Защита от нового вируса который поразил сотни тысяч PC - Полезные статьи в интернете

Решено Защита от нового вируса который поразил сотни тысяч PC

Регистрация
24 Июн 2015
Сообщения
340
Репутация
138
Спасибо
23
Монет
0
attachment.php

ПРЕДИСЛОВИЕ:
_____

Началось массовое заражение криптовирусом по всему миру. На данный момент известно о больницах в Лондоне, ГИБДД и МВД России, Мегафоне. Запасаемся попкорном и ждем развития событий.
link
link
link

------------------------------------

ИСПРАВЛЕНИЯ, ЗАТЫКАЮЩИЕ ДЫРЫ В ВИНДЕ 7
link
link
-----------------------------------

SMBv1 отрубается на семёре через PowerShell командой

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Как найти PowerShell
Нажимаешь на "пуск", внизу есть поле поиска, набираешь PowerShell и запускаешь с правами администратора.

Запустил от имени админа но теперь вообще ноль реакции на команду?
Так и должно быть. это нормальное поведение. Говорит о том, что команда применилась.

attachment.php

Кто не хочет обновятся, просто пишет это в командную строку.

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Требуемый апдейт MS17-010

ПРЯМЫЕ ССЫЛКИ НА ОБНОВЛЕНИЯ
Windows 7 x86
Windows 7 x64
Windows 8.1 x86
Windows 8.1 x64
---------------------------------
КАК БОРОТЬСЯ, ЕСЛИ УЖЕ ЗАРАЖЕН:

1. НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
2. НЕ ЗАПУСКАЙТЕ .exe ФАЙЛЫ, СКАЧАННЫЕ В МАЕ
3. ОБНОВИТЕ АНТИВИРУС И ПОСТАВЬТЕ СКАНИРОВАНИЕ ВСЕЙ СИСТЕМЫ

............/´¯/)...............(\¯`\
.........../...//....ЗДОХНИ..\\...\
........../...//......ВИРУС.....\\...\
...../´¯/..../´¯\.ЕБАНЫЙ../¯` \....\¯`\
.././.../..../..../.|_......._|.\....\....\...\.\
(.(....(....(..../..)..)…...(..(.\....)....)....).)
.\................\/.../......\...\/................/
..\.................. /.........\................../
--------------------------------
Про ВИРУС, распространение и история:
Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе github.com с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

link

----
Еще про распространение:

ХАКЕР WHITEHAT ИТТ! РАССКАЗЫВАЮ КАК ЭТО РАБОТАЕТ. ВСЕМ ВНИМАТЕЛЬНО СЛУШАТЬ.

У тех кто начал эту атаку есть

>Эксплойты слитые Shadow brokers
>Сканнер сети который они сами написали на C/Python
>Linux сервер

Как это работает?

>Скрипт сканнера запускается на Linux сервере
>Вбивается определенный IP диапазон или целая страна
>Скрипт сканирует диапазон на открытый 445 порт
>В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
>эксплойт закачивает файл и запускает его.

КАК ХАКЕРЫ ДЕЛАЮТ ТАК, ЧТОБ СЕРВЕР СКАНЕРА НЕ ПАЛИЛСЯ?

В Сетевом стэке Linux допущено изменять IP Header-ы исходящих пакетов. При сканировании их программа заменяет адрес на рандомный, поэтому настоящий адрес сканера никогда не фиксируется.
--------------------------------
НЕ ПОДТВЕРЖДЕННЫЕ ДАННЫЕ:

Майкрософт в обновлении подсунула БЭКДОР и теперь за вами будут следить (информация проверяется в надежных источниках)

Виновата в виросной атаке - Монголия, Канада и ряд стран Африки (Заключение полузависимого диванного эксперта из Текстильщиков)

Уязвимы только компьютеры под управлением ОС Windows 7-10, пользователи МАКоси и Линукс могут спать спокойно (Но это не точно)
 
Сверху Снизу