Bitcoin Forum

КАК ОБЕЗОПАСИТЬ СЕБЯ ОТ НОВОГО ВИРУСА WannaCry

    Ведется массовая атака криптором Wana decrypt0r 2.0 (WannaCry)
    Пострадало уже дохрена кого по всему миру, от простых пользователей до крупных компаний, поэтому этот пост важен для ВСЕХ. Сделайте репост этой записи.

    Вирус распространяется через 445 порт . Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети).

    КАК ОБЕЗОПАСИТЬ СЕБЯ простому пользователю:

    Первое что нужно сделать - скачать патчи с сайта Microsoft закрывающее дыру:
    Ссылка на обновления Microsoft (MS17-010) от уязвимостей, эксплуатируемых Wana Decrypt0r
    ● Все версии Windows https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

    ●Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
    ●Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
    ●Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    ●Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    ●Windows XP: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df.exe

    Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке (cmd) запущенной от имени Администратора:

    dism /online /norestart /disable-feature /featurename:SMB1Protocol

    Установить патчи при этом все равно рекомендуется!!!

    Ссылка на форум касперского с нужной информацией:
    https://forum.kasperskyclub.ru/index.php?s=c4c52a4d7a471462090727ce73e65b24&showtopic=55543&page=1

    Что делать если я уже заражен:

    (Некоторая информация взята со сторонних сайтов)
    Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.
    1. Скачайте патч MS17-010 для нужной Windows
    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    2. Отключитесь от интернета.
    3. Откройте командную строку (cmd) от имени администратора.
    3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора
    4. Вписываете эту команду в командную строку:
    netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
    4.1 Нажимаете Enter => Должно показать OK.
    5. Заходите в безопасный режим
    5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"
    6. Найдите и удалите папку вируса
    6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.
    7. Перезагрузите компьютер.
    8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
    8.1 Во время установки подключитесь к интернету.
    Вот и всё. У меня и моих друзей всё заработало.
    Просьба не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry
    Лично я воспользовался программой Shadow Explorer, и восстановил некоторые файлы.

    В интернете находятся интересные подробности по данному инциденту:

    Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США. Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.

    Делайте бэкапы, недоступные через сеть или интернет простыми способами!

После того что пишут про шпионаж от windows я боюсь скачивать всякие апдейты для windows. Я бы порекомендовал делать бэкапы и не париться по поводу вируса, а если бы поймал его то формат и переустановка спасут + бэкапы.

Не ставь патч, жалко что ли. А в следующей версии этого вируса вошьют воровалку паролей и кошельков - ты его словишь, и пароли и кошельки уйдут злоумышленнику. И помогут ли тебе твои бэкапы?
Используй Линукс, о юный падаван.

Надо иметь 10 Винду и всех делов,она к этому вирусу устойчива. А так прилично всяких лохов по миру позаражало,даже мусора натерпелись от него ;D Но официально потерь нет(с)......

Не знаю... Я читал эту новость в разных источниках, там речь идёт лишь о 35к зараженных ;)

10 отстой + шпион, и если иметь голову на плечах вирус не страшен.

35к? то ты не то смотрел видать. по телеку про это только и говорят, Англия больше всех пострадала.  там что то вчера говорили около 350-400к компьютеров по миру.

Да не то слово, сам почитал про эти патчи и совсем нету желания с ними связываться, точно что пора уже осваивать Линукс.

Печальный опыт Защиты от вируса WannaCry

Win 7 Максимальная с SP1. Обновления не устававливаются с августа 2016 г.
Установлен антивиркс Norton Security.
Претензий к работе ПК нет.

Установил рекомендованное Microsoft обновление защиты от WannaCry.
ПК перестал загружаться - "Синяя смерть" с кодом 0х0000000d.

Потребовалось сделать 2 отката для восстановления работоспособности ПК.

Рекомендую перед каждум изменением Windows создавать точку восстановления или резервную копию ОС.

Каким способом этот вирус вообще проникает на компьютер, этож его с чем нибудь скачать нужно или как?

Скачал вирусов себе на линух.

Распаковал.

Поставил под root.

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin и еще у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

В сердцах открыл исходники вируса, grep'нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

через спам. приходит письмо,и когда открываешь, вирус попадает на комп,поэтому не нужные письма нужно удалять сразу. еще попадает, когда скачиваешь что то на комп.

Достаточно просто быть подключенным к Интернету! Его не нужно качать, он проникает через открытые порты.
Советую всем поставить патч MS17-010(от него активация винды не слетает), так как эксплойты утекли в паблик, и скоро увидим новую волну вирусов, которые используют эти дыры.

Спамишь это ты сейчас. Для этой уязвимости не нужно ничего скачивать и запускать, только комп, который подключен в интернету. Если комп за NAT'ом, это в некоторых случаях спасает, если у вас белый статический IP, крайне крайне рекомендуется пропатчить винду.

