12 мая в 18:32

Ведется массовая атака криптором Wana decrypt0r 2.0

В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.



A ransomware spreading in the lab at the university (отсюда)


Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.




Связавшись с бывшими коллегами я был удивлен похожими исторями.


Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.


Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.



Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.


И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".


Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:


Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT      STATE SERVICE
135/tcp   open  msrpc
445/tcp   open  microsoft-ds
49154/tcp open  unknown

Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.


На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.


Если у вас есть похожие случаи, поделитесь информацией о них.


Несколько ссылок по теме:



остальные ссылки смотрите в комментариях к этой новости


Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:


Скрытый текст

image


UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.


Патчи для исправления этой уязвимости можно скачатать на официальном сайте:



Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (работает в Windows 8.1 и более старших версиях):


dism /online /norestart /disable-feature /featurename:SMB1Protocol

Установить патчи при этом все равно рекомендуется


UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:


  • Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
  • Откройте cmd.exe (командную строку)
  • Напишите:
    wmic qfe list | findstr 4012212
  • Нажмите Enter
  • Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
    http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
  • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
  • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше или по прямой ссылке из UPD9

Как выяснилось этот метод не на 100% рабочий и у каждого могут быть свои ньюансы.
Если вы все же уверены что обновление безопасности у вас установлено, а в ответ вы по прежнему получаете пустую строку, попробуйте проверить обновление через журнал обновлений Windows или почитать комментарии к этой статье.


UPD3: В интернете находятся интересные подробности по данному инциденту:


Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
В этом наборе есть опасный инструмент DoublePulsar.
Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

UPD4: Интерактивная карта заражения:


Wcrypt Tracker


UPD5: Видео показывающее наглядное применение эксплойта:




UPD6: Нашелся интересный изъян в коде:


Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

UPD7: Microsoft выпустил патч для старых систем (Windows XP и Windows Server 2003R2)


UPD8: Копипаста с 2ch.hk


У тех кто начал эту атаку есть
Эксплойты слитые Shadow brokers
Сканнер сети который они сами написали на C/Python
Linux сервер

Как это работает?
Скрипт сканнера запускается на Linux сервере
Вбивается определенный IP диапазон или целая страна
Скрипт сканирует диапазон на открытый 445 порт
В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
эксплойт закачивает файл и запускает его.



UPD9: официальные прямые ссылки на этот патч для различных систем:


MS17-010

Windows XP: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


UPD10: Появились версии шифровальщика игнорирующие killswitch метод описанный в UPD6.


Спасибо xsash, Inflame, Pulse, nxrighthere, waisberg, forajump, Akr0n, LESHIY_ODESSA, Pentestit, alguryanow и другим за множество дополнений к этой статье.

У вас похожий случай? Какие версии подвержены заражению?

Проголосовало 198 человек. Воздержалось 3066 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

kvaps @kvaps
карма
28,0
рейтинг 47,7
Пользователь
Самое читаемое

Комментарии (857)

  • +2
    Спасибо что сообщили
    • –19
      Сегодня в Ubuntu/Apple/любом другом дистрибутиве открывают шампанское, тк сколько будущих тендеров они победят теперь :)

      Ну собственно снова мы убедились, что СПО лучше закрытого…
      • +34

        Вспоминаем heartbleed и прочие разности. Дырки есть везде.

        • +4
          Руководителям и СМИ данная «атака» нагляднее, чем какие-то перехваты RAM на сервере.
          • 0
            Т.е. в тендере так и писать «руководителями и СМИ не должна быть замечена атака на ....»?
            • 0
              В тендере можете писать всё что угодно, я говорю о том, что новость о heart bleed не настолько сильно была растиражированы и обычный потребитель скорее всего не заметил влияние на себя. А тут у нас как минимум:
              1) мегафон
              2) ск/фсб

              Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
              Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.

              Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
              • –3
                > «что бы не было как 12 мая по всему миру»

                А, собственно, что случилось то?
                1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
                2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.

                И там ниже говорят аж 24 человека заплатило на текущий момент.

                Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
                • +6
                  Из самого серьёзного — это множественные перебои в работе службы здравоохранения в Англии и Шотландии.
                  А Мегафон до сих пор не работает, по крайней мере в Поволжье.
                  • +3
                    > А Мегафон до сих пор не работает, по крайней мере в Поволжье.

                    Откуда инфа?

                    > Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.

                    Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.

                    > Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised

                    Ну… Переустановят винду завтра.

                    У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
                    • +2
                      Я просто взял сейчас и позвонил на 0500, чтобы не быть голословным) Говорят, что доступны только услуги через сайт или роботов, а что-либо сделать через сотрудников контактного центра нельзя.
                      • 0
                        судя по отсутствию новостей(точнее последние «мегафон восстановил работу») я был прав, никто не заметил, что «мегафон не работает».
                        • –1
                          У мегафона был какой-то факап и они решили подстраховаться. нуачо. мейби. ссылки на сам мегафон же нет, а СМИ, такие сми.
                        • 0

                          Так их ублюдошный калцентр уже сто лет не работает нормально — IVR по кругу гоняет

                • 0
                  + Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
                  • +3
                    Вообще NHS еще давно предупреждали. Если безопасники профукали слив пачки 0-day эксплойтов и за два месяца не обновили сеть… То сами виноваты.
                    • –2
                      XP увы еще много где есть, на неё есть патч?
                      • 0
                        Разве что превратить её в POSReady версию с помощью ключа реестра и скачать обновления. Но это неофициальный метод.
                      • +3
                        Да, выложили на блоге Microsoft
                        • 0
                          Меня смущает embedded в названии апдейта. Скачал, попробовал запустить — выругалась на неподдерживаемую версию оси. Видимо таки для обычной ХР нет патча…
                          • +1
                            Есть на обычную XP, но часто ссылка на embedded ведет (даже на русскую версию с сайта майков). Нужно та, где только custom в названии.
                            В этом комментарии есть правильная ссылка
                            Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.

