибудь Amazon Fire.
>, a testing facility quoted $75,000 to test 100,000 devices.
Меньше доллара на устройство?
Причём, с версией и обновлениями андроида это никак не связано(*), как я понял.
> Если Android стабилизируется, то это упростит жизнь разработчикам сторонних прошивок
И? Про (*) помним? Гуглу это как-бы без разницы.
> Сторонние прошивки с альтернативным маркетом могут порушить монополию гугла на эту открытую систему
Альтернативных маркетов — как у дурака фантиков. Только ленивый не сделал. Считали бы это проблемой — просто запретили бы лицензией альтернативные маркеты.
А уж платный GMS идее подорвать развитие альтернативных маркетов на бесплатном андроиде совсем противоречит.
Во-первых, ключевое слово тут GMS. Он на китайских телефонах с андроидом может отсутствовать. Как и на каком-нибудь Amazon Fire.
Учитывая историю с Яндексом, то «либо платите за гаппс, либо продавайте телефоны с ничем, которые не будут покупать»
История с яндексом разрешилась в пользу яндекса, если что.
Автосервис.
Клиент смотрит счет и спрашивает у мастера:
— А что за пункт «Прокатило» — 10000 руб????
Мастер:
— Не прокатило, вычеркиваем.
Мутная какая-то история с яндексом, до этой истории как будто не было телефонов на которых предустановлены приложения яндекса, вроде не у всех производителей они были, но были же предустановленные приложения яндекса, хотя я не очень углублялся в эту историю, может яндекс не доволен другим был.
1. Выкладывать только обновления безопасности.
2. Да ну? Линукс меняет API и ABI драйверов регулярно. Проблем с обновлениями безопасности нет.
3. Кто мешает сейчас ставить цианоген?
Серьезно, после этой истории с wannacry всерьёз думаю о телефоне на открытой платформе (виндой-то давно не пользуюсь). К чёрту все эти риски.
2. Да ну? Линукс меняет API и ABI драйверов регулярно. Проблем с обновлениями безопасности нет.
3. Кто мешает сейчас ставить цианоген?
Серьезно, после этой истории с wannacry всерьёз думаю о телефоне на открытой платформе (виндой-то давно не пользуюсь). К чёрту все эти риски.
3. Кто мешает сейчас ставить цианоген?
Тут камера не работает, там будильник не работает с выключенным экраном. Это конечно пару лет назад было, но думаю особо не исчезло никуда.
На самом деле, важно не какая стоит ОС, а какой по умолчанию используется браузер (то есть, поиск) -> кто по умолчанию показывает в поиске рекламу.
А альтернативные браузеры можно ставить уже сейчас, и ничего, экосистема от этого не сдохла.
А альтернативные браузеры можно ставить уже сейчас, и ничего, экосистема от этого не сдохла.
описанные баги явно индивидуальные для конкретно вашего девайса, возможно по причине закрытости драйверов? не знаю.
У нормальных аппаратов таких детских проблем цианоген не имеет.
У нормальных аппаратов таких детских проблем цианоген не имеет.
Проблема не в закрытости, а как раз наоборот в открытости и, как следствие, кастомизируемости.
Производители же никогда не ставят «сферический Android в вакууме». Нет, они берут исходники и их потом сильно перепиливают, причём на всех уровнях, начиная с ядра. Никакое «стандартное» обновление после этого уже не сделать.
И даже энтузиасты не могут сделать кастомную прошивку без того, чтоб предварительно отреверсить прошивку, выясняя, чего там накрутил конкретный производитель и как адаптировать обновление, чтоб оно с модифицированными компонентами работало без глюков.
А запретить вендорам так делать невозможно как раз из-за открытости платформы, чем они вовсю и пользуются.
Производители же никогда не ставят «сферический Android в вакууме». Нет, они берут исходники и их потом сильно перепиливают, причём на всех уровнях, начиная с ядра. Никакое «стандартное» обновление после этого уже не сделать.
И даже энтузиасты не могут сделать кастомную прошивку без того, чтоб предварительно отреверсить прошивку, выясняя, чего там накрутил конкретный производитель и как адаптировать обновление, чтоб оно с модифицированными компонентами работало без глюков.
А запретить вендорам так делать невозможно как раз из-за открытости платформы, чем они вовсю и пользуются.
Старый добрый спуфинг имени файла.
Спасибо за предупреждение.
Теперь буду еще внимательнее относиться к имени файла.
Защита есть?
как я понимаю архив zip с электронной книгой который на самом деле exe или bat под видом текстовика словить элементарно?
Здравствуйте. скоро в каждый свой ответ буду пихать https://habrahabr.ru/post/269531/ пункт 5.
UFO just landed and posted this here
вы сейчас много где видели сторонние файл менеджеры?
UFO just landed and posted this here
Лет 10 уже наверное живу с этим...
У меня друг использует ls под i3 и его устраивает… а я рандомно, что под руку попадется… то mc, то ls, то dir, то в эксплорер тыркаю гордо мышкой… и вы знаете… я просто перестал видеть разницу… не только между менеджерами, но и между de, и очень часто не вижу разницы между ос, кроме того, что там то можно сделать, а там нельзя...
У меня друг использует ls под i3 и его устраивает… а я рандомно, что под руку попадется… то mc, то ls, то dir, то в эксплорер тыркаю гордо мышкой… и вы знаете… я просто перестал видеть разницу… не только между менеджерами, но и между de, и очень часто не вижу разницы между ос, кроме того, что там то можно сделать, а там нельзя...
Да даже просто, если один раз кликнуть на файл, то внизу окна проводника написан тип.
Нашелся интересный изъян в коде:
Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.
Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.
Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.
Если это так — мужик молодец.
Однако правильно ли я понимаю, что будучи запущен на исполнение локально (из письма, например) на компьютере со всеми обновлениями зловред все равно сможет зашифровать пользовательские файлы? Для борьбы с этим встречал такие решения:
Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies
То же самое, но с помощью небольшой програмки:
CryptoPrevent
Однако правильно ли я понимаю, что будучи запущен на исполнение локально (из письма, например) на компьютере со всеми обновлениями зловред все равно сможет зашифровать пользовательские файлы? Для борьбы с этим встречал такие решения:
Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies
То же самое, но с помощью небольшой програмки:
CryptoPrevent
это останавливает только распростронение, но вирус при этом так и продолжает шифровать
SRP, работает не так. Это превентивная мера, во вселенной с SRP пули не летают левые исполняемые файлы не запускаются. Подробнее тут https://habrahabr.ru/post/269531/
Благодарю, добвавил в новость
Т.е. вирус даже не делает на него никакого асимметрично шифрованного запроса? Эх, как же они так лажанулись?
MS выкатила обновления для старых ОС — XP и 2003
Win 7 пиратка, внешний ip безо всяких роутеров, обновление KB4012212 установлено не было…
Подключение настроено как «Общественная сеть», в свойствах включен только протокол tcp/ip v4.
Полез сразу отключать SMB1 через командную строку, выдало вот что:
Я правильно понимаю, что спасся лишь благодаря добрым дядям-пиратам, которые вырезали из дистрибутива потенциально опасную штуковину?
Подключение настроено как «Общественная сеть», в свойствах включен только протокол tcp/ip v4.
Полез сразу отключать SMB1 через командную строку, выдало вот что:
C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMB1Pr
otocol
Cистема DISM
Версия: 6.1.7600.16385
Версия образа: 6.1.7601.18489
Ошибка: 0x800f080c
Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Я правильно понимаю, что спасся лишь благодаря добрым дядям-пиратам, которые вырезали из дистрибутива потенциально опасную штуковину?
Да, всё верно. У меня из дистриба тоже SMB вырезан.
Для подстраховки можно сходить в Панель управления — Установка и удаление программ — Компоненты Windows и посмотреть, есть ли там что-то включённое, связанное с SMB.
У меня тоже никаких SMB ни в реестре, ни в «компонентах Windows», хотя Win 7 лицензионная. Но автообновления отключены — слишком уж мешала навязчивая реклама Win 10 и неработающий правый Alt+Shift.
И что это означает — что мы вне уязвимости?
И что это означает — что мы вне уязвимости?
Судя по всему да — вчера полез защищать комп сестры (Win7, x86) — самба отсутствует напрочь.
Попытка установить оффлайн-пакет обновления завершилась ничем — несколько часов висело сообщение типа «собираю информацию об обновлениях». Так что просто закрыл порты на всякий случай.
Попытка установить оффлайн-пакет обновления завершилась ничем — несколько часов висело сообщение типа «собираю информацию об обновлениях». Так что просто закрыл порты на всякий случай.
Не нужно ставить, например, под Windows 7 именно KB4012212/KB4012215. По новой системе обновлений, изменения, затронутые этими KB, были включены сперва в состав ознакомительной версии ежемесячного накопительного пакета — KB4012218, затем изменения KB4012218 включены KB4015549, далее — в KB4015552 и в конце концов на данный момент актуальным KB, включающим необходимые исправления/обновления является «Ежемесячный набор исправлений качества системы безопасности» — KB4019264. Не разобравшись начал накатывать KB4012212 и система оказалась недоступной — вангую, что из-за наличия уже установленного KB4019264 пошёл откат изменений.
Внимание, вопрос:
Какие еще вирусы использовали ту же самую уязвимость, только по-тихому засели в системе и сливают данные, а не орут окном во весь экран Я ЩАС ВСЕ ТУТ ЗАКРИПТУЮ, ПЛАТИ БАБКИ!
Какие еще вирусы использовали ту же самую уязвимость, только по-тихому засели в системе и сливают данные, а не орут окном во весь экран Я ЩАС ВСЕ ТУТ ЗАКРИПТУЮ, ПЛАТИ БАБКИ!
Ух, всегда думал, что если сидеть без антивируса, не запускать левых экзешников и не использовать флеш на всяких недоверенных сайтах, то всё будет норм. Жаль, что это не так.
Сегодня поставил фришный антивирус и сделал бэк-ап всего важного, хотя винда десятая и со всеми обновлениями (пытался их отключать, даже в хост все мелкомягкие адреса кидал, всё-равно не помогает).
Сегодня поставил фришный антивирус и сделал бэк-ап всего важного, хотя винда десятая и со всеми обновлениями (пытался их отключать, даже в хост все мелкомягкие адреса кидал, всё-равно не помогает).
всё-равно не помогает
Эх вы… мало опыта — берем, отрубаем на корню сервис соответствующий. Все, больше нет неприятных ребутов ломающих работу/разработку.
А так да, спору нет — бекапы, CVS (тот же Git), синхрофазатроны на несколько нод/машин сразу (BitSync как вариант), только оффлайн ключница (KeePass), отключение превентивное js-скриптов и флеша. Это как базовая гигиена.
А антивирус зачем? Зайдите на сайты этих дармоедов, там полно стонов о том что их любимый антивирус жидко обделался. Оставьте стандартный дефендер винды и спите спокойно, лучше придумать сложно
Если версия Pro, то отключается через групповые политики (легко гуглится)
>> dism /online /norestart /disable-feature /featurename:SMB1Protocol
Надо запускать с правами администратора. Я зашел в Windows/System32 и запустил cmd.exe As Administrator, и только после этого сработала команда.
>> dism /online /get-packages | findstr KB4012212
Даже от админа возвращала пустую строку. Скачал файл требуемый для Win10 — система написала что такое обновление уже установлено. Может есть другой способ проверить, чтобы не качать Гб обновлений?
Надо запускать с правами администратора. Я зашел в Windows/System32 и запустил cmd.exe As Administrator, и только после этого сработала команда.
