Комментарии 858
Спасибо что сообщили
Сегодня в Ubuntu/Apple/любом другом дистрибутиве открывают шампанское, тк сколько будущих тендеров они победят теперь :)
Ну собственно снова мы убедились, что СПО лучше закрытого…
Ну собственно снова мы убедились, что СПО лучше закрытого…
Вспоминаем heartbleed и прочие разности. Дырки есть везде.
Руководителям и СМИ данная «атака» нагляднее, чем какие-то перехваты RAM на сервере.
Т.е. в тендере так и писать «руководителями и СМИ не должна быть замечена атака на ....»?
В тендере можете писать всё что угодно, я говорю о том, что новость о heart bleed не настолько сильно была растиражированы и обычный потребитель скорее всего не заметил влияние на себя. А тут у нас как минимум:
1) мегафон
2) ск/фсб
Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.
Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
1) мегафон
2) ск/фсб
Куча инфраструктурных компаний в других странах мира. А к понедельнику я думаю мы узнаем полный список — который будет огромным.
Во время SSL атак, ИБ многих компаний не призывало отключать физически ПК.
Другими словами, если пользователь (включая юридического) будет выбирать между ПК/Мак то аргумент «что бы не было как 12 мая по всему миру» будет всплывать. И самое смешное — антивирусы не сделали ничего, хотя уязвимость вроде бы уже месяц как доступна.
> «что бы не было как 12 мая по всему миру»
А, собственно, что случилось то?
1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.
И там ниже говорят аж 24 человека заплатило на текущий момент.
Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
А, собственно, что случилось то?
1) мегафон — пару часов колцентр не работал? Если бы не совпало с новостями, никто бы не заметил.
2) ск/фсб — официально не подтверждено, да и не жалко. Ну то есть принимать серьёзные решения потому, что в госструктурах винду не обновляют — это странно.
И там ниже говорят аж 24 человека заплатило на текущий момент.
Не знаю что будет к понедельнику, но пока это не выглядит «заметнее» heartbleed
Из самого серьёзного — это множественные перебои в работе службы здравоохранения в Англии и Шотландии.
А Мегафон до сих пор не работает, по крайней мере в Поволжье.
А Мегафон до сих пор не работает, по крайней мере в Поволжье.
> А Мегафон до сих пор не работает, по крайней мере в Поволжье.
Откуда инфа?
> Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.
> Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised
Ну… Переустановят винду завтра.
У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
Откуда инфа?
> Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Если NAT/фаервол и обновления спасают, то разбираться кто там виноват излишне, можно сказать «проблемы негров шерифа не волнуют». Если у людей есть причины не обновлять винду с белым IP — значит работа такая, последствия разгребать.
> Some hospitals and GPs cannot access patient data...There is no evidence patient data has been compromised
Ну… Переустановят винду завтра.
У меня в своё время стояли тонкие клиенты без обновлений, но для них лежали образы, из которых можно было (на любой железке) развернуть с нуля за полчаса.
Я просто взял сейчас и позвонил на 0500, чтобы не быть голословным) Говорят, что доступны только услуги через сайт или роботов, а что-либо сделать через сотрудников контактного центра нельзя.
+ Представьте теперь объём работы для безопасников и инженеров, которым теперь предстоит разгребать последствия. Конечно можно сказать «сами виноваты, надо было обновляться», но не разобравшись в причине почему они это не делали, я бы не стал так говорить.
Вообще NHS еще давно предупреждали. Если безопасники профукали слив пачки 0-day эксплойтов и за два месяца не обновили сеть… То сами виноваты.
XP увы еще много где есть, на неё есть патч?
Разве что превратить её в POSReady версию с помощью ключа реестра и скачать обновления. Но это неофициальный метод.
Да, выложили на блоге Microsoft
Меня смущает embedded в названии апдейта. Скачал, попробовал запустить — выругалась на неподдерживаемую версию оси. Видимо таки для обычной ХР нет патча…
Есть на обычную XP, но часто ссылка на embedded ведет (даже на русскую версию с сайта майков). Нужно та, где только custom в названии.
В этом комментарии есть правильная ссылка
Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.
В этом комментарии есть правильная ссылка
Хорошо бы и в топике сменить. У меня на рабочем компе стоит XP, и ссылку искал с приключениями.
Была такая же проблема. Cкачал по ссылке которую выложили на ruboard. Помогло.
Там же есть патч для английской не-embedded XP. Но проверять не на чем. Embedded действительно на consumer версии не ставится.
вот прямая ссылка для XP
угу, но только уже после факта массового заражения :)
У вас методичка старая, зайдите к куратору, по п.2 уже признали. Да и рунет пошёл скриншоты со странными названиями папок обсуждать.
Достаточно 10 историй о потерянном архиве детских фотографий и дипломных работ растирают повинных в соц. сетях.
И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
p.s. надеюсь автора зловреда устраняет при сопротивлении во время задержания.
> И это ещё один аргумент в копилку людей выступающих за запрет анонимности в т.ч. криптовалют.
Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.
Это аргумент в копилку людей, выступающих за бекапы.
Запретить анонимность и криптовалюты можно только в отдельно взятой стране.