                          • 0
                            Была такая же проблема. Cкачал по ссылке которую выложили на ruboard. Помогло.
                          • +1
                            Там же есть патч для английской не-embedded XP. Но проверять не на чем. Embedded действительно на consumer версии не ставится.
                          • 0
                            вот прямая ссылка для XP
                            • +1
                              http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
                        • 0
                          угу, но только уже после факта массового заражения :)
                • –2
                  У вас методичка старая, зайдите к куратору, по п.2 уже признали. Да и рунет пошёл скриншоты со странными названиями папок обсуждать.
                • –5

                  Достаточно 10 историй о потерянном архиве детских фотографий и дипломных работ растирают повинных в соц. сетях.
                  И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.


                  p.s. надеюсь автора зловреда устраняет при сопротивлении во время задержания.

                  • +2
                    > И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.

                    Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
                    То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.

                    Это аргумент в копилку людей, выступающих за бекапы.
                    • 0
                      Увы это вам очевидно, как понимающему как работают криптовалюты в текущем правовом поле.
                      Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
                      • 0
                        Не надо путать причину со следствием. Когда хотят бороться с анонимностью и тратить деньги — для этого подходит любой высосанный из пальца аргумент, «копилки» там не нужны. Ну то есть нужны, но совсем другие, не с аргументами.

                        > ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов

                        Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.

                        То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
                        • 0
                          Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.

                          Почему вы априори считаете что хотят увеличить расходы?
                          Большая часть людей когда предлагает ту или иную идею как решить текущую проблему ( на их взгляд ) не задумывается над тем какие косвенные затраты предлагаемое решение даст.
                          Это как с установкой знака 40 в на трассе в поле где случилось 2 серьёзных аварии за год, вроде разумное решение(интуитивно снизить опасность ДТП), но не учитывает многих аспектов.
                          • 0
                            Предлагать решение проблемы может любая бабка. Человек ответственный за решение проблемы обладает минимальной компетенцией.
                            Что бы не устанавливать рамки металлоискателей в метро не надо обладать даже компетенцией, или уметь считать затраты — достаточно на 30 секунд задуматься.
                  • +1
                    «Автозамена» в Android творит чудеса.
                    растирают повинных — растиражированных
                    устраняет — устранят.

                • –1
                  НЕ заметнее???)))
                  Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
                  Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
                  • +2
                    Что бы понимать о чём мы говорим, по каким ещё событиям за последний год вам Мама звонила?
                • 0
                  А, собственно, что случилось то?

                  НУ например, несколько часов, в моем городе не работали терминалы оплаты.
                • 0
                  Не знаю как обычные офисы Мегафона, но в пятницу корпоративные офисы не работали.
                  Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
              • 0
                Более того эти антивирусы сертифицированы по требованиям ФСТЭК, конмпьютеры, сети аттестованы, за все уплочено, а на выходе пшик!!!
                • 0
                  Собственно, аргумент, что эти недоподелки от серьёзных проблем не спасают. Какие-нибудь банеры и что-нибудь в этом духе — может быть, но не более. Кстати, от совсем простых тоже не спасают. Был случай: вирус подправил ссылки в ярлыках браузеров. Ни стоящий на машине nod, ни cure it, ни даже avz ничего не обнаружили.
      • +6
        сколько будущих тендеров они победят теперь :)

        В пределах погрешности.
      • +2
        Мы убедились, что за два месяца админы не поставили патч, закрывающий эксплуатируемую уязвимость.
      • +1
        Ага, heartbleed в СПО как раз было. И было долго-долго.
      • –2
        Поглядите свежие новости, про заражения macOS.
      • +3
        перехожу на убунту)
        • 0
          Пару дней попробовал вот уже в который раз — вернулся обратно. Всё ещё рановато.
          • +1
            offtop: а что не понравилось, если не секрет?
            • +1
              Видимо, windows головного мозга не даёт понять, как эта хрень вся работает.
              Не хватает фара, для начала. MC не предлагать.
              Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
              Это очень быстро навевает тоску и diskpart, select disk 0, clean

              Более менее живые — только appliance версии софта, и то не все.
              • +2
                Так тут проблема в ваших привычках, а не в Ubuntu.

                Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
                • 0
                  Привычка — само собой, но тот же android берешь в руки, и там как-то сразу можно начать решать нужные задачи. Т.е. продукт допилен. Что бы поставить любую программу, мне не надо вчитываться в ошибки в консоли.
                  Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
                  • +1
                    Сто лет уже так никто не делает.
                    Я и в windows в консоли работаю.
                    А в линуксе только когда ставлю не стабильные программы.
                • 0
                  Привычка тут на пятом-десятом уровне важности.
                  Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
                  • +2
                    Без Esc и Backspace на новых маках — ну его в баню :)
                    • –2
                      Качайте отсюда — Linux Mint, например KDE-версию, и пробуйте. Файловые менеджеры там (в линуксе) гораздо приятнее. Будет и «плазма» и рабочий стол кубом.
                      • 0
                        Спасибо, но я не хочу себе Линь на десктопе — только серваки. Я просто умею обновляться и настраивать ОС нормально :D Да еще и Ubuntu, Suse и Fedora скоро подъедут в виде консольки.
                        • 0
                          А поставьте Mageia с KDE, если хочется Microsoft Office иметь — поставьте Crossover, и поймете все прелести
                          Линь на десктопе
                          .
                          Можете конечно и отечественный Линь поставить, но я бы воздержался.
              • 0

                Удивительно, но вместо фара под линуксом есть… FAR. Правда новость от февраля этого года и по видимому там работа еще идет. Или можно еще double commander <-> тотал командера. Заявлялась даже совместимость плагинов, хотя подтвердить не могу.
                А чтобы облегчить переход на убунту с винды то пожалуй лучшим советом будет сразу забить на Unity, тем более что сам Canonical от него отказался. Рекомендую посмотреть в сторону KDE или MATE версий убунту LTS. Для первых linux mint KDE или KDE neon (c kubuntu не сдружился, уже и не припомню почему). А для мате соотв. версия mint'a.


                P.S. сам в восторге от KDE5.

                • 0

                  Krusader тогда уже под kde.

