Как стать автором
Обновить

Комментарии 7

Уже больше десятка знакомых, попавших под эту волну, обратилось за помощью ко мне, беда прям. Сношу систему, пока что во всех случаях пострадали лишь машины с Windows 7.
А как эта проблема проявляется фактически на Windows 7?
Создаются файлы как на прикрепленном изображении:
Заголовок спойлера
image

Удаляются исполняемые файлы 7zip, teamviewer, opc-сервера schneider electric (это самое печальное в моем случае), автоматически закрываются их окна, с антивирусами аналогично.
На некоторых машинах появляется xmrig.exe в appdata\local\temp и майнит с нагрузкой 60% ресурса процессора.
Также отключаются службы Центр обновления Windows и Установщик модулей Windows.
Если активировать службы то на протяжении нескольких секунд они снова отключаются.
Чистка файлов из под LiveCD не помогает, файлы восстанавливаются.
Автозагрузка, планировщик задач — чисто.
А с чего вы вдруг решили, что это связано со Spectre? Все таки не самая простая в эксплуатации уязвимость…
Как-то по времени совпало, да и «жертвы» не связаны между собой никак вообще.
Но, конечно же, могу ошибаться.
Он не знал, что такое Spectre, а в статье это тоже не сказано (впрочем, в контексте хабра это и не обязательно было писать, но статью всё же можно было и подробнее сделать в других аспектах). Вот и подумалось, что статья просто про «волну хакерской активности».
Больно много эксплойтов за раз. Недавно проходила инфа, что накрыли какую-то сеть, которая занималась забросом многих разных эксплойтов на целевые машины. Так как это семерка — проверь наличие запущенного mrxsmb10 и зависимости от него lanmanserver'a, если есть, выруби и одно и второе, чтобы по SMB через локал не приперлись. А дальше только копать руками, кто такой подарок все время засылает, может где-то в драйверах уже бэкдор сидит. Согласно вот этому (https://hghltd.yandex.net/yandbtm?fmode=inject&url=http%3A%2F%2Fwww.virusradar.com%2Fen%2FWin64_Vools.B%2Fdescription&tld=ru&lang=en&la=1525883392&tm=1526309334&text=pytrch.pyd%20virus&l10n=ru&mime=html&sign=1ae29561c6b745e271b86db0b0749ae3&keyno=0 оригинал недоступен) это Win64_Vools, распространяется через дырявый SMB1.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории