Глюк или вирус?

[dok]

Когда я в командировках захожу на сайт с тел время от времени при первом входе перенаправляет на какойто сайт. Антивирус его блокирует. Сбрасываю захожу снова нормально. Полная проверка антивирусом результатов не дает.

Тел. Андроид. Антивирус ДрВеб

Так происходит только на карсе

[Strange]

Развернуть текст

 

Човрёшьта?

Я всегда читаю и мне интересно увидеть бы всю подборку.

Когда-то у Кента аватарка была из 21 утки

 

 

Как вот такие фортинеты находят бяку, а? А именитые зубры - проходят мимо.

Пальцем в небо?

[yellow_rabbit]

 

 

Пальцем в небо?

да, наверное так.

 

 

 

я сложно понимаю о чем речь

но задолбался ловить юзеров, плюнул, всем, кроме себя, сделал такую надпись (убрал уже).

а вообще это обрезанная подборка из фидо (только у меня этот файл с 01 года) и содержит около 800 строк.

 

 

[striker]

распространяется шифровальщик с нестандартным способом заражения, при попадании в локалку может распространиться 

 

вероятная уязвимость винды https://technet.micr...y/ms17-010.aspx

там версии и патчи, свежее, мартовское

 

ветка на форуме касперского, многие пишут про "ничего не запускал", т.е. вероятно у части заражение через сетевую  дыру 

https://forum.kasper...showtopic=55543

 

будьте осторожней

[yellow_rabbit]

плюск страйкеру в карму.

поднял очень актуальную тему (на ночь глядя, а можно было бы вотку пить).

посмотрите у тебя в корне на дисках файлик readme.txt

ну и так же, открываются ли ваши документы.

спросил коллег, озадачил под ночь диагностикой и установкой обновлений (да и сам занялся этим же).

у клиентов нашел файл-извещение о том, что все файлы зашифрованы,

но файлы целы и никто не обращался.

 

UPD: нифига не понятен метод проникновения

на что идет атака, на какой порт, сервис, какой источник заражения.

внятной инфы нет.

Изменено 12 мая, 2017 пользователем yellow_rabbit

[shaman]

 

 

посмотрите у тебя в корне на дисках файлик readme.txt

@yellow_rabbit,я понимаю,что для тебя это так же просто,как дышать,но для обычных людей ты уж в скобках пиши способ как это сделать. 

[striker]

 

 

на ночь глядя, а можно было бы вотку пить).

 

я совмещал  

[Стасян]

Это не тот который МВД и СК с Мегафоном поломал?

[yellow_rabbit]

@shaman, мой компьютер - диск С

 

 

 

 

смотри, нет ли там подозрительных файлов.

 

пооткрывай файлы на рабочем столе или в папке "мои документы"

нормально ли открывается.

 

UPD: микрософт ссылается на старый протокол SMBv1

типа давно вышел SMBv2

то или пачте систему или отключите SMBv1

но у меня smb наружу закрыт.

собираю инфу.

Изменено 12 мая, 2017 пользователем yellow_rabbit

[striker]

@Стасян, эта новость, ага   

[Scarabey]

@shaman, мой компьютер - диск С

 

 

 

 

смотри, нет ли там подозрительных файлов.

Они не скрытые чтоли и их так видно будет?

[shaman]

 

 

смотри, нет ли там подозрительных файлов.

Как отличить подозрительные от неподозрительных?

 

 

 

пооткрывай файлы на рабочем столе или в папке "мои документы" нормально ли открывается.

А если я пооткрываю,и система рухнет?Создавать здесь тему-ПАМАГИТЯ?

[yellow_rabbit]

 

 

Как отличить подозрительные от неподозрительных?

внимательно, с прищуром, смотришь на файл (можно лампочкой на 380вт ему в лицо посветить) и оцениваешь.

если ты создал файл, значит нормальный.

если не ты, подозрительный.

 

 

 

А если я пооткрываю,и система рухнет?Создавать здесь тему-ПАМАГИТЯ?

тогда уже будет поздно.

не открывай подозрительные файлы (как отличить подозрительные, см. в первой части).

открывай свои, офисные документы, фотки, видео.

если сомневаешься, ну выложи тут парочку, проверим, можно положиться на вурину бесшабашность, он все подряд открывает.

 

 

 

Они не скрытые чтоли и их так видно будет?

это файлы-извещения, что твое файло зашифровано, они должны быть видны пользователю, иначе куда он бабло то понесет?

[Scarabey]

Ясна.

[shaman]

 

 

если ты создал файл, значит нормальный. если не ты, подозрительный.

Система сама создаёт фалы,нужные ей-я их не создавал,-валить?

 

 

тогда уже будет поздно.

Вот именно.

открывай свои, офисные документы, фотки, видео.

Я,как обычный юзер,так и делаю.Но ведь накапливается мусор,ошибки,временные файлы,которые система сама не удвляет,всё это систему тормозит-только переустанавливать?Это я умею.

