а это его блог, Аксанов Нияз

АКСАНОВ НИЯЗ

Вместо того, чтобы пытаться оправдать ожидания других - лучше определи свои собственные...

Previous Entry Share Next Entry
Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта
а это его блог, Аксанов Нияз
kukmor
Нет, не Эйяфьядлайёкюдль.com
;-))

апд. добавил в конец поста инфу о том, как бороться с вирусом-шифровальщиком/вымогателем Wana Decrypt0r 2.0

Зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com удалось приостановить распространение вируса-вымогателя WannaCrypt!

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Чтобы снова начать заражения,
злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.

1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. Отключитесь от интернета.

3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

4. Вписываете эту команду в командную строку:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.

5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"

6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.

7. Перезагрузите компьютер.

8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.

Лучше не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry


Subscribe to  kukmor

Recent Posts from This Journal


Buy for 100 tokens
Благодаря публикациям Бориса Рожина, Алексея Зотьева и Голоса Севастополя, и тем неравнодушным людям, которые откликнулись нам удалось оказать частичную помощь Виктории Магер, девочке, которая попала под обстрел ВСУ и получив сильное ранение, героически спасла сестру... Сейчас для завершения…

  • 1

Распространение вируса-вымогателя удалось остановить

Пользователь psyont сослался на вашу запись в своей записи «Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта» в контексте: [...] в Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта [...]

Re: Распространение вируса-вымогателя удалось останови

!

интересно откуда эти наглецы


разве в наше время это играет роль
100% интернациональная команда, физически сидящая по всей планете, может один из них в чьем то соседнем доме...

12 обезъян. Брюс Уиллис придёт- порядок наведёт!

Брюска всех спасет!!!

нагличанские "журналисты" обвинили в атаке (сюрприз!) российских хакеров. на основании того, что это была месть за атаку крылатыми ракетами сирийской авиабазы. на это неопровержимо указывает то, что эта вирусная программа была украдена у АНБ ровно через 7 дней, 7 часов и 7 минут после удара по Сирии!

Edited at 2017-05-13 09:05 am (UTC)

скоро во всех американских фильмах будут упоминаться российские хакеры
точнее уже это так

именно! бренд!

политика чо
образ врага - это выгодно многим
денежки можно выбить на борьбу

сволочи они меркантильные.

ничего личного
просто бизнес))

везде такие есть
это не зависит от национальности и гражданства

суки они жадные и неприятные!

крепко они тебя

ну их нафуй

с детства их ненавижу.

дада, в ушанках и за ржавыми компами..

кстати повод перейти в МАК


повод перейти на мак - это готовность тратить на железяки большие деньги ;)

Я бы сказал, это повод не переходить на виндовс.)

мне кажется такое - редкость ;)))

Как и пользователький Линукс - там железо стоит на порядок меньше, но вот пользователи работать на Линуксе ... ;)

ну это не для всех просто вариант
сам админ и программер со стажем)

Edited at 2017-05-13 09:02 am (UTC)

Сам Линукс дома используешь? :)

Свободная касса? :)

ДОБРЫЙ ДЕНЬ!

А сейчас этот вирус уже не опасен?

Re: ДОБРЫЙ ДЕНЬ!

нет
но в любой момент могут снова его включить
написано же)

Re: ДОБРЫЙ ДЕНЬ!

Как же его избежать?


Re: ДОБРЫЙ ДЕНЬ!

выключить компьютеры и телефоны!

Re: ДОБРЫЙ ДЕНЬ!

И больше к ним не подходить?

Re: ДОБРЫЙ ДЕНЬ!

именно!

Re: ДОБРЫЙ ДЕНЬ!

Малость опрометчивое заявление.
Судя по карте (в режиме реального времени) поражения вирусом: https://intel.malwaretech.com/WannaCrypt.html
процесс еще идет

Re: ДОБРЫЙ ДЕНЬ!

там тишина и чернота

Re: ДОБРЫЙ ДЕНЬ!

Некоторое время обожди - увидишь) Первые несколько секунд действительно - ничего как бы и нет))

Re: ДОБРЫЙ ДЕНЬ!

ок

Я постоянно обновляю.

вот это правильно

Виндопроблемы виндопользователей.

у меня давно на телефоне вымогали за устранение - и пугали блокировкой
я закрывала и больше это не всплывало

  • 1
?

Log in

No account? Create an account