То есть это будет запрет выплатить выкуп за архив детских фотографий, а никак не защита от их потери.
Это аргумент в копилку людей, выступающих за бекапы.
Увы это вам очевидно, как понимающему как работают криптовалюты в текущем правовом поле.
Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
Другое дело как сам прецедент будет использоваться, к сожалению почти любые ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов (как мелких так и больших) у наиболее законопослушной категории населения, и в итоге именно население оплачивает новые металлоискатели, датацентры для тотальной слежки, стоит в пробках из-за охраны «важных людей» и т.п.
Не надо путать причину со следствием. Когда хотят бороться с анонимностью и тратить деньги — для этого подходит любой высосанный из пальца аргумент, «копилки» там не нужны. Ну то есть нужны, но совсем другие, не с аргументами.
> ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
> ограничительные меры призванные для борьбы с незаконными действиями приводят к возникновению проблем, и дополнительных расходов
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
То есть на датацентрах с хранением всего трафика расходы создать можно, а на запрете криптовалюты — скорее нет.
Так вот, желание создать дополнительные расходы через создание проблем приводит к ограничительным мерам и признанию действий незаконными, а не наоборот.
Почему вы априори считаете что хотят увеличить расходы?
Большая часть людей когда предлагает ту или иную идею как решить текущую проблему ( на их взгляд ) не задумывается над тем какие косвенные затраты предлагаемое решение даст.
Это как с установкой знака 40 в на трассе в поле где случилось 2 серьёзных аварии за год, вроде разумное решение(интуитивно снизить опасность ДТП), но не учитывает многих аспектов.
«Автозамена» в Android творит чудеса.
растирают повинных — растиражированных
устраняет — устранят.
НЕ заметнее???)))
Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
Да мне да Мама позвонила и сказала что в инетах беда твориться, страшный злобный вирус гуляет и скриншот с новостями скинула…
Если то что об этом знают домохозяйки не говорит об Известности и распространенности проблемы то что об этом может сказать?!
А, собственно, что случилось то?
НУ например, несколько часов, в моем городе не работали терминалы оплаты.
Не знаю как обычные офисы Мегафона, но в пятницу корпоративные офисы не работали.
Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
Это вам не «колцентр», есть операции, которые можно сделать только при личном присутствии в офисе.
Более того эти антивирусы сертифицированы по требованиям ФСТЭК, конмпьютеры, сети аттестованы, за все уплочено, а на выходе пшик!!!
Собственно, аргумент, что эти недоподелки от серьёзных проблем не спасают. Какие-нибудь банеры и что-нибудь в этом духе — может быть, но не более. Кстати, от совсем простых тоже не спасают. Был случай: вирус подправил ссылки в ярлыках браузеров. Ни стоящий на машине nod, ни cure it, ни даже avz ничего не обнаружили.
сколько будущих тендеров они победят теперь :)
В пределах погрешности.
Мы убедились, что за два месяца админы не поставили патч, закрывающий эксплуатируемую уязвимость.
Ага, heartbleed в СПО как раз было. И было долго-долго.
Поглядите свежие новости, про заражения macOS.
перехожу на убунту)
Пару дней попробовал вот уже в который раз — вернулся обратно. Всё ещё рановато.
offtop: а что не понравилось, если не секрет?
Видимо, windows головного мозга не даёт понять, как эта хрень вся работает.
Не хватает фара, для начала. MC не предлагать.
Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
Это очень быстро навевает тоску и diskpart, select disk 0, clean
Более менее живые — только appliance версии софта, и то не все.
Не хватает фара, для начала. MC не предлагать.
Ну и с каждой запинкой лазить в инет, и в качестве ответов находить ворох команд с неясным содержимым, и как попугай пытаться их выполнить надеясь на чудо.
Это очень быстро навевает тоску и diskpart, select disk 0, clean
Более менее живые — только appliance версии софта, и то не все.
Так тут проблема в ваших привычках, а не в Ubuntu.
Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
Я вот наоборот, в unix-системах чувствую себя абсолютно комфортно, а когда попадаю за Windows-компьютер, сразу теряюсь. Наверное, потому что Windows в последний раз активно пользовался 15 лет назад :)
Привычка — само собой, но тот же android берешь в руки, и там как-то сразу можно начать решать нужные задачи. Т.е. продукт допилен. Что бы поставить любую программу, мне не надо вчитываться в ошибки в консоли.
Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
Но я себя уже не первый раз пытаюсь затащить в это мракобесие. Последний раз хотел owncloud развернуть. Т.к. виндовая версия сервера на костылях. Т.е. вроде бы и цель есть, а не просто так поглазеть. Ан нет. Не идёт.
Привычка тут на пятом-десятом уровне важности.
Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
Если сесть после Винды за Мак или наоборот — да, что-то непривычно, что-то непонятно, что-то подбешивает, что-то нужно погуглить. Но всё это частности — в общем и целом работать более-менее можно. Аналогично с Андроидом и Айосью. И только Линух сворачивает мозги в трубочку.
Без Esc и Backspace на новых маках — ну его в баню :)
Качайте отсюда — Linux Mint, например KDE-версию, и пробуйте. Файловые менеджеры там (в линуксе) гораздо приятнее. Будет и «плазма» и рабочий стол кубом.
