Это бизнес а не телеком

Антивирус наше все

В данном случае

да ничего не пойдет, выключи SMB сервер на компьютере и все, он нужен то в редких случаях, типа принтер расшарить или папку открыть

А патча не достаточно?

а AD или фаел сервер ил что там у тебя - зафаерволь

А патча не достаточно?

я думаю достаточно, но говорят что у кого то что то пошло не так

Rce smb-client, smb-server windows only, кроме 10

Кстати, а как он распространяется?

Rce smb-client, smb-server windows only, кроме 10

клиент то как?

Выше писал как

это уже сказки пошли

Спам письмами?

сказочки

ау, 445 порт, при чем тут клиент то ваще

панику развели ппц

ау, 445 порт, при чем тут клиент то ваще

Спор вообще бесполезный, закрывай порты и радуйся

Почитай ИБ иследования

Всю цепочку

Как дебажили и тд

Почитай ИБ иследования

я так и не увидел пруфов

Google

ссылался только на патч который фиксит smb

Есть уже вроде 3 исследования

говорят еще в рдп дыра

Лк, позитив и еще какие то чуваки

Не помню

говорят еще в рдп дыра

есть где почитать?

ато панику разводят

а инфы нету

Всмысле панику?

По твоему слабо пиздануло?

blog.fortinet.com/2017/05/11/deep-analysis-of-esteemaudit

Я упдате пак ставлю, там же полюбому обнова эта есть?

Я упдате пак ставлю, там же полюбому обнова эта есть?

В мартовских апдейтах все есть

blog.fortinet.com/2017/05/11/deep-analysis-of-esteemaudit

больно, но в тексте нет упоминания WanaCrypt0

Дай угадаю, надо рдп порт закрыть всем

???

Дай угадаю, надо рдп порт закрыть всем

у тебя рдп не зафаерволен и нанего можно попасть минуя ipsec какойнить?

больно, но в тексте нет упоминания WanaCrypt0

оно наверное и не связано

дай угодаю, в понедельник у тебя будут проблемы

оно наверное и не связано

с большой долей вероятности

у тебя рдп не зафаерволен и нанего можно попасть минуя ipsec какойнить?

Не думаю что работая в антивирусном вендоре я буду рассказывать тебе как и что у меня закрыто

Не думаю что работая в антивирусном вендоре я буду рассказывать тебе как и что у меня закрыто

ты можешь где угодно работать, пока пруфов не будет, это только паника

дай угодаю, в понедельник у тебя будут проблемы

Давай закроем эту тему, у всех свой опыт

и уж точно перейдя по ссылке, не скачивая и не запуская файл - ты никак не заразишься

ибо брайзеров - прилично

https://github.com/countercept/doublepulsar-detection-script но тут почему то и рдп и смб

во всех сразу одна и таже дырка - чудеса

во всех сразу одна и таже дырка - чудеса

Отсутсвие свежих обновлений - это классика жанра

Почитай черт побери новости

Желательно ИБ

Отсутсвие свежих обновлений - это классика жанра

браузер то тут причем, он отдельно обновляется

браузер то тут причем, он отдельно обновляется

Браузер никогда не был фаерволлом, winapi использует браузер как и все ПО которое установлено в ОС, RCE на уровне ядра

и кто то там про домен говорил, который зарегали и заражение остановилось - вопрос, новая волна пошла? или все только щас оживились

А не одного сервиса как тебе кажется

и кто то там про домен говорил, который зарегали и заражение остановилось - вопрос, новая волна пошла? или все только щас оживились

Нет щас уже норм все

Только wcry 2.1 может запустить вторую волну

По нашим каналам глухо, идет спад резкий по всем странам

Браузер никогда не был фаерволлом, winapi использует браузер как и все ПО которое установлено в ОС, RCE на уровне ядра

тоесть всетаки баг в winapi а не в rdp или smb?

