Ведется массовая атака криптором Wana decrypt0r 2.0

    В настоящий момент можно наблюдать масштабную атаку трояном-декриптором "Wana decrypt0r 2.0"
    Атака наблюдается в разных сетях совершенно никак не связанных между ссобой.



    A ransomware spreading in the lab at the university (отсюда)


    Некоторые компании советуют своим пользователям выключить свои компьютеры и ждать дальшейших инструкций.




    Связавшись с бывшими коллегами я был удивлен похожими исторями.


    Что касается меня, сегодня я подготавливал несколько новых образов Windows для нашей облачной системы, среди них был Windows Server 2008 R2.


    Что самое интересное, стоило мне только установить Windows и настроить статический IP-адрес на ней, как сразу же в течении нескольких минут она была заражена.



    Все образы Windows были получены из MSDN, хеши совпадают, так что возможность заражения образа исключена.


    И это при том, что конфигурация файервола для единственного сетевого интерфейса смотрящего наружу, была настроена как "Общественная сеть".


    Nmap не находит открытых портов. Вывод nmap показывает что даже в этом случае некоторые порты открыты наружу по умолчанию:


    Host is up (0.017s latency).
    Not shown: 997 filtered ports
    PORT      STATE SERVICE
    135/tcp   open  msrpc
    445/tcp   open  microsoft-ds
    49154/tcp open  unknown

    Единственное что было установленно в системе — это Virtio-драйверы, которые были загруженны при установке самой Windows с внешнего CD.
    ISO-образ был так же получен из официального источника — репозитория Fedora, хеш суммы так же совпадают.


    На данный момент до конца не известно как именно произошло заражение и какие конкретно версии Windows уязвимы.


    Если у вас есть похожие случаи, поделитесь информацией о них.


    Несколько ссылок по теме:



    остальные ссылки смотрите в комментариях к этой новости


    Ждем дальнеших новостей, всех с пятницей и вот вам нескушная обоина на рабочий стол:


    Скрытый текст

    image


    UPD: Судя по всему, для атаки используется уязвимость протокола SMBv1.


    Патчи для исправления этой уязвимости можно скачатать на официальном сайте:



    Уязвимость так-же можно закрыть, полностью отключив поддержку SMBv1. Для этого достаточно выполнить следующую команду в командной строке запущенной от имени Администратора (работает в Windows 8.1 и более старших версиях):


    dism /online /norestart /disable-feature /featurename:SMB1Protocol

    Установить патчи при этом все равно рекомендуется


    UPD2: По многочисленным просьбам добавляется информация о том как проверить стоит вам бояться или нет. Следующие действия помогут вам понять установлен ли патч закрывающий данную уязвимость в вашей системе:


    • Перейдите по ссылке выше и проверьте код обновления для вышей системы, например для Windows 7 или Windows Server 2008 R2, код будет 4012212 или 4012215
    • Откройте cmd.exe (командную строку)
    • Напишите:
      wmic qfe list | findstr 4012212
    • Нажмите Enter
    • Если в ответе вы увидите что-то подобное, это значит что патч у вас уже установлен и можно спать спокойно:
      http://support.microsoft.com/?kbid=4012212 P2 Security Update KB4012212 NT AUTHORITY\система 3/18/2017
    • Если же ответ вернет вам пустую строку, попробуйте проверить следующий патч из списка
    • Если ни один патч не находится, рекомендуется незамедлительно установить обновление по ссылке выше или по прямой ссылке из UPD9

    Как выяснилось этот метод не на 100% рабочий и у каждого могут быть свои ньюансы.
    Если вы все же уверены что обновление безопасности у вас установлено, а в ответ вы по прежнему получаете пустую строку, попробуйте проверить обновление через журнал обновлений Windows или почитать комментарии к этой статье.