Как определил, что уже заражён?

Ты тупой? Он проникнет и тупо все зашиврйет и сообщит об этом.

Не только. Если в локальной сети есть зараженный комп - и у тебя нет патча - заражает непропатченные компы в сети.

Сам тупость.
Одной извилиной мыслишь.
Не всегда вирус проявляет себя сразу.
Стандартной одной схемы нет, в силу разных причин.

Речь идет о бекапах для кошельков или всей системы windows?

Если в системе нет патча, который вышел 2 месяца назад и есть в обновлениях Windows, и комп не за роутером с файрволлом или натом - этот вирус спокойно заразит систему и зашифрует информацию. Если за натом - то может прилететь в почте, и если пользователь туп - он его запустит и все важное зашифруется.
Для борьбы с такими шифровальщиками я ставлю клиентам Drweb Security Space - настроив, конечно. Организуется недоступное для ОС резервное хранилище, куда эта прога скидывает резервные копии указанных папок и файлов.
Я опробовал это решение на живом вирусе - да, вирус был свежайший. Вирус зашифровал все, но средствами Drweb после чистки вируса файло я поднял из резервных копий, пусть на вчерашний день, но лучше хоть так, чем вообще никак.

это что реально серьезный вирус?? кому он грозит и как он вникает в систему? только через какую то программу что нужно скачать? или еще там другие способы заразить комп есть?

Полезная информация для каждого пользователя. Спасибо!

Че там париться на счет этого вирусняка, накрая винду перебил и все дела. Вся нужная инфа уже давным давно на флешке валяется, а остальное не жалко.

Не тупи, я уже все описал. Попробуй понять.

Ставьте яндекс диск и никаких проблем с бэкапом :)

наверно это самое быстрое и правильное решение, тем более всем понятное!  ;) Спасибо, хороший совет!

Уже море гайдов пилили.
http://stackoverflow.com/questions/43952057/how-to-protect-from-wcrypt-wanna-cry

Закрываешь 135 и 445 TCP порты для входящих соединений. Команды в командную стоку:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

И отключаешь службу SMB через строку Powershell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Либо накатываешь обновление MS17-010:
https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Антивирус должен предотвращать все хакерские атаки не жалеть и пользоваться не пробной бесплатной версией, а немножко потратится и обеспечить себя зашитой от такого рода опасности

легко можно обезопасить себя - не лазить по всяким левым сайтам

Та сейчас и не только на всяких левых сайтах много всяких вирусов и тому подобное, но как для минимума себя обеспечить зашитой то и этого должно хватить 

Ты можешь нигде вообще не лазить, но если не поставишь это обновление для своей ОС - вирус проникнет через брешь и зашифрует все документы.

Очень полезная статья. Новый вирус поражает все больше пк. качаем обновления!

Благодарю, очень полезно!

спасибо за полезную информацию, крутая инструкция  ;)

Хороший мануал, спасибо.
Во многих местах описано примерно то же самое, но у вас пожалуй самая полная и точная информация по вопросу.

Cамая легкая возможность защитить себя от вируса WannnaCry,по моему  это обновоить драйвер пак солятион.уже стоит утилита на установку защиты

Если у вас зашифруются файлы на локальном компьютере, то скорее всего яндекс-диск автоматически синхронизируется и в нем тоже все зашифруется.
Бэкап должен быть холодным, то есть в нормальном состоянии отключенным от компьютера.

Мне вчера пришло сообщение от проги, которая обновляет драйвера о том, что нужно провести настройку компа и скачать некоторые обновления, чтобы этот вирус не подхватить. Ну я все сделал, надеюсь, что пронесе

Если так, то нужно ставить версию 2.0. Там без синхронизации. Файлы не занимают место на компьютере.

А это уже интересно. А где хранится информация в таком случае? Я вот ставил когда-то точку восстановления, так у меня потом диск С был забит непонятно чем. Свободного места практически не осталось, что очень тормозило комп

Они хранятся на облаке. Было много сетований со стороны пользователей, что файлы занимают место на компьютере, поэтому команда яндекс создала яндекс.диск 2.0.  Пока это ещё называется экспериментальная бета-версия. Но всё работает прекрасно :)

Точки восстановления крайне полезны.

и что самостоятельно от вируса не возможно?

Что самостоятельно? Глагол где, идиотка?

Самостоятельно от вируса возможно.

У меня в офисе словил один работник эту красоту. Конечно же платить ничего не стал.
Отнес комп программистам - пока еще результата нет, ждем. Но что-то мне подсказывает, что комп придется выбросить

 :D
Звучит как смешная реальная правдивая история (анекдот) для тех, кто более-менее в IT понимает. "О, бедный, не кроссплатформенный, не универсальный вирус и его создатели!" Они могли бы остаться голодными, если бы не было масс (намеренно) уязвимых из-за OS Windows её пользователей.