        • 0
          Не споткнитесь. Там даже для Солярки 0-day выложили.
        • 0
          Даешь импортозамещение в лице отечестного Линукса!
      • 0

        Родителям дома поставил Ubuntu 16, пользуются браузером Хромиум. Недавно пожаловались, что невозможно пользоваться интерентом из-за рекламы. Заразился хромиум черти-чем, поверх любой страницы показывал тонны рекламы, кнопки настройки браузра — не работают, горячие клавиши — отключены. Пришлось помучиться, что бы избавиться от этой заразы.

        • 0
          а в чём было мучение? каталог у хромиума всего один же ~/.config/chromium
          его надо только снести и всё
          • 0

            А вкладки, исторя, пароли и т.д.? Но смысл не в этом, а в том, что вирусы есть под все, а то господин "shifttstas" слишком самоуверен...

            • +3
              Расширения не появляются сами собой при запуске браузера, их устанавливают собственными руками. Это не господин самоуверен, это Вашим родителям никто не объяснил правила «цифровой гигиены».
              • 0

                Большентсов атак так или иначе завязано на человеческом факторе. А количество малвари прямо-пропорционально популяности платформы. Лично я сейчас наблюдаю популиризацию убунту и начало атак на эту систему.

    • +2
      Это кем надо быть чтобы держать открытым 445 порт наружу?
      Вирус только для лошара-админов и тех кто не ставит обновления годами.
      • +2
        На всяких пикабу пишут, что оно и через NAT проходит. =)
        — Как оно проходит, роутеры ломает?
        — Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
        • 0
          Под рукой 2 сервера 2008R2 без патчей, один с прямым IP другой за роутером
          Никаких вирусов не прилетало, фаервол штатный
          • –1
            Шансы поймать даже скан на конкретный IP-адрес довольно малы. Не думаю что там запустили сканирование всея интернета, даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
            • 0
              даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.

              4 часа на весь диапазон IPv4, насколько я помню. И на тот же 22 порт SSH китайцы ломятся регулярно.
            • +3
              На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
              За час в блеклист по нему насобиралось более 400 айпишек.
              Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
            • +1
              masscan + PF_RING + десять серверов на ксеонах с гигабитными интелами (и каналами) = 30 минут на весь диапазон по 1 порту
        • 0
          Что что, на пикабу как раз в комментариях про роутеры и NAT пишут, ни слова про всякие АНБ )
      • 0
        Некоторые провайдеры режут 445 и 139 порты у абонентов, РТ точно так делает
        • 0
          Если РТК с IPoE, то оно и понятно, а иначе это просто бессмысленно.
          • 0
            почему бессмысленно если не IPoE? Дома ростелеком дает белый ip, хоть и динамический, через pppoe. Все порты доступны снаружи, а 445 нет
  • +1
    Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс

    То есть нужно только подключение к интернету?
    А если повторить но без сетевого подключения т.е. физически его оставить а просто отключить сеть в винде?
    • 0

      Совершенно верно, достаточно только подключения к интернету, возможно прямого т.е. не через роутер.
      Без сетевого подключения понятное дело что ничего не произойдёт, без сетевого адреса скачивание чего-либо из интернета невозможно.

      • +3
        Меня заразило через ADSL роутер. NAT ему не помеха.
        • 0

          Как интересно, значит похоже что винда сама что-то скачивает, и это объясняет обход фаервола.

          • –1
            NAT != firewall
            • +1
              Да, но порт ведь просто так снаружи не доступен, если явно не проброшен. Разве нет?
              • 0
                UPnP же! Особенно в современных роутерах…
                • +2
                  Т.е. с использованием UPnP можно открыть порт снаружи? Я всегда думал, что оно работает только изнутри.
                  • 0
                    Нет, пользовательский компьютер запрашивает проброс порта SMB и вуаля.
                    • +1

                      И собственно возвращаемся к вопросу "а какой софт изнутри запрашивает проброс порта, как он оказался на компьютере и кем запущен".

                  • 0

                    Ситуация: из нашей локальной сети в офисе есть доступ в подсеть абонентов, ряд наших серверов, то же видеонаблюдение настроенное на Windows Server 2008 или Telescan на Windows 7 смотрят в мир с публичным IP. Предположим, по причине криворукости наших админов, вирус поразил один из этих серверов и если вирус достаточно умен, далее по цепочке он заразит нашу локальную сеть, а из нашей локальной сети немалую часть машин наших абонентов. Вот так вот абонент находясь за провайдерским NAT может стать уязвим.


                    Либо ситуация еще проще: предположим у человека на роутере NAT, все пробросы запрещены и даже адрес серый, т.е. человек находится за двумя NAT — роутера и провайдера. Но что мешает человеку притащить зараженное устройство к себе в локальную сеть? Будь это рабочий ноут или ноут друга?


                    Но и это не все. На хабре бывало проскакивали статьи что NAT и firewall не есть одно и то же и рассматривать NAT как защиту — неправильно. Вот что смог найти сходу:


                    https://habrahabr.ru/post/134638/

        • +2
          А можно подробности? Что за роутер, какие у него настройки, нет ли проброса портов? Есть ли другие компьютеры за роутером? Нет ли ноутбука, который принесли и подключили к той же сети?
        • 0
          А заразившийся компьютер у ADSL роутера не в DMZ случайно? На них это довольно распространенная конфигурация.
          • +5
            Или в режиме бриджа настроен, что намного чаще чем в режиме роутера с dmz :)
      • 0
        У вас прямое подключение к интернету?
        • 0

          У этой виртуалки — да.

          • 0
            Пробросы портов у вас есть? Что-то мне подсказывает, что у вас в локалке беда.
            • 0

              Нет у меня локалки, виртуплка смотрит сразу в интернет и имеет свой публичный IP-адрес.
              Никаких проблем у меня нет, но благодарю за ваше беспокойство. :)

              • 0
                попробуйте посмотреть udp #67 (причём со странных адресов вроде 198.*.*.*) перед заражением не проскакивает?
    • 0
      достаточно остановить службу «сервер». Будет защита и от локалки и от внешней сети.

  • +2
    Возможно, что дело в уязвимости самбы. В любом случае, звучит очень жутко.