    UPD3: В интернете находятся интересные подробности по данному инциденту:


    Да, так и есть. Появился набор эксплоитов FuzzBunch, который группа хакеров Shadow Brokers украла у Equation Group, хакеров из Агенства Нац. Безопасности США.
    Microsoft потихому прикрыла дырки обновлением MS 17-010, возможно самым важным обновлением за последние десять лет.
    В то время как набор эксплоитов уже неделю лежит в открытом доступе https://github.com/fuzzbunch/fuzzbunch с обучающими видео.
    В этом наборе есть опасный инструмент DoublePulsar.
    Если кратко, то если открыт 445 порт и не установлено обновление MS 17-010, то DoublePulsar
    простукивает этот порт, делает перехваты системных вызовов и в память внедряет вредоносный код.

    UPD4: Интерактивная карта заражения:


    Wcrypt Tracker


    UPD5: Видео показывающее наглядное применение эксплойта:




    UPD6: Нашелся интересный изъян в коде:


    Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
    Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

    Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

    Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
    Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

    UPD7: Microsoft выпустил патч для старых систем (Windows XP и Windows Server 2003R2)


    UPD8: Копипаста с 2ch.hk


    У тех кто начал эту атаку есть
    Эксплойты слитые Shadow brokers
    Сканнер сети который они сами написали на C/Python
    Linux сервер

    Как это работает?
    Скрипт сканнера запускается на Linux сервере
    Вбивается определенный IP диапазон или целая страна
    Скрипт сканирует диапазон на открытый 445 порт
    В случае удачного обнаружения SMB сервиса, посылает эксплойт, вызывающий переполнение буфера
    эксплойт закачивает файл и запускает его.



    UPD9: официальные прямые ссылки на этот патч для различных систем:


    MS17-010

    Windows XP: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
    Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
    Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
    Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu
    Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
    Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu
    Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
    Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
    Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
    Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu
    Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
    Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu
    Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


    Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
    Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
    Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
    Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
    Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
    Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
    Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
    Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu


    UPD10: Появились версии шифровальщика игнорирующие killswitch метод описанный в UPD6.


    Спасибо xsash, Inflame, Pulse, nxrighthere, waisberg, forajump, Akr0n, LESHIY_ODESSA, Pentestit, alguryanow и другим за множество дополнений к этой статье.

    У вас похожий случай? Какие версии подвержены заражению?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 858
    • +2
      Спасибо что сообщили
      • –19
        Сегодня в Ubuntu/Apple/любом другом дистрибутиве открывают шампанское, тк сколько будущих тендеров они победят теперь :)

        Ну собственно снова мы убедились, что СПО лучше закрытого…
        • +34

          Вспоминаем heartbleed и прочие разности. Дырки есть везде.

          • +4
            Руководителям и СМИ данная «атака» нагляднее, чем какие-то перехваты RAM на сервере.
            • 0
              Т.е. в тендере так и писать «руководителями и СМИ не должна быть замечена атака на ....»?
              • 0
                В тендере можете писать всё что угодно, я говорю о том, что новость о heart bleed не настолько сильно была растиражированы и обычный потребитель скорее всего не заметил влияние на себя. А тут у нас как минимум:
                1) мегафон
                2) ск/фсб

                Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
                Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.

                Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
                • –3
                  > «что бы не было как 12 мая по всему миру»

                  А, собственно, что случилось то?
                  1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
                  2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.

                  И там ниже говорят аж 24 человека заплатило на текущий момент.

                  Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
                  • +6
                    Из самого серьёзного — это множественные перебои в работе службы здравоохранения в Англии и Шотландии.
                    А Мегафон до сих пор не работает, по крайней мере в Поволжье.
                    • +3
                      > А Мегафон до сих пор не работает, по крайней мере в Поволжье.

                      Откуда инфа?

                      > Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.

                      Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.

                      > Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised

                      Ну… Переустановят винду завтра.

