Robot_NagNews Опубликовано 17 мая, 2017 · Жалоба Материал: Новость о массированной вирусной атаке, которая обрушилась одновременно на десятки разных стран, поставила в замешательство даже самых опытных борцов с киберпреступностью. Полный текст Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 17 мая, 2017 · Жалоба Об уязвимости через которую распространялся вирус было известно еще за месяц до распространения. Тогда ее использовали для безобидного майнинга биткоинов. Сам эксплойт стащили, действительно, у АНБ, но появилась сама уязвимость задолго до, в 2000-х годах. Способ защиты веселый: не светить свой виндаПК в интернет напрямую или отключить вообще Самбу. Ссылка на первую новость об использовании эксплойта: http://searchengines.guru/showthread.php?t=963043 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 мая, 2017 · Жалоба Есть гнусненькое подозреньице, что шифрование и вымогательство - отнюдь не главные функции червя. Что-то количество спама и взломанных серваков с прошлой недели выросло на порядок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 17 мая, 2017 · Жалоба Да, он дроппер в основном функционале, а не вымогатель. Вымогателем его приюзали северокорейцы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 мая, 2017 · Жалоба Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft». Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно. Все представители индустрии которые высказывались или идиоты раз не знают об этом решении или жулики потому что специально умалчивают. А между тем решению уже 14 лет, ещё со времён мсбласта августа 2003 года. Всех их советы: ставьте апдейты, антивирусы, системы бэкапа - а это всё деньги и время. И все они ровно до следующего раза, до очередной дырки в этой мало кому нужной службе. (речь про хомяков и рабочие станции) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 18 мая, 2017 · Жалоба Больше комп сам не заразится, а заодно все его шары и принтеры станут не доступны из сети — для домашних и рабочих станций самое оно. Особенно хорошо это получается, если в домашней или офисной сетке файлопомойка/доменные сервера есть, где, собственно, все ценные файлы и должны лежать (не на рабочих же компах их хранить?). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 мая, 2017 · Жалоба Файлопомойка бывает и на всяких NAS с линуксами/фрями, а вендовые админы пусть выкручиваются как хотят, для них все остальные многабуков в тыщах статей от мильонов вендоров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ii_blag Опубликовано 19 мая, 2017 · Жалоба Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: "служба доступа к файлам и принтерам " Спасибо, взял на заметку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 19 мая, 2017 · Жалоба Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhunter Опубликовано 19 мая, 2017 · Жалоба Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Ещё по remote desktop себя же пробрасывал. В случае IPv6 для локалки есть понятие neighbor discovery https://en.wikipedia.org/wiki/Neighbor_Discovery_Protocol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lacost Опубликовано 20 мая, 2017 · Жалоба У нас давно уже на всех коммутаторах стоит запрет на 445 порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 мая, 2017 · Жалоба Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Это не решение, это самокастрация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 мая, 2017 · Жалоба Кстати, этот вирус соседей по сети как находит? Если просто блоки адресов сканирует - то, вероятно, есть еще одно решение - перевести локалку на IPv6, вырубив IPv4 Долго сканировать будет. Это не решение, это самокастрация. Это почему? Виндовая сеть впролне по Ipv6 работает. А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 21 мая, 2017 · Жалоба Кстати, этот вирус соседей по сети как находит? https://habrahabr.ru/company/microsoft/blog/328910/ Червь пытается заразить расположенные в локальной сети необновленные машины под управлением Windows. Одновременно он выполняет массовое сканирование IP-адресов Интернета, чтобы найти и заразить другие уязвимые компьютеры. Это создает большой объем трафика SMB с зараженного хоста, что могут заметить специалисты по безопасности, как показано ниже.Процедура сканирования Интернета генерирует случайные октеты, собираемые в IPv4-адреса. После этого вредоносное ПО атакует расположенный по доступному IP-адресу компьютер, пытаясь воспользоваться уязвимостью CVE-2017-0145. Программа не заражает компьютеры, у которых первый октет IPv4-адреса равен 127 или больше 224, чтобы не тратить время на обращение по локальным адресам замыкания на себя. После обнаружения и инфицирования уязвимой машины она становится следующим источником заражения других машин. Цикл заражения продолжается, по мере того как обнаруживаются незащищенные компьютеры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 21 мая, 2017 · Жалоба Вот самое простое и очевидное решение, не требующее даже наличия инета и клавиатуры и мозгов: заходим в свойства всех сетевых адаптеров и снимаем галочку с: «служба доступа к файлам и принтерам сетей Microsoft». Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 мая, 2017 · Жалоба А выход в интернет - через прокси/socks, у которого интерфейс с IPv4 наружу есть. Ну давай, настрой аутлук через прокси. Потом токс. Потом ещё кучу софта, чьи авторы даже слов то таких не слышали в силу своей хипстерской природы. Вот кстати не помогает. Проверьте и удивитесь, что компьютер со снятой галочкой по-прежнему (или через некоторое время снова) виден в "Сетевом окружении" и в него можно зайти. Надо не просто снимать галочку, а удалить протокол «служба доступа к файлам и принтерам сетей Microsoft». А ты со всех интерфейсов снял? А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 22 мая, 2017 · Жалоба А ты со всех интерфейсов снял?А то может с проводного снял а на вафле оставил и оно доступно осталось ибо ты через вафлю? Вайфая нет, только провод. Возможно на тех компах ещё были интерфейсы для вмваре, но проверяли сеть точно не с них и не с виртуалок, а с сети к которой проводной подключён. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 мая, 2017 · Жалоба 135/tcp open msrpc 139/tcp open netbios-ssn А вот 445 уже нет. Поэтому в сетевом окружении его видно, а шар нет. нетбиос в свойствах адаптера отдельно вроде был. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 мая, 2017 · Жалоба 139 порт отключается снятием галки на вкладке WINS в настройках "Протокол интернета версии 4" на адаптере. Отключение службы сервер никак не влияет на порт 135. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...