Удивительно, но вместо фара под линуксом есть… FAR. Правда новость от февраля этого года и по видимому там работа еще идет. Или можно еще double commander <-> тотал командера. Заявлялась даже совместимость плагинов, хотя подтвердить не могу.
А чтобы облегчить переход на убунту с винды то пожалуй лучшим советом будет сразу забить на Unity, тем более что сам Canonical от него отказался. Рекомендую посмотреть в сторону KDE или MATE версий убунту LTS. Для первых linux mint KDE или KDE neon (c kubuntu не сдружился, уже и не припомню почему). А для мате соотв. версия mint'a.
P.S. сам в восторге от KDE5.
Не споткнитесь. Там даже для Солярки 0-day выложили.
Родителям дома поставил Ubuntu 16, пользуются браузером Хромиум. Недавно пожаловались, что невозможно пользоваться интерентом из-за рекламы. Заразился хромиум черти-чем, поверх любой страницы показывал тонны рекламы, кнопки настройки браузра — не работают, горячие клавиши — отключены. Пришлось помучиться, что бы избавиться от этой заразы.
а в чём было мучение? каталог у хромиума всего один же ~/.config/chromium
его надо только снести и всё
его надо только снести и всё
А вкладки, исторя, пароли и т.д.? Но смысл не в этом, а в том, что вирусы есть под все, а то господин "shifttstas" слишком самоуверен...
Это кем надо быть чтобы держать открытым 445 порт наружу?
Вирус только для лошара-админов и тех кто не ставит обновления годами.
Вирус только для лошара-админов и тех кто не ставит обновления годами.
На всяких пикабу пишут, что оно и через NAT проходит. =)
— Как оно проходит, роутеры ломает?
— Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
— Как оно проходит, роутеры ломает?
— Ааааааа! Низнаю, там используется дыра из АНБ, всё сложна!
Под рукой 2 сервера 2008R2 без патчей, один с прямым IP другой за роутером
Никаких вирусов не прилетало, фаервол штатный
Никаких вирусов не прилетало, фаервол штатный
Шансы поймать даже скан на конкретный IP-адрес довольно малы. Не думаю что там запустили сканирование всея интернета, даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
даже в этом случае полный скан всех доступных адресов будет занимать неделю не меньше.
4 часа на весь диапазон IPv4, насколько я помню. И на тот же 22 порт SSH китайцы ломятся регулярно.
На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
masscan + PF_RING + десять серверов на ксеонах с гигабитными интелами (и каналами) = 30 минут на весь диапазон по 1 порту
упс, уже писали, удалено.
Что что, на пикабу как раз в комментариях про роутеры и NAT пишут, ни слова про всякие АНБ )
Некоторые провайдеры режут 445 и 139 порты у абонентов, РТ точно так делает
Что самое интересное, стоило мне только установить Windows и настроить статический IP-адресс
То есть нужно только подключение к интернету?
А если повторить но без сетевого подключения т.е. физически его оставить а просто отключить сеть в винде?
Совершенно верно, достаточно только подключения к интернету, возможно прямого т.е. не через роутер.
Без сетевого подключения понятное дело что ничего не произойдёт, без сетевого адреса скачивание чего-либо из интернета невозможно.
Меня заразило через ADSL роутер. NAT ему не помеха.
Как интересно, значит похоже что винда сама что-то скачивает, и это объясняет обход фаервола.
NAT != firewall
Да, но порт ведь просто так снаружи не доступен, если явно не проброшен. Разве нет?
UPnP же! Особенно в современных роутерах…
Т.е. с использованием UPnP можно открыть порт снаружи? Я всегда думал, что оно работает только изнутри.
Нет, пользовательский компьютер запрашивает проброс порта SMB и вуаля.
Ситуация: из нашей локальной сети в офисе есть доступ в подсеть абонентов, ряд наших серверов, то же видеонаблюдение настроенное на Windows Server 2008 или Telescan на Windows 7 смотрят в мир с публичным IP. Предположим, по причине криворукости наших админов, вирус поразил один из этих серверов и если вирус достаточно умен, далее по цепочке он заразит нашу локальную сеть, а из нашей локальной сети немалую часть машин наших абонентов. Вот так вот абонент находясь за провайдерским NAT может стать уязвим.
Либо ситуация еще проще: предположим у человека на роутере NAT, все пробросы запрещены и даже адрес серый, т.е. человек находится за двумя NAT — роутера и провайдера. Но что мешает человеку притащить зараженное устройство к себе в локальную сеть? Будь это рабочий ноут или ноут друга?
Но и это не все. На хабре бывало проскакивали статьи что NAT и firewall не есть одно и то же и рассматривать NAT как защиту — неправильно. Вот что смог найти сходу:
А можно подробности? Что за роутер, какие у него настройки, нет ли проброса портов? Есть ли другие компьютеры за роутером? Нет ли ноутбука, который принесли и подключили к той же сети?
А заразившийся компьютер у ADSL роутера не в DMZ случайно? На них это довольно распространенная конфигурация.
достаточно остановить службу «сервер». Будет защита и от локалки и от внешней сети.