>> dism /online /get-packages | findstr KB4012212
Даже от админа возвращала пустую строку. Скачал файл требуемый для Win10 — система написала что такое обновление уже установлено. Может есть другой способ проверить, чтобы не качать Гб обновлений?
для windows 10 1703 не надо ничего устанавливать?
по ссылке с патчами нет этой версии
по ссылке с патчами нет этой версии
То есть мне можно не тревожиться, я правильно понял?
всё верно и мне нечего переживать? (простите чайника)Тут вот некоторая собранная информация по WannaCry https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
не стоит доверять выводу dism /online /get-packages | findstr, лучше смотрите вручную 
Страница с патчем на сайте МС легла, видимо, от нагрузки :)
Ребята, в выложите кто-нибудь для XP и 2003 пожалуйста, а то МС прилёг
Прямые ссылки:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Кстати, время и дату в системе можно поменять, таймер просто остановится и все:
Скриншот
В обратную сторону не работает :)
Хотел бы добавить: если кто-то выполнил команду, которую автор указал, и ничего не найдено — не паникуйте, а посмотрите по номеру KB в журнале обновлений за март 2017. Почему-то Monthly Rollup'ы не ищутся ни через командную строку, ни через просмотр установленных обновлений. Например, у меня 8.1x64, KB4012216 есть в журнале обновлений (успешно установлен 14 марта), но в списке обновлений и при поиске по методу автора его не видно.
То есть если в списке установленных есть, например, 2017-05 Security Monthly Quality Rollup — то все ок?
Лучше смотреть не название, а номер обновления, в котором была исправлена уязвимость для вашей системы, по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Для 8.1x64 это как раз KB4012216
(прошу прощения, ссылки оформлять не могу, кликабельно в самом посте в UPD и UPD1)
Для 8.1x64 это как раз KB4012216
(прошу прощения, ссылки оформлять не могу, кликабельно в самом посте в UPD и UPD1)
Опишу, чем вызван вопрос. В системе установлен
Ежемесячный набор исправлений качества системы безопасности для систем Windows Server 2012 R2 на базе процессоров x64 (KB4019215), 05 2017 г.
При этом по ссылке
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
KB4019215 вообще не упоминается.
Поэтому неясно, включает ли KB4019215 искомые исправления.
Ежемесячный набор исправлений качества системы безопасности для систем Windows Server 2012 R2 на базе процессоров x64 (KB4019215), 05 2017 г.
При этом по ссылке
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
KB4019215 вообще не упоминается.
Поэтому неясно, включает ли KB4019215 искомые исправления.
Да, месячные пакеты включают все предыдущие.
Хорошо, если так.
Однако тогда механизмы определения наличия обновления из шапки для тех, кто штатно обновлялся через Windows Update некорректны, будет создаваться иллюзия, что нужных обновлений в системе нет.
P.S. Попробовал установить в систему с установленным майским «месячным» обновлением собственно патч MS17-010 Security Only — устанавливается. А вот Monthly Rollup — ожидаемо нет.
Однако тогда механизмы определения наличия обновления из шапки для тех, кто штатно обновлялся через Windows Update некорректны, будет создаваться иллюзия, что нужных обновлений в системе нет.
P.S. Попробовал установить в систему с установленным майским «месячным» обновлением собственно патч MS17-010 Security Only — устанавливается. А вот Monthly Rollup — ожидаемо нет.
Судя по голосованию, 1.5к vs 83 заражение более чем массовое ))
У меня на Win7 Pro обновления почему-то не устанавливаются. Последние были 16.12.2016. Скачал патч, что бы установить в ручную, а он зависает про «поиске обновлений на этой системе».
У вас сама служба «Центр обновления Windows» не остановлена?
Я также скачал заплатку для Win7 x64 — KB4012212 и установил в оффлайне.
Я также скачал заплатку для Win7 x64 — KB4012212 и установил в оффлайне.
У вас сама служба «Центр обновления Windows» не остановлена?
а что это такое?
У меня уже с 16.12.2016 показывает, что есть два обновления. Когда нажимаю на установить, он пытается их скачать, но прогресс 0%, т.е. ничего не происходит.
Хотя сейчас в «хистори» посмотрел и у меня многие ноябрьские обновления не установились.
Если этот криптор использовал эксплоит украденный у АНБ, то мы наверно еще и спасибо должны сказать его авторам (криптора), т.к. он он явно продемонстрировал незащищенность информации некоторых гос структур.
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?
p.s. мне вот что интересно, это сколько же времени АНБ, через эту дыру, сливало инфу у наших?
Всё нормально. Вендавозники должны страдать.
Прямые ссылки на обновления безопасности MS17-010 для различных версий WINDOWS также выложены в шапке темы https://forum.kasperskyclub.ru/index.php?s=c4c52a4d7a471462090727ce73e65b24&showtopic=55543&page=1
Если WindowsDefender (с новыми базами) в ходе сканирования пишет что угрозы не обнаружены — можно расслабиться?
По Win10 полная неразбериха с тем какое обновление должно быть чтобы считать что винда защищена от этого трояна… systeminfo не показывает то что в статье написано, но обновления то автоматически устанавливаются. Что проверять непонятно :(
По Win10 полная неразбериха с тем какое обновление должно быть чтобы считать что винда защищена от этого трояна… systeminfo не показывает то что в статье написано, но обновления то автоматически устанавливаются. Что проверять непонятно :(
Как-то незаметно проскочило «группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.».
И эти люди потом жалуются на «хакеров ФСБ».
Да просто «хакеров АНБ» надо гнать ссаными тряпками в школу доучиваться. Билгейтсы, блин…
PS. интересно — хакеры АНБ экзамены в формате ЕГЭ сдают, что ли?
PPS. хотя может и не надо их гнать…
И эти люди потом жалуются на «хакеров ФСБ».
Да просто «хакеров АНБ» надо гнать ссаными тряпками в школу доучиваться. Билгейтсы, блин…
PS. интересно — хакеры АНБ экзамены в формате ЕГЭ сдают, что ли?
PPS. хотя может и не надо их гнать…
У кого проблемы с скачиванием (на Микрософте завал запросов), качайте тут 7,Server 2008 R2 и XP одним архивом.внутри три файла.
https://yadi.sk/d/w4tCpigc3J72Ac
https://yadi.sk/d/w4tCpigc3J72Ac
C:\Windows\system32>dism /online /norestart /disable-feature /featurename:SMB1Pr
otocol
Cистема DISM
Версия: 6.1.7600.16385
Версия образа: 6.1.7600.16385
Ошибка: 0x800f080c
Имя компонента «SMB1Protocol» неизвестно.
Имя компонента Windows не распознано.
Воспользуйтесь параметром /Get-Features, чтобы найти имя компонента в образе, и
повторите команду.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Что делать?
Судя по всему, у вас просто выпилена SMBv1. Не на сборке с каких-нибудь торрентов сидите, часом? Потому как на MSDN-образах такого быть не должно.
Выше писал:
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
Если у вас в указанных местах нет упоминаний о SMB1 — возможно кто-то до вас его уже отключил\вырезал из дистрибутива.
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system.
For server operating systems:
Open Server Manager and then click the Manage menu and select Remove Roles and Features.
In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
Restart the system
Если у вас в указанных местах нет упоминаний о SMB1 — возможно кто-то до вас его уже отключил\вырезал из дистрибутива.
Win7 x64, установлена с оригинального диска, указанного пункта или упоминания о SMB1.0 в «компонентах» нет. Доступ к машине только у меня (до сего момента настройками данного протокола не интересовался, изменений не вносил).
SMB1 как отдельный компонент отсутствует в Windows 7, это похоже инструкция для какой-то другой версии.
https://yadi.sk/d/g9QIbcwj3J6yo4
Ссыль на ЯД на скачивание ручной установки KB4012212 для win7x64
Сервера майков еле грузятся
Ссыль на ЯД на скачивание ручной установки KB4012212 для win7x64
Сервера майков еле грузятся
Пишут что в червяке был kill switch который сейчас активировали — т.е. распространение имено этой версии прекратилось
https://twitter.com/GossiTheDog/status/863160534308454400/
https://twitter.com/GossiTheDog/status/863160534308454400/
Отдельное спасибо за упоминания про патч, для старых систем. Выручили сильно!
Вы нашли случайно для windowsserver2003-kb4012598-x64-custom-rus?..
Я ниже выложил, забирайте.
вот тут все есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Для x64-rus сложно что то найти. Я в свое время не нашел обновления RDP до 7й версии.
Скопипастил официальные прямые ссылки на различные системы. Может сразу добавить в шапку, а то тут уже дают левые ссылки.
MS17-010
Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Vista x86 Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64 Edition Service Pack 2
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 for x86
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 R2 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2008 R2 for Itanium
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu
Windows 7 for 32-bit Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 for x64 Service Pack 1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8.1 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
улетело
А если Windows 8, а не 8.1? Полностью апгрейдить систему?
Если верить официальному майковскому fact sheet, 8.1 не является стэндалон-выпуском, а, скорее, последним потомком сервис-паков. Таким образом, надо бы грейдиться. До упора.
Попробуйте — спец патч для Windows XP, Windows Vista, Windows 8 и Windows Server 2003
Windows 8 x86
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Windows 8 x86
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
Windows 8 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
Он непременим к Windows 8
Меня тоже смущает RT в названии — windows8-rt, но всё вопросы к Microsoft.
Возможно получится так:
https://download.microsoft.com/download/D/7/1/D7162EEF-0F67-4AB1-90B9-CF47BCAC568E/Windows8-RT-KB4012598-x64-custom.msu
https://download.microsoft.com/download/1/D/3/1D38C957-CE2B-45A8-B2B5-A548AFC80E1D/Windows8-RT-KB4012598-x86-custom.msu
Возможно получится так:
https://download.microsoft.com/download/D/7/1/D7162EEF-0F67-4AB1-90B9-CF47BCAC568E/Windows8-RT-KB4012598-x64-custom.msu
https://download.microsoft.com/download/1/D/3/1D38C957-CE2B-45A8-B2B5-A548AFC80E1D/Windows8-RT-KB4012598-x86-custom.msu
Для 2012 R2 нету ссылочки прямой?
В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
Если подменить адрес отправителя — то и ответ уйдет по подмененному адресу. Какой смысл в сканере, который не получает ответа?
Правильно ли я понимаю, что если через cmd ввел dism /online /norestart /disable-feature /featurename:SMB1Protocol и мне написало: Операция завершена успешно — можно расслабиться и спокойно накатывать нужные обновления?
Что именно отключает эта комманда в строке и как это повлияет на повседневную работу на ПК? Можно ли ее оставить выключенной?
Что именно отключает эта комманда в строке и как это повлияет на повседневную работу на ПК? Можно ли ее оставить выключенной?
Правильно, эта команда отключает поддержку старого протокола для удаленного доступа к файлам (SAMBA).
Можно оставить выключенной.
Прошу прощения, не укажите также команду включения данного протокола (Win7 x64). Не корысти ради, так, на всякий случай. :)
Команды не подскажу, как отключить повторю 3-й раз:
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system
Включение
How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.
Отключение SMB1 описано, на странице загрузки, как штатный Workaround:
For client operating systems:
Open Control Panel, click Programs, and then click Turn Windows features on or off.
In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
Restart the system
Включение
How to undo the workaround. Retrace the workaround steps, and select the SMB1.0/CIFS File Sharing Support check box to restore the SMB1.0/CIFS File Sharing Support feature to an active state.
Да, можно не включать, если не нужен сетевой доступ к вашему PC (папки\принтеры) с компьютеров с XP\2003\Возможно- старые версии Андроид.