    П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
    • +1

      Вполне возможно, т.к. апдейты в систему ещё не устанавливались, но мне дико интересно каким образом оно обошло виндовый фаервол?

    • +2
      Вроде вот патч

      https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
      • 0
        Простите за глупый вопрос, если винда стоит на самообновлении, то всё будет нормально? Или этот патч надо обязательно отдельно качать?
        • +1
          Если авто — то уже давно скачался.
          • 0
            Даже если после поиска номера нужного патча через командную строку, он не был найден?
            • 0
              Он может быть заменен свежим кумулятивным обновлением. Попробуйте проверить историю обновлений которые начинаются с чего-то типа 2017-05 Cumulative Update. Там по ссылочке на сайт и внизу описано что было заменено. Ну и отключите SMBv1
              • 0
                Сегодня делал обновление Windows Server 2008 (не R2). Сначала сделал автоматическое обновление — соответствующей KB в журнале не появилось. Потом скачал апдейт вручную и установил — апдейт установился и не ругался, что уже установлен.
                • 0
                  А кумулятивные не ругаются вроде. Они что-то делали что вычисляется набор патчей которые уже есть, докачивается остаток и все это дело гордо обзывается CU. Но хз работает ли на 2008 так.
                  • 0
                    Так не ругнулся не кумулятивный, а именно апдейт под эту дыру, хотя я ставил его после автообновления и затем поиска обновлений, показавшего, что система свежая, обновлений больше нет. Благо в настройках сетевого адаптера, смотрящего во внешнюю сеть, я ещё несколько лет назад (когда ставил Win) отключил Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft; получилось, что 445 порт открыт не был.
      • +1
        Вот еще офлайн установщик обновления, если кому нужен.
        • 0
          по ссылке выдаёт ошибку, чё ж делать?
          • 0
            Открыть центр уведомлений, найти это обновление и установить его.
          • 0
            Тыкать вновь и вновь. Центр обновлений конкретно так прилёг.
            Я выкачал себе апдейты на х64 и х32, могу залинковать.

            Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
            https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
            • 0
              XP ещё не хватает.

              Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
              • 0
                Все они с патчем так или иначе.
                Если не обращать внимание на разделение по ОС, то первый — тупо патч на конкретно дыру с EternalBlue, второй — кумулятивный апдейт безопасности, включающий отдельный патч.
              • 0
  • +2
    Подхватил эту дрянь тоже. Вроде как помогло отрубание SMB у сетевого адаптера. Перестал появляться после удаления. Удалял при помощи Malwarebytes и оставил ее включенной на всякий пожарный.
  • +14
    Эхх… как же скучно я живу.
    Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
    • 0
      Same story bro. Диски чаще ломаются чем вирусы подхватываешь. Возможно ентерпрайз сектор больше подвержен атакам по многим причинам. Фишинг, открытые шары типовые конфигурации.
      • +8
        Вы вообще заметили, о чем пост? Все что нужно для заражения — это Windows, выход в интернет и немного невезения.
        • 0
          Я заметил что заразилась только серверная винда с индексом 2008 в имени.
          • +2

            Это еще ничего не значит, добавил опрос в статью.

        • –1
          Кроме того например в организации где я работаю (крупная it компания), на корпоративные ноутбуки всем продолжают устанавливать windows 7 хотя 2017 год на дворе. Это и приводит к массовым заражениям. Одно дело домашние пользователи с зоопарком, другое дело несколько тысяч одинаково настроенных машин с одной и тойже дырой в безопасности.
          • 0
            у нас так же было. купил просто директор в лохматые годы пачку лицензий и всё. с новых ноутов сносили win10SL и ставили win7. дров, ессно не было, из мощных ноутов получался дырявый во всех смыслах хлам.
          • +7
            Для Win7 обновления безопасности все еще выходят.
            • 0
              Да выходят, но в новых системах старые баги могут быть закрыты по умолчанию. «The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.» https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
          • +1
            Простите, а семерку обновлять вовремя религия не позволяет?
            • +1
              Моего товарища заколебала попытка MS установить Win 10 вместо Win 7, вот он и отрубил автообновление и забыл про это.
              • +1
                Присоединяюсь, по этой же причине поймали этого зверька.
                (знаю, сами балбесы)
                • –1
                  Там всего лишь надо было одну политику включить, или одну запись в реестр внести, зачем нужно было отключать, обновления !? Это как если заедает замок на двери, вообще прекратить её закрывать, не смотря на то, что есть ещё два замка и щеколда, а потом удивляться что все вынесли в один прекрасные день.
                  • +3
                    GWX изредка «глючил» и ставил обновления несмотря на политики и членство в домене.
                  • +4
                    нет-нет. Это как будто вы предлагаете разобрать замок на двери и убрать в нём пару деталей, чтобы заедающие части не мешали. При том что вы не разбираетесь в замках.

                    Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.

                    Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
        • +1
          Судя по тому, что обновление было выпущено ещё в марте, пост о том, что бывает с теми, у кого отключены автоматические обновления, ну либо с теми, кто только устанавливает винду, но для вторых заражение не так критично.
          • +1
            Как сказать, винда не всегда на голый комп ставится
          • 0
            хитрый пиар-ход microsoft для сервиса автообновлений)
          • +2
            В приличных конторах автообновления включены, но только качаются с собственного сервера обновлений. А перед тем, как одобрить обновление для массовой установки, оно может несколько месяцев тестироваться в лабе или на не-критичных серверах. Потому что поймать локера — это грустно, спору нет. Но никак не менее грустно, когда после массовой установки недостаточно хорошо протестированного обновления у вас все виндовые сервера полягут. Поэтому дельта в несколько месяцев между выходом и установкой обновления — это суровая производственная необходимость.
            • –1
              За два месяца можно было обкатать или хотя бы заюзать воркэраунды. Или прошлой осенью начать выносить SMBv1.
        • +4
          Интернет не обязателен. Достаточно наличие в локальной сети хоть одного зараженного.
        • –2
          выход в интернет и немного невезения