Возможно, что дело в уязвимости самбы. В любом случае, звучит очень жутко.
П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
П.С. Да, по ссылке старая уязвимость, но не очень ясно, что там с фиксом.
Вполне возможно, т.к. апдейты в систему ещё не устанавливались, но мне дико интересно каким образом оно обошло виндовый фаервол?
Вроде вот патч
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Простите за глупый вопрос, если винда стоит на самообновлении, то всё будет нормально? Или этот патч надо обязательно отдельно качать?
Если авто — то уже давно скачался.
Даже если после поиска номера нужного патча через командную строку, он не был найден?
Он может быть заменен свежим кумулятивным обновлением. Попробуйте проверить историю обновлений которые начинаются с чего-то типа 2017-05 Cumulative Update. Там по ссылочке на сайт и внизу описано что было заменено. Ну и отключите SMBv1
Сегодня делал обновление Windows Server 2008 (не R2). Сначала сделал автоматическое обновление — соответствующей KB в журнале не появилось. Потом скачал апдейт вручную и установил — апдейт установился и не ругался, что уже установлен.
А кумулятивные не ругаются вроде. Они что-то делали что вычисляется набор патчей которые уже есть, докачивается остаток и все это дело гордо обзывается CU. Но хз работает ли на 2008 так.
Так не ругнулся не кумулятивный, а именно апдейт под эту дыру, хотя я ставил его после автообновления и затем поиска обновлений, показавшего, что система свежая, обновлений больше нет. Благо в настройках сетевого адаптера, смотрящего во внешнюю сеть, я ещё несколько лет назад (когда ставил Win) отключил Клиент для сетей Microsoft и Служба доступа к файлам и принтерам сетей Microsoft; получилось, что 445 порт открыт не был.
Вот еще офлайн установщик обновления, если кому нужен.
по ссылке выдаёт ошибку, чё ж делать?
Открыть центр уведомлений, найти это обновление и установить его.
Тыкать вновь и вновь. Центр обновлений конкретно так прилёг.
Я выкачал себе апдейты на х64 и х32, могу залинковать.
Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
Я выкачал себе апдейты на х64 и х32, могу залинковать.
Также, есть прямые ссылки прямо на MSUшки, на сервере MS:
https://www.wilderssecurity.com/threads/no-more-individual-patches-for-windows-7-and-8.387895/page-10#post-2659540
XP ещё не хватает.
Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
Алсо какой из MSU конкретно с патчем? Я бы накатил паре знакомых по TV, но весь набор — слишком долго.
Подхватил эту дрянь тоже. Вроде как помогло отрубание SMB у сетевого адаптера. Перестал появляться после удаления. Удалял при помощи Malwarebytes и оставил ее включенной на всякий пожарный.
Наш отдел безопасности (но на английском, правда) практические советы опубликовал
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
https://www.peerlyst.com/posts/wannacry-no-more-ransomware-worm-ioc-s-tor-c2-and-technical-analysis-siem-rules-andrii-bezverkhyi
Эхх… как же скучно я живу.
Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
Люди вирусы хватают, чистят вручную системы чертыхаясь, иногда криптовымогателям платят. А я за 20 лет пользования ПК только один раз схватил локер, да и то не по своей вине. :(
Same story bro. Диски чаще ломаются чем вирусы подхватываешь. Возможно ентерпрайз сектор больше подвержен атакам по многим причинам. Фишинг, открытые шары типовые конфигурации.
Вы вообще заметили, о чем пост? Все что нужно для заражения — это Windows, выход в интернет и немного невезения.
Я заметил что заразилась только серверная винда с индексом 2008 в имени.
Кроме того например в организации где я работаю (крупная it компания), на корпоративные ноутбуки всем продолжают устанавливать windows 7 хотя 2017 год на дворе. Это и приводит к массовым заражениям. Одно дело домашние пользователи с зоопарком, другое дело несколько тысяч одинаково настроенных машин с одной и тойже дырой в безопасности.
у нас так же было. купил просто директор в лохматые годы пачку лицензий и всё. с новых ноутов сносили win10SL и ставили win7. дров, ессно не было, из мощных ноутов получался дырявый во всех смыслах хлам.
Для Win7 обновления безопасности все еще выходят.
Да выходят, но в новых системах старые баги могут быть закрыты по умолчанию. «The exploit code used by WannaCrypt was designed to work only against unpatched Windows 7 and Windows Server 2008 (or earlier OS) systems, so Windows 10 PCs are not affected by this attack.» https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
Простите, а семерку обновлять вовремя религия не позволяет?
Моего товарища заколебала попытка MS установить Win 10 вместо Win 7, вот он и отрубил автообновление и забыл про это.
Присоединяюсь, по этой же причине поймали этого зверька.
(знаю, сами балбесы)
(знаю, сами балбесы)
GWX изредка «глючил» и ставил обновления несмотря на политики и членство в домене.
нет-нет. Это как будто вы предлагаете разобрать замок на двери и убрать в нём пару деталей, чтобы заедающие части не мешали. При том что вы не разбираетесь в замках.
Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.
Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
Пользователь ПК не должен лазить в какие-то там реестры и править там что-то. Если он в этом не разбирается, то он будет пользоваться советами на сайтах. И очень хорошо, если это окажется *правильный* сайт с *правильным* советом, а не что-то другое.
Поэтому да, у пользователя должно быть включено автообновление. Но своими действиями в Microsoft сделали так, что пользователь обновления выключил.
Судя по тому, что обновление было выпущено ещё в марте, пост о том, что бывает с теми, у кого отключены автоматические обновления, ну либо с теми, кто только устанавливает винду, но для вторых заражение не так критично.
Как сказать, винда не всегда на голый комп ставится
хитрый пиар-ход microsoft для сервиса автообновлений)
В приличных конторах автообновления включены, но только качаются с собственного сервера обновлений. А перед тем, как одобрить обновление для массовой установки, оно может несколько месяцев тестироваться в лабе или на не-критичных серверах. Потому что поймать локера — это грустно, спору нет. Но никак не менее грустно, когда после массовой установки недостаточно хорошо протестированного обновления у вас все виндовые сервера полягут. Поэтому дельта в несколько месяцев между выходом и установкой обновления — это суровая производственная необходимость.
Интернет не обязателен. Достаточно наличие в локальной сети хоть одного зараженного.
выход в интернет и немного невезения
Забыли добавить, заодно все порты открытые. Вирус же порты сканирует, достаточно обычного маршрутизатора…
Дома лишь однажды заразу подхватил. Это было в эпоху до интернетов и возможно до винды на моих компах. Вирус как-то назывался cih или wincih.
Nmap даже не сканировал порты, так как хост не отвечал на пинг. Попробуйте просканировать принудительно с ключом -Pn.
Вы абсолютно правы, вот вывод:
Host is up (0.017s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
445/tcp open microsoft-ds
49154/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 5.92 seconds
Мне чрезвычайно интересно, каким же, извините за мой литературный французский, раком настраивается в таком случае администратором сеть, если «наружу» оказываются проброшены подобные порты?
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
Или на кто-то где-то на интерфейсы машин вешает сразу внешние линки, без маршрутизатора?!
Возможно, это действительно общая практика, но для меня это совершенная ересь и дикость, чтобы из локальной сети во внешнюю было проброшено что-то кроме действительно нужного и относительно безопасного (а уж во внешнюю сеть открывать SMB/AFP/NFS — вообще непозволительно, на мой взгляд, с точки зрения безопасности — к подобным сервисам мои клиенты имеют доступ только через зашифрованный VPN, а для доступа из вне и к неответственным файлам есть HTTP(S) или FTP).
P.S.: Мне серьезно интересно, с таким поведением впервые сталкиваюсь, честно признаюсь.
Может быть кто-то из сотрудников забирал домой ноутбук, который там и был заражен. После возвращения в корпоративную сеть началось веселье.
Есть, конечно, вариант, что кабель провайдера напрямую втыкается в такой ноутбук… Но ведь, чтобы настроить в таком случае доступ в Интернет, надо как минимум обладать такими навыками, которые и дадут понять, что это небезопасно? Хотя, возможно, я смотрю на мир идеально...
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
При этом в подавляющем числе случаев такой абстрактный ноутбук был бы подключен к WiFi сети через маршрутизатор, на котором по умолчанию абсолютно никакие порты не проброшены на пользовательские устройства, все внешние запросы кончаются на самом роутере.
3G модем, как вариант. Или роутер в режиме моста. Хотя мне доводилось встречать и файерволл, настроенный на «всем можно всё». Некогда было начинающему админу разбираться после переезда, а потом он попросту забыл до того момента, когда начались проблемы.
3G модем, по умолчанию, ни у одного сотового оператора не выдает внешний IP абоненту, там все за NAT спрятано — реальный адрес подключит только тот, кому это действительно надо… Тоже и с режимом моста — такое настроят только те, кто разбираются.
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
По поводу начинающих админов — неужели те же пострадавшие сети МВД администрируют новички? В голове такое не укладывается при всем желании. У меня на предприятии внутренняя сеть, ответственная за рабочие процессы, физически отделена от внешнего мира, и никаких модемов и прочего подключить также никому никак не удастся. Для доступа в Интернет есть отдельные машины (это к тому же еще и дисциплинирует).
В моём конкретном случае, я подготавливал базовые образы Windows для публичного облака, в дальнейшем они будут использоваться как темплейты при создании VPS.
То что виртуалка имеет один внешний IP-адрес — совершенно обычное дело.
Я хоть и работаю с VPS только на Linux, но в первые же моменты их настройки, с помощью iptables открываю 22 порт для своего IP адреса и закрываю абсолютно все другие входящие порты, делая открытыми по мере необходимости… Как-то это уже само собой прижилось.
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
С настройкой серверных Windows не особо знаком, но вроде как есть же оснастка Windows Firewall?
Мда… неприятная штука… Сегодня такую же подхватил. Жила себе виртуалка с бэкапом базы на 2008R2, понадобилось напрямую с неё слить несколько файлов, думаю дай пропишу реальный IP, ну всего-то на пару минут. Копирую себе, ничего не подозреваю, глянь а там уже почти все файлы зашифрованы.
Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
Все очень быстро.
