Обнаружены второй и третий варианты WannaCry, в том числе без стоп-крана



    Пятничная атака криптовымогателя WannaCry (WannaCrypt) поразила более 200 000 компьютеров в 150 странах, сказал руководитель Европола Роб Уэйнрайт (Rob Wainwright). Атака стала «беспрецедентной по своему размеру», а полный масштаб заражений пока неизвестен. По словам Уэйнрайта, многие пользователи найдут свои компьютеры заражёнными в понедельник утром. Среди стран наиболее пострадали Россия и Великобритания.

    Как известно, WannaCry (WannaCrypt) сочетает функциональность криптовымогателя и червя, распространяясь по случайным IP-адресам после заражения компьютера, используя критическую уязвимость во всех версиях Windows и эксплойт от АНБ. По счастливой случайности глобальное распространение инфекции удалось остановить в тот же день, когда она началась.

    Британский специалист по безопасности, автор блога MalwareTech Blog, оперативно зарегистрировал доменное имя, к которому обращалась каждая версия криптовымогателя перед выполнением вредоносного кода. Позже выяснилось, что это доменное имя программа использовала в качестве «аварийного стоп-крана». Вероятно, чтобы защититься от анализа специалистами своей функциональности в виртуальной среде (песочнице).



    Доменное имя iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com специально было оставлено незарегистрированным. Дело в том, что в песочнице обычно все HTTP-запросы перехватываются и по ним возвращается ответ OK с IP-адресом песочницы, чтобы изучить дальнейшие действия зловреда. В данном случае если запрос к домену возвращает успешный ответ, зловред думает, что он в песочнице, и аварийно прекращает работу. Таким образом, после регистрации доменного имени все экземпляры WannaCry во всём мире решили, что они в песочнице — и закончили работу.

    Разумеется, речь идёт только о свежих заражениях, когда зловред первично запускается на исполнение.

    После появления информации об «аварийном стоп-кране» в коде программы эксперты сразу выступили с предупреждениями, что расслабляться рано. Наверняка в ближайшее время можно ожидать появления новой версии криптовымогателя без подобного ограничителя. Многие предполагали, что такая версия появится на следующей неделе, но реальность оказалась хуже, чем прогнозы. Несколько часов назад хакер Мэтью Сюиш (Matthieu Suiche) из Microsoft сообщил в твиттере об обнаружении нового варианта WannaCry (WannaCrypt) с видоизменённым «стоп-краном», который проверял уже другой домен ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com перед выполнением. Экземпляр прислал коллега @benkow_.



    Хакер моментально подал заявку на этот домен, чтобы остановить вторую волну атаки.



    Общий механизм работы криптовымогателя и механизм обнаружения песочницы остался прежним. Как и раньше, в случае успешного запроса к доменному имени выполнение программы прекращается. Но теперь есть основания предполагать, что существует несколько вариантов зловреда с разными доменными именами, прошитыми в коде.

    Сюиш опубликовал свой анализ новых вариантов WannaCry. по его словам, найдено два новых варианта. Первый из них Мэтью блокировал путём регистрации доменного имени, а второй вариант криптовымогателя не шифрует файлы из-за повреждённого архива.

    Мэтью Сюиш связался с коллегой @MalwareTechBlog, чтобы перенаправить с нового домена на общий sinkhole-сервер, который собирает запросы от ботов и обновляет интерактивную карту заражений.

    Что касается второго варианта с повреждённым архивом, то его обнаружили специалисты антивирусной компании «Лаборатория Касперского» — и он работает без выключателя. Хотя непосредственно шифрования файлов не выполняется из-за повреждения, но червь успешно распространяется по Сети — и к настоящему времени поразил большое количество компьютеров.

    Таким образом, к настоящему времени известно три варианта червя-криптовымогателя WannaCry (WannaCrypt):

    Name : 07c44729e2c570b37db695323249474831f5861d45318bf49ccf5d2f5c8ea1cd
    LastWriteTime : 5/14/2017 5:56:00 PM
    MD5 : D724D8CC6420F06E8A48752F0DA11C66
    SHA2 : 07C44729E2C570B37DB695323249474831F5861D45318BF49CCF5D2F5C8EA1CD
    Length : 3723264
    Name : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
    LastWriteTime : 5/13/2017 7:26:44 AM
    MD5 : DB349B97C37D22F5EA1D1841E3C89EB4
    SHA2 : 24D004A104D4D54034DBCFFC2A4B19A11F39008A575AA614EA04703480B1022C
    Length : 3723264
    Name : 32f24601153be0885f11d62e0a8a2f0280a2034fc981d8184180c5d3b1b9e8cf
    LastWriteTime : 5/14/2017 4:11:45 PM
    MD5 : D5DCD28612F4D6FFCA0CFEAEFD606BCF
    SHA2 : 32F24601153BE0885F11D62E0A8A2F0280A2034FC981D8184180C5D3B1B9E8CF
    Length : 3723264


    «Лаборатория Касперского» сказала, что второй вариант с новым доменом в качестве стоп-крана впервые обнаружен у пользователей антивируса сегодня ночью в 01:53:26 GMT (2017–05–14 01:53:26.0).

    Третий вариант «Лаборатория Касперского» обнаружила первой — и там выключатель отстутствует. К счастью, этот вариант не может извлечь свои исполняемые файлы из архива.



    Третий вариант без выключателя впервые обнаружен в 2017–05–14 13:05:36. Заражений от него нет ни одного.

    Конечно, история не заканчивается на этом. Самое массовое заражение криптовымогателями только начинается. Наверняка можно ожидать новых вариантов WannaCry (WannaCrypt), которе будут функционировать как положено. Пока что мы получили только временную передышку.