я уже запутался в том что ты пишешь

Аналитегов набежало без пруфов

Ну сервисы взаимосвязаны с ядром, точки входа разные

https://github.com/countercept/doublepulsar-detection-script но тут почему то и рдп и смб

вот эта штука интересная, но в rdp и до этого баги были

ERROR: S client not available

Мс закрыла все в марте

может там старые чекаются

Аналитегов набежало без пруфов

а тебе логи читать потом

Аналитегов набежало без пруфов

У нас для этого целый отдел есть

антивирусы не нужны, за эти сутки это поняли все

надеюсь

ЦБ и РЖД отбили массированную атаку вируса WannaCry — поставили скаченные Goletsa патчи на 2003 винду

антивирусы не нужны, за эти сутки это поняли все

Свежие базы, у нас клиенты не попали

антивирусы не нужны, за эти сутки это поняли все

На самом деле нужны

Мы апдейт катанули еще 5 апреля

По крайней мере на почту

Касательно того, что некий домен случайно остановил работу троя: не совсем так. Червь при старте действительно стучится в интернет. Если он достучался до своего сервера - завершает работу. А если не достучался - работает. Это не ошибка в черве, а штатный функционал. Домен зашит и он не "случайный". И более того: в закрытой от внешнего мира сети червь работать будет (не достучится до инета). Запущенный дроппер работать тоже будет, он не делает таких проверок. Владимир Мартьянов сегодня в 13:34 Предварительно: сетевой червь. SHA1 e889544aff85ffaf8b0d0da705105dee7c97fe26 пробует 445 порт. Использует ли он ту дыру, о которой все говорят и эффективны ли против него патчи - не ясно, это отдельная тема для исследований. Внутри червя лежит ранее упоминавшийся файл 5ff465af... и что-то еще. Распространение заразы началось где-то в районе 10 утра 12.05.2017 Владимир Мартьянов сегодня в 13:08 Картина начинает проясняться: предыдущий файл (SHA1 45356a9dd616ed7161a3b9192e2f318d0ab5ad10) - энкодер, но в голом виде не работает. Его дроппер (SHA1 5ff465afaabcbf0150d1a3ab2c2e74f3a4426467) при запуске уже способен шифровать файлы. Но и этот дроппер - еще не все, есть сведения о как минимум еще одном звене цепочки. Изучаем ? Владимир Мартьянов сегодня в 12:21 Предварительно, виновник торжества - https://virustotal.com/ru/file/b9c5d4339809e0ad9a00d4.. В двух различных случаях был прислан один и тот же семпл. Antivirus scan for b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 at 2017-05-12 19 virustotal.com Владимир Мартьянов сегодня в 12:02 Пока известно мало рекомендую: изолировать пораженные машины и машины с ценными данными от компьютерных сетей во избежание распространения инфекции и поражения данных. Вплоть до обесточивания. Срочно делать резервные копии данных на отдельные носители, которые после этого должны (!) храниться отключенными (!!!) от любых машин. И этот шаг должен проводиться регулярно. Владимир Мартьянов сегодня в 11:56 На данный момент об инциденте известно следующее: вчера, 12.05.2017, во второй половине дня, российские СМИ начали публиковать сообщения о массированных хакерских атаках, в том числе на МВД РФ и сотовых операторов. По состоянию на 13.05, у нас в техподдержке фиксируется множество заявок от пользователей, пострадавших от трояна-шифровальщика. Характерные признаки - расширение *.WNCRY у зашифрованных файлов. Владимир Мартьянов сегодня в 11:51 Сегодня с вами дежурный вирусный аналитик компании Доктор Веб и вместе мы попробуем разобраться, что же стоит за сообщениями СМИ о массированной хакерской атаке, которые появились вчера. Следите за новостями!

ЦБ и РЖД отбили массированную атаку вируса WannaCry — поставили скаченные Goletsa патчи на 2003 винду

?

На пека наверное да, ненужны

в нтв черезх электронную почту

в нтв черезх электронную почту

ктото открыл вложение?

А чо, кашпировский то сделал защщщиту ?

А чо, кашпировский то сделал защщщиту ?

ну вон там сверху инсайдер

А чо, кашпировский то сделал защщщиту ?

Поздно, но выкатили

ктото открыл вложение?

нее там сказали что распространяется через электронную почту, но скорей всего они просто комменты наши тут не читали

нее там сказали что распространяется через электронную почту, но скорей всего они просто комменты наши тут не читали

ну как распространяется то, вложение? в теле письма скрипт?

или при приеме на 25 порт - заражение?

да не во вложении, иначе бы новые сервера не заражались

никто ничего не знает, паника

нада срочна покупать антивирус

на волне хайпа

паника была вчера

бегите покупать

Битдефендер то ловит его уже?

Они ж первые вроде всегда были по всяким шифровальщикам

бегите покупать

антивирус при получении обновления разве не должен уже убивать вирус если машина заражена

У нода уже есть в базах?