Хорошо бэкап был…
Буквально за 1-3 минуты после включения реального IP на интерфейсе. Причём если бы в папку не заглянул то ничего и не увидел бы.
Все очень быстро.
Хорошо бэкап был…
Об этом вещает даже федеральный канал:
http://www.vesti.ru/doc.html?id=2887397
http://www.vesti.ru/doc.html?id=2887397
На Пикабу говорят, что вся внутренняя сеть Мегафона поражена этим вирусом, и частично Билайн и МТС. Не знаю, насколько можно верить Пикабу, но об этом сообщили несколько человек.
Показали по телеку, комментарии от Мегафона, Клименко и других личностей.
https://files.catbox.moe/b1hi5w.webm
https://files.catbox.moe/b1hi5w.webm
да, там в МГФ все очень серьезно было.
Просто охренеть, и еще ведь Windows-инфраструктуры закупаются в гос учереждения, школы, магазины
Будет подходящий «клиент» на Линуксе — напишут и под него локеры. Пока линуксом пользуются программисты, админы и просто энтузиасты — народ технически подкованный, локеры писать на него нет смысла.
Так может в этом все и дело, как раз после OS Day.
Охренеть, что админы не обновляют системы? Уязвимость поправили еще до слива тулкита АНБ.
ну так ты попробуй обновить старенький комп, на это несколько суток уйдет. микрософт давно разогнал программистов способных делать что то годное
+100 Загрузка памяти до 2гиг при наличии всего 2 гиг и так несколько часов — система ищет в фоне обновления. На старых машинах обновления зачастую нереально запускать, а СП не выпускают. Опять же рекорд установки автообновления был около 16 часов, 16 часов компьютер писал не выключайте и не перезагружайте, а работать люди когда будут?
… распространяющийся через нерабочую систему автообновления?
Для семёрки — KB3102810. Нужно скачать и поставить ручками. После перезагрузки обновление опять начнёт работать гладко — как в старые, добрые времена.
Очередь за талонами на талоны…
А может стоит почаще обновляться и узнать, что обновления переделали. И обновлять в ночное время?
Где что переделали? В вин10 некоторое время обновления ставились с такой скоростью будто в микрософте что то изменилось но со временем стало понятно что ничего не меняется.
У нас где-то месяц назад одно из обновлений Windows сделало массу машин неработоспособными: в процессе обновления процесс сжирал всю память и проц (включая серваки с 32 ГБ оперативы на борту) и не завершался даже по прошествии нескольких суток. Узнал по жалобам пользователей сервиса, у которых загрузка данных с серверов стала жутко тормозить. С тех пор обновляемся только руками.
Если вы админите сеть то через WSUS накатывайте и валидируйте обновления.
Вкратце, как это происходит? Не использовал WSUS.
Тут интро с TechNet.
Тут QuickStart.
Так же сверху накинуть DeviceGuard. Еще сейчас разбираюсь с WDATP.
Тут QuickStart.
Так же сверху накинуть DeviceGuard. Еще сейчас разбираюсь с WDATP.
Просто не нужно было отключать обновления и все. А то больно уж это похоже на борьбу с терроризмом — боремся только в день теракта и на следующий, потом забиваем, пока опять не рванет.
что бы обновить систему зачастую нужно разрешение + обновление на физическом носителе.
проще не подключать систему к инету.
и обновление вполне может приходить с отставанием год- или два.
А майкрософт в чем виноват-то? В том что люди не обновляются, ставят касперские и прочую гадость и чего-то ждут?
Видать народ не спешит отказываться от Win7.
Забавно, что в основном эти люди, смеялись над теми кто не хотел слезать с XP
Смеялись над теми, кто не хотел слезать с XP те, кто сейчас смеются над теми, кто не слезает с семёрки. XP еще менее безопасна во всех смыслах.
Вы так пишите, как будто все слезли с XP.
Кстати, почему в опросе этот пункт отсутствует?
Кстати, почему в опросе этот пункт отсутствует?
Самое веселое, что на XP вирус не работает.
Есть доказательства?
На десятке до сих пор часть драйверов отсутствует или не работает. Например, один из самых популярных USB-UART — CH340/341SER.
Работает.
Не вводите людей в заблуждение, все прекрасно работает.
Работает, но только для оригинальных чипов, а не для китайских копий. Просто последняя версия драйвера стала проверять чип на подлинность, у вас видимо не проходит, вот и не работает. А старые дрова без проверки подлинности не имеют сертификата или вешают систему в блускрин. Так и живем)
А вы не перепутали FTDI/PL2303 с CH340/341? Последнее чисто китайский продукт, к которому есть подписанные драйвера, включая 10.
Вот я все смотрю на китайские чипы 2303 и аналогов и веселье с драйверами от 2007 года.
А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
А у нас в РФ где-нибудь в рознице кто-нибудь видел кабели на оригинальных чипах? Всюду китайщина, по крайней мере из того что видел я у нас.
Патч был еще в марте, и на Win7 тоже https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Автообновление Windows спасает
Автообновление Windows спасает
у меня включено автообновление, но почему то не было этого патча, пришлось ставить руками, причем поиск обновлений выдает, что нет доступных.