В том то и дело, такая надобность не исключается (имеется ноут под XP).
Отключал на Server 2012 R2. Доступ к сетевым папкам с 2003\XP пропал.
Так что обновляйте и включайте SMB1 обратно.
Так что обновляйте и включайте SMB1 обратно.
Что обновлять, ноут? Нет, спасибо, именно он мне нужен с XP. Так что интересует возможность такого же быстрого включения протокола.
P.S. Голосовать права не имею, минусы вам не лепил.
P.S. Голосовать права не имею, минусы вам не лепил.
Не очень вас понял.
Обновить нужно (если обновления не ставились автоматически) то, куда ноут с ХР должен ходить по сети, и сам ноут с ХР, благо обновление для ХР выпустили.
Неясно, зачем после обновления выключать SMB1?
По поводу минусов — не переживайте
Обновить нужно (если обновления не ставились автоматически) то, куда ноут с ХР должен ходить по сети, и сам ноут с ХР, благо обновление для ХР выпустили.
Неясно, зачем после обновления выключать SMB1?
По поводу минусов — не переживайте
благо обновление для ХР выпустили.
Обновление для Windows XP даёт доступ к расшаренным папкам и сетевым принтерам на XP со стороны Windows 7?
Дает?
Если доступ был, он останется и после обновления.
Если доступ был, он останется и после обновления.
Если доступ был, он останется и после обновления.
Поставил на Windows 7 SP1 64 патч 17-010 и отключил SMBv.1 и SMBv.2 вышеприведёнными командами.
Теперь машинки с Windows 7 SP1 64 перестали видеть сетевые шары и сетевые принтеры у соседей с установленной Windows XP SP2. :( IPv.6 отключен.
Установка SP3 и патча 17-010 для Windows XP восстановит доступ? Или нужны более другие танцы с бубнами?
Поставил упомянутые обновления на Win 7 x64 пиратку, после перезапуска синий экран на доли секунды, затем перезапуск и так до бесконечности. Восстановился, в затем в журналах событий вижу ошибки BTHUSB.sys, агента обновления и другие. Плюнул на это дело, нет времени разбираться, если что, важные данные бэкапятся каждый день.
Я плакал…
На опеннете в комментариях в wine запустил кто-то.
Отличное описание жизни с Ubuntu)
Не поймите меня неправильно, но порой установка какой-нибудь нужной софтины проходит по такому же процессу.
Не поймите меня неправильно, но порой установка какой-нибудь нужной софтины проходит по такому же процессу.
Не понимаю, зачем на адаптере с белым ip держать «Клиента для сетей МС» и «Общий доступ к файлам и принтерам», к шаре через через интернет подключаются? Отключить клиента и службу на адаптере и smb недоступен из вне.
СМИ уже вовсю пишут о таргет-атаке хакеров на Россию и то, как мы отразили атаки на сервера благодаря Эльбрусу.
Как заявила официальный представитель МВД Ирина Волк, атака производилась на компьютеры, которые находятся под управлением операционной системы Windows. Ее зафиксировал департамент информационных технологий, связи и защиты информации МВД.
По словам Волк, серверные ресурсы не подвергались заражению «благодаря использованию иных операционных систем и отечественных серверов с российским процессором «Эльбрус».
Подробнее на РБК:
http://www.rbc.ru/rbcfreenews/5916e42b9a79472457d41e08?from=main
В новостях вообще много что пишут, только сейчас смотрел какой-то YouTube ролик, RIP с ТВ, где «многоуважаемый эксперт» (специально найденный редакцией телеканала) рассказывал что-то вроде: да, этот вид угроз, трояны-шифровальщики достаточно не нов и работает по хорошо отлаженной и давно известной схеме и в качестве рекомендаций что-то вроде: «Здесь человеческий фактор играет существенную роль. Здесь важно не открывать какие-то ссылки и письма, которые пришли неизвестно от кого». Это-то и так понятно, а вот рассказать о пути проникновения, о незакрытой уязвимости и т.п. — про это ни слова.
p.s. Я к тому что разные СМИ будут спекулировать на этой теме еще ой как долго… и ракурсы в которых все это можно преподнести достаточно разнообразны. Вплоть до «вторжения инопланетян» ;)
p.s. Я к тому что разные СМИ будут спекулировать на этой теме еще ой как долго… и ракурсы в которых все это можно преподнести достаточно разнообразны. Вплоть до «вторжения инопланетян» ;)
«Здесь человеческий фактор играет существенную роль. Здесь важно не открывать какие-то ссылки и письма, которые пришли неизвестно от кого»
Для таких моментов, всегда должна быть заготовленна старая дедовская классика, которая «сейчас все объяснит». Пруф на mp3
Для таких моментов, всегда должна быть заготовленна старая дедовская классика, которая «сейчас все объяснит». Пруф на mp3
По факту большинство шифровальщиков и приходит по электронной почте с сообщениями, призывающими запустить вложение. Здесь, конечно, механизм иной. Полагаю, при его реально широком распространении он, скорее всего, сам себя загубит: начнётся двойное или даже многократное шифрование файлов разными программами, каждая из них будет требовать своих денег, расшифровка может усложниться до невозможности, и люди перестанут платить.
5 лет под Linux ) с удовольствие выслушаю все плюсы Windows…
Подождите, разве подобные уязвимости не появляются чуть ли не каждый месяц?
То есть проблема не столько в самой уязвимости, сколько в том, что кто-то все таки решился использовать его в модели распространения «червь»
То есть проблема не столько в самой уязвимости, сколько в том, что кто-то все таки решился использовать его в модели распространения «червь»
Проблема в том, что это был NSA'шный нуллдей, который запатчили меньше двух месяцев назад. Для ХР и старых серверов патчей не было в принципе до вчерашнего дня, а остальные машины, судя по характеру жертв, были или в корпсекторе (где апдейты выкатываются значительно, значительно позже, чем они появляются на WU), или же у домашних юзеров с отпиленным по тем или иным причинам автообновлении.
Проблема также и в специфике самой уязвимости: дыра в сетевом сервисе, что позволяет при наличии проброса порта на Самбу или прямом айпишнике вынести машину извне, без каких-либо действий со стороны юзера.
Именно сочетание техники распространения малвари (фишинг + червь), а также характер самой уязвимости, и дали в конечном итоге такой кумулятивный эффект.
Проблема также и в специфике самой уязвимости: дыра в сетевом сервисе, что позволяет при наличии проброса порта на Самбу или прямом айпишнике вынести машину извне, без каких-либо действий со стороны юзера.
Именно сочетание техники распространения малвари (фишинг + червь), а также характер самой уязвимости, и дали в конечном итоге такой кумулятивный эффект.
или же у домашних юзеров с отпиленным по тем или иным причинам автообновлении.
У меня лицензионная win 7 не получила это обновление (ни один из пакетов, упоминаемых тут), автообновления всегда были включены. Вчера поставил KB4012212 вручную. Патч встал со второго раза, в первый раз повесив систему. https://geektimes.ru/post/289115/#comment_10060121
привет, что если в windows 7 pro при вводе команды «dism /online /norestart /disable-feature /featurename:SMB1Protocol»
Выдаёт ошибку 0x800f080c
Имя компонента «Smb1Protolol» неизвестно.
Имя компонента Windows не распознано.
Значит всё в порядке?
Выдаёт ошибку 0x800f080c
Имя компонента «Smb1Protolol» неизвестно.
Имя компонента Windows не распознано.
Значит всё в порядке?
К совету про «dism /online /norestart /disable-feature /featurename:SMB1Protocol» стоило бы дописать что это работает начиная с Windows 8.1.
Для 7 официальный способ:
Для 7 официальный способ:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
«Специалист по безопасности, который ведет твиттер @MalwareTechBlog»… Вот ему надо памятник ставить, а остальным не пострадавшим вследствии его действий — выделять этому товарищу грант… Очень уж красиво закрыл ботнет — прямо как в кино.
К сожалению не на долго
Видел уже несколько сообщений, что установка официального патча рушит систему в бсод, причем иногда даже включая безопасный режим. Насколько массовая эта проблема?
Коллега по работе сегодня почитал новости, решил обновиться и убил себе win7, после этого смог только в консоль загрузиться, так что как минимум есть такое, насколько массово — не знаю
Win7, x64, SP1, нелицензионка. После установки вручную патча 4012212 и перезагрузки система уходит в постоянный ребут — система грузится до логотипа ивсё — перезагрузка. Удалось восстановить с помощью восстановления системы. В журнале отчёта Центра обновлений — у патча 4012212 стоит состояние «отказ» с кодом ошибки «80242016». Повторно ставить патч не рискнул.
Кто может подсказать, стояла нелицензионная 7-ка, запустили автоматическое обновление и после обновления и перезапуска система перестала грузится.
Что делать, переустанавливать винду?
Что делать, переустанавливать винду?
Если включена защита системы, то можно попробовать откатиться на точку сохранения.
Для начала, если загрузка прерывается на этапе, когда должна появиться надпись «Welcome», или «Добро пожаловать» — но этой надписи нет, просто полностью выключите машину и включите ее снова.
Должно помочь.
Должно помочь.
Снести что установили, погугли ошибку c0000145
Было такое, после обнов слетал загрузчик, в домене около 500 машин, слетало только на асерах, загрузка через восстановление системы и восстановление загрузчика всегда помогала.
Я тоже вчера так «залатался», и неожиданно для себя получил защиту от эксплойта в виде циклического bsod при загрузке даже в safe mode.
Как я исправил, — загрузился в recovery tools, и там в cmd через dism нашел пакет обновления 4012212 и удалил его. После этого система загрузилась нормально.
Но… Проблема уязвимости то осталась. Есть причина по которой система валится от многих обновлений на определенных нелинцензионных сборках. Обьяснение от пользователя simplix:
Также он выложил фикс winkernel для решения проблемы с обновлением ядра. После него у меня KB4012212 встал без проблем.
Как я исправил, — загрузился в recovery tools, и там в cmd через dism нашел пакет обновления 4012212 и удалил его. После этого система загрузилась нормально.
Но… Проблема уязвимости то осталась. Есть причина по которой система валится от многих обновлений на определенных нелинцензионных сборках. Обьяснение от пользователя simplix:
проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться. Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.
Также он выложил фикс winkernel для решения проблемы с обновлением ядра. После него у меня KB4012212 встал без проблем.
Поэтому, если пиратить — то энтерпрайз. KMS по любому лучше, чем подмена системных файлов.
Та же проблема. Как хотя бы вручную отключить SMB?
И дайте ссылку с фиксом. Прекрасно, что у Вас всё получилось, но хотелось бы тоже обезопаситься.
И дайте ссылку с фиксом. Прекрасно, что у Вас всё получилось, но хотелось бы тоже обезопаситься.
После фикса вы всё так же будете иметь уязвимое ядро. Не к этой конкретной SMB-уязвимости уязвимое, но MS регулярно патчит ядро, закрывая в нём дыры.
этот патч легко гуглится на первых строках выдачи. Но если желаете, то я брал тут:
https://forum.simplix.ks.ua/viewtopic.php?id=536
В описании сказано что он следит за актуальностью подменного ядра. Поэтому остальные уязвимости также должны быть закрыты.
https://forum.simplix.ks.ua/viewtopic.php?id=536
В описании сказано что он следит за актуальностью подменного ядра. Поэтому остальные уязвимости также должны быть закрыты.
Господи, да зачем же использовать активатор, который подменяет ядро на уязвимое, да ещё и подпирать его костылями, чтобы он продолжал работать?
Много лет уже существуют более «чистые» способы, которые не требуют вмешательства в системные файлы.