          Забыли добавить, заодно все порты открытые. Вирус же порты сканирует, достаточно обычного маршрутизатора…
        • 0
          Дома лишь однажды заразу подхватил. Это было в эпоху до интернетов и возможно до винды на моих компах. Вирус как-то назывался cih или wincih.
          • +3
            О-о, это был добрый вирус!
            Его еще «Чернобылем» называли. Мы от него вычистили офисную сетку за пару дней до его срабатывания. До сих пор как вспомню, так вздрогну…
            • 0
              Я как то словил klez причём сам его запустил. С каким то шароварным софтом из журнального диска.
              • 0
                Тоже хорошая была тварь. Нынешние шифруют, стараются, биткоины просят — а тот просто киргуду писал в файлы, и можно уже не дергаться. У знакомого так часть диссера накрылась, переписывал.
                • +2
                  Просто тогда вирусы от души писали! Чистое зло, так сказать.
  • +6
    Nmap даже не сканировал порты, так как хост не отвечал на пинг. Попробуйте просканировать принудительно с ключом -Pn.
    • +3

      Вы абсолютно правы, вот вывод:


      Host is up (0.017s latency).
      Not shown: 997 filtered ports
      PORT      STATE SERVICE
      135/tcp   open  msrpc
      445/tcp   open  microsoft-ds
      49154/tcp open  unknown
      
      Nmap done: 1 IP address (1 host up) scanned in 5.92 seconds
      • +1
        Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
        Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!

        Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).

        P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
        • 0
          Может быть кто-то из сотрудников забирал домой ноутбук, который там и был заражен. После возвращения в корпоративную сеть началось веселье.
          • 0
            Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно? Хотя, возможно, я смотрю на мир идеально...

            При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
            • 0
              3G модем, как вариант. Или роутер в режиме моста. Хотя мне доводилось встречать и файерволл, настроенный на «всем можно всё». Некогда было начинающему админу разбираться после переезда, а потом он попросту забыл до того момента, когда начались проблемы.
              • 0
                3G модем, по умолчанию, ни у одного сотового оператора не выдает внешний IP абоненту, там все за NAT спрятано — реальный адрес подключит только тот, кому это действительно надо… Тоже и с режимом моста — такое настроят только те, кто разбираются.

                По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
                • +4
                  Не удивлён. Опытный админ — специалист недешёвый и, скорее, сравнительно редкий. А государство даже законодательно старается выбирать максимально дешёвые варианты.
                • –1
                  Вполне реально, или заключены договора с внешними конторами, а там не пойми кто работает, либо свои сотрудники прошедшие аттестацию.
        • 0

          В моём конкретном случае, я подготавливал базовые образы Windows для публичного облака, в дальнейшем они будут использоваться как темплейты при создании VPS.
          То что виртуалка имеет один внешний IP-адрес — совершенно обычное дело.

          • 0
            Я хоть и работаю с VPS только на Linux, но в первые же моменты их настройки, с помощью iptables открываю 22 порт для своего IP адреса и закрываю абсолютно все другие входящие порты, делая открытыми по мере необходимости… Как-то это уже само собой прижилось.

            С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
            • 0

              Есть, которая по умолчанию для "общедоступных сетей" выпиливает даже ICMP, но эти порты зачем-то оставляет открытыми...

              • 0
                Хм, забавно. Может быть из-за запущенного сервиса CIFS/SMB в фоне — эти порты остаются открытыми?
  • +2
    Мда… неприятная штука… Сегодня такую же подхватил. Жила себе виртуалка с бэкапом базы на 2008R2, понадобилось напрямую с неё слить несколько файлов, думаю дай пропишу реальный IP, ну всего-то на пару минут. Копирую себе, ничего не подозреваю, глянь а там уже почти все файлы зашифрованы.
    Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
    Все очень быстро.
    Хорошо бэкап был…
    • +2

      Хорошо что он вам не понадобился в следствии выхода из строя основной базы :)

    • 0
      Что-то слишком быстро посмотрите файлы ради интереса, видимо тоже как в недавней теме шифруется только начало файла.
  • +3
    Об этом вещает даже федеральный канал:
    http://www.vesti.ru/doc.html?id=2887397
    • +3
      На Пикабу говорят, что вся внутренняя сеть Мегафона поражена этим вирусом, и частично Билайн и МТС. Не знаю, насколько можно верить Пикабу, но об этом сообщили несколько человек.
      • +2
        Показали по телеку, комментарии от Мегафона, Клименко и других личностей.
        https://files.catbox.moe/b1hi5w.webm
        • +3
          на экране @wanadecriptor :)
        • 0
          Это жуть. Ведущий говорит что проблема минула далекую австралию, при этом на его карте в австралии горит точка :)
      • 0
        да, там в МГФ все очень серьезно было.
  • +3
    Просто охренеть, и еще ведь Windows-инфраструктуры закупаются в гос учереждения, школы, магазины
    • +24
      Будет подходящий «клиент» на Линуксе — напишут и под него локеры. Пока линуксом пользуются программисты, админы и просто энтузиасты — народ технически подкованный, локеры писать на него нет смысла.
    • 0

      Так может в этом все и дело, как раз после OS Day.

    • 0
      Охренеть, что админы не обновляют системы? Уязвимость поправили еще до слива тулкита АНБ.
      • +5
        ну так ты попробуй обновить старенький комп, на это несколько суток уйдет. микрософт давно разогнал программистов способных делать что то годное
        • +2
          +100 Загрузка памяти до 2гиг при наличии всего 2 гиг и так несколько часов — система ищет в фоне обновления. На старых машинах обновления зачастую нереально запускать, а СП не выпускают. Опять же рекорд установки автообновления был около 16 часов, 16 часов компьютер писал не выключайте и не перезагружайте, а работать люди когда будут?
          • +2
            Это баг системы обновления. Уже давно вышел патч на это дело.
            • +4

              … распространяющийся через нерабочую систему автообновления?

