WanaDecryptor

Доброго времени всем. Ситуация следующая:



Отсюда не сколько вопросов.
Как мне избавиться от этого не платив деньги, и почему антивирус сообщает мне о том, что на компьютере что-то нашлось, уже после того, как все файлы зашифровали?
Дмитрий Логачев,
добавьте образ автозапуска системы.
желательно это сделать или из безопасного режима системы, или из под загрузочного диска winpe
(избавиться просто - просто не платите деньги, а зашифрованные документы восстановите из бэкапов + установите все выпущенные обновления по безопасности системы + установите надежную защиту системы антивирусным продуктом класса Endpoint Suite/Smart Security)
+
рекомендации:

Цитата
Смягчение последствий и профилактика
Организации, стремящиеся снизить риск стать жертвой взлома, должны следовать следующим рекомендациям:

   Убедитесь, что все системы на основе Windows полностью исправлены. Как минимум, убедитесь, что бюллетень Microsoft MS17-010 был применен.
   В соответствии с известными рекомендациями любая организация, которая имеет SMB, публично доступную через Интернет (порты 139, 445), должна немедленно блокировать входящий трафик.


Кроме того, организациям следует серьезно рассмотреть возможность блокировки соединений с узлами TOR и TOR-трафиком в сети. Известные узлы выхода TOR перечислены в фиде Security Intelligence устройств ASA Firepower. Включение этого параметра в черный список предотвратит исходящую связь с сетями TOR.

В дополнение к перечисленным выше смягчениям, Talos настоятельно рекомендует организациям использовать следующие рекомендуемые в отрасли стандарты для предотвращения атак и кампаний, подобных этому и аналогичным.

   Убедитесь, что в вашей организации активно поддерживается операционная система, которая получает обновления безопасности.
   Эффективное управление исправлениями, которое своевременно развертывает обновления безопасности для конечных точек и других важных компонентов вашей инфраструктуры.
   Запускайте антивирусное программное обеспечение в своей системе и регулярно получайте обновления сигнатур вредоносных программ.
   Внедрить план аварийного восстановления, который включает резервное копирование и восстановление данных с устройств, которые хранятся в автономном режиме. Противники часто нацеливаются на механизмы резервного копирования, чтобы ограничить возможности, которые пользователь может восстановить свои файлы, не заплатив выкуп.

http://blog.talosintelligence.com/2017/05/wannacry.html
+
как одна из временных мер по блокированию запуска файлов шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.
------------
Кстати, а данный шифровальщик обнаруживается  ESS 10 ? с какой версии базы?
в данном случае ESS 10 (10.0.386.0 ) отбил атаку.



https://forum.esetnod32.ru/forum6/topic14012/
Ну это только способ доставки, а само исполнение?

P.S. Нашел.. вчера добавили :-)
Изменено: Vladyslav Borets - 13.05.2017 11:23:50
Цитата
Vladyslav Borets написал:
Ну это только способ доставки, а само исполнение?

P.S. Нашел.. вчера добавили :-)
ну, так он (файл шифратора) вчера и родился на свет. А если хочется проверить будет ли блокироваться угроза при запуске в системе,
так сделайте разрешение. в следующий раз. :).
Цитата
santy написал:
в данном случае ESS 10 (10.0.386.0 ) отбил атаку.

А что с более ранними версиями, например, с ESS 8? Можно положиться?
И я так понимаю, что то окошко ESET-а появляется, если включен интерактивный режим. У меня режим автоматический, заглянул в журнал, там пока тихо, инфы про отбитые атаки нет.

С патчем винды несколько сложнее. У меня лицензионная семёрка, но уже давно поиск обновлений превращается во что-то вечное, поэтому пришлось отказаться от апдейтов.
Кроме того, читал позднее, что теперь все апдейты приходят одним кумулятивным файлом, выбирать что ставить нельзя. Такой вариант лично мне вообще не подходит, телеметрия и пр. мусор сродни вирусам. Поэтому надежда только на защитное ПО.
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Published: March 14, 2017

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Читают тему (гостей: 2)