                      У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
                      • +2
                        Я просто взял сейчас и позвонил на 0500, чтобы не быть голословным) Говорят, что доступны только услуги через сайт или роботов, а что-либо сделать через сотрудников контактного центра нельзя.
                        • 0
                          судя по отсутствию новостей(точнее последние «мегафон восстановил работу») я был прав, никто не заметил, что «мегафон не работает».
                          • –1
                            У мегафона был какой-то факап и они решили подстраховаться. нуачо. мейби. ссылки на сам мегафон же нет, а СМИ, такие сми.
                            • 0

                              Так их ублюдошный калцентр уже сто лет не работает нормально — IVR по кругу гоняет

                      • 0
                        + Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
                        • +3
                          Вообще NHS еще давно предупреждали. Если безопасники профукали слив пачки 0-day эксплойтов и за два месяца не обновили сеть… То сами виноваты.
                          • –2
                            XP увы еще много где есть, на неё есть патч?
                            • 0
                              Разве что превратить её в POSReady версию с помощью ключа реестра и скачать обновления. Но это неофициальный метод.
                              • +3
                                Да, выложили на блоге Microsoft
                                • 0
                                  Меня смущает embedded в названии апдейта. Скачал, попробовал запустить — выругалась на неподдерживаемую версию оси. Видимо таки для обычной ХР нет патча…
                                  • +1
                                    Есть на обычную XP, но часто ссылка на embedded ведет (даже на русскую версию с сайта майков). Нужно та, где только custom в названии.
                                    В этом комментарии есть правильная ссылка
                                    Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.

                                    • 0
                                      Была такая же проблема. Cкачал по ссылке которую выложили на ruboard. Помогло.
                                      • +1
                                        Там же есть патч для английской не-embedded XP. Но проверять не на чем. Embedded действительно на consumer версии не ставится.
                                        • 0
                                          вот прямая ссылка для XP
                                          • +1
                                            http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
                                        • 0
                                          угу, но только уже после факта массового заражения :)
                                  • –2
                                    У вас методичка старая, зайдите к куратору, по п.2 уже признали. Да и рунет пошёл скриншоты со странными названиями папок обсуждать.
                                    • –5

                                      Достаточно 10 историй о потерянном архиве детских фотографий и дипломных работ растирают повинных в соц. сетях.
                                      И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.


                                      p.s. надеюсь автора зловреда устраняет при сопротивлении во время задержания.

                                      • +2
                                        > И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.

                                        Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
                                        То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.

                                        Это аргумент в копилку людей, выступающих за бекапы.
                                        • 0
                                          Увы это вам очевидно, как понимающему как работают криптовалюты в текущем правовом поле.
                                          Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
                                          • 0
                                            Не надо путать причину со следствием. Когда хотят бороться с анонимностью и тратить деньги — для этого подходит любой высосанный из пальца аргумент, «копилки» там не нужны. Ну то есть нужны, но совсем другие, не с аргументами.

                                            > ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов

                                            Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.

                                            То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
                                            • 0
                                              Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.

                                              Почему вы априори считаете что хотят увеличить расходы?
                                              Большая часть людей когда предлагает ту или иную идею как решить текущую проблему ( на их взгляд ) не задумывается над тем какие косвенные затраты предлагаемое решение даст.
                                              Это как с установкой знака 40 в на трассе в поле где случилось 2 серьёзных аварии за год, вроде разумное решение(интуитивно снизить опасность ДТП), но не учитывает многих аспектов.
                                              • 0
                                                Предлагать решение проблемы может любая бабка. Человек ответственный за решение проблемы обладает минимальной компетенцией.
                                                Что бы не устанавливать рамки металлоискателей в метро не надо обладать даже компетенцией, или уметь считать затраты — достаточно на 30 секунд задуматься.
                                        • +1
                                          «Автозамена» в Android творит чудеса.
                                          растирают повинных — растиражированных
                                          устраняет — устранят.

                                        • –1
                                          НЕ заметнее???)))
                                          Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
                                          Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
                                          • +2
                                            Что бы понимать о чём мы говорим, по каким ещё событиям за последний год вам Мама звонила?
                                          • 0
                                            А, собственно, что случилось то?

