Вирус распространяется через 445 порт (его использует samba, служба доступа к файлам), эксплуатирует уязвимость в SMBv1 протоколе (эту устаревшую версию можно отключить отдельно: https://support.microsoft.com/en-us/help/2696547/how-to-enab...).

Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети). Буду рад различным тех. подробностям в комментариях, в том числе актуальной информации о реакции антивирусов.

Делайте бэкапы, недоступные через сеть или интернет простыми способами!

Придумав способ резервного копирования, спросите себя: как может мой бэкап пострадать, какие у моего способа уязвимости? Если есть хитрожопый злоумышленник, как он смог бы лишить меня моих данных?

651

Информационная безопасность IT

1.4K постов25.5K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.

Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

IgarikT

6 лет назад

Вытащил из компа съёмный жесткий с порнухой и всеми файлами. Теперь я в полной безопасности.

раскрыть ветку

249

sumgait4

6 лет назад

скачал обновление на семёрку 64,по ссылке,установилось.И всё.Система улетела напрочь.Даже в защищённом режиме не грузиться.Сижу переустанавливаю систему.

Охренительно, я худею дорогая редакция

раскрыть ветку

nanoflooder

6 лет назад

@moderator, не могли бы вы помочь добавить в пост ссылки? Нету кнопки "редактировать".

Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...

Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

раскрыть ветку

Savorko

6 лет назад

Цитируя хабр:

Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час.

Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.

Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда.

раскрыть ветку

kantengent

6 лет назад

UPD6: Нашелся интересный изъян в коде:

Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.

Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

раскрыть ветку