>>153098079 (OP)
В понедельник обещают такую же атаку, только уже без дыры в коде с проверкой на вм-машину. Жди, будут новые эпичные треды

>>153098457
Я сам, лалка, заразился, в принципе бэкап есть. Но думаю когда дешифровщик запилят. Я знаю что такое AES хуес, и если он генерировал для каждой машины отдельный ключ, то расшифровывать можно годами.

Эпидемия шифровальщика WannaCry: что произошло и как защититься

Вчера, 12 мая, началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 тысяч случаев атаки, но на самом деле их наверняка намного больше.

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более сотни тысяч компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

>>153098646
Там RSA 2048

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

>>153098962
Да не особо важно, я хотел сказать что он криптостойкий.
Альзо, здесь же на доске нашел по поиску пост в котором антон заплатил 300BTC и у него расшифровка дошла до 99% и все. Остановился бар и ничего не происходит.

>>153099152
>300BTC
Чет шипко дохуя

>>153099023
Да похуй тащемто, там все равно кроме паков с ёбой не было, шебмки он кстати не трогает и много другое, я потом в настройки зашел. Там стоит галочка на удаленный доступ. Я сам ничего не менял после того как ставил. Получается при установке винды во всех её дистрах, удаленный доступ включен по дефолту.

>>153099278
Поссал на нищука

Вопрос на миллион.
Если удалить все данные, а затем воспользоваться прогой по восстановлению данных с харда?

>>153099278
16к русоблядских по нынешнему курсу.
Вот один из 3-х кошельков, который был указан в том числе и у меня. https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Там уже около 8к баксов отправили. Хотя как то мало, для такого масштаба заражения.

>>153099278
300$ я описался.

>>153099436
Зачем?

>>153099440
Пидорахи про битки не знают

>>153099440
>>153099152
ты битки с баксами напутал, 1 биток - 110 тысяч рублей.

>>153099436
Они восстановятся шифрованные
И?

>>153099524
Ну все же просто - ты по сути теряешь меньше фалов, чем если просто не заплатишь.

>>153098646
>Но думаю когда дешифровщик запилят.
Для этого нужно иметь физический доступ к создателю.

>>153099581
Разве прога не будет пытаться собрать доступный ей формат?

Если я обычный мимокрок и капчую в общаге, какова вероятность заражения? Всякое говно не скачиваю и не открываю

>>153099614
Бля, я думал ты долбаёб.
Ты можешь подключить бэкап он же шиндой/акронисом сделан? и забрать всё нужное.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

>>153099742
Я прост не оч грамотный в этом плане.

>>153099673
Высокая, нужно закрыть 445 порт принудительно и накатить все патчи шпермы. Особенно тот который указан в статье.

>>153099527
Дам на все языки переведена инструкция че как делать.

>>153099673
Пишут, что через 445 порт прилетает. Если порты закрыты, то бояться нечегоПока

>>153099787
Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.
Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.
Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.

Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

Эта херня же работает с перезапуском компа, так?
То есть, если есть подозрение, что ты заражен, можно зайти в безопасном режиме, предварительно отключившись от интернета.

>>153099673
фаерволл поставь или хотя бы шиндоуский не вырубай. Потому что этот эксплойт один из десятка уже известных, а сколько их еще не спалали знает только АНБ.

>>153100020
лол, нет. Сейчас не 2007 год. Вырубив машину ты останавливаешь процесс шифрования файлов

>>153100020
У тебя будет подозрение когда уже большая часть файлов будет зашифрована.

>>153100171
Так файлы начинают шифроваться сразу?
Или необходим перезапуск?
Просто в тредах про этот вирус писали, что он работает в автозагрузке.

>>153100041
Файрвол шиндовсовский стоял, я за NAT'ом был. Хуй знает как он снаружи открыл порты, если только через локалку.

>>153099787
Как ты сделал бэкап? Средствами винды или стороннюю программу юзал?

>>153100351
Сразу шифруются. Потом он стучится по локалке. И только потом он прописывается в автозапуск и ты видешь окно.

>>153100399
Через винду.
Там тип создание точки восстановления.
А файлы я все на внешнем храню жестком диске.
Ток мне стремно, что если я его подключу к компу другому, то он тоже заразен будет.