    Напоминаем, что Microsoft оперативно выпустила патчи для исправления уязвимости (патч может снести пиратскую Windows):


    Уязвимость также можно закрыть в Windows 8.1 и более старших версиях, полностью отключив поддержку SMBv1:

    dism /online /norestart /disable-feature /featurename:SMB1Protocol

    По теме:

    Анализ шифровальщика Wana Decrypt0r 2.0 на Хабре
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 187
    • +4
      Будь я создателем этого вируса, я бы сделал рандомную генерацию доменного имени и если уж на то пошло, то генерировать допустим 10 разных доменных имен по 20-30 символов длиной, если все отвечают положительно, то 100% что песочница, если хоть один провалится, начинает шифровать.
      Я бы посмотрел, как они бы регистрировали кучу рандомных имен=D
      Вообще мне кажется, что это больше пиар антивирусников или пинок для мелкософта, больно какой-то безалаберный вирус.
      • 0
        Далеко не все желающие заработать на криптовымогателях очень умны.
        • +25
          Будь я создателем этого вируса, я бы уже сидел бы где-нибудь в джунглях Амазонки и не отсвечивал. Ближайшие лет десять.
          Но судя по выпуску свежих вариантов, у ребят с отвагой все в порядке. Посмотрим насчет слабоумия…
          • +2
            еще хуже если за этими ребятами стоят большие люди, которые проводят глобальный тест, на случай будущих глобальных кибервойн.
            • +3
              Большие люди, как я понимаю, эту дырочку тихо держали в сейфе и не светили. Это потом что-то пошло не так.
              • +1
                Непонятно только, как дырочка из сейфа попала на викиликс? Большие люди слили сами, или у маленьких людей есть доступ к сейфам больших?
                • +4
                  В армии нет слова «украли». В армии есть слово «пролюбили».
                  • +1

                    WikiLeaks тут не при чём. Эксплоит украла некая группа под названием Shadow Brokers, а WikiLeaks выкладывали другие утечки, а не эту.

                • +2
                  Тест? А может подготовку? Под видом заделывания бреши очень удобно проковырять парочку новых.
                  Что там в тех патчах? Да, макрософт его знает… в патче 32 мега.
                  • +1
                    32 мега только под новые ос (а действительно, почему так много?). Под ХП обнова меньше мегабайта занимает.
                • +1

                  Авторы разных версий могут быть разными.

                • 0
                  А будь я на месте парней, которые отчаянно хотят засветиться в лентах, я бы сделал «безвредную» модификацию «червя» и выдал бы ее за свое открытие.
                  • 0
                    Зачем вообще это надо? Пусть шифрует все подряд.
                    Гадить так по полной.
                  • +2
                    В чём вообще смысл защищаться от запуска в песочнице таким банальным способом? Неужели это сильно замедлит специалистов, анализирующих вирус?
                    • +6
                      Лобби доменных регистраторов?
                      • 0
                        Вероятно это собьет с толка эвристику антивируса
                        • 0
                          Каким образом?
                          • 0

                            Вирус не станет заниматься подозрительными действиями, когда антивирус запустит его в песочнице для анализа.

                        • +1
                          Чтобы корпоративная потоковая песочница файл дальше пропустила.
                          • 0
                            Банальные способы таки работают, и легко реализуются. Все же понимают что способ будет действовать недолго — до его обнаружения и нейтрализации, поэтому нет смысла делать что-то очень хитрое и тратить усилия на сложные схемы когда они почти одинаково легко обнаруживаются по последствиям. Главное чтобы метод работал некоторое время а дальше хоть трава не расти. Пофиксят — тут же придумают очередную банальность, когда банальные способы пофиксят будут думать что-то сложнее.
                          • +1

                            Или просто пинок ленивым наконец обновиться и закрыть уязвимость, которую много лет юзает АНБ.

                            • 0
                              Поясните ламеру, как это использовать: «dism /online /norestart /disable-feature /featurename:SMB1Protocol»? ))
                              И второй вопрос, есть винда 7 64, там обновления ставлю по мере возможности(интернет постоянно не включен). Хочу ее подключить к сети и скачать последние обновления. Стоит ли или можно как-то безопаснее это сделать? Касперский или доктор вэб я так понимаю не есть безопасность?
                              • 0
                                как это использовать: «dism /online /norestart /disable-feature /featurename:SMB1Protocol»?

                                выполнить в командной строке или power shell'е?
                                • 0
                                  Выполнил в PowerShell, мне написал, что не распознано как имя командлета. Может уже отключено?
                                  • +2
                                    Вроде это только для виндовс от 8.1
                                    • –1
                                      Странно, что везде советуют именно вариант с dism, когда есть способ универсальнее.

                                      Панель управления -> Установка и удаление программ -> Включение или отключение компонентов Windows -> Отключить то, где упоминается SMB.
                                      • 0
                                        В первую очередь именно так и сделал, только потом все равно вариант через консольку, и все это под win 10 Creators Update 1703. xD
                                        Просто не знал что уже патч с заплатками стоит, решил подстраховаться)
                                        • 0
                                          dism делает ровно то же самое (только без перезагрузки)
                                          Делать и то, и другое (через GUI и потом через консоль), не имеет смысла
                                          • +2
                                            Нет, GUI не настолько кривая, чтобы требовать перезагрузку без необходимости.
                                            dism /online /get-features


                                            Feature Name : SMB1Protocol
                                            State : Disabled Pending


                                            Pending — значит, применится после перезагрузки.
                                        • 0
                                          и не пользоваться шарами и сетевыми принтерами?
                                          • 0
                                            Так ведь и в случае с консольной командой ими уже не попользоваться. Я проверял, общие папки отваливаются.