                                            НУ например, несколько часов, в моем городе не работали терминалы оплаты.
                                            • 0
                                              Не знаю как обычные офисы Мегафона, но в пятницу корпоративные офисы не работали.
                                              Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
                                            • 0
                                              Более того эти антивирусы сертифицированы по требованиям ФСТЭК, конмпьютеры, сети аттестованы, за все уплочено, а на выходе пшик!!!
                                              • 0
                                                Собственно, аргумент, что эти недоподелки от серьёзных проблем не спасают. Какие-нибудь банеры и что-нибудь в этом духе — может быть, но не более. Кстати, от совсем простых тоже не спасают. Был случай: вирус подправил ссылки в ярлыках браузеров. Ни стоящий на машине nod, ни cure it, ни даже avz ничего не обнаружили.
                                      • +6
                                        сколько будущих тендеров они победят теперь :)

                                        В пределах погрешности.
                                        • +2
                                          Мы убедились, что за два месяца админы не поставили патч, закрывающий эксплуатируемую уязвимость.
                                          • +1
                                            Ага, heartbleed в СПО как раз было. И было долго-долго.
                                            • –2
                                              Поглядите свежие новости, про заражения macOS.
                                              • +3
                                                перехожу на убунту)
                                                • 0
                                                  Пару дней попробовал вот уже в который раз — вернулся обратно. Всё ещё рановато.
                                                  • +1
                                                    offtop: а что не понравилось, если не секрет?
                                                    • +1
                                                      Видимо, windows головного мозга не даёт понять, как эта хрень вся работает.
                                                      Не хватает фара, для начала. MC не предлагать.
                                                      Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
                                                      Это очень быстро навевает тоску и diskpart, select disk 0, clean

                                                      Более менее живые — только appliance версии софта, и то не все.
                                                      • +2
                                                        Так тут проблема в ваших привычках, а не в Ubuntu.

                                                        Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
                                                        • 0
                                                          Привычка — само собой, но тот же android берешь в руки, и там как-то сразу можно начать решать нужные задачи. Т.е. продукт допилен. Что бы поставить любую программу, мне не надо вчитываться в ошибки в консоли.
                                                          Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
                                                          • +1
                                                            Сто лет уже так никто не делает.
                                                            Я и в windows в консоли работаю.
                                                            А в линуксе только когда ставлю не стабильные программы.
                                                          • 0
                                                            Привычка тут на пятом-десятом уровне важности.
                                                            Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
                                                            • +2
                                                              Без Esc и Backspace на новых маках — ну его в баню :)
                                                              • –2
                                                                Качайте отсюда — Linux Mint, например KDE-версию, и пробуйте. Файловые менеджеры там (в линуксе) гораздо приятнее. Будет и «плазма» и рабочий стол кубом.
                                                                • 0
                                                                  Спасибо, но я не хочу себе Линь на десктопе — только серваки. Я просто умею обновляться и настраивать ОС нормально :D Да еще и Ubuntu, Suse и Fedora скоро подъедут в виде консольки.
                                                                  • 0
                                                                    А поставьте Mageia с KDE, если хочется Microsoft Office иметь — поставьте Crossover, и поймете все прелести
                                                                    Линь на десктопе
                                                                    .
                                                                    Можете конечно и отечественный Линь поставить, но я бы воздержался.
                                                          • 0

                                                            Удивительно, но вместо фара под линуксом есть… FAR. Правда новость от февраля этого года и по видимому там работа еще идет. Или можно еще double commander <-> тотал командера. Заявлялась даже совместимость плагинов, хотя подтвердить не могу.
                                                            А чтобы облегчить переход на убунту с винды то пожалуй лучшим советом будет сразу забить на Unity, тем более что сам Canonical от него отказался. Рекомендую посмотреть в сторону KDE или MATE версий убунту LTS. Для первых linux mint KDE или KDE neon (c kubuntu не сдружился, уже и не припомню почему). А для мате соотв. версия mint'a.


                                                            P.S. сам в восторге от KDE5.

                                                            • 0

                                                              Krusader тогда уже под kde.

                                                      • 0
                                                        Не споткнитесь. Там даже для Солярки 0-day выложили.
                                                        • 0
                                                          Даешь импортозамещение в лице отечестного Линукса!
                                                        • 0

                                                          Родителям дома поставил Ubuntu 16, пользуются браузером Хромиум. Недавно пожаловались, что невозможно пользоваться интерентом из-за рекламы. Заразился хромиум черти-чем, поверх любой страницы показывал тонны рекламы, кнопки настройки браузра — не работают, горячие клавиши — отключены. Пришлось помучиться, что бы избавиться от этой заразы.