              • 0
                Для семёрки — KB3102810. Нужно скачать и поставить ручками. После перезагрузки обновление опять начнёт работать гладко — как в старые, добрые времена.
                • 0
                  Откуда вы об этом узнали? Читаете блоги MS? Почему я случайно узнал об этом на хабре? :(
                  • +1
                    Не, не читаю. Я, как и большинство остальных людей, решаю проблемы по мере их появления. Появилась проблема с обновлением — полез в интернет искать решение. Нашёл. Теперь знаю.
                  • 0
                    Решение этой проблемы гуглится за пару минут. Хотя, признаться, я сам пару раз ждал по полдня пока не надоело.
                • 0
                  Хотя вру, об обнове я знал, уже лежит среди важных обнов. Хотя странно, винду обновлял полностью, обнова не установлена.
                  • +1
                    Обновление исправляющее работу windows update не одно было, я за последний год штуки три положил в MDT чтобы после установки windows обновления быстро находились.
                    • 0
                      Хм,
                      KB3102810
                      KB3138612

                      какое ещё?
                      • +1
                        никаких, просто забывают о заменяемых
                        KB3138612 заменяет KB3135445
                      • +1
                        Сейчас у меня добавлены: KB3102810 исправляет апдейты и KB3112343 клиент центра обновления.
            • +3
              Очередь за талонами на талоны…
        • 0
          А может стоит почаще обновляться и узнать, что обновления переделали. И обновлять в ночное время?
          • 0
            Где что переделали? В вин10 некоторое время обновления ставились с такой скоростью будто в микрософте что то изменилось но со временем стало понятно что ничего не меняется.
            • 0
              У меня ставятся быстро. Долго может быть если вы очень давно не обновлялись. Но для этого есть кумулятивные апдэйты. При постоянном обновлении — практически незаметно.
              • 0
                Мы вроде о стареньких компьютерах говорили, офисном хламе.
                • 0
                  Для таких в нерабочее время апдэйты накатывать.
          • 0
            У нас где-то месяц назад одно из обновлений Windows сделало массу машин неработоспособными: в процессе обновления процесс сжирал всю память и проц (включая серваки с 32 ГБ оперативы на борту) и не завершался даже по прошествии нескольких суток. Узнал по жалобам пользователей сервиса, у которых загрузка данных с серверов стала жутко тормозить. С тех пор обновляемся только руками.
            • 0
              Если вы админите сеть то через WSUS накатывайте и валидируйте обновления.
        • +1
          Просто не нужно было отключать обновления и все. А то больно уж это похоже на борьбу с терроризмом — боремся только в день теракта и на следующий, потом забиваем, пока опять не рванет.
      • 0

        что бы обновить систему зачастую нужно разрешение + обновление на физическом носителе.
        проще не подключать систему к инету.
        и обновление вполне может приходить с отставанием год- или два.

        • 0
          такое бывает, но не имеет никакого отношения к обеспечению безопасности.
        • 0
          Critical Security не поставить? Косяк организации.
          • 0

            Косяк организации доводить до того, что требуется ставить Critical Security.

            • 0
              Их надо ставить всегда. Независимо от ОС.
              • 0

                а ОС тут вообще причем?


                надо просто физически разграничивать уровни безопасности на уровне физического разграничения сетей.

                • 0
                  А еще запрещать флэшки, открытый инет и тд. Только это очень специфический кейс.
                  • 0
                    Разве что запрет флешек, остальное нормальная практика.
                    А флешки стоит запрещать только в целях борьбы с утечкой данных, к защите от вирусов запрет флешек мало отношения имеет.
                    • +1
                      autoplay на старых системах без апдэйтов.
    • 0
      А майкрософт в чем виноват-то? В том что люди не обновляются, ставят касперские и прочую гадость и чего-то ждут?
  • 0
    Видать народ не спешит отказываться от Win7.
    • +2
      Забавно, что в основном эти люди, смеялись над теми кто не хотел слезать с XP
      • +3
        Смеялись над теми, кто не хотел слезать с XP те, кто сейчас смеются над теми, кто не слезает с семёрки. XP еще менее безопасна во всех смыслах.
        • +5
          Вы так пишите, как будто все слезли с XP.
          Кстати, почему в опросе этот пункт отсутствует?
        • –1
          Самое веселое, что на XP вирус не работает.
          • +2
            Есть доказательства?
            • 0
              Мои родители до сих пор мне не позвонили, значит не работает)))
              • 0
                может они у тебя просто за натом сидят?
            • –2
              Погуглил в интернете — нашел только что этот SMB на WinXP надо ставить и настраивать отдельно.
              Службы «Сервер» и «Рабочая станция» у меня отключены. Судя по всему, первая должна быть запущена чтобы работал SMB, если он установлен.
              • +1

                Вы неправильно гуглили. "Этот SMB" на виндах есть с начала времен.

                • –2
                  Поделитесь тем, что вы нашли. Как его вкл. / откл. на XP и более ранних версиях, если уж я не могу найти.
                  • +1

                    Вы же сами перечислили: службы "сервер" и "рабочая станция". Именно они отвечают за протокол SMB..

      • –2
        На десятке до сих пор часть драйверов отсутствует или не работает. Например, один из самых популярных USB-UART — CH340/341SER.
        • +2

          Работает.

        • 0
          Не вводите людей в заблуждение, все прекрасно работает.
        • 0
          Работает, но только для оригинальных чипов, а не для китайских копий. Просто последняя версия драйвера стала проверять чип на подлинность, у вас видимо не проходит, вот и не работает. А старые дрова без проверки подлинности не имеют сертификата или вешают систему в блускрин. Так и живем)
          • +1
            А вы не перепутали FTDI/PL2303 с CH340/341? Последнее чисто китайский продукт, к которому есть подписанные драйвера, включая 10.
          • 0
            Вот я все смотрю на китайские чипы 2303 и аналогов и веселье с драйверами от 2007 года.
            А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
    • 0
      Патч был еще в марте, и на Win7 тоже https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
      Автообновление Windows спасает
      • 0
        у меня включено автообновление, но почему то не было этого патча, пришлось ставить руками, причем поиск обновлений выдает, что нет доступных.
        • +1
          Вот и у меня тоже самое, поиск обновлений говорит все ок, но патча нет, в ручную ставится.
          И так на 3 серверах.
          Как-то странно, у кого-то есть мысли почему так может быть?
          • 0
            Так патч и номера в статье — мартовские, а сейчас май. Обновления качества кумулятивные. Номер уже другой.
            • 0
              Т.е. способ проверки наличия патча, предложенный в статье, не работает?