                                            Не всем же они нужны, дома особенно.
                                            • 0
                                              Хм, у вас вероятно папки работают на CIFS (старый вариант протокола, который SMB1).
                                              Через SMB2 (появилась, начиная с Win Vista) должно все работать без каких-либо проблем.
                                              • 0
                                                Интересно тогда, почему у меня Windows 10 шарит папки через старую версию…
                                                Я проверял просто: расшарил папку (Свойства — Доступ — Общий доступ) и убедился, что к ней есть доступ с другого компьютера, работающего под Windows 8.1. Затем отключил CIFS, перезагрузился, после чего другой компьютер уже не видел эту папку через «Сеть».

                                                Возможно, как-то влияет то, что у меня полностью отключена служба домашней группы и в политиках запрещено её создание?
                                                • 0
                                                  У меня Win 10 Pro и домашняя группа также отключена (сеть «общедоступная») — сейчас попробовал расшарить директорию, с другого компьютера к ней без проблем доступ получил. Как в варианте с авторизацией, так и без.

                                                  К тому же, у меня NAS создает сетевые папки через SMB2 (это явно выбрано его в настройках) и они тоже работают без проблем.
                                          • 0
                                            А если там ничего похожего нет?
                                            • 0
                                              Есть вероятность, что у вас какая-то сборка, из которой эта фича изначально вырезана.
                                            • 0
                                              Потому что предложенный метод дизаблит только SMBv1 протокол, а ваш (кроме того что он долгий и длинный) дизаблит все протоколы SMB, что приведет к отвалу шаров и принтеров.
                                              • 0


                                                В Windows 10, по крайней мере, явно указана версия 1.0
                                                • 0
                                                  В 10 да, раньше я не замечал, могу ошибаться.
                                                  • 0
                                                    В 8.1 тоже. Ну а до 8.1, как подсказывают в комментариях, dism не было, так что там и выбора между «консоль или GUI» не стоит.
                                                    • 0
                                                      Ну а до 8.1, как подсказывают в комментариях, dism не было
                                                      Бессовестно врут.
                                                      7х64, DISM на месте.
                                                      • 0
                                                        Отчасти правы: в Windows 7 DISM не было, она была сильно позже бэкпортирована из Windows 8.

                                                        Вот поэтому, у тех, кто не ставит обновления, её и нет.
                                                        • 0
                                                          Хм…
                                                          Вот доберусь до дому, посмотрю дату релиза своего образа (MSDN, Win7 N SP1), по-моему, оно вышло раньше восьмерки. При этом DISM есть из коробки.
                                                          • 0
                                                            Возможно, образ обновлённый, MS такое практикует (с 10-кой точно, насчёт 7-ки не помню).

                                                            Про то, что DISM был бэкпортирован, я, помню, читал ещё у Вадима Стеркина.
                                                          • 0
                                                            dism появилась в service pack 1. Никакой windows 8 тогда еще не было.
                                                            • 0
                                                              Я ориентировался на написанное здесь:
                                                              Читатели со стажем сразу вспомнят, как через четыре года после выхода Windows 7 в ней появилась возможность очищать папку WinSXS. Тогда из Windows 8+ перенесли часть функций DISM. Прошло два года, и в Windows 7 переселилась еще одна технология, связанная с хранилищем компонентов.

                                                              Microsoft опубликовала статью базы знаний KB2966583, из которой можно скачать пакет обновления. После его установки и перезагрузки Windows 7 получает фактически такую же возможность восстановления компонентов, как Windows 8+.
                                                              • +1
                                                                Ну мало ли где и что написано. Я помню что после установки service pack 1 делал DISM /online /cleanup-Image /spsuperseded. В то время windows 8 была разве что внутренней разработкой microsoft.
                                                    • 0
                                                      Интересно, в Win10 1607 у меня этот компонент после установки патча уже отключен. Шары есть, работают.
                                                • 0
                                                  8,10
                                                • 0
                                                  Для Powershell
                                              • 0
                                                Смотря как вы в инет ходите. Если у вас стоит роутер с включенным фаерволом, то думаю проблем нет.
                                                Я вот не понимаю, зачем отключать службу? типа 100% гарантия? можно же настроить «защитник виндовс» (фаерволом). Поправте, если не прав.
                                                • 0
                                                  Прочитав эти темы, я так понял, что защитник виндовс не помогает.
                                                  • 0
                                                    помогает
                                                    • 0
                                                      А я сразу после установки Windows всегда отключаю его, как и центр обновлений, чтобы не грузили систему.
                                                      • 0
                                                        Была бы возможность и графический интерфейс отключили бы?
                                                        • +1
                                                          А вам-то что?
                                                          • –1
                                                            Да мне то ничего, просто придерживаюсь идеи, что как можно больше вещей должны выполняться средствами системы, без использования стороннего софта. А если человек выключает Защитника и обновления, значит у него стоит сторонний антивирус. Который может удалить сетевой драйвер, например (или что там Avast удалял?) ну или еще чего сделать интересное. Хотя, если система полностью изолирована от внешнего мира (USB порты заклеены, интернета нет, доступа к нутру системы ни у кого нет и т.д.) то может и имеет смысл.
                                                            • +1
                                                              А если человек выключает Защитника и обновления, значит у него стоит сторонний антивирус.
                                                              Или не стоит. Может, он просто сидит где-нибудь за NAT'ом (а то и вообще только с локалкой) и периодически загружает винду в игры погамать. Или для сборки/тестирования виндовых билдов чего-то своего, написанного где-нибудь в убунте, использует. Или это вообще виртуалка для двух программ, которой обновления ни в какую не уперлись. Или…
                                                    • 0
                                                      Команда отключает не службу, а конкретный уязвимый протокол.
                                                      Надо обновлять систему.
                                                      На роутер не надейтесь, если не знаете, как именно он у вас работает, может он 445 порт через upnp пробросил?
                                                      • 0
                                                        Или фаер включается не сразу после загрузки роутера
                                                        • 0
                                                          Хм, как это возможно? iptables на роутере запускается до поднятия соединения с провайдером, ибо все маршруты до провайдера с iptables и прописаны…
                                                          • 0
                                                            Вполне себе могу представить скрипт, который в автозагрузке, не там где нужно (после появления сети) и который добавляет запрещающие правила в iptables, который живут только до перезагрузки.
                                                            • +1
                                                              Так по умолчанию никаких запрещающих правил и не требуется — все входящие соединения по портам, для которых явно не настроено перенаправление (forwarding), итак заканчиваются на маршрутизаторе, во внутреннюю сеть (inside NAT) ничего не проходит само собой — ибо банально неизвестно, куда идти пакетам дальше.
                                                              • 0
                                                                а, ну наверное да. я значит в голове держал сценарий, когда такой кривой сетап подвергает опасности сам роутер (в случае если твой комп под линукс и является роутером).
                                                                • 0
                                                                  Да, подобной опасности подвергается даже не только машина-роутер, но и любая другая, к которой подключен «внешний» линк (например, кто-нибудь у себя дома воткнул кабель провайдера прямо в сетевуху).
                                                                  Поэтому, имхо, от подобного вектора атаки с автоматическим распространением вируса, маршрутизатор — отличная преграда.
                                                      • +1
                                                        «Береженого бог бережет» — сказала монашка, натягивая на свечку второй презерватив.
                                                      • +3
                                                        Интересная игра. Подключаешь к сети непатченую винду и ждешь что быстрее скачается — обновление или вирус.
                                                        • +1
                                                          Как с Blaster'ом: успей за 59 секунд скачать и установить патч :)
                                                          • 0
                                                            1. обнову можно скачать на другом компе.
                                                            2. можно закрыть порт 445.
                                                            3.можно выйти в инет через роутер с закрытым портом 445.
                                                          • +1
                                                            Для 7-ки можно использовать две команды в cmd запущенной от имени администратора:
                                                            sc config lanmanworkstation depend= bowser/mrxsmb20/nsi

