Аноны есть какая инфа по wana cry? Там один ключ или все разные? Есть какие то ссылки на ресурсы где обновляется инфа? Кроме топика на гиктаймс.
>>153098079 (OP)В понедельник обещают такую же атаку, только уже без дыры в коде с проверкой на вм-машину. Жди, будут новые эпичные треды
>>153098457Я сам, лалка, заразился, в принципе бэкап есть. Но думаю когда дешифровщик запилят. Я знаю что такое AES хуес, и если он генерировал для каждой машины отдельный ключ, то расшифровывать можно годами.
Эпидемия шифровальщика WannaCry: что произошло и как защититьсяВчера, 12 мая, началась эпидемия трояна-шифровальщика WannaCry — похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 тысяч случаев атаки, но на самом деле их наверняка намного больше.Что произошло?О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более сотни тысяч компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.Что такое WannaCry?В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.WannaCry: эксплойт и способ распространенияСоздатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.
>>153098646Там RSA 2048
WannaCry: шифровальщикWannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.
>>153098079 (OP)Надо было хуй сосать и пинусе ставить
>>153098962Да не особо важно, я хотел сказать что он криптостойкий. Альзо, здесь же на доске нашел по поиску пост в котором антон заплатил 300BTC и у него расшифровка дошла до 99% и все. Остановился бар и ничего не происходит.
>>153099152>300BTCЧет шипко дохуя
>>153099023Да похуй тащемто, там все равно кроме паков с ёбой не было, шебмки он кстати не трогает и много другое, я потом в настройки зашел. Там стоит галочка на удаленный доступ. Я сам ничего не менял после того как ставил. Получается при установке винды во всех её дистрах, удаленный доступ включен по дефолту.
>>153099278Поссал на нищука
Вопрос на миллион. Если удалить все данные, а затем воспользоваться прогой по восстановлению данных с харда?
>>15309927816к русоблядских по нынешнему курсу. Вот один из 3-х кошельков, который был указан в том числе и у меня. https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLnТам уже около 8к баксов отправили. Хотя как то мало, для такого масштаба заражения.
>>153099278300$ я описался.
>>153099436Зачем?
>>153099440Пидорахи про битки не знают
>>153099440>>153099152ты битки с баксами напутал, 1 биток - 110 тысяч рублей.
>>153099436Они восстановятся шифрованныеИ?
>>153099524Ну все же просто - ты по сути теряешь меньше фалов, чем если просто не заплатишь.
>>153098646>Но думаю когда дешифровщик запилят. Для этого нужно иметь физический доступ к создателю.
>>153099581Разве прога не будет пытаться собрать доступный ей формат?
Если я обычный мимокрок и капчую в общаге, какова вероятность заражения? Всякое говно не скачиваю и не открываю
>>153099614Бля, я думал ты долбаёб. Ты можешь подключить бэкап он же шиндой/акронисом сделан? и забрать всё нужное.
Как регистрация домена приостановила заражение и почему это еще не всеИнтересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.
>>153099742Я прост не оч грамотный в этом плане.
>>153099673Высокая, нужно закрыть 445 порт принудительно и накатить все патчи шпермы. Особенно тот который указан в статье.
>>153099527Дам на все языки переведена инструкция че как делать.
>>153099673Пишут, что через 445 порт прилетает. Если порты закрыты, то бояться нечегоПока
>>153099787Способы защиты от WannaCryК сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия, то заражение шифровальщиком — не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно — воспользуйтесь встроенным модулем в Kaspersky Total Security, он умеет автоматизировать этот процесс.Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010, тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003. Серьезно, установите его вот прямо сейчас — сейчас как раз тот самый случай, когда это действительно важно.Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.
Эта херня же работает с перезапуском компа, так? То есть, если есть подозрение, что ты заражен, можно зайти в безопасном режиме, предварительно отключившись от интернета.
>>153099673фаерволл поставь или хотя бы шиндоуский не вырубай. Потому что этот эксплойт один из десятка уже известных, а сколько их еще не спалали знает только АНБ.
>>153100020лол, нет. Сейчас не 2007 год. Вырубив машину ты останавливаешь процесс шифрования файлов
>>153100020У тебя будет подозрение когда уже большая часть файлов будет зашифрована.
>>153100171Так файлы начинают шифроваться сразу? Или необходим перезапуск? Просто в тредах про этот вирус писали, что он работает в автозагрузке.