Как известно, во время последних атак индикатором заражения ПК было наличие файла C:\Windows\perfc». Некоторые эксперты рекомендуют создать пустой файл в блокноте и переименовать  его perfc, при этом нужно поместить его  сюда C:\Windows\perfc». Для файла выставить режим только чтение. Также для остановки распространения вируса по сети, надо заблокировать на своих компьютерах (под Windows ) не только 445 порт, а и 1024-1035, 135.

Вот инструкция для закрытия портов в Брандмауэре Windows (информция с сайта http://notessysadmin.com/how-close-or-open-ports-in-windows-firewall)

Алгоритм

Есть три типа портов, это:
— Общедоступные порты, которые должны быть открыты для всего интернета. Пусть будут 80 и 443 (http и https)
— Фильтруемые порты, доступные только с определенных IP адресов. Возьмем 3389 (RDP)
— Все остальные, должны быть закрыты
Требуется:
1. Создать правило, запрещающее всё, кроме трех вышеобозначенных портов.
2. Для общедоступных больше делать ни чего не требуется.
3. Для фильтруемого создать разрешающее правило, указав белые адреса.

Секрет в том, что при запрещении всех портов надо явно указать разрешенные. Иначе, как было сказано выше, не получится открыть нужные.

Пример

Задача 1: оставить открытыми для всего интернета 80, 443 и 3389 порты. Все остальные закрыть.
1. Создать новое правило для входящих подключений
2. Тип правила (Rule Type). Настраиваемые (Custom)
3. Программа (Program). Все программы (All programs)
4. Протокол и порты (Protocol and Ports). Тип протокола (Protocol type) — TCP. Локальный порт (Local port) — Специальные порты (Specific Ports). В поле вписать диапазон портов, за исключением 80, 443 и 3389. Должно выглядеть так — 1-79, 81-442, 444-3388, 3390-65535
5. Область (Scope). Локальный (local) — Любой IP-адрес (Any IP address). Удаленный (remote) — Любой IP-адрес (Any IP address).
6. Действие (Action). Блокировать подключение (Block the connection).
7. Профиль (Profile). Выбрать на свое усмотрение. Если не уверен, то выбрать все.
8. Имя (Name). Назвать его, например, Block_TCP.

Теперь указанные порты открыты для всего интернета, но, как минимум, не безопасно открывать всем порт RDP и желательно ограничить подключение только со своих IP адресов.

Задача 2: оставить открытыми для всего интернета 80 и 443 порты. Ограничить подключение на порт 3389 только с разрешенных IP адресов. Все остальные закрыть.
Шаги 1-8 аналогичны предыдущей задаче, т.е. создается правило, разрешающее коннект по трем указанным портам.
Для фильтрации по IP надо создать второе правило:
9. Создать новое правило для входящих подключений
10. Тип правила. Настраиваемые
11. Программа. Все программы
12. Протокол и порты. Тип протокола — TCP. Локальный порт — специальные порты. Вписать порт 3389
13. Область. Локальный — Любой IP-адрес. Удаленный — Указанные IP-адреса. Сюда вписать белый список IPшников или подсетей, которым разрешен коннект по данному порту
14. Действие. Разрешить подключение.
15. Профиль. Выбрать на свое усмотрение. Если не уверен, то выбрать все.
16. Имя. Назвать его, например, RDP.

Если фильтруемых портов несколько, то создается по одному правилу на каждый порт.

Ну и чтобы стать совсем защищенным — создать правило, блокирующее все UDP соединения.

Вот список антивирусов, которые могут обнаружить вирус Petya (по сути тот же Wncry): https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/
Красный текст в колонке Result  указывает, что антивирус может обнаружить вирус. Зеленый кружок — антивирус не может обнаружить вирус.

сложно

Впервые слышу об этом вирусе, и как по мне он не так уж и наверное опасен, ну конкретно для меня уж так точно ;D

Что 10 отстой не согласна ,получше 7

Для Вас он может и не страшен, а вот для информации на жестком диске – страшен. В последнее время это особенно актуально.
Wanna Cry вид вредоносного ПО (категории RansomWare – программа-вымогатель). Когда он попадает на жесткий диск, действует  по сценарию подобному к «вымогателям» – TrojanRansom.Win32.zip. То есть  шифрует все персональные данные всех известных расширений. Все это сопровождается требованиями заплатить конкретную  сумму денег. За эти деньги злоумышленник обещает выслать инструкцию по разблокировке. Иногда это СМС-пополнения счета, а иногда используется сервис анонимных платежей BitCoin.

Спасибо, за информацию, теперь буду хранить информацию в облаках

Никак.Надо чтоб от него несколько миллионов умерло.Не зря же его изобретали.потом будут противовирус готовить.Все вирусы придуманы людьми.Откуда им взяться.