                                                            sc config mrxsmb10 start= disabled

                                                            после этого нужно перезапустить ПК.
                                                          • –2
                                                            Зачем его форсят сми или это ненавязчивая рекламы антивирусов? Не опасней Kido и ему подобных, отключил службу и все нормально. Спутник мейл.ру\амиго гораздо опасней имхо.
                                                            • +1
                                                              В очень многих случаях отключать службу вообще или только SMB1 не вариант. Очень много где достаточно активно используется XP.
                                                              • +1
                                                                кидо не шифровал файлы. потому — таки опасней, из-за последствий…
                                                              • +1
                                                                мне «нравится» сокращение «cry» — плакать…
                                                                • 0
                                                                  хакер Мэтью Сюиш (Matthieu Suiche) из Microsoft

                                                                  Может я чего-то не понимаю? Microsoft нанимает на работу хакеров официально?
                                                                  • 0
                                                                    А что запрещает нанимать на работу хакеров?

                                                                    Насколько я слышал: нельзя, чтобы сотрудники занимались хакерской деятельностью (как сотрудники, т.е. от лица компании), но то, чем они занимаются в нерабочее время, работодателя не касается и не запрещает их нанимать, даже если по ночам они занимаются хакерством.
                                                                    • +6
                                                                      Изначально хакерами называли программистов, которые исправляли ошибки в программном обеспечении каким-либо быстрым или элегантным способом; слово hack пришло из лексикона хиппи, в русском языке есть идентичное жаргонное слово «врубаться» или «рубить в …»
                                                                      https://ru.wikipedia.org/wiki/Хакер
                                                                      • 0
                                                                        Давно. Очень давно. Гуглите Microsoft red team. Вот их манагер.
                                                                        • 0
                                                                          А как понять что человек хакер?
                                                                          У него HACKER ID есть?
                                                                          • 0
                                                                            В статье явно указано, что он хакер.
                                                                        • 0
                                                                          А беспарольное расшаривание папок в локальной сети не отвалится после «dism /online /norestart /disable-feature /featurename:SMB1Protocol»?
                                                                        • 0
                                                                          Я так и не понял, надо ли беспокоиться тем у кого стоит Creators Update (1703)? SMB1 включен, но без него не могу потому что роутер ASUS AC87U использует именно его, если конкретнее то версию 1.5 SMB… Печаль…
                                                                          • 0
                                                                            Сто раз писали, что нет.
                                                                          • 0
                                                                            Скачал обновление, установил, перезагрузился. Что-то пошло не так.
                                                                            При выборе пункта «Start Windows Normally» комп уходит в ребут.
                                                                            скриншоты




                                                                            В случае выбора «Repair» — идёт запрос на восстановление системы. Причём подтвердить не могу — ни мышь, ни клавиатура не работают. Пришлось сносить систему. Всю вчерашнюю ночь настраивал винду.
                                                                            Прошу в связи с этим подсказать, как хотя бы вручную прикрыть этот порт. Второй раз не хочется экспериментировать, может, это из-за ломаной Windows (у меня 7x64)

                                                                            Да, возможно, не связано, но в ЖЖ, например, при включенном AdBlock не показываются видео с ютюба. Даже ссылки нет. На ютюб половина комментариев не добавляются, просто исчезают без уведомления. А на hsto.org появились дополнительные ссылки. (скрин)
                                                                            • +1
                                                                              Именно из-за ломанной. В предыдущей теме вроде даже рассказали как починить.
                                                                              • 0
                                                                                Спасибо!
                                                                                Но там полтыщи комментов. Вряд ли осилю. Или в статью уже добавили?
                                                                                Кстати, вариант с командной строкой не работает:

                                                                                • 0
                                                                                  Я там то же уже потерялся. Чем смог — тем помог :)
                                                                                  • 0
                                                                                    Спасибо и на этом. Да, в статье нет упоминания о ломаных версиях, в первых 50 комментариях также…
                                                                                    • +3
                                                                                      https://geektimes.ru/post/289115/#comment_10062029 — Вот это там внизу откопал.
                                                                                      • 0
                                                                                        Спасибо, добрый человек). Надо ковырять, может, что и получится.
                                                                                        • +2
                                                                                          Самый простой вариант — снести этот активатор и поставить тот, который не затрагивает системные файлы. Реально, нет никакой необходимости иметь такие костыли, как подмена ядра на старое и уязвимое. Если уж ваш выбор — пиратить, то давно есть более красивые активаторы.
                                                                                          • 0
                                                                                            К сожалению, мне совсем не очевидно, как это делается. Минимально смог выполнить команды:
                                                                                            скриншоты



                                                                                            • +2
                                                                                              Примерно так
                                                                                              Восстановление загрузки (восстанавливает оригинальные родные: MBR, загрузочный сектор активного раздела, загрузчик, хранилище BCD)

                                                                                              Загрузиться с помощью загрузочного DVD Windows 7, нажать Shift+F10 и в консоли восстановить:

                                                                                              A. Оригинальный загрузчик bootmgr:

                                                                                              0. Перейти из диска X: на диск С: C:
                                                                                              1. Сменить атрибуты attrib bootmgr -s -h -r
                                                                                              2. Переименовать его например в ren bootmgr bootmgr. bad
                                                                                              3. Переписать оригинальный bootmgr из DVD на диск С: xcopy Y:\bootmgr C: где Y: буква DVD
                                                                                              4. Сменить атрибуты attrib bootmgr +s +h +r

                                                                                              B. Ещё восстановить:

                                                                                              1. Загрузочный код MBR bootrec /fixmbr
                                                                                              2. Загрузочный сектор активного раздела bootrec /fixboot
                                                                                              3. Хранилище BCD (бекапируем на всякий случай, удаляем старое и создаём новое).

                                                                                              bcdedit /export «C:\BCD_backup»
                                                                                              del c:\boot\bcd
                                                                                              bootrec /rebuildbcd

                                                                                              Найденные через bootrec /rebuildbcd ОС добавляем по запросу. Подтверждаем (yes). В случае проблем восстанавливаем назад командой bcdedit /import «C:\BCD_backup»


                                                                                              А перед всем этим взять загрузочный диск с какой-нибудь программой для резервного копирования разделов/дисков и снять полный образ всего системного диска. Тогда легко можно всё откатить в первозданный вид, если что-то пойдёт не так.
                                                                                              • 0
                                                                                                Благодарю за потраченное время.
                                                                                                Мне не подойдёт, но будет полезно другим пользователям.

                                                                                                Загрузочного диска нет (как нет и DVD-привода). И где та версия Windows с которой делалась установка — бог весть…

                                                                                                У меня вариант другой пользуется: есть второй SSD, на него с помощью Paragon Домашний Эксперт 12 делаю «миграцию ОС на SSD» до следующего факапа. Но, конечно, восстановление происходит без части нового софта. Зато быстро (минут 10). Костыль, но рабочий. Да, не могу скачать обновления посл случая с незапуском 32-битных программ (не помню его номера), да, есть дыры в защите, но — как есть.
                                                                                                Да, резервный внешний винт есть и используется периодически (сливаю туда фильмы, лекции, фоточки и всё, что мы любим)
                                                                                                • +2
                                                                                                  Мне просто очень грустно стало, когда я прочитал, что народ городит какие-то костыли, чтобы главный костыль (подмена ядра) дал установить патч.
                                                                                                  Тут мой внутренний безопасник грустно сказал «господь, жги, этих людей уже не спасти».
                                                                                                  • 0
                                                                                                    И я прекрасно Вас понимаю.
                                                                                                    Можно будет в личку позже обратиться за подробностями? Если, конечно, у Вас есть свободное время.
                                                                                                    Просто я руководствовался принципом «работает — не трогай». Боюсь, начнётся всякое, типа скачивание и установки Win10 без возможности отказаться.
                                                                                                    • +1
                                                                                                      Для того, чтобы Win7 не обновлялась до 10-ки следует установить обновление KB3065987.
                                                                                                      После установки в «групповых политиках» (Computer Configuration > Administrative Templates > Windows Components > Windows Update) появляется пункт «Turn off the upgrade to the latest version of Windows through Windows Update option», который следует включить.

                                                                                                      Также, не следует устанавливать обновления:
                                                                                                      971033 — обновление для технологий активации Windows
                                                                                                      3021917
                                                                                                      3035583
                                                                                                      2952664
                                                                                                      3138612
                                                                                                      3173040

                                                                                                      Обновления добавляющие телеметрию:
                                                                                                      3068708
                                                                                                      3080149
                                                                                                      3075249
                                                                                                      3081954

                                                                                                      Обновления добавляющие телеметрию внутри RollUp паков:
                                                                                                      3125574 2016-05-17 Convenience Rollup PreSP2 (содержит KB3068708, KB3075249, KB3080149, добавляет службу телеметрии)
                                                                                                      3192403 2016-10-18 Preview of Monthly Rollup
                                                                                                      3197868 2016-11-08 Security Monthly Quality Rollup
                                                                                                      3197869 2016-11-14 Preview of Monthly Quality Rollup
                                                                                                      3207752 2016-12-12 Security Monthly Quality Rollup
                                                                                                      3212646 2017-01-08 Security Monthly Quality Rollup
                                                                                                      4012215 2017-03-14 Security Monthly Quality Rollup
                                                                                                      4012218 2017-03-16 Preview of Monthly Quality Rollup
                                                                                                      4015546 2017-04-11 Security Only Quality Update
                                                                                                      4015549 2017-04-11 Security Monthly Quality Rollup
                                                                                                      4015552 2017-04-13 Preview of Monthly Rollup

                                                                                                      P.S. Пользуюсь лицензионной Win7 x64 (BOX), переходить на последующие ОС пока желания нет.
                                                                                                      • 0
                                                                                                        Эти знания безусловно ценны — без шуток (добавил коммент в избранное). Но кто мешает обнулить макрософту всю эту сокральность? В завтрашнем же патче и «телеметрия» и новые бреши могут быть представлены в полный рост.