                                                          • 0
                                                            а в чём было мучение? каталог у хромиума всего один же ~/.config/chromium
                                                            его надо только снести и всё
                                                            • 0

                                                              А вкладки, исторя, пароли и т.д.? Но смысл не в этом, а в том, что вирусы есть под все, а то господин "shifttstas" слишком самоуверен...

                                                              • +3
                                                                Расширения не появляются сами собой при запуске браузера, их устанавливают собственными руками. Это не господин самоуверен, это Вашим родителям никто не объяснил правила «цифровой гигиены».
                                                                • 0

                                                                  Большентсов атак так или иначе завязано на человеческом факторе. А количество малвари прямо-пропорционально популяности платформы. Лично я сейчас наблюдаю популиризацию убунту и начало атак на эту систему.

                                                        • +2
                                                          Это кем надо быть чтобы держать открытым 445 порт наружу?
                                                          Вирус только для лошара-админов и тех кто не ставит обновления годами.
                                                          • +2
                                                            На всяких пикабу пишут, что оно и через NAT проходит. =)
                                                            — Как оно проходит, роутеры ломает?
                                                            — Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
                                                            • 0
                                                              Под рукой 2 сервера 2008R2 без патчей, один с прямым IP другой за роутером
                                                              Никаких вирусов не прилетало, фаервол штатный
                                                              • –1
                                                                Шансы поймать даже скан на конкретный IP-адрес довольно малы. Не думаю что там запустили сканирование всея интернета, даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
                                                                • 0
                                                                  даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.

                                                                  4 часа на весь диапазон IPv4, насколько я помню. И на тот же 22 порт SSH китайцы ломятся регулярно.
                                                                  • +3
                                                                    На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
                                                                    За час в блеклист по нему насобиралось более 400 айпишек.
                                                                    Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
                                                                    • +1
                                                                      masscan + PF_RING + десять серверов на ксеонах с гигабитными интелами (и каналами) = 30 минут на весь диапазон по 1 порту
                                                                    • 0
                                                                      упс, уже писали, удалено.
                                                                    • 0
                                                                      Что что, на пикабу как раз в комментариях про роутеры и NAT пишут, ни слова про всякие АНБ )
                                                                    • 0
                                                                      Некоторые провайдеры режут 445 и 139 порты у абонентов, РТ точно так делает
                                                                      • 0
                                                                        Если РТК с IPoE, то оно и понятно, а иначе это просто бессмысленно.
                                                                        • 0
                                                                          почему бессмысленно если не IPoE? Дома ростелеком дает белый ip, хоть и динамический, через pppoe. Все порты доступны снаружи, а 445 нет
                                                                  • +1
                                                                    Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс

                                                                    То есть нужно только подключение к интернету?
                                                                    А если повторить но без сетевого подключения т.е. физически его оставить а просто отключить сеть в винде?
                                                                    • 0

                                                                      Совершенно верно, достаточно только подключения к интернету, возможно прямого т.е. не через роутер.
                                                                      Без сетевого подключения понятное дело что ничего не произойдёт, без сетевого адреса скачивание чего-либо из интернета невозможно.

                                                                      • +3
                                                                        Меня заразило через ADSL роутер. NAT ему не помеха.
                                                                        • 0

                                                                          Как интересно, значит похоже что винда сама что-то скачивает, и это объясняет обход фаервола.

                                                                          • –1
                                                                            NAT != firewall
                                                                            • +1
                                                                              Да, но порт ведь просто так снаружи не доступен, если явно не проброшен. Разве нет?
                                                                              • 0
                                                                                UPnP же! Особенно в современных роутерах…
                                                                                • +2
                                                                                  Т.е. с использованием UPnP можно открыть порт снаружи? Я всегда думал, что оно работает только изнутри.
                                                                                  • 0
                                                                                    Нет, пользовательский компьютер запрашивает проброс порта SMB и вуаля.
                                                                                    • +1

                                                                                      И собственно возвращаемся к вопросу "а какой софт изнутри запрашивает проброс порта, как он оказался на компьютере и кем запущен".