Много лет уже существуют более «чистые» способы, которые не требуют вмешательства в системные файлы.
Нижеприведённый код сохранить в текстовом виде с расширением .cmd и запустить от имени администратора. Будет восстановлено оригинальное ядро, система перезагрузится. Скорее всего, слетит пиратская активация, можно использовать альтернативный активатор, не затрагивающий ядро, например, лоадер.
DEL "%windir%\system32\drivers\oem-drv64.sys"
DEL "%windir%\system32\xNtKrnl.exe"
DEL "%windir%\system32\xOsLoad.exe"
DEL "%windir%\System32\ru-RU\xOsLoad.exe.mui"
DEL "%windir%\System32\en-US\xOsLoad.exe.mui"
%windir%\System32\BCDEDIT.exe /set {current} path \Windows\system32\winload.exe
%windir%\System32\BCDEDIT.exe /deletevalue {current} kernel
%windir%\System32\BCDEDIT.exe /deletevalue {current} nointegritychecks
%windir%\System32\BCDEDIT.exe /deletevalue {current} custom:26000027
REG DELETE HKLM\SYSTEM\CurrentControlSet\services\oem-drv64 /va /f
shutdown -r -t 0
Win 7 x64 SP1 не лицензия.
В «Компонентах Windows» нет ничего похожего на «SMB1.0/CIFS File Sharing Support».
Пробовал
перезагружался,
также устанавливал правила для портов 135 и 445 на штатный firewall с помощью
Все равно можно подключится к этим портам.
Обновления ставить не рискуют, так как писали что после него система может падать в BSOD.
В «Компонентах Windows» нет ничего похожего на «SMB1.0/CIFS File Sharing Support».
Пробовал
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
перезагружался,
также устанавливал правила для портов 135 и 445 на штатный firewall с помощью
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"
.Все равно можно подключится к этим портам.
Обновления ставить не рискуют, так как писали что после него система может падать в BSOD.
А уже была информация об успешности или безуспешности расшифровки после оплаты? Уже за 22к$ платежи перевалили, это больше 70 выкупов, и никакой информации в рунете.
Не могу поставить обновление на Windows 7 64. При попытке установки произошла ошибка, еле-еле загрузился после этого. Отличный патч! Подскажите, что теперь делать?
https://social.technet.microsoft.com/Forums/windows/en-US/47e5b345-8a45-4889-bc86-75a199fb28e9/update-for-windows-7-32bit-kb2952664-failed. Удалить апдэйт и переставить.
много людей пишут про бсод при установке это патча, я как-то очкую теперь
пока отключил 445 порт, может этого хватит?
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=«Block_TCP-445»
пока отключил 445 порт, может этого хватит?
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=«Block_TCP-445»
А SMB Отключить? И обновить дефендер.
Встроенный в Win7 firewall не очень хочет блокировать такие порты, я проверял, подсоединяется с этим правилом без проблем. Лучше спилитие мушку отключите сервер SMB.
Я много страдал в эти выходные, но сейчас вроде норм. Решил, что обновления не накатываются из-за кривого кряка винды и решил его помнять. Нагуглил такой совет для удаления старого архиватора:
slmgr.vbs /upk
прописал, но, когда попытался крякнуть других активатором, он начал ругаться, что чего не может открыть. После поисков стало ясно, что простой команды в cmd недостаточно для удаления старого активатора. Надо найти odin 1.3.7, запустить и удалить через него. Найти его оказалось не так просто, но хуже всего, что при попытке его запустить, винда останавливала работу этой программы. Чудом нашел список команд, которые позволяют это сделать вручную, после чего удалось крякнуть винду и, наконец, установить обновления.
slmgr.vbs /upk
прописал, но, когда попытался крякнуть других активатором, он начал ругаться, что чего не может открыть. После поисков стало ясно, что простой команды в cmd недостаточно для удаления старого активатора. Надо найти odin 1.3.7, запустить и удалить через него. Найти его оказалось не так просто, но хуже всего, что при попытке его запустить, винда останавливала работу этой программы. Чудом нашел список команд, которые позволяют это сделать вручную, после чего удалось крякнуть винду и, наконец, установить обновления.
Похоже, что есть более приоритетное правило разрешения.
не совсем понятен этот момент про коды 4012212 или 4012215.
У меня windows server 2008 r2 x64, выполняю команду wmic qfe list | findstr 4012212 и затем 4012215,
но у меня не находит эти коды.
Я скачиваю обновление безопасности для windows server 2008 r2 x64 файл windows6.1-kb3212646-x64....msu. Но у меня в сервере это обновление kb3212646 уже было установлено в январе, и установщик пишет что данное обновление на моей системе уже есть. что мне дальше делать?
У меня windows server 2008 r2 x64, выполняю команду wmic qfe list | findstr 4012212 и затем 4012215,
но у меня не находит эти коды.
Я скачиваю обновление безопасности для windows server 2008 r2 x64 файл windows6.1-kb3212646-x64....msu. Но у меня в сервере это обновление kb3212646 уже было установлено в январе, и установщик пишет что данное обновление на моей системе уже есть. что мне дальше делать?
После установки патча винда упала (Win7). Пришлось делать откат.
В Windows 7 smb1 отключается этими командами:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
В Windows 7 smb1 отключается этими командами:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Виндус не перестает удивлять.
P.S. Обновление почему-то не устанавливалось, поэтому просто отключил Самбу.
P.S. Обновление почему-то не устанавливалось, поэтому просто отключил Самбу.
Не то скачал.
Вероятно обновление уже было установлено. Я получил такое же сообщение, а потом оказалось, что обновление приехало автоматом несколько дней назад.
У меня на 2008 R2 тоже выдавало «Обновление неприменимо к вашему компьютеру». Потом включил автоматические обновления и после нескольких обновлений с перезагрузкой стало возможно установить это обновление (на нем больше года назад было отключено автоматическое обновление).
Видимо, для его установки нужны предыдущие обновления
Видимо, для его установки нужны предыдущие обновления
Жаль, что все так сложно с проверкой на уязвимость. Вроде бы достаточно проверить, установлено ли определенное обновление, но…
Скачал вручную гигабайтный апдейт от Microsoft по ссылке из статьи, а он мне — this update is not applicable. И то ли апдейт уже установлен, то ли нет и надо искать другие пути решения, то ли не надо потому что smb1 отключен. По советам одной из статей проверил циферки в winver, но это как-то не успокаивает, потому что не очевидна взаимосвязь циферок и наличия патча.
Кто-нибудь знает простой надежный алгоритм чтобы определить, можно спать спокойно или нет? Открытость порта 445 на машине — не показатель, потому что служба, которая его слушает, может быть сейчас отключена, а завтра что-нибудь в винде захочет ее включить, и приехали.
- нет нормального 100% работающего способа грепнуть полный список, судя по тому что пишут выше в комментах
- само обновление могло входить в кумулятивное (или как это правильно называется?), и не понятно что искать
- или обновление не нужно потому что сборка винды слишком новая, например 1703, если я правильно понял
- или уязвимый компонент отключен (или как-нибудь выпилен)
Скачал вручную гигабайтный апдейт от Microsoft по ссылке из статьи, а он мне — this update is not applicable. И то ли апдейт уже установлен, то ли нет и надо искать другие пути решения, то ли не надо потому что smb1 отключен. По советам одной из статей проверил циферки в winver, но это как-то не успокаивает, потому что не очевидна взаимосвязь циферок и наличия патча.
Кто-нибудь знает простой надежный алгоритм чтобы определить, можно спать спокойно или нет? Открытость порта 445 на машине — не показатель, потому что служба, которая его слушает, может быть сейчас отключена, а завтра что-нибудь в винде захочет ее включить, и приехали.
Если Win Defender используете — то в базы уже добавили Ransom:Win32/WannaCrypt.
Вы правильно версию ОС выбрали?
Наслаждайтесь :)
Вы правильно версию ОС выбрали?
Наслаждайтесь :)
спасибо за ссылку. но все равно не понятно, какой номер искать. :)
версию выбрал правильно, смотрел в winver перед тем как качать.
а еще, насколько я понимаю, defender сродни антивирусам, т.е. найдет малварь только если она просочилась и запустилась, разве нет?
интересует-то именно гарантия того, что уязвимость в сервисе закрыта. если б это был linux, можно бы было проверить версии пакетов и библиотек которыми пользуется конкретный демон. а тут остается только ориентироваться на статьи, в которых пишут советы и списки версий, и на KB от Microsoft (кстати в какой-то статье видел что-то вроде «в KB неправильная информация, вот правльиная..»)
версию выбрал правильно, смотрел в winver перед тем как качать.
а еще, насколько я понимаю, defender сродни антивирусам, т.е. найдет малварь только если она просочилась и запустилась, разве нет?
интересует-то именно гарантия того, что уязвимость в сервисе закрыта. если б это был linux, можно бы было проверить версии пакетов и библиотек которыми пользуется конкретный демон. а тут остается только ориентироваться на статьи, в которых пишут советы и списки версий, и на KB от Microsoft (кстати в какой-то статье видел что-то вроде «в KB неправильная информация, вот правльиная..»)
Думаю дефендер сразу спалит и в карантин запихает.
Какая версия винды?
Какая версия винды?
Windows 10 version 1607 build 14393.1198
Я у себя в сети без затей делаю так
dir \\localhost\c$\WINDOWS\system32\drivers\srv.sys
дата должна быть 11.02.2017 или новее, значит стоит обновление.
Если нет, то нет.
Совет универсален для всех версий Windows.
dir \\localhost\c$\WINDOWS\system32\drivers\srv.sys
дата должна быть 11.02.2017 или новее, значит стоит обновление.
Если нет, то нет.
Совет универсален для всех версий Windows.
спасибо. может быть, это стоит добавить в статью. kvaps
Спасибо.
Сделал так для быстрого доступа\проверки:
Создаем ярлык\Shortcut для \\localhost\c$\WINDOWS\system32\drivers\srv.sys
в общедоступной сетевую папке.
Затем на любом компьютере сети: открываем эту папку — правый клик на ярлыке — «Открыть расположение файла»
Смотрим версию (дату)
Сделал так для быстрого доступа\проверки:
Создаем ярлык\Shortcut для \\localhost\c$\WINDOWS\system32\drivers\srv.sys
в общедоступной сетевую папке.
Затем на любом компьютере сети: открываем эту папку — правый клик на ярлыке — «Открыть расположение файла»
Смотрим версию (дату)
Вместо
\\localhost\c$\WINDOWS\system32\drivers\srv.sys
можно использовать
%windir%\system32\drivers\srv.sys
Будет работать даже если на конкретном PC какие-то проблемы с сетевым доступом.
\\localhost\c$\WINDOWS\system32\drivers\srv.sys
можно использовать
%windir%\system32\drivers\srv.sys
Будет работать даже если на конкретном PC какие-то проблемы с сетевым доступом.
%windir% безусловно точнее.
Но у меня периодически встречаются для общей совместимости средства удаленного управления на основе 32 бит, соответственно 32 битные консоли/cmd получаются и так далее.
И в этом случае \\localhost при любых обстоятельствах попадет в нужную папку при любом сочетании битности вызова и системы, а %windir% из 32 битного RPC на 64 битной системе пройдет мимо файла.
Но у меня периодически встречаются для общей совместимости средства удаленного управления на основе 32 бит, соответственно 32 битные консоли/cmd получаются и так далее.
И в этом случае \\localhost при любых обстоятельствах попадет в нужную папку при любом сочетании битности вызова и системы, а %windir% из 32 битного RPC на 64 битной системе пройдет мимо файла.