                                                                                                        Вопрос риторический — никто конечно, мы все заложники этой системы.
                                                                                                        • 0
                                                                                                          Но кто мешает обнулить макрософту всю эту сокральность?

                                                                                                          Простое правило — не ставить обновления моментально. Требуется относительно немного времени выяснить содержание того или иного KB.
                                                                                            • –1
                                                                                              Ни разу не сталкивался с такой несовместимостью обновлений с нелицензионными сборками. Какие активаторы заменяют ядро? Так, для общего развития знать бы. С loader by DAZ таких проблем точно нет.
                                                                                              • 0

                                                                                                Перейдите по ссылке выше

                                                                                                • +1
                                                                                                  Их несколько, общая черта — они делают вот так (копируют ядро и добавляют новый пункт в загрузчик, который грузит старое ядро). Это очень варварский способ.

                                                                                                  loader by DAZ я не помню, но Windows 7 loader extreme edition — это наилучший способ
                                                                                                  • 0
                                                                                                    А не надежнее kms активатор, который спокойно переживает даже мажорные обновления, и при каких-то проблемах разве что винда потеряет статус активированной, без проблем с функциональностью?

                                                                                                    С изменениями ядра/системных файлов всегда остаётся риск что винда при обновлении поломается.
                                                                                                    • 0
                                                                                                      Для KMS-активации, вроде бы, нужно ставить другую редакцию Windows (не Retail)?

                                                                                                      Вообще, самый «чистый» способ — прошивка модифицированного BIOS, позволяющего притворяться ПК, купленном с предустановленной Windows. Этот способ в принципе никакими обновлениями не убивается, а бонусом даёт возможность апгрейдиться до Windows 10 с сохранением статуса «активировано».
                                                                                                      • 0
                                                                                                        Насколько я понимаю, всё зависит только от версии винды, а не от канала распространения.

                                                                                                        Kms не может активировать Home версию, и не работает на Windows 7 Ultimate (не представляю зачем обычному пользователю эта редакция, и если ему она действительно нужна, до он может её купить). Professional, Enterprise активируются, с любого скачанного образа.

                                                                                                        Семерка, активированными очень многими способами становится как-бы лицензионной десяткой, так как активация хранится в облаке, а подмена ядра не важна, главное, чтоб винда считала себя лицензионной.
                                                                                  • +2
                                                                                    Так же столкнулся с этой проблемой. Но обошлось без переустановки, оказалось можно удалить неудачное обновление через командую строку восстановления запуска и все заработает снова. (В моем случае Windows 7).

                                                                                    Так же советую проверить работает ли у вас изначально этот сервис, уже постфактум я проверил и он оказался вырезаным в моей сборке.

                                                                                    Пример инструкции по удалению обновления.
                                                                                    • 0
                                                                                      У меня старая сборка, я вручную SMB отключал.
                                                                                      ERD у меня есть, но он никогда мне не помогал. Уж не помню, что за случаи были. Вроде, файловая таблица сыпалась. И я по похожей инструкции восстанавливал, когда 32-битные версии программ отказались запускаться после какого-то обновления (не того, что указано по ссылке)
                                                                                    • +1
                                                                                      Я восстановил win 7 64 после установки MS17-010 через f8 -> directory services restote mode (откат на предыдущие контрольные точки и last known good configuration не помогал: bsod с STOP: c0000145 Application Error)
                                                                                      • 0
                                                                                        Да, единственное, чего тогда добился я — вывода на синий экран той же ошибки)
                                                                                    • 0

                                                                                      Хотелось бы узнать, какую критическую уязвимость использовали. Кто попадает в зону риска?

                                                                                    • –1
                                                                                      Хитрый план — написать свою версию вируса, который распространяется по тому же принципу, но ничего не шифрует, а вместо этого отключает SMBv1.
                                                                                      • +2
                                                                                        Или принудительно устанавливает необходимые апдейты.
                                                                                        • 0

                                                                                          Ну и посносит он им пиратскую винду, как у ra3vdx выше.

                                                                                          • 0
                                                                                            Вообще давно жду вирус от микрософт заражающий только пиратские винды. И потом статейку от них же с заголовком «а мы предупреждали»
                                                                                            • –1
                                                                                              Бритва Хэнлона.
                                                                                              Миром правит не тайная ложа, а явная лажа.
                                                                                              Думаю, Мicrosoft имеет профит независимо от того, пиратская винда или нет. Данные о поведении пользователей сливаются с любой. Недавняя история с Intel. Ещё одна.
                                                                                            • 0
                                                                                              Уж если такое писать, то только с предупреждением.
                                                                                              What happened to My Computer?
                                                                                              — Your important files are vulnerable.

                                                                                              Can i protect my files?
                                                                                              — Sure.

                                                                                              А то что-нибудь не учтут, где-то с конфигурацией не то, что-то пойдет не так, и вместо хорошего дела получится как всегда…
                                                                                              • +1
                                                                                                Э, нет! Винду я самостоятельно снёс))
                                                                                                У меня бэкап был на втором SSD, сделал «миграцию ОС» обратно, зато от мусора избавился (это я рационализирую свои поступки, как большинство людей. Типа, так и было задумано). :)
                                                                                          • 0

                                                                                            А не подскажете есть, в win 7 есть возможность сделать как linux.
                                                                                            Что б при обращении к внешнему диску требовался рутовый пароль. Только без шифрования,
                                                                                            к чужим машинам он цепляться не будет, на нем бэкапы...

                                                                                            • +2

                                                                                              Можно сделать наоборот. Сервер ходит по клиентам и собирает данные себе. Со стороны клиента на сервер произвольного доступа нет.

                                                                                            • –1
                                                                                              в песочнице обычно все HTTP-запросы перехватываются
                                                                                              В данном случае это DNS запрос
                                                                                              • 0
                                                                                                А все ли системы подвержены заражению такого типа вирусами?
                                                                                                Стоит ли очковать, что когда-нибудь будет написан такой вымогатель для Linux? (да, системные файлы без рута он тронуть не сможет, но на них как то пофиг, ведь для меня важнее всего мои файлы из директории home/%user%).
                                                                                                Ведь запустить от пользователя какой нибудь исполняемый файл с доступом к каталогу ~/documents/ не велика проблема.
                                                                                                • 0
                                                                                                  Собственно, вы сами ответили на свой вопрос:
                                                                                                  > запустить от пользователя какой нибудь исполняемый файл с доступом к каталогу ~/documents/ не велика проблема.
                                                                                                  Проблема в том, как это сделать без ведома пользователя.
                                                                                                  • 0
                                                                                                    Так и сабжевому шифровальщику не очень то надо уведомлять пользователя о своей работе.
                                                                                                    Его тоже принудительно никто не включал.
                                                                                                    • +1
                                                                                                      Для заражения нужно отправить жертве tar с вирусом, чтобы сохранить атрибут x для файла и его можно было выполнить по двойному щелчку как в Windows. И опять же, на одном ядре заработает, на другом не заработает. Массового заражения всё-равно не будет.
                                                                                                      • –1
                                                                                                        Очень распространённое мнение, но, на мой взгляд не совсем соответствует действительности. Для вируса достаточно чтобы где-нибудь нашлась RCE уязвимость. Бинарники выполняются под любым линуксом, потому что они представляют из себя инструкции для процессора, а не для ОС. От ОС зависит только обработка системных вызовов, но и тут проблема не велика — везде UNIX стандарт. В конце концов попробуйте сами скомпилировать под линукс программу, изменяющую какой-нибудь файл и убедитесь, что бинарник работает на всех линуксах.
                                                                                                        Массовое заражение линуксов уже было из-за уязвимости shellshock. Правда то были серверы, а не десктопы, но всё равно это показывает, что Linux не панацея.
                                                                                                        Кроме того не стоит забывать об аппаратных уязвимостях. Вирусу, который расспростроняется через ошибку в микрокоде процессора будет вообще плевать, windows ли на компьютере, linux или Mac или FreeBSD, а с учётом того, что такие уязвимости даже иногда обнаруживают, я весьма удивлён что такого вируса до сих пор не было.
                                                                                                        • 0
                                                                                                          Ну это довольно банально объясняется. Для написания такого вируса нужна квалификация, программист который способен написать его заработает денег другим более легальным способом.
                                                                                                          И самый железобетонный аргумент — зачем напрягаться когда более простые методы работают?
                                                                                                          • +1
                                                                                                            «Бинарники выполняются под любым линуксом, потому что они представляют из себя инструкции для процессора, а не для ОС»

                                                                                                            1. Любой Линукс — это тоже ОС.

                                                                                                            2. Бинарники может представляют из себя инструкции для процессора, но архитектура бинарников между разными ОС заметно отличается.
                                                                                                            3. В бинарниках могут быть вызовы ОС функций, чтобы например не писать самостоятельно работу с файловой системой.

                                                                                                            В этом плане, в Линукс даже проще — исходники доступны, можно взять готовое, просто размер бинарника заметно увеличится, и требование к квалификации программиста тоже.

                                                                                                            Линукс все еще весьма НЕ популярен среди обычных пользователей, поэтому особого смысла писать под него нет.
                                                                                                            Вот обратите внимание, что несмотря на растущую популярность Линукса и Мака, внезапно очень сильно взлетел Андроид, и вот под него уже зловредов заметно больше, чем для Линукса и Мака вместе взятых — просто потому, что он стал популярен именно среди целевой аудитории.
                                                                                                  • +1
                                                                                                    Уж не смейтесь над нубом, но, скажите, может ли вирус ползать через тот же андроид? Например, можно ли подхватить червя сидя в инете на телефон и, придя домой, дать ему размножиться по локалке, подключившись к домашнему вайфаю?
                                                                                                    • 0
                                                                                                      Вирус работает только в Windows — описанный сценарий невозможен.
                                                                                                      • +1
                                                                                                        Но если напишут загрузчик под андроид, который будет в доступной сети распространять вредоносную нагрузку… то очень даже запросто!
                                                                                                    • +1
                                                                                                      Народ, понимаю что я некрофил, но ссылки на патч для «старых систем» на русском языке, а именно для XP SP3 rus — не правильная. Английская версия патча выдаёт ошибку языка, а русская скачивает WindowsXP-KB4012598-x86-Embedded-Custom-RUS.exe, то есть для встраиваемых систем.
                                                                                                      Вот в этом каталоге обновлений лежит ссылка на правильный файл:
                                                                                                      http://www.catalog.update.microsoft.com/search.aspx?q=4012598

                                                                                                      Нормально обновил на 3х лицензионных и 1 не лиц XP SP3.
                                                                                                      • 0
                                                                                                        Попробуйте запросить русскую версию сайта с обновлениями.
                                                                                                        • 0
                                                                                                          https://geektimes.ru/post/289115/
                                                                                                          Внизу статьи ссылки есть
                                                                                                          • 0
                                                                                                            Спасибо, но как я уже сказал, та ссылка НЕ на обычную десктоп версию, а на Embedded.