>>153100041Файрвол шиндовсовский стоял, я за NAT'ом был. Хуй знает как он снаружи открыл порты, если только через локалку.
>>153099787Как ты сделал бэкап? Средствами винды или стороннюю программу юзал?
>>153100351Сразу шифруются. Потом он стучится по локалке. И только потом он прописывается в автозапуск и ты видешь окно.
>>153100399Через винду. Там тип создание точки восстановления. А файлы я все на внешнем храню жестком диске. Ток мне стремно, что если я его подключу к компу другому, то он тоже заразен будет.
>>153100447ПАДАЖЖИ, если он шифрует сразу, то я смогу определить это по выросшей активности?
>>153100492Точка восстановления это shadows, которые троянец удалаяет. Все его поведение описано на вирустотале, могу дать ссылку если ты в этом шаришь.
>>153100541Как ты активность определишь? Твойй HDD времен ваиваших дидов будет с надревом что-то записывать?
>>153100587Не, я в софте полный нуль. Но с твоих слов понял, что смогу восстановить только систему без файлов.
>>153100644Загрузка ЦП, рост потребления Оперативы.
>>153100492>Там тип создание точки восстановления. Точка не бэкап. >Ток мне стремно, что если я его подключу к компу другому, то он тоже заразен будет.Почисти ПеКа, этого хватит https://ru.malwarebytes.com
Посоны, как не заразиться этой херней? Если я буду смотреть ютубчик читать лентусру и играть в овервотч какова вероятность заразиться?
>>153101083Провод вытяни из компа.
>>153101083Тебе нихуя делать не нужно ,чтобы тебя взломали.
>>153100657Залей все важные файлы на дропбокс/флешку, и отключи ОБЯЗАТЕЛНО автозапуск дропбокса и синхронизацию. Иначе он начнет синхронизачию и затрет нормальные файлы, потому что увидит что на диске они изменились.
>>153100690Ок. Ты играешь в игорю, сидишь на мейлаче. Ты каждую секунду смотришь на загрузку ЦП? Единственно как ты можешь спалить, это если на рабочем столе или в папке какой то увидишь, @Please_read_me@ и резко перезагрузишь в safe mode. Есть шанс что ты спасешь малую часть данных.
>>153101083>какова вероятность заразитьсяБольшая, если ты всё ещё не осилил мануал в 2 действия.
>>153101376У меня довольно чувствительная пека. Лишний процесс уже сказывается на быстродействии. Я не могу играть и запаковывать архив одновременно - фризы заметные. А у других да, там труднее.
>>153101376>Ты играешь в игорю, сидишь на мейлаче. Ты каждую секунду смотришь на загрузку ЦП?У тебя ПК старый? Всё вредное говно заставляет современный пека тормазить на SSD с открытым браузером, всё сразу становиться очевидным.
>>153101083Зайди в центр обновления шинды, установи все обнавления которые она предложит, перезагрузи. Пройзведи эту операцию N раз. Пока не обновишься до 10-ки. Удачи.
>>153101491Ну я и сказал выше про рычащий HDD, если SSD ты никак не заметишь. Или если у тебя на ноуте выведен светодиод запись на диск. Он будет постоянно мигать.
>>153101640Говорю же, очень чувствительный к нагрузкам комп.
>>153101512У меня ноут с SSD, и по сравнению с HDD он звуков не издает.
Судя по постам в этом треде, многие ещё не слышали. Так что выкладываю ссылку на хабрапарашу https://geektimes.ru/post/289115/
Алсо, а этим PhotoRec можно как то восстановить? http://www.spyware-ru.com/kak-vosstanovit-zashifrovannye-fajly-instruktsiya/>ВАЛЕРИЙ>― Май 14, 2017 - 1:28 дп>Остап, да эта инструкция подойдет для восстановления файлов зашифрованных вирусом wanadecryptor.
>>153099660вернее - к его анусу
>>153102863Почему, раньше же CC сервера отбирали через хостеров. И ключи там находили. Собственно так зеус подебили когда-то.Дохуя заразилось, дохуя пиздежа в сми. Но я щитаю Zeus был самым масштабным событием в мирке кибербезопасности.
Пиздец вы дауны, ебаный в рот.Переустановил винду коллеге потерпевшей, заменил расширение файлов на оригинальные и все работоспособные.Ну вы тупари блядь.