UFO just landed and posted this here
На разных системах по разному. Я писал команду, которая работает от XP до 10ки любой битости без исключений.
На 10-ке например действительно drivers похоже общий.
А на 2008 R2 это вот так выглядит
C:\Windows\System32\drivers>dir C:\Windows\System32\drivers\
Volume in drive C has no label.
Volume Serial Number is 64EC-60CA
Directory of C:\Windows\System32\drivers
23.06.2011 19:50 .
23.06.2011 19:50 …
14.07.2009 08:41 en-US
23.06.2011 19:51 58 368 FILEM70.SYS
11.06.2009 00:14 3 440 660 gm.dls
11.06.2009 00:14 646 gmreadme.txt
14.07.2009 02:14 115 712 mrxdav.sys
14.07.2009 08:41 UMDF
14.07.2009 04:19 19 008 wimmount.sys
5 File(s) 3 634 394 bytes
4 Dir(s) 383 884 656 640 bytes free
На 10-ке например действительно drivers похоже общий.
А на 2008 R2 это вот так выглядит
C:\Windows\System32\drivers>dir C:\Windows\System32\drivers\
Volume in drive C has no label.
Volume Serial Number is 64EC-60CA
Directory of C:\Windows\System32\drivers
23.06.2011 19:50 .
23.06.2011 19:50 …
14.07.2009 08:41 en-US
23.06.2011 19:51 58 368 FILEM70.SYS
11.06.2009 00:14 3 440 660 gm.dls
11.06.2009 00:14 646 gmreadme.txt
14.07.2009 02:14 115 712 mrxdav.sys
14.07.2009 08:41 UMDF
14.07.2009 04:19 19 008 wimmount.sys
5 File(s) 3 634 394 bytes
4 Dir(s) 383 884 656 640 bytes free
UFO just landed and posted this here
да, etc с целью hosts везде общий, это я давно заметил
Но по крайней мере в дефолте это обычно работает.
К сожалению я не знаю хорошего способа долезть до 64 битных папок из 32 битной программы. У меня много где прописано \\localhost\...\system32 и так далее. Наверняка есть какой-то более цивилизованный способ, чем ходить через редиректор, но мне ничего в голову лучше никогда не приходило.
К сожалению если софт управления сетью x86 из очевидных соображений совместимости, приходится всем этим заниматься. Многих утилит в x86 папках вообще нету.
Но по крайней мере в дефолте это обычно работает.
К сожалению я не знаю хорошего способа долезть до 64 битных папок из 32 битной программы. У меня много где прописано \\localhost\...\system32 и так далее. Наверняка есть какой-то более цивилизованный способ, чем ходить через редиректор, но мне ничего в голову лучше никогда не приходило.
К сожалению если софт управления сетью x86 из очевидных соображений совместимости, приходится всем этим заниматься. Многих утилит в x86 папках вообще нету.
Начиная с Vista/2008 — %windir%\Sysnative.
Vista и выше — SysNative. Ниже — можно установить отдельно скачиваемый пакет, который добавит эту виртуальную папку.
Альтернативный путь: вручную создать символическую ссылку или Junction на System32 (обозвав, скажем, System64), и на неё перенаправление действовать не будет.
Альтернативный путь: вручную создать символическую ссылку или Junction на System32 (обозвав, скажем, System64), и на неё перенаправление действовать не будет.
Спасибо. Когданить пригодится.
UFO just landed and posted this here
Просто это не обновление безопасности и не исправление ошибок, поэтому через канал обновлений оно не приходит. Таких фиксов много, и предполагается, что их не надо ставить всем подряд, а только тем, у кого возникает конкретная проблема (ибо кому-то этот фикс поможет, а кому-то сделает хуже). Конкретно Sysnative, конечно, вряд ли может что-то испортить, но это общий подход ко всем подобным обновлениям.
P.S. Между прочим, мне самому больше нравится вариант со ссылкой, потому что Sysnative виден только 32-битным приложениям, а ссылка — всем. То есть во втором случае я могу написать универсальный путь и не беспокоиться о том, из какого приложения его использую. Примерно как тот трюк с localhost'ом, но выглядит красивее. Хотя, в отличие от него, требует предварительных ручных действий.
P.S. Между прочим, мне самому больше нравится вариант со ссылкой, потому что Sysnative виден только 32-битным приложениям, а ссылка — всем. То есть во втором случае я могу написать универсальный путь и не беспокоиться о том, из какого приложения его использую. Примерно как тот трюк с localhost'ом, но выглядит красивее. Хотя, в отличие от него, требует предварительных ручных действий.
UFO just landed and posted this here
Иногда Windows бывает не на диске C. А иногда и не в каталоге Windows.
Сорри, не улавливаю, как это относится к моему комментарию.
А можно и командным файлом:
@wmic datafile where Name=«C:\\Windows\\system32\\drivers\\srv.sys» get Version,LastModified
pause
Вывод команды будет прибл.таким:
Без обновлений:
LastModified Version
20141029040525.331129+180 6.3.9600.17415
С обновлениями:
LastModified Version
20170402194110.836365+180 6.3.9600.18655
@wmic datafile where Name=«C:\\Windows\\system32\\drivers\\srv.sys» get Version,LastModified
pause
Вывод команды будет прибл.таким:
Без обновлений:
LastModified Version
20141029040525.331129+180 6.3.9600.17415
С обновлениями:
LastModified Version
20170402194110.836365+180 6.3.9600.18655
Для еще большей универсальности
dir %windir%\system32\drivers\srv.sys
@echo off
set PATH=%SYSTEMROOT%\SYSTEM32;%SYSTEMROOT%;%SYSTEMROOT%\SYSTEM32\WBEM;
for /F "tokens=1" %%i in ('dir 2^>nul \\localhost\C$\WINDOWS\system32\drivers\srv.sys^|findstr.exe 2^>nul srv.sys') do ^
for /F "tokens=1-3 delims=." %%j in ("%%i") do (
if "%%l.%%k.%%j" lss "2017.02.11" (
echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010!
exit 1
)
echo Checking the date srv.sys: %%i - OK
exit 0
)
dir | findstr — это вы так информацию о файле запросили?
Вот так же проще:
@echo off
for %%x in (\\localhost\C$\WINDOWS\system32\drivers\srv.sys) do ^
for /F "tokens=1" %%i in ("%%~tx") do ^
for /F "tokens=1-3 delims=." %%j in ("%%i") do (
if "%%l.%%k.%%j" lss "2017.02.11" (
echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010!
exit 1
)
echo Checking the date srv.sys: %%i - OK
exit 0
)Вот еще вариант без сетевой папки:
@echo off
set DIR=%windir%\system32\drivers;%windir%\sysnative\drivers
for %%x in (srv.sys) do ^
for /F "tokens=1" %%i in ("%%~t$DIR:x") do ^
for /F "tokens=1-3 delims=." %%j in ("%%i") do (
if "%%l.%%k.%%j" lss "2017.02.11" (
echo Checking the date srv.sys: %%i - VULNERABLE to MS17-010!
exit /b 1
)
echo Checking the date srv.sys: %%i - OK
exit /b 0
)
Что только люди не сделают, лишь бы не пользоваться PowerShell:
$(Get-Item $env:SystemRoot\System32\drivers\srv.sys).LastWriteTime -lt $(Get-Date "2017-02-11")
Кстати, ваш код не работает на системах с другим форматом даты.
У меня 8.1 64 битная, Windows Update здох пол года назад и не лечится, при включении сервиса отжирает на 100% процессорное ядро и так навсегда, естественно патч у меня не ставится, есть ли какие ни будь варианты установить этот патч без этого гребанного Виндоус Апдейта?
Выше в коментах ссылка на КБ с фиксом.
У них расширение msu, они без работающего Windows Update не устанавливаются
Я про фикс winupdate :)
attrib -h -r -s %windir%\system32\catroot2
attrib -h -r -s %windir%\system32\catroot2\*.*
net stop wuauserv
net stop CryptSvc
net stop BITS
ren %windir%\system32\catroot2 catroot2.old
ren %windir%\SoftwareDistribution SoftwareDistribution.old
ren "%ALLUSERSPROFILE%\application data\Microsoft\Network\downloader" downloader.old
net start BITS
net start CryptSvc
net start wuauserv
Вы уже попробоавли установить и увидели, что не устанавливается, или же просто предполагаете, что «msu без работающего Windows Update не устанавливаются»?
Апдейты можно устанавливать и через DISM.
Либо прямо из .msu,
DISM.exe /Online /Add-Package /PackagePath:c:\kb976571\Windows6.1-KB976571-v2-x64.msu
Либо распаковать .msu, найти в нем .cab и
DISM.exe /Online /Add-Package /PackagePath:c:\temp\976571\Windows6.1-KB976571-v2-x64.cab
https://blogs.technet.microsoft.com/askcore/2011/02/15/how-to-use-dism-to-install-a-hotfix-from-within-windows/
Либо прямо из .msu,
DISM.exe /Online /Add-Package /PackagePath:c:\kb976571\Windows6.1-KB976571-v2-x64.msu
Либо распаковать .msu, найти в нем .cab и
DISM.exe /Online /Add-Package /PackagePath:c:\temp\976571\Windows6.1-KB976571-v2-x64.cab
https://blogs.technet.microsoft.com/askcore/2011/02/15/how-to-use-dism-to-install-a-hotfix-from-within-windows/
c:\temp\Новая папка>DISM.exe /Online /Add-Package /PackagePath:c:\Dropbox\install\WannaCry\windows8.1-kb4012213-x64.msu
Cистема DISM
Версия: 6.3.9600.17031
Версия образа: 6.3.9600.17031
Обрабатывается 1 из 1 — Произошла ошибка — «c:\Dropbox\install\WannaCry\windows8.1-kb4012213-x64.msu» Ошибка: 0x80070032
Ошибка: 50
Такой запрос не поддерживается.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Cистема DISM
Версия: 6.3.9600.17031
Версия образа: 6.3.9600.17031
Обрабатывается 1 из 1 — Произошла ошибка — «c:\Dropbox\install\WannaCry\windows8.1-kb4012213-x64.msu» Ошибка: 0x80070032
Ошибка: 50
Такой запрос не поддерживается.
Файл журнала DISM находится по адресу C:\Windows\Logs\DISM\dism.log
Попробуйте не Новая папка, а короткое имя латинскими буквами.
Или извлеките .cab из апдейта устанавливайте его.
В статье по ссылке все описано.
Извлечь cab можно и командой
filename.msu /extract
Или извлеките .cab из апдейта устанавливайте его.
В статье по ссылке все описано.
Извлечь cab можно и командой
filename.msu /extract
тоже самое
Неоднократно пользовался установкой обновлений через DISM+CAB.
Конкретно эти обновления так правда, не устанавливал.
Почему оно не срабатывает у вас — не знаю.
Конкретно эти обновления так правда, не устанавливал.
Почему оно не срабатывает у вас — не знаю.
Как тоже самое? dism /online не умеет *.msu архивы и это нормально. Распаковываете хоть винраром msu и там могут быть несколько .cab, убедитесь, что пробуете dism'ом верный cab. С cab dism работает замечательно. Если такая же ошибка — то либо вы пробуете не cab, либо что-то неверно ввели, иначе был бы return.
Эти же обновления пробовал — и через wusa, и через dism, и через powershell модуль pswindowspupdate… вроде всё ок было, за редкими исключениями.
Эти же обновления пробовал — и через wusa, и через dism, и через powershell модуль pswindowspupdate… вроде всё ок было, за редкими исключениями.
