WanaDecryptor - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 13.05.2017

Размещено 13.05.2017 04:33:51

Доброго времени всем. Ситуация следующая:

Отсюда не сколько вопросов.
Как мне избавиться от этого не платив деньги, и почему антивирус сообщает мне о том, что на компьютере что-то нашлось, уже после того, как все файлы зашифровали?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 04:50:16

Дмитрий Логачев,
добавьте образ автозапуска системы.
желательно это сделать или из безопасного режима системы, или из под загрузочного диска winpe
(избавиться просто - просто не платите деньги, а зашифрованные документы восстановите из бэкапов + установите все выпущенные обновления по безопасности системы + установите надежную защиту системы антивирусным продуктом класса Endpoint Suite/Smart Security)

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 05:12:43

+
рекомендации:

Цитата
Смягчение последствий и профилактика Организации, стремящиеся снизить риск стать жертвой взлома, должны следовать следующим рекомендациям: Убедитесь, что все системы на основе Windows полностью исправлены. Как минимум, убедитесь, что бюллетень Microsoft MS17-010 был применен. В соответствии с известными рекомендациями любая организация, которая имеет SMB, публично доступную через Интернет (порты 139, 445), должна немедленно блокировать входящий трафик. Кроме того, организациям следует серьезно рассмотреть возможность блокировки соединений с узлами TOR и TOR-трафиком в сети. Известные узлы выхода TOR перечислены в фиде Security Intelligence устройств ASA Firepower. Включение этого параметра в черный список предотвратит исходящую связь с сетями TOR. В дополнение к перечисленным выше смягчениям, Talos настоятельно рекомендует организациям использовать следующие рекомендуемые в отрасли стандарты для предотвращения атак и кампаний, подобных этому и аналогичным. Убедитесь, что в вашей организации активно поддерживается операционная система, которая получает обновления безопасности. Эффективное управление исправлениями, которое своевременно развертывает обновления безопасности для конечных точек и других важных компонентов вашей инфраструктуры. Запускайте антивирусное программное обеспечение в своей системе и регулярно получайте обновления сигнатур вредоносных программ. Внедрить план аварийного восстановления, который включает резервное копирование и восстановление данных с устройств, которые хранятся в автономном режиме. Противники часто нацеливаются на механизмы резервного копирования, чтобы ограничить возможности, которые пользователь может восстановить свои файлы, не заплатив выкуп.

Цитата

Смягчение последствий и профилактика
Организации, стремящиеся снизить риск стать жертвой взлома, должны следовать следующим рекомендациям:

Убедитесь, что все системы на основе Windows полностью исправлены. Как минимум, убедитесь, что бюллетень Microsoft MS17-010 был применен.
В соответствии с известными рекомендациями любая организация, которая имеет SMB, публично доступную через Интернет (порты 139, 445), должна немедленно блокировать входящий трафик.

Кроме того, организациям следует серьезно рассмотреть возможность блокировки соединений с узлами TOR и TOR-трафиком в сети. Известные узлы выхода TOR перечислены в фиде Security Intelligence устройств ASA Firepower. Включение этого параметра в черный список предотвратит исходящую связь с сетями TOR.

В дополнение к перечисленным выше смягчениям, Talos настоятельно рекомендует организациям использовать следующие рекомендуемые в отрасли стандарты для предотвращения атак и кампаний, подобных этому и аналогичным.

Убедитесь, что в вашей организации активно поддерживается операционная система, которая получает обновления безопасности.
Эффективное управление исправлениями, которое своевременно развертывает обновления безопасности для конечных точек и других важных компонентов вашей инфраструктуры.
Запускайте антивирусное программное обеспечение в своей системе и регулярно получайте обновления сигнатур вредоносных программ.
Внедрить план аварийного восстановления, который включает резервное копирование и восстановление данных с устройств, которые хранятся в автономном режиме. Противники часто нацеливаются на механизмы резервного копирования, чтобы ограничить возможности, которые пользователь может восстановить свои файлы, не заплатив выкуп.

http://blog.talosintelligence.com/2017/05/wannacry.html

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 07:33:32

+
как одна из временных мер по блокированию запуска файлов шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE bp C:\WINDOWS\MSSECSVC.EXE bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264 bp C:\PROGRAMDATA\\TASKSCHE.EXE bl 84C82835A5D21BBCF75A61706D8AB549 3514368 bp C:\Users\\DESKTOP\@[email protected] bl 7BF2B57F2A205768755C07F238FB32CC 245760 restart

Код


;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@[email protected]
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 31.05.2016

Размещено 13.05.2017 10:41:23

Кстати, а данный шифровальщик обнаруживается ESS 10 ? с какой версии базы?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 11:02:22

в данном случае ESS 10 (10.0.386.0 ) отбил атаку.

https://forum.esetnod32.ru/forum6/topic14012/

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 31.05.2016

Размещено 13.05.2017 11:20:06

Ну это только способ доставки, а само исполнение?

P.S. Нашел.. вчера добавили :-)

Изменено: Vladyslav Borets - 13.05.2017 11:23:50

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 11:28:42

Цитата
Vladyslav Borets написал: Ну это только способ доставки, а само исполнение? P.S. Нашел.. вчера добавили

ну, так он (файл шифратора) вчера и родился на свет. А если хочется проверить будет ли блокироваться угроза при запуске в системе,
так сделайте разрешение. в следующий раз.

.

[ Как создать образ автозапуска? ]

Сообщений: 90

Баллов: 143

Регистрация: 10.11.2013

Размещено 13.05.2017 13:58:34

Цитата
santy написал: в данном случае ESS 10 (10.0.386.0 ) отбил атаку.

А что с более ранними версиями, например, с ESS 8? Можно положиться?
И я так понимаю, что то окошко ESET-а появляется, если включен интерактивный режим. У меня режим автоматический, заглянул в журнал, там пока тихо, инфы про отбитые атаки нет.

С патчем винды несколько сложнее. У меня лицензионная семёрка, но уже давно поиск обновлений превращается во что-то вечное, поэтому пришлось отказаться от апдейтов.
Кроме того, читал позднее, что теперь все апдейты приходят одним кумулятивным файлом, выбирать что ставить нельзя. Такой вариант лично мне вообще не подходит, телеметрия и пр. мусор сродни вирусам. Поэтому надежда только на защитное ПО.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.05.2017 17:22:32

Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)

Published: March 14, 2017

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[ Как создать образ автозапуска? ]