>>153100447
ПАДАЖЖИ, если он шифрует сразу, то я смогу определить это по выросшей активности?

>>153100492
Точка восстановления это shadows, которые троянец удалаяет. Все его поведение описано на вирустотале, могу дать ссылку если ты в этом шаришь.

>>153100541
Как ты активность определишь? Твойй HDD времен ваиваших дидов будет с надревом что-то записывать?

>>153100587
Не, я в софте полный нуль.
Но с твоих слов понял, что смогу восстановить только систему без файлов.

>>153100644
Загрузка ЦП, рост потребления Оперативы.

>>153100492
>Там тип создание точки восстановления.
Точка не бэкап.
>Ток мне стремно, что если я его подключу к компу другому, то он тоже заразен будет.
Почисти ПеКа, этого хватит https://ru.malwarebytes.com

Посоны, как не заразиться этой херней? Если я буду смотреть ютубчик читать лентусру и играть в овервотч какова вероятность заразиться?

>>153101083
Провод вытяни из компа.

>>153101083
Тебе нихуя делать не нужно ,чтобы тебя взломали.

>>153100657
Залей все важные файлы на дропбокс/флешку, и отключи ОБЯЗАТЕЛНО автозапуск дропбокса и синхронизацию. Иначе он начнет синхронизачию и затрет нормальные файлы, потому что увидит что на диске они изменились.

>>153100690
Ок. Ты играешь в игорю, сидишь на мейлаче. Ты каждую секунду смотришь на загрузку ЦП? Единственно как ты можешь спалить, это если на рабочем столе или в папке какой то увидишь, @Please_read_me@ и резко перезагрузишь в safe mode. Есть шанс что ты спасешь малую часть данных.

>>153101083
>какова вероятность заразиться
Большая, если ты всё ещё не осилил мануал в 2 действия.

>>153101376
У меня довольно чувствительная пека.
Лишний процесс уже сказывается на быстродействии.
Я не могу играть и запаковывать архив одновременно - фризы заметные.
А у других да, там труднее.

>>153101376
>Ты играешь в игорю, сидишь на мейлаче. Ты каждую секунду смотришь на загрузку ЦП?
У тебя ПК старый? Всё вредное говно заставляет современный пека тормазить на SSD с открытым браузером, всё сразу становиться очевидным.

>>153101083
Зайди в центр обновления шинды, установи все обнавления которые она предложит, перезагрузи. Пройзведи эту операцию N раз. Пока не обновишься до 10-ки. Удачи.

>>153101491
Ну я и сказал выше про рычащий HDD, если SSD ты никак не заметишь. Или если у тебя на ноуте выведен светодиод запись на диск. Он будет постоянно мигать.

>>153101640
Говорю же, очень чувствительный к нагрузкам комп.

>>153101512
У меня ноут с SSD, и по сравнению с HDD он звуков не издает.

Судя по постам в этом треде, многие ещё не слышали. Так что выкладываю ссылку на хабрапарашу https://geektimes.ru/post/289115/

Алсо, а этим PhotoRec можно как то восстановить? http://www.spyware-ru.com/kak-vosstanovit-zashifrovannye-fajly-instruktsiya/

>ВАЛЕРИЙ
>― Май 14, 2017 - 1:28 дп
>Остап, да эта инструкция подойдет для восстановления файлов зашифрованных вирусом wanadecryptor.

>>153099660
вернее - к его анусу

>>153102863
Почему, раньше же CC сервера отбирали через хостеров. И ключи там находили. Собственно так зеус подебили когда-то.
Дохуя заразилось, дохуя пиздежа в сми. Но я щитаю Zeus был самым масштабным событием в мирке кибербезопасности.

Пиздец вы дауны, ебаный в рот.
Переустановил винду коллеге потерпевшей, заменил расширение файлов на оригинальные и все работоспособные.
Ну вы тупари блядь.

>>153103092
Как так? А я даже про него и не слышал.... "СОБЫТИЕ"...

>>153099023
Лиункс вообще не защищенное говно! Сожрет любой скрипт который к нему придет и ты соснешь!

>>153103199
А все такие дауны, пробовать не пытались?