Интересно, какую конечную цель преследуют ребята, запустившие все это. Ведь понятно, что затраты на такой массовый запуск себя не окупят на простых платежах за дешифровку, крупные конторы восстановят все из бекапов (им бабки точно платить не будут). Что стоит за всем этим шумом?
А что делать владельцам десятки? Стояла версия Windows 10 Version 1511, поиск обновления по коду на компьютере ничего не дал(да и не мог дать — последнее обновление было в январе 2017, с тех пор обновления были принудительно отключены). Скачал обновление по прямой ссылке, однако обновиться не удалось — выводил ошибку. Со страху включил обновления, все обновилось аж до Windows 10 Version 1607, однако соответствующего обновления все равно не находит. В журнале обновлений есть информация лишь об обновлении до версии 1607, о других обновлениях ничего нет. Значит ли это, что бояться уже нечего? Обнова установилась? Или все же отключить протокол, по которому происходит заражение?
Ставьте всё подряд.
Прямые ссылки на загрузку
Windows 10 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 Version 1511 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 Version 1511 for x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 Version 1607 for 32-bit
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 Version 1607 for x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu
Подскажите пожалуйста мне двоечнику(не сарказм), только не минусите. Возможно я что-то не понял или вообще не понимаю. На самом первом фото с офисом, видно что точно заражено 3 компьютера(может и больше). Получается что у них в офисе у 3-их, рабочие компьютеры(не серверы) сидят на внешних ip? или он попадая на один с внешним начинает дальше уже сканировать локальную сеть?
Друзья, не очень понял. Для Win 2012 R2 кто-то закрыл дырку обновой? Для 2012 R2 только Monthly Rollup доступно из предложенной ссылки.
шифрует только файлы на локальных дисках или доступные сетевые подключения тоже пытается?
UFO just landed and posted this here
Проверил, открывается. Возможно были временные проблемы из-за слишком большого количества желающих скачать «заплатку».
Ссылки на соответствующие патчи для всех ОС приводили выше в виде текстовика. Я просто сделал wget -i urls.txt и скачал их все «про запас» на съемный HDD. Абсолютно все приведенные ссылки рабочие.
Кто-нибудь пробовал патч для 2003 SP2 сервера? Смущает поспешность, с которой MS его написал и выкатил.
Патч был готов когда все остальные выкладывались. Просто его давали тем, кто бабки за спец суппорт платит. Но решили что с таким масштабом проще всем открыть.
Дык майкрософт, что, за денги продаёт обновления?
Для XP и 2003 только за большие бабки. Они официально не поддерживаются вообще. Стандартная практика у многих вендоров ОС.
Даже представить такого не мог. Спасибо.
Red Hat примерно так же делает. Если ваша версия out of support но вам дико прижало, то велкам ту
https://access.redhat.com/articles/rhel-eus
https://access.redhat.com/support/policy/updates/errata.
За бесплатно такое старье никто суппортить не будет :D
https://access.redhat.com/articles/rhel-eus
https://access.redhat.com/support/policy/updates/errata.
За бесплатно такое старье никто суппортить не будет :D
Какие деньги?
В шапке все есть. Для ленивых:
Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
В шапке все есть. Для ленивых:
Windows XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP SP2 for x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Server 2003 for x86
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 for x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Да они поддерживается до сих пор совершенно бесплатно. Просто места надо знать.
Так вы поставили в итоге или нет? Я (если что) тоже жду «отзывов». На xp встал без проблем, как с локализацией, так и родной.
Так и я жду «отзывов». Вот jok40 отписался, что все OK — завтра попробую, если начальство даст добро.
У меня на 3х серверах с 2003 R2 x86 без проблем накатилось, только перезагрузку требует.
Я поставил на один сервер. Проблем не возникло.
Отчитываюсь: установилось нормально. После установки потребовалась перезагрузка.
Камрады! Если 445 порт закрыт, то можно расслабиться или патч надо в любом случае ставить?
Даже с закрытым 445 у вас остается навсегда вероятность атаки «поднятие привилегий», потому что на localhost 445 вы никакими очевидными средствами не закроете (а даже если закроете, то заодно половина Windows в неочевидных местах работать перестанет).
Так что тут патчится самый практичный вариант.
Так что тут патчится самый практичный вариант.
От 445 как раз можно избавиться, у меня выключено всё, что связано с локалкой MS (службы и на сетевом интерфейсе). Вот в случае 135 уже проблемы, ведь это RPC. Но и его можно заблокировать, сторонним файрволом.
мало ли, вдруг кому пригодится — выкачал заплатки и собрал их в один архив https://yadi.sk/d/BGagsF2q3J7soQ
-Сработает ли официал патч для старых систем на нелиценз вин xp?
-Когда началась атака? 12го? или он внедрялся еще раньше, а 12го было заложено только сообщение о вымагательстве?
Т.е. он предварительно шифрофал данные на захваченных машинах еще до 12го или нет?
Об этом ничего не нашел.
По поводу bsod
Все старое хорошо забытое старое, не помню после какого обновления переставали запускаться файлы, вина тому активатор от Odin.
Корсарский способ (все на свой страх и риск!!!):
— удаляем активатор odin
— устанавливаем активатор Windows 7 Loader eXtreme в режиме loader, пару перезагрузок
— проверяем что лицензия встала
— обновляемся.
Я ставлю сборку iDimm, в ней дырявый сервис отключен, вот кому надо сказать спасибо.
Все старое хорошо забытое старое, не помню после какого обновления переставали запускаться файлы, вина тому активатор от Odin.
Корсарский способ (все на свой страх и риск!!!):
— удаляем активатор odin
— устанавливаем активатор Windows 7 Loader eXtreme в режиме loader, пару перезагрузок
— проверяем что лицензия встала
— обновляемся.
Я ставлю сборку iDimm, в ней дырявый сервис отключен, вот кому надо сказать спасибо.
Есть информация о других способах распространения вируса кроме 445 порта?
Также интересно по какому алгоритму он сканирует сеть.
Есть ли сетевой сканер на уязвимость MS17-010?
Также интересно по какому алгоритму он сканирует сеть.
Есть ли сетевой сканер на уязвимость MS17-010?
Распространение идёт через уязвимость в SMBV1. Она висит (в том числе) на 445-ом порту. Сканнер есть в Metasploit Framework (ссылку могу пульнуть позже, как доеду до компа). Я пару своих серверов проверял им до установки фиксов и после них)
Также интересно по какому алгоритму он сканирует сеть
Думаю, примерно так же как в описании сканнера-модуля Metasploit:
Uses information disclosure to determine if MS17-010 has been patched or not.
Specifically, it connects to the IPC$ tree and attempts a transaction on FID 0.
If the status returned is «STATUS_INSUFF_SERVER_RESOURCES», the machine does
not have the MS17-010 patch.
If the machine is missing the MS17-010 patch, the module will check for an
existing DoublePulsar (ring 0 shellcode/malware) infection.
This module does not require valid SMB credentials in default server
configurations. It can log on as the user "\" and connect to IPC$.
https://www.rapid7.com/db/modules/auxiliary/scanner/smb/smb_ms17_010
есть ещё, я так понимаю отдельный сканнер на Python (ссылка из ссылки выше)
https://github.com/countercept/doublepulsar-detection-script
Есть скрипт для nmap: https://github.com/cldrn/nmap-nse-scripts/blob/master/scripts/smb-vuln-ms17-010.nse (nmap нужен поновее, положить этот скрипт ему в директорию scripts, и запускать как-то так: nmap -sC -p445 --open --max-hostgroup 3 --script smb-vuln-ms17-010.nse X.X.X.X/X -oN scanlog )
По умолчанию в Windows включены и работают 6to4 адаптер и Teredo, брандмауэр windows их закрывает — но если установить другой брандмауэр тогда он отключит родной брандмауэр windows, а все порты через 6to4 адаптер и Teredo по протоколу IPv6 будут открыты.
При установке обновления заменяется файл Srv.sys. Он сидит в памяти даже если отключить службу «Сервер» (LanmanServer), поэтому на отключение этой службы как на способ обхода уязвимости я бы не полагался.
Чтобы это отключение точно сработало, нужно немного поковырять реестр.
1. В раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer добавить мультистроковый параметр DependOnService.
2. Прописать в него первой строкой значение «Srv» (без квычек).
3. В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv изменить значение параметра «Start» на 3.
После этой правки драйвер Srv.sys будет загружаться только при запуске службы «Сервер». Наличие галки напротив «Служба доступа к файлам и принтерам» в настройках сетевого адаптера на запуск службы «Сервер» никак не влияет.
Чтобы это отключение точно сработало, нужно немного поковырять реестр.
1. В раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer добавить мультистроковый параметр DependOnService.
2. Прописать в него первой строкой значение «Srv» (без квычек).
3. В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Srv изменить значение параметра «Start» на 3.
После этой правки драйвер Srv.sys будет загружаться только при запуске службы «Сервер». Наличие галки напротив «Служба доступа к файлам и принтерам» в настройках сетевого адаптера на запуск службы «Сервер» никак не влияет.
Поставил патч на свою Win7 x64 SP1, система попросила перезагрузиться. Отправил в перезагрузку и больше она не загрузилась, при загрузке выпадала в синий экран. Предполагаю что это из-за того что система совсем не обновлялась с момента установки.
Пришлось откатиться через восстановление системы. Так что будьте осторожны! Приготовьте диск для реанимации.
Пришлось откатиться через восстановление системы. Так что будьте осторожны! Приготовьте диск для реанимации.
Поставил патч на свою Win7 x64 SP1, система попросила перезагрузиться. Отправил в перезагрузку и больше она не загрузилась, при загрузке выпадала в синий экран.
На лицензионной Windows 7 SP1 64 такой проблемы нет.
При использовании KMS-activation v3 (AIO) Windows, после установки нужного патча, бесконечно перезагружается.
Microsoft, обнаружив критические уязвимости в своих продуктах, не исправляет их, а отправляет информацию спецслужбам. А потом, информация от спецслужб утекает, и под ударом оказываются миллионы пользователей. Доколе?!
Думаю, спецслужбы их сами обнаружили. Или даже вовсе купили у тех исследователей, которые нашли.
Но да, вместо того, чтоб вовремя сообщить о найденной уязвимости, её просто «зажали» на случай, если вдруг самим пригодится.
Итог вполне закономерен. Суммарный ущерб от вируса по всему миру вполне может превысить ущерб от общепланетарной террористической активности за весь прошлый год.
Спецслужбы могли бы реабилитироваться, отловив авторов данного вымогателя, но это сложно, это ж работать надо. Очевидно, что никто даже не попытается его найти, гораздо выгоднее вместо этого ещё больше финансирования АНБ выклянчить или какой-нибудь закон протолкнуть о расширении полномочий спецслужб, якобы для борьбы вот с такими угрозами.
Но да, вместо того, чтоб вовремя сообщить о найденной уязвимости, её просто «зажали» на случай, если вдруг самим пригодится.
Итог вполне закономерен. Суммарный ущерб от вируса по всему миру вполне может превысить ущерб от общепланетарной террористической активности за весь прошлый год.
Спецслужбы могли бы реабилитироваться, отловив авторов данного вымогателя, но это сложно, это ж работать надо. Очевидно, что никто даже не попытается его найти, гораздо выгоднее вместо этого ещё больше финансирования АНБ выклянчить или какой-нибудь закон протолкнуть о расширении полномочий спецслужб, якобы для борьбы вот с такими угрозами.
Ребзя, вопрос по нашумевшему WannaCrypt — он заражает ток компы с выделенным ипшником? Если динамический от провайдера — то все норм, и заражения можно не ждать? (Сорян, если тупой вопрос — не силен в «хакерстве»)
Если вирус атакует только определённые типы файлов, то как он их определяет, по расширению? Тогда может в добавок ко всему просто сменить расширения всех целевых файлов?