                                                                                    • 0

                                                                                      Ситуация: из нашей локальной сети в офисе есть доступ в подсеть абонентов, ряд наших серверов, то же видеонаблюдение настроенное на Windows Server 2008 или Telescan на Windows 7 смотрят в мир с публичным IP. Предположим, по причине криворукости наших админов, вирус поразил один из этих серверов и если вирус достаточно умен, далее по цепочке он заразит нашу локальную сеть, а из нашей локальной сети немалую часть машин наших абонентов. Вот так вот абонент находясь за провайдерским NAT может стать уязвим.


                                                                                      Либо ситуация еще проще: предположим у человека на роутере NAT, все пробросы запрещены и даже адрес серый, т.е. человек находится за двумя NAT — роутера и провайдера. Но что мешает человеку притащить зараженное устройство к себе в локальную сеть? Будь это рабочий ноут или ноут друга?


                                                                                      Но и это не все. На хабре бывало проскакивали статьи что NAT и firewall не есть одно и то же и рассматривать NAT как защиту — неправильно. Вот что смог найти сходу:


                                                                                      https://habrahabr.ru/post/134638/

                                                                            • +2
                                                                              А можно подробности? Что за роутер, какие у него настройки, нет ли проброса портов? Есть ли другие компьютеры за роутером? Нет ли ноутбука, который принесли и подключили к той же сети?
                                                                              • 0
                                                                                А заразившийся компьютер у ADSL роутера не в DMZ случайно? На них это довольно распространенная конфигурация.
                                                                                • +5
                                                                                  Или в режиме бриджа настроен, что намного чаще чем в режиме роутера с dmz :)
                                                                              • 0
                                                                                У вас прямое подключение к интернету?
                                                                                • 0

                                                                                  У этой виртуалки — да.

                                                                                  • 0
                                                                                    Пробросы портов у вас есть? Что-то мне подсказывает, что у вас в локалке беда.
                                                                                    • 0

                                                                                      Нет у меня локалки, виртуплка смотрит сразу в интернет и имеет свой публичный IP-адрес.
                                                                                      Никаких проблем у меня нет, но благодарю за ваше беспокойство. :)

                                                                                      • 0
                                                                                        попробуйте посмотреть udp #67 (причём со странных адресов вроде 198.*.*.*) перед заражением не проскакивает?
                                                                              • 0
                                                                                достаточно остановить службу «сервер». Будет защита и от локалки и от внешней сети.

                                                                              • +2
                                                                                Возможно, что дело в уязвимости самбы. В любом случае, звучит очень жутко.

                                                                                П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
                                                                                • +1

                                                                                  Вполне возможно, т.к. апдейты в систему ещё не устанавливались, но мне дико интересно каким образом оно обошло виндовый фаервол?

                                                                                  • +2
                                                                                    Вроде вот патч

                                                                                    https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
                                                                                    • 0
                                                                                      Простите за глупый вопрос, если винда стоит на самообновлении, то всё будет нормально? Или этот патч надо обязательно отдельно качать?
                                                                                      • +1
                                                                                        Если авто — то уже давно скачался.
                                                                                        • 0
                                                                                          Даже если после поиска номера нужного патча через командную строку, он не был найден?
                                                                                          • 0
                                                                                            Он может быть заменен свежим кумулятивным обновлением. Попробуйте проверить историю обновлений которые начинаются с чего-то типа 2017-05 Cumulative Update. Там по ссылочке на сайт и внизу описано что было заменено. Ну и отключите SMBv1
                                                                                            • 0
                                                                                              Сегодня делал обновление Windows Server 2008 (не R2). Сначала сделал автоматическое обновление — соответствующей KB в журнале не появилось. Потом скачал апдейт вручную и установил — апдейт установился и не ругался, что уже установлен.
                                                                                              • 0
                                                                                                А кумулятивные не ругаются вроде. Они что-то делали что вычисляется набор патчей которые уже есть, докачивается остаток и все это дело гордо обзывается CU. Но хз работает ли на 2008 так.
                                                                                                • 0
                                                                                                  Так не ругнулся не кумулятивный, а именно апдейт под эту дыру, хотя я ставил его после автообновления и затем поиска обновлений, показавшего, что система свежая, обновлений больше нет. Благо в настройках сетевого адаптера, смотрящего во внешнюю сеть, я ещё несколько лет назад (когда ставил Win) отключил Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft; получилось, что 445 порт открыт не был.
                                                                                      • +1
                                                                                        Вот еще офлайн установщик обновления, если кому нужен.
                                                                                        • 0
                                                                                          по ссылке выдаёт ошибку, чё ж делать?
                                                                                          • 0
                                                                                            Открыть центр уведомлений, найти это обновление и установить его.
                                                                                            • 0
                                                                                              Тыкать вновь и вновь. Центр обновлений конкретно так прилёг.
                                                                                              Я выкачал себе апдейты на х64 и х32, могу залинковать.