Вот и у меня тоже самое, поиск обновлений говорит все ок, но патча нет, в ручную ставится.
И так на 3 серверах.
Как-то странно, у кого-то есть мысли почему так может быть?
И так на 3 серверах.
Как-то странно, у кого-то есть мысли почему так может быть?
Так патч и номера в статье — мартовские, а сейчас май. Обновления качества кумулятивные. Номер уже другой.
Т.е. способ проверки наличия патча, предложенный в статье, не работает?
На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).
Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?
На моей системе отсутствуют оба патча, указанных по ссылке (и security only и monthly rollout). Однако, автоматическое обновление включено, и в журнале обновлений я вижу что недавно установлено: Ежемесячный набор исправлений качества системы безопасности для систем Windows 7 на базе процессоров x64 (KB4019264), 05 2017 г. (т.е. майское обновление).
Означает-ли это, что патч, закрывающий уязвимость, у меня уже установлен? Как ещё можно в этом убедиться?
да, KB4019264 кумулятивно содержит в том числе патч smb1 по которому работает этот вирус.
А если поверх установить спец патч для SMB? Будет ли конфликт? Я кстати не знаю, как в виндах обрабатывается этот момент.
при установке обновления или патча он сам разберется что делать, так что конфликта не будет. Этот момент целиком и полностью определяется программистами при написании патча. Скажем я как программист могу решить что мой патч может доделать что либо уже за установленным патчем или может снять его и сверху накатить новую версию. В любом случае это решается не пользователем. Куча обновлений которые вы ставите являются кумулятивными, т.е. их часть гарантированно уже стоит в вашей системе и проблем у вас при установке не возникает. Так что не паримся.
Windows 7 официально поддерживается до 2020 года и уязвимость имеется не только у Windows 7.
Окончание расширенной поддержки Win7 закончится только в 2020 году, нет никакого смысла отказываться от неё. За 20 лет на виндах я усвоил простое правило: лучше ставить Windows значительно позже её релиза, чтобы систему успели привести к работоспособному состоянию, весь софт успел обновиться для её поддержки и т.п. И не забывайте о железе, поддержка которого прекращена, а потому драйверов под новую версию не будет. Так мне придётся выбросить мою звуковуху и потратить ещё тысяч 25 рублей на покупку новой, чтобы перейти на Win10.
Совершенно не факт, что придется. Отсутствие актуальных драйверов не означает обязательной неработоспособности устройства. Например, я использую на своей win10x64 1607 древнюю звуковуху M-Audio Revolution, дрова на которую есть только под Висту. И что же — все ставится и чудесно работает в десятке. Поэтому — сначала проверьте.
Причем тут семёрка? Уязвимы все версии с XP по 2016.
Мне почему-то кажется, что данный инцидент станет причиной множества нововведений в сфере контроля над интернетом в РФ… :(
Так и будет, до 12 июня надо успеть заблокировать youtube
Какая взаимосвязь? Хотя ее найти можно. Но все же.
Да. К сожалению такое возможно. Даже как по мне очень и очень вероятно.
Скорее болгенOS и антивирусы Попова.
Хорошая ОС, и вирусы интересные… Позавчера торрент скачал, кино, тыкаю на него, выскакивает предупреждение безопасности о запуске исполняемого файла. Смотрю расширение обычное, mkv, но в середине имени файла — еxe. Пытаюсь редактировать имя файла, а в нем, видимо, какой-то спец-символ юникод и текст идёт то слева направо, то справа налево, т.е. расширение как бы вовсе и не в конце оказалось. Какие ещё фокусы допускает система с именем файла, я не знаю, может гиперссылку туда вставить можно, скрипт? Или это в следующих версиях ждать?
Юникод допускается технически даже в адресах сайтов.
Неужели так трудно взять и сделать так, чтобы технически нельзя было использовать небуквенные символы юникода в адресах сайтов и в названиях файлов в файловых системах?
Неужели так трудно взять и сделать так, чтобы технически нельзя было использовать небуквенные символы юникода в адресах сайтов и в названиях файлов в файловых системах?
Технически очень сложно. Юникод запрещать нельзя, потому что домохозяйка где-нибудь в индии хочет назвать файл на родном языке. Фильтровать символы в юникоде на буквенные/небуквенные то еще развлечение.
Подозреваю, что письмо справа налево и обратно слишком часто пользуется в более арабских языках, чем наш.
вас развели как обычно )))
Старый добрый спуфинг имени файла. Достаточно создать вредоносный исполняемый файл с именем, допустим, 3pm.scr и при переименовании выбрать по ПКМ меню «Вставить управляющий символ Юникода -> RLO». Вуаля, мы получили rcs.mp3 и он всё ещё исполняемый.
Значит, программисты антивирусов зря едят свой хлеб, если анализаторы это не ловят.
Разрабы антивирусов едят свой хлеб _только_ потому что такие трюки возможны.
Классические антивирусы мало помогают в защите от троянских программ, шифрующих файлы и требующих выкуп за их расшифровку. Технически такие шифровальщики полностью или почти полностью состоят из легитимных компонентов, каждый из которых не выполняет никаких вредоносных действий сам по себе. Малварь просто объединяет их в цепочку, приводящую к плачевному результату — юзер лишается возможности работать со своими файлами, пока не расшифрует их.