                                                                                                            Файл должен называться «windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe»

                                                                                                            Запрашиваешь файл с https://www.microsoft.com/ru-RU/download/details.aspx?id=55245 — он ВСЁ РАВНО выдаёт Embedded версию патча. Только напрямую с каталога обновлений по той ссылке которую я дал в посте выше скачался правильный патч.
                                                                                                            • +1
                                                                                                              Подтверждаю, тоже не сразу нашел нужную версию, только прямая ссылка на файл помогла (на сайте майков тоже не то было). Нужно обновить ссылку в предыдущем посте.
                                                                                                        • 0
                                                                                                          Скажите пожалуйста, как червь попадает на комп?
                                                                                                          Надо скачать что то или он сам проникает?
                                                                                                          • 0
                                                                                                            Я не спец, но насколько я понял, он проникает и сам на компьютеры имеющие белые айпи и «непропатченный СМБ сервер» и если вы его скачаете-запустите.

                                                                                                            ЗЫ: А с зараженных «белых» уже по локалке наверное тоже умеет.
                                                                                                            • +1
                                                                                                              Сам, через открытый уязвимый порт. Достаточно чтобы было незафаерволенное подключение к сети с заражёнными машинами или интернету
                                                                                                              • 0
                                                                                                                Спасибо!
                                                                                                                Интересно брандмауэр в роутере RT-AC68 и касперский фри сможет этот червь остановить?
                                                                                                                • 0

                                                                                                                  Если вы зачем-то 445 порт в NAT не пробросил, то вероятно с конкретным червем у вас проблем не будет.

                                                                                                                  • 0
                                                                                                                    Я решил провести эксперимент — поставил Win7 без обновлений в VirtualBox, выставил ее уязвимыми портами голышом в интернет, жду уже полтора дня — и ничего :(
                                                                                                            • +2
                                                                                                              Сюиш опубликовал свой анализ новых вариантов WannaCry. по его словам, найдено два новых варианта. Первый из них Мэтью блокировал путём регистрации доменного имени, а второй вариант криптовымогателя не шифрует файлы из-за повреждённого архива.


                                                                                                              Ни у одной программы нет такого профессионального и отзывчивого сообщества, своевременно сообщающего обо всех багах и недостатках, как у этого червя :-)
                                                                                                              • 0
                                                                                                                Знающие люди, объясните пожалуйста.
                                                                                                                Общий механизм работы криптовымогателя и механизм обнаружения песочницы остался прежним.
                                                                                                                Почему криптовымогателю так важно знать что не запускается ли он в песочнице?
                                                                                                                • 0
                                                                                                                  В песочнице он не приносит никакого вреда. Попав в песочницу и не осознав этого, он зашифрует единственный файл README.txt в «Моих документах» и с чувством выполненного долга выдаст окно с требованием заплатить за его расшифровку.
                                                                                                                  • +1
                                                                                                                    Это не совсем тот ответ, что я ожидал. Но я вроде сам разобрался: оказывается есть аппаратно-программные средства (check Point напр.) которые фильтруют трафик и запускают поступающие извне исполняющие файлы в песочнице. И если, после запуска в песочнице, он будет распознан как вирус — он будет заблокирован и не будет передаваться дальше по сети. То есть если бы шифратор проходил через такой шлюз он бы был заблокирован, поэтому, наверное, ему крайне важно не запускаться в песочнице.
                                                                                                                  • 0
                                                                                                                    Потому что песочница — это один из этапов проверки неизвестного приложения антивирусом у которого нет подписи и он не отмечен как безопасный, а проверка по сигнатуре не выявила зловреда.
                                                                                                                    Поэтому зловреду очень важно не выполнять деструктивных действий в песочнице, иначе сработает поведенческий анализатор и файл будет отправлен в карантин.
                                                                                                                  • 0
                                                                                                                    Коллеги,
                                                                                                                    ни как не пойму как обновить Win10Pro, ибо обновления
                                                                                                                    kb4012606
                                                                                                                    kb4013198
                                                                                                                    kb4013429
                                                                                                                    Не встают, говорит, что Обновление не применимо к вашему компьютеру. Такую же ситуацию наблюдаю на некоторых Win10Home.
                                                                                                                    Какой номер правильного обновления?
                                                                                                                    • +2
                                                                                                                      Схема перекрытия уязвимостей. https://www.dropbox.com/s/s2509ichluff07i/MS17-010.png
                                                                                                                      image
                                                                                                                      • +1
                                                                                                                        Подскажите пожалуйста, а то я не совсем въехал в эти «перекрытия». На семёрке 4012212 два раза повторяется.
                                                                                                                        Я у себя (7х64) поставил windows6.1-kb4012212-x64. А на перекрытии ещё 4012215 и в ней ещё какие то? Их всех ставить надо?
                                                                                                                        • 0
                                                                                                                          KB4012212 должно хватить. На будущее, не стоит выключать Windows Update.
                                                                                                                          Установка патча не требуется, если у вас включено автоматическое обновление Windows, и установлены последние обновления после 14 марта 2017 года для следующих операционных систем: Windows Vista Service Pack 2, Windows Server 2008 Service Pack 2, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT, Windows 10, Windows Server 2016

                                                                                                                          После установки обновлений проверьтесь этой утилитой https://geektimes.ru/post/289153/?reply_to=10065011#comment_10064757