                                                                                              Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
                                                                                              https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
                                                                                              • 0
                                                                                                XP ещё не хватает.

                                                                                                Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
                                                                                    • +2
                                                                                      Подхватил эту дрянь тоже. Вроде как помогло отрубание SMB у сетевого адаптера. Перестал появляться после удаления. Удалял при помощи Malwarebytes и оставил ее включенной на всякий пожарный.
                                                                                    • +14
                                                                                      Эхх… как же скучно я живу.
                                                                                      Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
                                                                                      • 0
                                                                                        Same story bro. Диски чаще ломаются чем вирусы подхватываешь. Возможно ентерпрайз сектор больше подвержен атакам по многим причинам. Фишинг, открытые шары типовые конфигурации.
                                                                                        • +8
                                                                                          Вы вообще заметили, о чем пост? Все что нужно для заражения — это Windows, выход в интернет и немного невезения.
                                                                                          • 0
                                                                                            Я заметил что заразилась только серверная винда с индексом 2008 в имени.
                                                                                            • +2

                                                                                              Это еще ничего не значит, добавил опрос в статью.

                                                                                            • –1
                                                                                              Кроме того например в организации где я работаю (крупная it компания), на корпоративные ноутбуки всем продолжают устанавливать windows 7 хотя 2017 год на дворе. Это и приводит к массовым заражениям. Одно дело домашние пользователи с зоопарком, другое дело несколько тысяч одинаково настроенных машин с одной и тойже дырой в безопасности.
                                                                                              • 0
                                                                                                у нас так же было. купил просто директор в лохматые годы пачку лицензий и всё. с новых ноутов сносили win10SL и ставили win7. дров, ессно не было, из мощных ноутов получался дырявый во всех смыслах хлам.
                                                                                                • +7
                                                                                                  Для Win7 обновления безопасности все еще выходят.
                                                                                                  • 0
                                                                                                    Да выходят, но в новых системах старые баги могут быть закрыты по умолчанию. «The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.» https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
                                                                                                  • +1
                                                                                                    Простите, а семерку обновлять вовремя религия не позволяет?
                                                                                                    • +1
                                                                                                      Моего товарища заколебала попытка MS установить Win 10 вместо Win 7, вот он и отрубил автообновление и забыл про это.
                                                                                                      • +1
                                                                                                        Присоединяюсь, по этой же причине поймали этого зверька.
                                                                                                        (знаю, сами балбесы)
                                                                                                        • –1
                                                                                                          Там всего лишь надо было одну политику включить, или одну запись в реестр внести, зачем нужно было отключать, обновления !? Это как если заедает замок на двери, вообще прекратить её закрывать, не смотря на то, что есть ещё два замка и щеколда, а потом удивляться что все вынесли в один прекрасные день.
                                                                                                          • +3
                                                                                                            GWX изредка «глючил» и ставил обновления несмотря на политики и членство в домене.
                                                                                                            • +4
                                                                                                              нет-нет. Это как будто вы предлагаете разобрать замок на двери и убрать в нём пару деталей, чтобы заедающие части не мешали. При том что вы не разбираетесь в замках.