Основная проблема при борьбе с классическими троянами-шифровальщиками состоит в том, что все их действия выполняются только с файлами пользователя и не затрагивают системные компоненты. Пользователю же нельзя запретить изменять и удалять свои файлы. Явных отличительных черт в поведении у качественных представителей ransomware очень мало, либо они отсутствуют вовсе. Сетевое подключение сейчас выполняет большинство программ (хотя бы для проверки обновлений), а функции шифрования встроены даже в текстовые редакторы.
Не получится запретить доступ к документам. Не получится запретить запуск [url=https://www.gnupg.org/]gpg.exe[/url] — это полностью легитимная утилита. И так далее. Только строго ограничить список директорий, откуда могут запускаться программы. Никаких %Temp% (да, придётся снимать запрет на время установки нужных программ и обновлений%, никуда не денешься), %Desktop% и т. п.
В принципе, частичное решение возможно. Я про такое писал, только на примере GNU/Linux
https://habrahabr.ru/post/113143/
И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
https://habrahabr.ru/post/113143/
И, насколько я знаю, то ли в Snappy, то ли в AppImage уже делают именно так: специальный механизм, который настраивает работу контейнера так, чтобы приложению внутри были доступны только те файлы, которые пользователь явно открыл. Конечно, одно только это всей проблемы не решает и, если пользователь установит левое ПО с полными правами доступа ко всему (например, ПО для бекапа нужны права ко всем файлам), то порча данных возможна. Но очень многие вектора атаки таким способом отсекаются, какой-нибудь заражённый документ Word сможет испортить только самого себя.
Символ Юникода RLO
http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
http://pikabu.ru/story/mozhno_li_verit_svoim_glazam_3619804
хабраэфект положил сайт со статьей :)
добавлю информацию в статью
Патч от 28 марта? Сегодня вроде уже середина мая. Этот шифровальщик уже так давно бушует чтоли?
Охохо, вот это я вовремя подсуетился.
А для Windows XP и патча теперь не будет.
А еще для 95/98/2000.
Для XP выпускаются апдейты если что. Их просто нужно включить
http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hack
http://www.expertreviews.co.uk/software/8089/how-to-get-new-windows-xp-updates-for-free-until-2019-with-a-registry-hack
Только для х32, на х64 обновления закончились вместе с 2003 сервером ((
вроде и для x64 есть http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Да, уже установил, отлично.
А что с Win2000, не знаете? Я, конечно, закрыл 135 и 445, проверил компоненты системы на наличие SMB — пусто.
По хорошему, конечно, пора закапывать.
Можно поинтересоваться, почему вы все ещё пользуетесь ею?
Можно поинтересоваться, почему вы все ещё пользуетесь ею?
Конечно, пора. Обслуживаем АСКУЭ, у заказчика стоят старенькие УСПД на железе Advantech с 2000 виндой на борту. Для опроса имеющегося количества счетчиков их хватает. Если обновлять — то только с железом, что выйдет не очень дешево, плюс имеются тонкости построения самой АСКУЭ. Хотя, пожалуй, подниму еще раз вопрос об этом.
Пишут, что выпустили спец-update для Windows XP, Windows 8 и Windows Server 2003:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Удивительно, но Microsoft сделала обновления и для нее, вот офлайн установщик обновления. Обновление вышло в том числе для Windows XP, Windows XP x64 Edition, Windows Server 2003 и Windows Vista.
На ХР до сих пор выпускаются обновления и все уязвимости закрываются как и, например, на семерке.
Это всё из-за того, что люди не предохраняются от открытых виндовых портов в инет. И пофиг, какая версия — эта проблема ещё с 98й как минимум существует в разных проявлениях. Апдейты винды не панацея.
А какой рецепт для среднестатичного пользователя?
Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.
Я пока использую Agnitum Outpost, но в связи с его кончиной в недрах яндекса на что переходить абсолютно непонятно. Всё хочу поробовать Windows Firewall Control, но никак руки не доходят. Использовать же монстрообразные комбайны как-то не хочется.
Comodo (CIS). Использую только файрвол. Мне на Win7 x64 хватает версии 5.10, как самой стабильной и нетребовательной к ресурсам.
Не нужны никакие комбайны. Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.
А если SMB протокол в принципе не нужен, то можно удалить (либо отключить для отдельного сетевого подключения) «Общий доступ к файлам и принтерам сетей Microsoft» и «Клиент для сетей Microsoft» из сетевого подключения и решить проблему на корню.
Еще с Windows 7 сетевое подключение можно обозначить как принадлежащее «общественной сети» и все порты автоматически закроются встроенным фаерволлом, так же заблокируются ответы на ICMP.
В статье я писал, что виндовый фаервол не защитил windows от данной атаки, даже несмотря на то что сеть была помечена как "общественная"
А есть новости, как эта штука за NAT пробирается? И насколько я понял 100% защита от неё — это только патч от MS?
Но nmap выдал открытые порты. Фаервол был открыт.
Ведется массовая атака криптором Wana decrypt0r 2.0