А так оно и есть. Есть список расширений которые шифруют или расширения, которые не шифруют. Первое гораздо чаще.
Если шифровать все, то так можно убить систему и жертва не знает кому платить.
Одно из правил бекапа, хранить бекапы не со стандартным расширением. Помогает не на 100%, но иногда может спасти.
Вот список для WannaCry:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
Если шифровать все, то так можно убить систему и жертва не знает кому платить.
Одно из правил бекапа, хранить бекапы не со стандартным расширением. Помогает не на 100%, но иногда может спасти.
Вот список для WannaCry:
.der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc
kvaps
Скрипт проверки на подверженность атаки будет весьма кстати. Утром в понедельник он будет ой как кстати.
Скрипт проверки на подверженность атаки будет весьма кстати. Утром в понедельник он будет ой как кстати.
Скрытый текст
# Powershell
# Скрипт проверки на подверженность атаки Wana decrypt0r 2.0 (WannaCry)
# Не проверяет заражена ли система (мне пока не чем проверить)
# При запуске с клиентского ПК требует установленной RSAT и возможно WMF5
# habrahabr / @sergey-s-kovalev / 15.05.2017 / free for use
cls
Import-Module ActiveDirectory
$domainname = "domain.local" # Задаем имя домена которое хотим проверить
$ResultPath = "D:\WannaCry\" # Указываем путь до папки, куда складывать отчеты
# Задаем списки для сохранения списков ПК
$SafeHosts = @()
$VulnerabilityHosts = @()
$OfflineHosts = @()
$NotManagedHosts = @()
$SafeDate = Get-Date -Date 11-2-2017 -Hour 0 -Minute 0 -Second 1 # Определяем безопасную дату файла
# Получаем список ПК из домена
$DomainComputers = Get-ADComputer -Server $domainname -Filter * -Properties * #| Where-Object {$_.OperatingSystem -like '*Server*'} | Sort Name # Используем маски в случае необходимости
# Общий список ПК
Write-Host "Всего хостов обнаружено:" $DomainComputers.count
foreach ($ComputerName in $DomainComputers.DNSHostName) # Для каждого ПК из списка
{
Write-host "Проверяем",$ComputerName
$PingResult = Get-WmiObject Win32_PingStatus -Filter "Address = '$ComputerName'" # Проверяем доступность ПК в сети
If (($PingResult.ResponseTime -ne $null) -and ($PingResult.IPV4Address -ne $null)) # Если нет пингов до хоста или у него нет ip адреса
{
$Command = {(Get-Item c:\WINDOWS\system32\drivers\srv.sys).LastWriteTime} # Команда которая получает дату файла
$Result = "Empty" # Задаем значение по умолчанию
# Пробуем запустить команду на удаленном ПК
Try {$Result = Invoke-Command -ComputerName $ComputerName -ScriptBlock $Command -ErrorAction Stop} Catch {write-host -foreground yellow $ComputerName, "включен, но управление через WinRM недоступно";$NotManagedHosts = $NotManagedHosts + $ComputerName}
if ($Result -ne "Empty") { # Если результат не пустой
# Сравнить дату файла с контрольной датой
if ($Result -lt $SafeDate) {write-host -foreground red $ComputerName,"уязвим! Дата файла",$Result;$VulnerabilityHosts = $VulnerabilityHosts + $ComputerName} else {write-host -foreground green $ComputerName, "имеет необходимое обновление. Дата файла",$Result;$SafeHosts = $SafeHosts + $ComputerName}
}
# Если результат пинга пустой
} else {write-host -foreground DarkRed $ComputerName, "не в сети, не имеет IP-адреса или фаерволлом запрещен PING";$OfflineHosts = $OfflineHosts + $ComputerName}
}
$LogTime = get-date -format yyyy-MM-dd_HH-mm-ss # Получить текущее время
# Выгрузить списки компьютеров в той или иной категории
$SafeHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-SafeHosts.log" -Encoding utf8 -Force
$VulnerabilityHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-VulnerabilityHosts.log" -Encoding utf8 -Force
$OfflineHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-OfflineHosts.log" -Encoding utf8 -Force
$NotManagedHosts | Out-file -FilePath $ResultPath$LogTime"_"$domainname"-NotManagedHosts.log" -Encoding utf8 -Force
kvaps
Лучше всего проверять через обращение к службе Windows Update, используя PowerShell
Учитывая эти нюансы и то, что требуется проверка множества компов в локальной сети, я написал следующий скрипт: https://github.com/R-Vision/ms17-010
wmic qfe list | findstr 4012212
- WMI не всегда возвращает весь перечень установленных обновлений. Это связано с тем, что класс Win32_QuickFixEngineering возвращает только те обновления, которые установлены с использованием Component Based Servicing (CBS). Те обновления, которые установлены с помощью Microsoft Windows Installer (MSI) или с сайта обновлений Windows, не детектируются через WMI.
- 4012212 это обновление только для Windows 7 и Windows 2008 R2. При чем оно может быть отдельно не установлено, а быть установлено в рамках месячного обновления.
Лучше всего проверять через обращение к службе Windows Update, используя PowerShell
$KB = @()
$KB += "4012212" # Security only update for Windows 7 and Windows Server 2008 R2
$KB += "4012213" # Security only update for Windows 8.1 and Windows Server 2012 R2
$KB += "4012214" # Security only update for Windows Server 2012
$KB += "4012215" # Monthly rollup (March 2017) for Windows 7 and Windows Server 2008 R2
$KB += "4012216" # Monthly rollup (March 2017) for Windows 8.1 and Windows RT 8.1 and Windows Server 2012 R2
$KB += "4012217" # Monthly rollup (March 2017) for Windows 8 and Windows Server 2012
$KB += "4012598" # Other old Windows versions https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
$KB += "4012606" # Cumulative update (March 14, 2017) for Windows 10
$KB += "4013198" # Cumulative update (March 14, 2017) for Windows 10 1511
$KB += "4013429" # Cumulative update (March 14, 2017) for Windows 10 1607
$KB += "4015217" # Cumulative update (April 11, 2017) for Windows 10 1607
$KB += "4015219" # Cumulative update (April 11, 2017) for Windows 10 1511
$KB += "4015221" # Cumulative update (April 11, 2017) for Windows 10
$KB += "4015438" # Cumulative update (March 20, 2017) for Windows 10 1607
$KB += "4015549" # Monthly rollup (April 2017) for Windows 7 and Windows Server 2008 R2
$KB += "4015550" # Monthly rollup (April 2017) for Windows 8.1 and Windows Server 2012 R2
$KB += "4015551" # Monthly rollup (April 2017) for Windows 8 and Windows Server 2012
$KB += "4016635" # Cumulative update (March 22, 2017) for Windows 10 1607
$KB += "4016636" # Cumulative update (March 22, 2017) for Windows 10 1511
$KB += "4016637" # Cumulative update (March 22, 2017) for Windows 10
$KB += "4016871" # Cumulative update (May 9, 2017) for Windows 10 1703
$KB += "4019215" # Monthly rollup (May 2017) for Windows 8.1 and Windows Server 2012 R2
$KB += "4019216" # Monthly rollup (May 2017) for Windows 8 and Windows Server 2012
$KB += "4019264" # Monthly rollup (May 2017) for Windows 7 and Windows Server 2008 R2
$KB += "4019472" # Cumulative update (May 9, 2017) for Windows 10 1607
$KB += "4019473" # Cumulative update (May 9, 2017) for Windows 10 1511
$KB += "4019474" # Cumulative update (May 9, 2017) for Windows 10
$Session = New-Object -ComObject Microsoft.Update.Session
$Searcher = $Session.CreateUpdateSearcher()
$HistoryCount = $Searcher.GetTotalHistoryCount()
$Updates = $Searcher.QueryHistory(0, $HistoryCount)
Foreach ($item in $Updates) {
if ($item.Title -match [String]::Join("|", $KB)) {
Write-Host 'MS17-010 installed'
}
}
Учитывая эти нюансы и то, что требуется проверка множества компов в локальной сети, я написал следующий скрипт: https://github.com/R-Vision/ms17-010
Что-то не работает он. С консоли PowerShell запускаю: .\rvision-ms17010.ps1 -StartIPv4Address 192.168.0.0 -EndIPv4Address 192.168.0.254 -UseCredentials -IncludeSMB
выдает ошибку:
Invoke-IPv4NetworkScan: Не удается обработать преобразование аргументов для параметра «IPv4
азовать значение „IPv4Address“ в тип „System.Net.IPAddress“. Ошибка: „Указан недопустимый ад
C:\rvision-ms17010.ps1:1069 знак:23
+ Invoke-IPv4NetworkScan <<<< args
+ CategoryInfo: InvalidData: (:) [Invoke-IPv4NetworkScan], ParameterBindin...m
+ FullyQualifiedErrorId: ParameterArgumentTransformationError,Invoke-IPv4NetworkScan
Если запускаю: .\rvision-ms17010.ps1 192.168.0.0 255.255.255.0 — идет сканирование вроде как и по окончанию пусто ничего не выдает.
выдает ошибку:
Invoke-IPv4NetworkScan: Не удается обработать преобразование аргументов для параметра «IPv4
азовать значение „IPv4Address“ в тип „System.Net.IPAddress“. Ошибка: „Указан недопустимый ад
C:\rvision-ms17010.ps1:1069 знак:23
+ Invoke-IPv4NetworkScan <<<< args
+ CategoryInfo: InvalidData: (:) [Invoke-IPv4NetworkScan], ParameterBindin...m
+ FullyQualifiedErrorId: ParameterArgumentTransformationError,Invoke-IPv4NetworkScan
Если запускаю: .\rvision-ms17010.ps1 192.168.0.0 255.255.255.0 — идет сканирование вроде как и по окончанию пусто ничего не выдает.
Обана, спасибо. Это все kb с исправлениями?
По мотивам статьи на Хабре собрал страницу, где можно следить за балансом кошельков в прямом эфире
https://whitesunset.github.io/wannacrypt_balance/
https://whitesunset.github.io/wannacrypt_balance/
Я правильно понимаю, что условный сохо роутер, с включённым натом и отключёнными upnp, "dmz", пробросом 445 порта(то есть с дефолтным настройками) закрывает уязвимость?
Господа, есть у кого рабочий экземпляр заразы для запуска в песочницу?
Еще стоит не забыть про vpn, если зараженная машина подключается используя VPN — сразу попадает в сеть, то есть может заразить машины внутри сети.
Следовательно это еще одно место в сети, которое надо прикрыть.
Следовательно это еще одно место в сети, которое надо прикрыть.
Прислал коллега сегодня ссылку на Вашу статью, информацию пригодилась. Некоторое время назад у нас в организации поймали другой шифровальщик da_vinci, хотя установлен антивирус Касперского. Недавно наткнулся на ролик с рекомендациями от Касперского, что можно защитить данные от шифрования, посредством добавления нужного расширения в политику безопасности и применением ее на другие ПК.
Может и тут сработает, есть список расширений на которые нацелен данный шифровальщик:
securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world
В принципе может быть данная мысль поможет (но только для обладателей лицензии kaspersky endpoint security 10). Ссылка на ролик — www.youtube.com/watch?time_continue=37&v=pwJMXBk8uqM
Можно сделать по аналогии, но уже под данный шифровальщик.
Может и тут сработает, есть список расширений на которые нацелен данный шифровальщик:
securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world
В принципе может быть данная мысль поможет (но только для обладателей лицензии kaspersky endpoint security 10). Ссылка на ролик — www.youtube.com/watch?time_continue=37&v=pwJMXBk8uqM
Можно сделать по аналогии, но уже под данный шифровальщик.