[yellow_rabbit]

 

 

Система сама создаёт фалы,нужные ей-я их не создавал,-валить?

нет, смотри текстовые файлы.

обычно система их не создает.

 

 

 

Но ведь накапливается мусор,ошибки,временные файлы,которые система сама не удвляет,всё это систему тормозит-только переустанавливать?Это я умею.

это рабочий компьютер

Дата установки:                 15.05.2009, 14:32:09

а это личный

Дата установки:                   09.12.13, 20:03:41

ошибки не копятся (ну или как то медленно)

ничего не тормозит.

все работает штатно (кроме скайпа, задолбал).

в общем, если доки открываются - значит все у тебя хорошо.

[shaman]

 

 

нет, смотри текстовые файлы. обычно система их не создает.

А есть какой-то автоматический вариант,чтоб мне в это не вникать?Запустил-ок-всё в порядке.

 

 

 

ошибки не копятся (ну или как то медленно)

Если система работает годами,то и ошибок много становится-нет?

[yellow_rabbit]

 

 

чтоб мне в это не вникать

нету.

 

 

 

то и ошибок много становится

а откуда они берутся?

[shaman]

 

 

нету.

Я так и знал.

 

 

а откуда они берутся?

Система работает.Она состоит из множества подсистем.Кто-то вовремя не поставил бетон,потом здание рушится-как-то,приближённо,так.

[striker]

в продолжение http://varlamov.ru/2370446.html

 

там в статье и механизм заражения, и что делать. 

 

 

 

екомендации по лечению:

— Убедитесь, что включили решения безопасности.

— Установите официальный патч (MS17-010) от Microsoft, который закрывает уязвимость сервера SMB, используемую в этой атаке.

— Убедитесь, что в продуктах «Лаборатории Касперского» включен компонент «Мониторинг системы».

— Проверьте всю систему. Обнаружив вредоносную атаку как MEM: Trojan.Win64.EquationDrug.gen, перезагрузите систему. Еще раз убедитесь, что установлены исправления MS17-010.

Официальный комментарий «Лаборатории Касперского»:

Атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010, после чего на зараженную систему устанавливался набор скриптов, используя который злоумышленники запускали программу-шифровальщик.

«Все решения "Лаборатории Касперского" детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen. Решения Лаборатории Касперского также детектируют программы-шифровальщики, которые использовались в этой атаке следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf; Trojan-Ransom.Win32.Fury.fr; PDM:Trojan.Win32.Generic (для детектирования данного зловреда компонент "Мониторинг Системы" должен быть включен)», — отметил представитель компании.

По его словам, для снижения рисков заражения компаниям рекомендуется установить специальный патч от Microsoft, убедиться в том, что включены защитные решения на всех узлах сети, а также запустить сканирование критических областей в защитном решении.

«После детектирования MEM:Trojan.Win64.EquationDrug.gen необходимо произвести перезагрузку системы; в дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях», — подчеркнул представитель «Лаборатории Касперского».

Официальный комментарий Microsoft:

Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь.

[striker]

мс решили, что они не совсем мудаки (ну хотя это логично, при наличии такого эксплойта),

и выпустили обновления для старых (не поддерживаемых) систем тоже, чтобы закрыть эту дыру

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

 Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

[Влад]

Спасибо! Обработал все доступные сегодня компы дома и на работе.

[Влад]

Дом ру сейчас вывел при переходе на ЯП. Видимо всё серьёзно.

 

[yellow_rabbit]

@Влад, буржуйская пресса говорит о массовой атаке на 74 страны.

в британии людей с больниц домой отправляют и просят не обращаться, если те могут пережить пару дней.

[Влад]

Я уже на Микротике 445 порт закрыл.

[yellow_rabbit]

где, куда?

только не говори, что он у тебя в наружу смотрел.

еще можно пинги наружу закрыть, чтобы снизить вероятность атаки и скана.

дальше настройка прозрачного прокси, а потом непрозрачного.

 

...

на заре знакомства с инетом (ну не было его у меня, за то была почта)

я серфил сайты через почтовые сервисы.

присылаешь им список сайтов, а они тебе странички на мыло.

скорость ответа 5мин - 2 часа.

 

суть ведь не как закрыться (выключить компьютер и все), а как пользоваться всеми обычными сервисами и при этом не получаться угрозу безопасности.

с другой стороны, был законопроект "в соц сети по паспорту", с такой провокацией атак будет "в инет по паспорту".

ну можно настроить локальный фаер (популярные мануалы - приветствуются), этим мы легко обойдем текущую проблему, но smb нужен в локалке.

можно политикой безопасности зарубить smbv1 (популярные мануалы - приветствуются) и, наверное, это будет более правильным решением.

 

т.к. решение текущей проблемы есть, предлагаю высказаться на предмет безопасного использования обычных сервисов.

 

PS: чо то подумалось, что под это дело можно и нко сделать и грант поймать и перспективно это.