>>153101703
Зато тормаза ощутимы при загрузке ЦП.
>>153103199
Хуя ты толстый.
Мб коллега хотела твоего внимания а ты проебался?

как же всё заебало, хочется выпилиться

>>153103642
Не дала?

>>153103354
У меня 1 ядро 1.4 ГГц атом стоял, какие нахуй тормоза. Значит ребята написали так чтобы он медленне шифровал, но не загружал цп.

>>153103916
>У меня 1 ядро 1.4 ГГц атом стоял, какие нахуй тормоза
Ты к ним привык так что не замечаешь. Этого проца не хватит на кинцо в 720.

>>153103226
ФБР назначило рекордное вознаграждение в $3 млн за информацию, ведущую непосредственно к аресту и/или обвинительному приговору для российского хакера Евгения Михайловича Богачёва. Ему вменяют многочисленные преступления и считают администратором ботнета Gameover Zeus.

Gameover (модификация Zeus) — самый активный банковский троян в последние годы. Например, в 2013 году на его долю пришлось 38% активности всех банковских троянов в мире.
По оценке ФБР, Gameover инфицировал более миллиона персональных компьютеров, инициировав фродовые банковские транзакции более чем на $100 млн.

Богачёв возглавляет список самых разыскиваемых киберпреступников ФБР.

oi

сука, хуёва говножизнь

>>153106506
Вот юзефул ссылочку из /s скинули. https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

То чуство кошда тебе вообще срать на этот вирус, имхо из важного на компе у тебя только три игры и немножка цп

>>153106679
Где цп берёшь?

>>153106773
В гугле ищется за пару минут. Спасибо охуенному поиску по картинкам. Который предлагает показать похожие.

>>153106773
eMullе + vpn, медленно но надежно Если не из пугливых, можно и без последнего обойтись.

Test

>>153107371
Что за eMullе? Даже с впн на сгущёнку садят.

>>153107371
Что про тор скажешь?

>>153098646
Как ты заразился вообще?

>>153107616
В спермерке вкючен удаленный помощник по дефолту.
Алсо, обсуждение в /s/oft'аче.
>>s/2042595

S

>>153098079 (OP)
А можно ещё картинок, похожих на оппик?

>>153112856
Больной ублюдок.
>постить картинки на сосаче
>2017
Да ещё и глупый.

>>153098079 (OP)
На гите было описание ключей, ин инглиш.

>>153107936
> Алсо, обсуждение в /s/oft'аче.
>>2042595

>>153099527
А я про пидорах не знаю. Кто это?

>>153099673
> какова вероятность заражения?
Ещё никто достоверно не сообщил кто и с какой целью начал атаку, такчт на твой вопрос нет ответа. Неизвестно как распространяется короче.

>>153099743
Спас 200к пек 13 и 14го. При 300к зараженных. И заплаченных $30к.

>>153099841
Как будто ее ктото поймёт.
У атаки не было целью денег срубить. Связь, почта, транспорт, банкоматы, полиция. Классика революции, как завещал великий Ленин. Больница только не в тему.

>>153100541
Ссдблядки соснули

>>153119271
https://2ch.hk/s/res/2042595.html

>>153119328
А я про ольгинцев знаю. (Ольгинец - Ты).

>>153119367
Ты довн? Распространяется линух сервер простукивает спермоблядков по диапазонам, дальше по локальным сетям. Это написано на хабропараше, со ссылкой на мейлач. https://geektimes.ru/post/289115/

s

>>153120948
b

>>153120535
На хабропараше тоскливо. Только полезного https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168

>>153099527
Хохляцкая свинья загорелась и горит!
ссу всем в рот, со своего макбук про

>>153103271
Толсто

>>153121435
Так хабрапараша это переводы ангельских твиттеров. Можешь ещё вот это почитать
https://twitter.com/hackerfantastic

>>153121535
+0.15BTC

>>153098079 (OP)
Невздумайте перезагружать компьютер! 3 дня комп работал (качал торренты) после перещагрузки вылезло ебучее окно. Спасибо билайну за переход на белые адреса ПИДОРАСЫ!!!!

>>153099969
А енто обновление от майкрософт поставиться на пиратскую винду? И есть ли в этом смысл?