А что если написать на Autohotkey скрипт, который следит за количеством директорий в папке Users и начинает орать если там что-то изменилось (добавилось или убавилось). Например так:
#NoEnv; Recommended for performance and compatibility with future AutoHotkey releases.
#SingleInstance force
; #Warn; Enable warnings to assist with detecting common errors.
SendMode Input; Recommended for new scripts due to its superior speed and reliability.
SetWorkingDir %A_ScriptDir%; Ensures a consistent starting directory.
DetectHiddenWindows, On
#Persistent
; выполнять скрипт каждых 1000 милисекунд
SetTimer, UsersDirectoryWatch, 1000
return
UsersDirectoryWatch:
; тут значение количества директорий до атаки, в нормальном состоянии (у меня их шесть)
count_normal=6
; считаем количество директорий в папке users (включая скрытые директории)
loop, C:\Users\*.*, 2, 0
{
count++
}
; если значение превышено — выводим сообщение
if (count > count_normal)
MsgBox, ВНИМАНИЕ! В ДИРЕКТОРИИ USERS ОБНАРУЖЕНЫ НОВЫЕ ПАПКИ!
; обнуление счетчика
count=0
; конец скрипта
return
; для выключения скрипта нажать ctrl+alt+shift+0
!+^0::ExitApp
У меня все работает. Скрипт надо выполнять от админа. Можно сделать .exe. Можно так же выполнять и другие действия, а не просто выводить сообщение в случае подозрения на атаку.
#NoEnv; Recommended for performance and compatibility with future AutoHotkey releases.
#SingleInstance force
; #Warn; Enable warnings to assist with detecting common errors.
SendMode Input; Recommended for new scripts due to its superior speed and reliability.
SetWorkingDir %A_ScriptDir%; Ensures a consistent starting directory.
DetectHiddenWindows, On
#Persistent
; выполнять скрипт каждых 1000 милисекунд
SetTimer, UsersDirectoryWatch, 1000
return
UsersDirectoryWatch:
; тут значение количества директорий до атаки, в нормальном состоянии (у меня их шесть)
count_normal=6
; считаем количество директорий в папке users (включая скрытые директории)
loop, C:\Users\*.*, 2, 0
{
count++
}
; если значение превышено — выводим сообщение
if (count > count_normal)
MsgBox, ВНИМАНИЕ! В ДИРЕКТОРИИ USERS ОБНАРУЖЕНЫ НОВЫЕ ПАПКИ!
; обнуление счетчика
count=0
; конец скрипта
return
; для выключения скрипта нажать ctrl+alt+shift+0
!+^0::ExitApp
У меня все работает. Скрипт надо выполнять от админа. Можно сделать .exe. Можно так же выполнять и другие действия, а не просто выводить сообщение в случае подозрения на атаку.
kvaps
Может кому понадобиться:
Запрет SMB1, Официальный документ
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Может кому понадобиться:
Запрет SMB1, Официальный документ
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
А что по поводу расшифровки? Кто знает, насколько длинный там может быть ключ? Может получиться сбрутить его или вычислить через расшифрованные файлы?
Принесли мне тут пациента. Удаленные файлы затерты. Теневые копии удалены, все архивы также зашифрованы.
Принесли мне тут пациента. Удаленные файлы затерты. Теневые копии удалены, все архивы также зашифрованы.
У меня после установки обновления, после перезагрузки ошибка NetStart, при запуске восстановления она же, в безопасном режиме не грузится та же ошибка, через ERD установленное обновление не отображается!!! Хелп!!! Все загугленные варианты перепробовал не помогло
У меня появилась идея, как восстанавливать файлы с зараженных компов. Жаль, что так поздно. Никто не пробовал искать не затертые копии файлов на жестком диске по сигнатурам с помощью, например, foremost/scalpel?
Странно, но у меня ни одна из KB на Win10 не устанавливается.
Пишет — «Обновление не применимо к данному компьютеру»
Система Windows 10x64 Pro лицензионная, сборка 1511.
Ставлю KB 4013198
Попробовал и 4013429 и 40122606 — тоже самое.
На WSUS тоже пишет, что не применимо.
Как же мне установить на Компы данную КВ?
Пишет — «Обновление не применимо к данному компьютеру»
Система Windows 10x64 Pro лицензионная, сборка 1511.
Ставлю KB 4013198
Попробовал и 4013429 и 40122606 — тоже самое.
На WSUS тоже пишет, что не применимо.
Как же мне установить на Компы данную КВ?
Выше товарищ писал полный список обновлений, которые содержат заплатку. У вас скорее всего установлена «4019473» # Cumulative update (May 9, 2017) for Windows 10 1511
И такой тоже нет
Хотя сборка у меня OS Build 10586.916
Хотя сборка у меня OS Build 10586.916
А что у вас вообще из 401+ установлено?
покажите powershell get-hotfix | findstr 401*
покажите powershell get-hotfix | findstr 401*
PS C:\> powershell get-hotfix | findstr 401*
100 Update KB3140741 NT AUTHORITY\???????
100 Update KB3140743 NT AUTHORITY\???????
100 Security Update KB3140768 NT AUTHORITY\???????
100 Update KB3181403 NT AUTHORITY\???????
100 Update KB4015220 NT AUTHORITY\??????? 04.12.2017 0:00:00
100 Security Update KB4020821 NT AUTHORITY\??????? 05.11.2017 0:00:00
100 Security Update KB4019473 NT AUTHORITY\??????? 05.12.2017 0:00:00
100 Update KB3140741 NT AUTHORITY\???????
100 Update KB3140743 NT AUTHORITY\???????
100 Security Update KB3140768 NT AUTHORITY\???????
100 Update KB3181403 NT AUTHORITY\???????
100 Update KB4015220 NT AUTHORITY\??????? 04.12.2017 0:00:00
100 Security Update KB4020821 NT AUTHORITY\??????? 05.11.2017 0:00:00
100 Security Update KB4019473 NT AUTHORITY\??????? 05.12.2017 0:00:00
… Последнее же) установлено именно то, об котором я вам писал.
Значить выводу в CMD верить нельзя
C:\Users\GNV>dism /online /get-packages | findstr KB4019473
C:\Users\GNV>
А в повершелл все норм
PS C:\> SYSTEMINFO.exe | findstr KB4019473
[17]: KB4019473
Хотя видимо команда крвовата
PS C:\> dism /online /get-packages | findstr KB4019473
PS C:\>
C:\Users\GNV>dism /online /get-packages | findstr KB4019473
C:\Users\GNV>
А в повершелл все норм
PS C:\> SYSTEMINFO.exe | findstr KB4019473
[17]: KB4019473
Хотя видимо команда крвовата
PS C:\> dism /online /get-packages | findstr KB4019473
PS C:\>
Я как-то так проверяю паппетом с записью факта через powershell скрипт… нашел пример уже в готовых модулях.
$patches = «KB4012212», «KB4012213», «KB4012214», «KB4012215», «KB4012216», «KB4012217», «KB4012598», «KB4012606», «KB4013198», «KB4013429», «KB4015217», «KB4015219», «KB4015221», «KB4015438», «KB4015549», «KB4015550», «KB4015551», «KB4016635», «KB4016636», «KB4016637», «KB4016871», «KB4019215», «KB4019216», «KB4019264», «KB4019472», «KB4019473», «KB4019474»
$computer = $ENV:COMPUTERNAME
$patch = Get-HotFix -ComputerName $computer |
Where-Object {$patches -contains $_.HotfixID} |
Select-Object -property «HotFixID»
if($patch) {
Write-Output «wannacry_vulnerable=false»
} else {
Write-Output «wannacry_vulnerable=true»
}
$patches = «KB4012212», «KB4012213», «KB4012214», «KB4012215», «KB4012216», «KB4012217», «KB4012598», «KB4012606», «KB4013198», «KB4013429», «KB4015217», «KB4015219», «KB4015221», «KB4015438», «KB4015549», «KB4015550», «KB4015551», «KB4016635», «KB4016636», «KB4016637», «KB4016871», «KB4019215», «KB4019216», «KB4019264», «KB4019472», «KB4019473», «KB4019474»
$computer = $ENV:COMPUTERNAME
$patch = Get-HotFix -ComputerName $computer |
Where-Object {$patches -contains $_.HotfixID} |
Select-Object -property «HotFixID»
if($patch) {
Write-Output «wannacry_vulnerable=false»
} else {
Write-Output «wannacry_vulnerable=true»
}
Ему чего-то не хватает. Из предыдущих обновлений. На 2012R2, к примеру, KB4012213 не устанавливается без KB2919355. Нужно ставить рекомендуемые из центра, пока не будет применимо.
Народ подскажите как быть если МФУ могут покласть файлики только используя СМБв1? Патч накачен. Винда 8.1
В наше время отследить куда уходят деньги за оплату расшифровки не проблема, так что вся эта затея более чем одобрена «сверху». И не надо изменять понятие «хакер», хакер деньги не ворует, тем более не вымогает, а делает все деяния ради идеи, а не наживы. А статья про преступников.
У кого в качестве прокси сервера установлен FortiGate, то обратите внимание на ссылку
И кому интересно завтра будет вебинар по данному шифровальщику
И кому интересно завтра будет вебинар по данному шифровальщику
Сылка https://fortinet.egnyte.com/dl/IL9YQSqmgv
Вебинар http://go.fortinet.com/LP=3318?elqTrackId=57a88c12b95d4158849d0c136909cc84&elq=b11706d7097c46bcb9f17428b40fa62e&elqaid=6094&elqat=1&elqCampaignId=6613
Вебинар http://go.fortinet.com/LP=3318?elqTrackId=57a88c12b95d4158849d0c136909cc84&elq=b11706d7097c46bcb9f17428b40fa62e&elqaid=6094&elqat=1&elqCampaignId=6613
Поставили обновление на Windows 2008 R2. После перезагрузки система не загружается. Админа нету. Что делать?
Wannakiwi — частичное решение по расшифровке для Windows XP/7:
https://github.com/gentilkiwi/wanakiwi/releases
https://blog.comae.io/wannacry-decrypting-files-with-wanakiwi-demo-86bafb81112d
Вот их кошельки:
https://bitaps.com/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
$23k+
https://bitaps.com/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
$35k+
https://bitaps.com/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
$32k+
Кто то упорно закидывает платежи. За последние пару дней у них прибавилось ещё 30к в сумме.
Но проблема в том что файлы, на самом деле, не дешифруется!
А поясните для ламеров…
Я когда сеть в винде настраиваю, всегда отключаю "клиент микрософт" и "обмен файлами/принтерами". Моя логика: если я не собираюсь этого делать, зачем ему быть включённым? Мне бы не прилетело?
Если отключить службы "сервер" и "раб станция", это защитило бы от подобной атаки? На какие "общечеловеческие" программы влияют эти службы?
ЗЫ: мне вообще не понятен этот подход в современных ОС: разрешено всё, а закрывать ненужное руками или спец программами. Вот в Андроид хорошо: всё закрыто, при установке поограммы предупреждают какие ресурсы ей понадобятся, при запуске предлагают их предоставить (или не предоставить). А постоянные запросы в 7-ке только раздражают и не спасают, судя по обсуждаемому случаю…
Якобы уже лазейки нашли для расшифровки
http://4pda.ru/2017/05/21/342335/#comment3853501
http://4pda.ru/2017/05/21/342335/#comment3853501
Ведется массовая атака криптором Wana decrypt0r 2.0