              На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).

              Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?
              • 0
                да, KB4019264 кумулятивно содержит в том числе патч smb1 по которому работает этот вирус.
                • 0
                  А если поверх установить спец патч для SMB? Будет ли конфликт? Я кстати не знаю, как в виндах обрабатывается этот момент.
                  • 0
                    при установке обновления или патча он сам разберется что делать, так что конфликта не будет. Этот момент целиком и полностью определяется программистами при написании патча. Скажем я как программист могу решить что мой патч может доделать что либо уже за установленным патчем или может снять его и сверху накатить новую версию. В любом случае это решается не пользователем. Куча обновлений которые вы ставите являются кумулятивными, т.е. их часть гарантированно уже стоит в вашей системе и проблем у вас при установке не возникает. Так что не паримся.
    • +2
      Windows 7 официально поддерживается до 2020 года и уязвимость имеется не только у Windows 7.
    • +11
      Окончание расширенной поддержки Win7 закончится только в 2020 году, нет никакого смысла отказываться от неё. За 20 лет на виндах я усвоил простое правило: лучше ставить Windows значительно позже её релиза, чтобы систему успели привести к работоспособному состоянию, весь софт успел обновиться для её поддержки и т.п. И не забывайте о железе, поддержка которого прекращена, а потому драйверов под новую версию не будет. Так мне придётся выбросить мою звуковуху и потратить ещё тысяч 25 рублей на покупку новой, чтобы перейти на Win10.
      • +2
        Совершенно не факт, что придется. Отсутствие актуальных драйверов не означает обязательной неработоспособности устройства. Например, я использую на своей win10x64 1607 древнюю звуковуху M-Audio Revolution, дрова на которую есть только под Висту. И что же — все ставится и чудесно работает в десятке. Поэтому — сначала проверьте.
        • 0
          Я использую M-Audio Firewire Solo, и работает она далеко не чудесно, мне уже под Win7 пришлось городить знатные костыли, чтобы она не вешалась когда попало, а под Win10 вообще не завелась у знакомого.
    • +2
      Причем тут семёрка? Уязвимы все версии с XP по 2016.
      • 0
        Тоесть получается Creators update эта уязвимость уже не грозит из «коробки»?
        • +1

          Именно

  • +1
    Мне почему-то кажется, что данный инцидент станет причиной множества нововведений в сфере контроля над интернетом в РФ… :(
    • +10
      Так и будет, до 12 июня надо успеть заблокировать youtube
      • +7
        Ссылки не некоторые youtube-видео в реестре уже несколько лет. Только один провайдер его блокирует, насколько я знаю. Для остальных это такой единственный сайт, который «лучше бы не блокировать».
        • 0
          Так в реестре http. Http мы типа блокируем. Просто youtube работает через https.
          • 0

            Провайдеры, блокирующие по IP, не блокируют IP youtube, а все другие IP блокируют.

            • 0
              Это верно.
    • –2
      Какая взаимосвязь? Хотя ее найти можно. Но все же.
      • +2
        Тв. Майор, ну давайте сами, за что вы получаете зп из налогов?
        Черные списки не эффективны, нужно придумать что-то более защищающие. Кто-то сказал белые?
        • 0
          Сами что? Закрытие сегмента РФ для Мира не означает победу над подобными атаками. Она могла быть и из РФ.
          Когда что то комментируешь нужны доводы кроме сарказма.
          • +1
            зато спасем мир от РФ )
    • +1
      Да. К сожалению такое возможно. Даже как по мне очень и очень вероятно.
    • +1
      Скорее болгенOS и антивирусы Попова.
      • 0
        Вы про нескучные обои забыли.
  • +8
    Хорошая ОС, и вирусы интересные… Позавчера торрент скачал, кино, тыкаю на него, выскакивает предупреждение безопасности о запуске исполняемого файла. Смотрю расширение обычное, mkv, но в середине имени файла — еxe. Пытаюсь редактировать имя файла, а в нем, видимо, какой-то спец-символ юникод и текст идёт то слева направо, то справа налево, т.е. расширение как бы вовсе и не в конце оказалось. Какие ещё фокусы допускает система с именем файла, я не знаю, может гиперссылку туда вставить можно, скрипт? Или это в следующих версиях ждать?
    • +1
      Юникод допускается технически даже в адресах сайтов.

      Неужели так трудно взять и сделать так, чтобы технически нельзя было использовать небуквенные символы юникода в адресах сайтов и в названиях файлов в файловых системах?
      • +2

        Технически очень сложно. Юникод запрещать нельзя, потому что домохозяйка где-нибудь в индии хочет назвать файл на родном языке. Фильтровать символы в юникоде на буквенные/небуквенные то еще развлечение.

        • 0
          • 0

            Вы уверены, что среди этих различных other_letter нет тех, которые в неправильной локали не позволяют выполнять выкрутасы типа описанного в начале ветки?

      • +5
        Подозреваю, что письмо справа налево и обратно слишком часто пользуется в более арабских языках, чем наш.
    • 0
      вас развели как обычно )))
    • +11
      Старый добрый спуфинг имени файла. Достаточно создать вредоносный исполняемый файл с именем, допустим, 3pm.scr и при переименовании выбрать по ПКМ меню «Вставить управляющий символ Юникода -> RLO». Вуаля, мы получили rcs.mp3 и он всё ещё исполняемый.
      • –1
        Значит, программисты антивирусов зря едят свой хлеб, если анализаторы это не ловят.
        • 0
          Разрабы антивирусов едят свой хлеб _только_ потому что такие трюки возможны.
        • 0
          Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату — юзер лишается возможности работать со своими файлами, пока не расшифрует их.

          Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.