>>153103092Как так? А я даже про него и не слышал.... "СОБЫТИЕ"...
>>153099023Лиункс вообще не защищенное говно! Сожрет любой скрипт который к нему придет и ты соснешь!
>>153103199А все такие дауны, пробовать не пытались?
>>153101703Зато тормаза ощутимы при загрузке ЦП. >>153103199Хуя ты толстый. Мб коллега хотела твоего внимания а ты проебался?
как же всё заебало, хочется выпилиться
>>153103642Не дала?
>>153103354У меня 1 ядро 1.4 ГГц атом стоял, какие нахуй тормоза. Значит ребята написали так чтобы он медленне шифровал, но не загружал цп.
>>153103916>У меня 1 ядро 1.4 ГГц атом стоял, какие нахуй тормозаТы к ним привык так что не замечаешь. Этого проца не хватит на кинцо в 720.
>>153103226ФБР назначило рекордное вознаграждение в $3 млн за информацию, ведущую непосредственно к аресту и/или обвинительному приговору для российского хакера Евгения Михайловича Богачёва. Ему вменяют многочисленные преступления и считают администратором ботнета Gameover Zeus.Gameover (модификация Zeus) — самый активный банковский троян в последние годы. Например, в 2013 году на его долю пришлось 38% активности всех банковских троянов в мире. По оценке ФБР, Gameover инфицировал более миллиона персональных компьютеров, инициировав фродовые банковские транзакции более чем на $100 млн.Богачёв возглавляет список самых разыскиваемых киберпреступников ФБР.
oi
сука, хуёва говножизнь
>>153106506Вот юзефул ссылочку из /s скинули. https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
То чуство кошда тебе вообще срать на этот вирус, имхо из важного на компе у тебя только три игры и немножка цп
>>153106679Где цп берёшь?
>>153106773В гугле ищется за пару минут. Спасибо охуенному поиску по картинкам. Который предлагает показать похожие.
>>153106773eMullе + vpn, медленно но надежно Если не из пугливых, можно и без последнего обойтись.
Test
>>153107371Что за eMullе? Даже с впн на сгущёнку садят.
>>153107371Что про тор скажешь?
>>153098646Как ты заразился вообще?
>>153107616В спермерке вкючен удаленный помощник по дефолту. Алсо, обсуждение в /s/oft'аче.>>s/2042595
S
>>153098079 (OP)А можно ещё картинок, похожих на оппик?
>>153112856Больной ублюдок.>постить картинки на сосаче>2017Да ещё и глупый.
>>153098079 (OP)На гите было описание ключей, ин инглиш.
>>153107936> Алсо, обсуждение в /s/oft'аче.>>2042595
>>153099527А я про пидорах не знаю. Кто это?
>>153099673> какова вероятность заражения?Ещё никто достоверно не сообщил кто и с какой целью начал атаку, такчт на твой вопрос нет ответа. Неизвестно как распространяется короче.
>>153099743Спас 200к пек 13 и 14го. При 300к зараженных. И заплаченных $30к.
>>153099841Как будто ее ктото поймёт.У атаки не было целью денег срубить. Связь, почта, транспорт, банкоматы, полиция. Классика революции, как завещал великий Ленин. Больница только не в тему.
>>153100541Ссдблядки соснули
>>153119271https://2ch.hk/s/res/2042595.html
>>153119328А я про ольгинцев знаю. (Ольгинец - Ты).
>>153119367Ты довн? Распространяется линух сервер простукивает спермоблядков по диапазонам, дальше по локальным сетям. Это написано на хабропараше, со ссылкой на мейлач. https://geektimes.ru/post/289115/
s
>>153120948b
>>153120535На хабропараше тоскливо. Только полезного https://gist.github.com/rain-1/989428fa5504f378b993ee6efbc0b168
>>153099527Хохляцкая свинья загорелась и горит!ссу всем в рот, со своего макбук про
>>153103271Толсто
>>153121435Так хабрапараша это переводы ангельских твиттеров. Можешь ещё вот это почитатьhttps://twitter.com/hackerfantastic
>>153121535+0.15BTC
>>153098079 (OP)Невздумайте перезагружать компьютер! 3 дня комп работал (качал торренты) после перещагрузки вылезло ебучее окно. Спасибо билайну за переход на белые адреса ПИДОРАСЫ!!!!
>>153099969А енто обновление от майкрософт поставиться на пиратскую винду? И есть ли в этом смысл?