а это его блог, Аксанов Нияз

АКСАНОВ НИЯЗ

Вместо того, чтобы пытаться оправдать ожидания других - лучше определи свои собственные...

Previous Entry Share Next Entry
Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта
а это его блог, Аксанов Нияз
kukmor
Нет, не Эйяфьядлайёкюдль.com
;-))

апд. добавил в конец поста инфу о том, как бороться с вирусом-шифровальщиком/вымогателем Wana Decrypt0r 2.0

Зарегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com удалось приостановить распространение вируса-вымогателя WannaCrypt!

Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.

Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.

Чтобы снова начать заражения,
злоумышленникам достаточно изменить несколько строчек кода, где упоминается домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.
Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

Способ для Windows Vista, 7, 8, 8.1, 10 а также Windows Server 2008/2012/2016.

1. Скачайте патч MS17-010 для нужной Windows https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. Отключитесь от интернета.

3. Откройте командную строку (cmd) от имени администратора.
3.1 Пуск => В поиске вбиваете cmd => Нажимаете правой кнопкой мыши => Запуск от имени администратора

4. Вписываете эту команду в командную строку:
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name="Block_TCP-445"
4.1 Нажимаете Enter => Должно показать OK.

5. Заходите в безопасный режим
5.1 Во время загрузки и появления окна BIOS-a нажмите F8, после чего в списке выберите "Безопасный режим"

6. Найдите и удалите папку вируса
6.1 Для этого нажмите на любой ярлык вируса правой кнопкой мыши, выберите "Расположение файла", и удалите корневую папку.

7. Перезагрузите компьютер.

8. Зайдите в обычный режим, и запустите устанавливаться патч MS17-010
8.1 Во время установки подключитесь к интернету.

Лучше не удалять зашифрованные файлы (т.е. с расширением .wncry), т.к. люди из Касперского выпускают разные декрипторы на этой странице: http://support.kaspersky.com/viruses/utility ; возможно скоро выйдет декриптор .wncry


Subscribe to  kukmor

Recent Posts from This Journal


promo kukmor may 22, 19:30 1749
Buy for 90 tokens
Игра в ШАРИКИ! Здесь ;-) Старые работают под IE Внизу при загрузке появляется всплывающая панель с вопросом: разрешить ли сомнительное содержание. Надо ответить «Разрешить», и старые шарики заработают! Причём далее они будут работать всегда. + теперь есть дополнительно НОВЫЕ ШАРИКИ :)))…

  • 1

Распространение вируса-вымогателя удалось остановить

Пользователь psyont сослался на вашу запись в своей записи «Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта» в контексте: [...] в Распространение вируса-вымогателя удалось остановить благодаря регистрации бессмысленного сайта [...]

Re: Распространение вируса-вымогателя удалось останови

!

интересно откуда эти наглецы


разве в наше время это играет роль
100% интернациональная команда, физически сидящая по всей планете, может один из них в чьем то соседнем доме...

12 обезъян. Брюс Уиллис придёт- порядок наведёт!

нагличанские "журналисты" обвинили в атаке (сюрприз!) российских хакеров. на основании того, что это была месть за атаку крылатыми ракетами сирийской авиабазы. на это неопровержимо указывает то, что эта вирусная программа была украдена у АНБ ровно через 7 дней, 7 часов и 7 минут после удара по Сирии!

Edited at 2017-05-13 09:05 am (UTC)

кстати повод перейти в МАК


повод перейти на мак - это готовность тратить на железяки большие деньги ;)

Свободная касса? :)

ДОБРЫЙ ДЕНЬ!

А сейчас этот вирус уже не опасен?

Re: ДОБРЫЙ ДЕНЬ!

нет
но в любой момент могут снова его включить
написано же)

Я постоянно обновляю.

вот это правильно

Виндопроблемы виндопользователей.

у меня давно на телефоне вымогали за устранение - и пугали блокировкой
я закрывала и больше это не всплывало

  • 1
?

Log in

No account? Create an account