          Не получится запретить доступ к документам. Не получится запретить запуск [url=https://www.gnupg.org/]gpg.exe[/url] — это полностью легитимная утилита. И так далее. Только строго ограничить список директорий, откуда могут запускаться программы. Никаких %Temp% (да, придётся снимать запрет на время установки нужных программ и обновлений%, никуда не денешься), %Desktop% и т. п.
          • 0
            В принципе, частичное решение возможно. Я про такое писал, только на примере GNU/Linux
            https://habrahabr.ru/post/113143/
            И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
    • 0
      Символ Юникода RLO
      http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
  • +2
    Судя по новостной статье, действительно используется уязвимость SMBv1.
    Патч от неё у MS уже есть, подробнее тут
    • 0

      хабраэфект положил сайт со статьей :)
      добавлю информацию в статью

      • +3
        А можно ещё пояснение для чайников, как проверить, не поймался ли криптор, и как защитить себя?
        • +6
          Если файлы зашифрованы — вы поймали криптор.
        • 0
          https://habrahabr.ru/post/269531/
    • 0
      Патч от 28 марта? Сегодня вроде уже середина мая. Этот шифровальщик уже так давно бушует чтоли?
      • 0
        Просто эксплуатирует старую уязвимость. Автообновление Винды далеко не у всех включено к сожалению…
    • +1
      Охохо, вот это я вовремя подсуетился.
  • +3
    А для Windows XP и патча теперь не будет.
    • +5
      А еще для 95/98/2000.
      • 0
        Чето если винда русская, ставиться не хочет, грит язык системы другой.
        • 0
          Можно файл вручную заменить, srv.sys.
          • 0
            и где его взять?
            • 0
              Тремя строчками ниже есть нормальные обновления, должны пойти. Если опять будут проблемы, то просто распаковать обновление и выдрать файл.
        • 0
    • +2
      Для XP выпускаются апдейты если что. Их просто нужно включить
      http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hack
      • 0
        Только для х32, на х64 обновления закончились вместе с 2003 сервером ((
        • +1
          вроде и для x64 есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
          • 0
            Да, уже установил, отлично.
          • 0
            А что с Win2000, не знаете? Я, конечно, закрыл 135 и 445, проверил компоненты системы на наличие SMB — пусто.
            • –1
              По хорошему, конечно, пора закапывать.
              Можно поинтересоваться, почему вы все ещё пользуетесь ею?
              • +3

                Конечно, пора. Обслуживаем АСКУЭ, у заказчика стоят старенькие УСПД на железе Advantech с 2000 виндой на борту. Для опроса имеющегося количества счетчиков их хватает. Если обновлять — то только с железом, что выйдет не очень дешево, плюс имеются тонкости построения самой АСКУЭ. Хотя, пожалуй, подниму еще раз вопрос об этом.

                • –1
                  >> Если обновлять — то только с железом
                  Даже накатить ХР поверх не вариант?
                  • +1
                    Там есть такая фигня как «Аттестация системы» для того чтобы оно считалось метрологическим средством измерения.
                    И изменение любого из компонентов там становится довольно занятной задачкой.
                    • +1
                      На деле всё не так сложно. Меняете УСПД, оформляете актом, делаете запись в формуляр о замене. Схема такая же, как и при замене счетчиков. При следующей аттестации указываете в опросных листах новую железку.
    • +2
      Пишут, что выпустили спец-update для Windows XP, Windows 8 и Windows Server 2003:
      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
      • 0
        Молодцы!
      • 0

        Не могу скачать, вместо патча получаю сообщение об ошибке на сервере.
        Это весь мир так массово ломанулся на ms?

        • 0

          Сервера обновлений словили WanaCry :)

          • +1
            //паника
            Они тоже на винде?!
          • 0
            Интересно, ломали ли их когда нибудь и какие крупные попытки предпринимались? Это же такие возможности!
            • 0
              Я не скажу ломали ли, но на какой то конференции они говорили, что к ним постоянно ломятся.
    • 0
      Удивительно, но Microsoft сделала обновления и для нее, вот офлайн установщик обновления. Обновление вышло в том числе для Windows XP, Windows XP x64 Edition, Windows Server 2003 и Windows Vista.
      • +1
        Это «удивительно» называется Custom Support Agreement, ценник начинается от пары сотен тысяч баксов в год (около штуки за ХР * минимальное количество систем).
        • 0
          Кстати, эти обновления никуда не утекают? Нигде их не видел, везде от PosReady, то есть только на х32, а мне нужно на х64.
          • +1
            Мне не попадались, но говорят там какая-то хитрая система загрузки, вплоть до привязки каждого файла к клиенту.
            • 0
              Нда, плохо.
          • +1
            Просто помните, что Win XP x64 это на самом деле Windows 2003 x64 — всё становится намного понятнее.
    • –1
      На ХР до сих пор выпускаются обновления и все уязвимости закрываются как и, например, на семерке.
  • +1
    Это всё из-за того, что люди не предохраняются от открытых виндовых портов в инет. И пофиг, какая версия — эта проблема ещё с 98й как минимум существует в разных проявлениях. Апдейты винды не панацея.
    • 0
      А какой рецепт для среднестатичного пользователя?
      Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.
      • 0
        Comodo (CIS). Использую только файрвол. Мне на Win7 x64 хватает версии 5.10, как самой стабильной и нетребовательной к ресурсам.
      • 0
        Не нужны никакие комбайны. Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.

        А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.
        • +2
          Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.

          В статье я писал, что виндовый фаервол не защитил windows от данной атаки, даже несмотря на то что сеть была помечена как "общественная"

          • 0
            А есть новости, как эта штука за NAT пробирается? И насколько я понял 100% защита от неё — это только патч от MS?
            • 0

              В моем случае машина не была за NAT'ом.
              Судя по коментариям за NAT эта штука пробирается если в той же сети уже имеется зараженный экземпляр.

              • 0
                Друзья, мне кажется, тут хайп по 0-дей из-за дураков на ХР или без апдейтов по 5 лет на 7ке.
                • +1
                  Там всего один апдейт нужен) можно дальше не обновляться…