Help! Вирусы достали! Подскажите .

[Happy Man]

откуда "оно" прилетает, этот mbr locker ?
у меня сервер медка и SQL заразились
на них никто ничего не запускал, апдейты закрывающие уязвимость SMB стоят
кто как лечит?

[tofanidze]

Пишут, что вирус пришел заранее через медок и он был просто с таймером на срабатывание.

[Gobzavr]

Пишут, что вирус пришел заранее через медок и он был просто с таймером на срабатывание.

Письма приходили клиентам с текстом про подарок на день конституции
Видимо несколько каналов

[idea_dp]

http://red-forum.com/showpost.php?p=...&postcount=209

[RomanLV]

Почитал малость про этот вирь. Как я понял он шифрует не сами файлы, а MBR или файловые таблицы. Поэтому всепроисходит очень быстро.
И вроде бы происходит это при загрузке компа (поэтому как говорят нельзя зараженый комп выключать)
Но не понял пару ментов. Спрошу здесь мож кто в курсе?
1. Пока не перезагрузился - все нормально работает и ничего не шифруется?
2. Какие признаки заражения (до перезагрузки) - как понять что перезагружаться нельзя?
3. Если не перезагрузился, а перешел в Hibernate? (курок взведен и надо загружаться с флешки/сидюка или можно просыпать комп?)

Особенно второй вопрос. Странно - все пишут про то что нельзя выключать зараженый комп но никто не написал как определить что заразился.

[Vault Tec]

http://red-forum.com/showpost.php?p=...&postcount=209

Почитал эту статью и решил установить SP1 на свою 7ю винду чтобы поставить то самое нужное обновление против этой заразы КВ4012212 мол чтобы когда пк в сети, не прилетело через инет подключение. Но возник вопрос, почему данного обновления не появилось в центре обновления винды (нажал поиск обновлений, нашло больше 200ста обновлений но именно КВ4012212 не было в списке) пришлось скачивать его отсюда вручную и устанавливать.

http://www.catalog.update.microsoft....px?q=kb4012212

И ещё вопрос, стоит ли устанавливать все обновления из центра обновления винды? Там порядка 200т обновлений системы безопасности и не только.

[psvpsv]

Почитал малость про этот вирь. Как я понял он шифрует не сами файлы, а MBR или файловые таблицы. Поэтому всепроисходит очень быстро.
И вроде бы происходит это при загрузке компа (поэтому как говорят нельзя зараженый комп выключать)
Но не понял пару ментов. Спрошу здесь мож кто в курсе?
1. Пока не перезагрузился - все нормально работает и ничего не шифруется?
2. Какие признаки заражения (до перезагрузки) - как понять что перезагружаться нельзя?
3. Если не перезагрузился, а перешел в Hibernate? (курок взведен и надо загружаться с флешки/сидюка или можно просыпать комп?)

Особенно второй вопрос. Странно - все пишут про то что нельзя выключать зараженый комп но никто не написал как определить что заразился.

Сервер медка просто пропал, звонят клиенты набирала таблицу, бац ошибка.Виртуалка.Посмотрели идет чекдиск.Все понятно.

[zoltar]

лег терминальный сервер на Вин7 сраженный этим вирусом. Какие идеи как лечить? подрубить заражный винт к 10-ке и просканировать Есетом поможет?

[Vivera]

Почитал эту статью и решил установить SP1 на свою 7ю винду чтобы поставить то самое нужное обновление против этой заразы КВ4012212 мол чтобы когда пк в сети, не прилетело через инет подключение. Но возник вопрос, почему данного обновления не появилось в центре обновления винды (нажал поиск обновлений, нашло больше 200ста обновлений но именно КВ4012212 не было в списке) пришлось скачивать его отсюда вручную и устанавливать.

http://www.catalog.update.microsoft....px?q=kb4012212

И ещё вопрос, стоит ли устанавливать все обновления из центра обновления винды? Там порядка 200т обновлений системы безопасности и не только.

Все не стоит, было пара моментов, что именно после вот таких апдейтов винда отказывалась грузится!

[naccounter]

Советуют закрыть TCP-порты 1024-1035, 135, 445

[Happy Man]

файлы не шифруются, из под LIVE CD все видно. mbr переписывается
fixboot и fixmbr не помогли
перебил винду и восстановился из бекапа

[Happy Man]

Windows Worms Doors Cleaner
закрывает порты

http://wwdc.toom.su/

Как закрыть порты?

https://2ip.ru/article/portsrule/

[Happy Man]

только у меня вот вопрос, при закрытии этих портов на win 2003 с расшаренными папками, никто на них зайти не сможет, это же файловый сервер, как быть ?

[Happy Man]

Что делать, если еще не заразился

Создайте в директории C:\Windows файл с именем perfc (без расширения, однако есть сведения, что подходит и имя perfc.dat ) и в свойствах файла поставьте галочку «Только чтение». Вирус проверяет наличие этого файла, и если видит его, то считает, что компьютер уже «в работе».

[Gobzavr]

Советуют закрыть TCP-порты 1024-1035, 135, 445

Ага и положить локалку насмерть. Можно компы не включать - тоже себе совет

[77ivan]

Что делать, если еще не заразился

Создайте в директории C:\Windows файл с именем perfc (без расширения, однако есть сведения, что подходит и имя perfc.dat ) и в свойствах файла поставьте галочку «Только чтение». Вирус проверяет наличие этого файла, и если видит его, то считает, что компьютер уже «в работе».

.dat или .dll ? везде пишут по разному
кстати каким вирусоловом провериться можно?

[Happy Man]

.dat или .dll ? везде пишут по разному

я делал perfc в C:\Windows файл
и perfc.dat в C:\Windows\system32

[Happy Man]

с медком че делать непойму, можно работать или нет

[Gobzavr]

я делал perfc в C:\Windows файл
и perfc.dat в C:\Windows\system32

Трабла в том, что это имя файла - это одна из модификаций. Судя по статьям на реддите и хабре - модификаций не один десяток, и у каждого свой проверочный файл в своем месте.

[Pro1004el]

Спрошу еще и тут
вирус петя атаковал знакомых

есть около 10-ти компов, на них хр, 7-ка лицензия и ломаная
на некоторый баннер есть с требование перевести денег, некоторые тупо не загружаются (загрузчик не удалось восстановить и загрузить ОС)
нашел инустркцию , где нужно снять жесткий, поставить на другой, запустить прогу, и файлы расшифруются - не вышло тоже
кто то вылечил уже свои компы от этого? каким образом?
хочется услышать совет умных людей

теневые копии файлов на всех компах по умолчанию можно восстановить?
или есть какие другие способы?