                                                                                                              Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.

                                                                                                              Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
                                                                                                    • +1
                                                                                                      Судя по тому, что обновление было выпущено ещё в марте, пост о том, что бывает с теми, у кого отключены автоматические обновления, ну либо с теми, кто только устанавливает винду, но для вторых заражение не так критично.
                                                                                                      • +1
                                                                                                        Как сказать, винда не всегда на голый комп ставится
                                                                                                        • 0
                                                                                                          хитрый пиар-ход microsoft для сервиса автообновлений)
                                                                                                          • +2
                                                                                                            В приличных конторах автообновления включены, но только качаются с собственного сервера обновлений. А перед тем, как одобрить обновление для массовой установки, оно может несколько месяцев тестироваться в лабе или на не-критичных серверах. Потому что поймать локера — это грустно, спору нет. Но никак не менее грустно, когда после массовой установки недостаточно хорошо протестированного обновления у вас все виндовые сервера полягут. Поэтому дельта в несколько месяцев между выходом и установкой обновления — это суровая производственная необходимость.
                                                                                                            • –1
                                                                                                              За два месяца можно было обкатать или хотя бы заюзать воркэраунды. Или прошлой осенью начать выносить SMBv1.
                                                                                                          • +4
                                                                                                            Интернет не обязателен. Достаточно наличие в локальной сети хоть одного зараженного.
                                                                                                            • –2
                                                                                                              выход в интернет и немного невезения

                                                                                                              Забыли добавить, заодно все порты открытые. Вирус же порты сканирует, достаточно обычного маршрутизатора…
                                                                                                              • 0
                                                                                                                Дома лишь однажды заразу подхватил. Это было в эпоху до интернетов и возможно до винды на моих компах. Вирус как-то назывался cih или wincih.
                                                                                                                • +3
                                                                                                                  О-о, это был добрый вирус!
                                                                                                                  Его еще «Чернобылем» называли. Мы от него вычистили офисную сетку за пару дней до его срабатывания. До сих пор как вспомню, так вздрогну…
                                                                                                                  • 0
                                                                                                                    Я как то словил klez причём сам его запустил. С каким то шароварным софтом из журнального диска.
                                                                                                                    • 0
                                                                                                                      Тоже хорошая была тварь. Нынешние шифруют, стараются, биткоины просят — а тот просто киргуду писал в файлы, и можно уже не дергаться. У знакомого так часть диссера накрылась, переписывал.
                                                                                                                      • +2
                                                                                                                        Просто тогда вирусы от души писали! Чистое зло, так сказать.
                                                                                                          • +6
                                                                                                            Nmap даже не сканировал порты, так как хост не отвечал на пинг. Попробуйте просканировать принудительно с ключом -Pn.
                                                                                                            • +3

                                                                                                              Вы абсолютно правы, вот вывод:


                                                                                                              Host is up (0.017s latency).
                                                                                                              Not shown: 997 filtered ports
                                                                                                              PORT      STATE SERVICE
                                                                                                              135/tcp   open  msrpc
                                                                                                              445/tcp   open  microsoft-ds
                                                                                                              49154/tcp open  unknown
                                                                                                              
                                                                                                              Nmap done: 1 IP address (1 host up) scanned in 5.92 seconds
                                                                                                              • +1
                                                                                                                Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
                                                                                                                Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!

                                                                                                                Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).

                                                                                                                P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
                                                                                                                • 0
                                                                                                                  Может быть кто-то из сотрудников забирал домой ноутбук, который там и был заражен. После возвращения в корпоративную сеть началось веселье.
                                                                                                                  • 0
                                                                                                                    Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно? Хотя, возможно, я смотрю на мир идеально...

                                                                                                                    При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
                                                                                                                    • 0
                                                                                                                      3G модем, как вариант. Или роутер в режиме моста. Хотя мне доводилось встречать и файерволл, настроенный на «всем можно всё». Некогда было начинающему админу разбираться после переезда, а потом он попросту забыл до того момента, когда начались проблемы.