2757
Может ли вас заразить WannaCry (если у вас Windows)? И как защититься
317 Комментариев  

Вирус проникает самостоятельно через порт 445.


http://canyouseeme.org/ - введите в Port to Check : 445 и нажмите Check Port


если в ответ появилось сообщение: "Error: I could not see your service on xx.xxx.xx.xx on port (445)

Reason: Connection timed out" --> все в порядке.  вчерашняя напасть к вам не залезет


если же порт открыт, то тогда 2 варианта:


1) скачать установить https://technet.microsoft.com/en-us/library/security/ms17-01...


или


2) Открыть Control Panel,  кликнуть  на Programs, а потом на Turn Windows features on or off,  в окошке Windows Features отключить the SMB1.0/CIFS File Sharing Support  и кликнуть OK. После этого перегрузить комп

+129
 alexnn123 отправлено

@moderator

Этот пост не баян. Оригинальность:


1) простая инструкция как понять вы под угрозой или нет

2) простая инструкция как поставить защиту, даже на "неофициальную" винду

+30
 OLEGxUSSR отправил

Большое спасибо тебе, @alexnn123, самый нужный пост из всех за сегодня!!! - проверил и успокоился!! Было бы 1000 плюсиков, поставил бы 1000!!!!!

+17
 alexnn123 отправлено

спасибо. я тоже рад, что кому-то пригодилось

+55
 moderator отправил

Здравствуйте. Приношу свои извинения, пост восстановлен.

+59
 alexnn123 отправлено

спасибо! цель поста: помочь пользователям, которые с компом на Вы

раскрыть ветвь 4
0
chernobyl отправил

Как же часто последние дни я вижу такие извинения от модераторов.

Просто мда.

+1
 Takedzo отправил

Спасибо друг, теперь я спокоен  и не волнуюсь насчет вируса)

0
 Eugeneios отправил

Reason: No route to host
это что значит?

+86
 maseal отправил

При подключении просто через роутер заразиться этой веруснёй маловероятно - я даже и не знаю, открывает ли кто-то на роутере 445 порт, чтобы сделать по нему port-forward на свою машину.

+53
 dlumv отправлено

причем роутеры сейчас благодаря "выгодным акциям" провайдеров и моде на смартфоны и планшеты, есть практически везде. Сейчас мало кто втыкается напрямую)

+163
 maseal отправил

Основная группа риска для этой атаки - пользователи Windows XP, которые цепляются к сети напрямую. Вроде как к XP нету патчей, прикрывающих эту дыру.

Из параноидального: А что если эта атака - очередная попытка микрософт побыстрее перевести всех на Win10?

раскрыть ветвь 75
0
 livenok отправил

чем плохо подключение через роутер?

раскрыть ветвь 1
0
MegaPlusator3000 отправлено
Простите мою неосведомлённость.
Но что такое "втыкается напрямую"? Хоть убей не понимаю...
Вот. У меня интернет подключен по
Отправлено с подъезда -> "модем" от провайдера Хуавей hg8245 ->кабель/вифи -> ноут
А как без модема(он же роутер) можно подключится? Или есть модемы, которые исключительно модемы и поднять локалку невозможно с помощью него?
раскрыть ветвь 8
+10
 SirDarkWolf отправил
Аналогично... Зашёл сказать спасибо моему роутеру :)
+3
dzubeikibagami отправлено

А с учётом того, что ты сидишь за провайдерским роутером с NAT, то это вообще странно выглядит

+1
 maseal отправил

Многие провайдеры без NAT-а работают

раскрыть ветвь 6
+2
Boomki отправлено
Да даже если и нет роутера или проброшен порт, нужено внешний белый ип, которого нет у 99,99% людей, а те у кого есть не идиоты и для них эта инструкция несет примерно такой же смысл как "чтобы узнать цвет неба выйдите на улицу и посмотрите наверх"
+1
 morohon отправлено

Тестировал недавно на своем компе удаленную самбу и открывал этот порт на роутере. Видать вовремя закрыл

0
oooluk отправлено

Сам атакующий это сделать может. Некоторые роутерами извне можно управлять через их дырки.

0
 HAYZRO отправлено

Если планируешь использовать самбу для лично пользования, то лучше всего использовать какой-то нестандартный порт, а про стандартные забыть полностью.

0
vhruk отправлено

Некоторые люди настроили vpn.

Многие из них настроили его не понимая.

Плюс к этому есть специальные дыры типа тередо.

0
 BalanarNL отправлено

Ну для самбы конечно открывают.

+18
 Ghost1988 отправил

Открываем командную строку cmd.exe от имени администратора. Вводим "dism /online /norestart /disable-feature /featurename:SMB1Protocol" Profit!

Данной командой Вы отключаете поддержку протокола smb первой версии.

+9
superneo отправил

Извините, я совсем нубас в этой темы, а если ли какие-то отрицательные эффекта отключения этого протокола?)

+3
 Ghost1988 отправил
В сети есть старый комп или сервер под управлением winXP или windows 2003 server?
0
 Ghost1988 отправил

https://www.youtube.com/watch?v=TVIhXwFJXMg&feature=youtu.be поставь файрволл и забудь все как страшный сон

+3
 uglykoyote отправил

Win 7:


Имя компонента "SMB1Protocol" неизвестно.
Имя компонента Windows не распознано.

Я через реестр "бахнул" этот протокол

+2
 Valker отправил

будьте добры путь в реестре дайте =)

раскрыть ветвь 8
0
 Ghost1988 отправил
раскрыть ветвь 8
0
LekhaRyzhiy отправлено

пишет- системе не удаётся найти указанный путь :) наверно уже всё отключено

0
 240ob отправил

на 8.1 полет нормальный

0
 BorisTheAnimal отправил

благодарствую мил. человек

+55
 tale4ka отправила
Что за порт?Где он?Для чего он?
То неловкое чувство,когда написали для тех "кто с компьютером на Вы",но ты знатный слоупок...
+9
Flid отправлено
Порт - это из сетевой терминалогии. Просто чиселка, и сетевые запросы по этому порту твой комп может обслуживать или нет. Вот в статье указан сайт, который позволяет это проверить. Если обслуживает - ты в зоне риска
+2
 tale4ka отправила
Спасибо тебе,добрый человек)
+1
Yasenka1 отправлено

Вот и я сижу, думаю, надо проверить а надо ли, и как? ни че не поняла

ещё комментарии
+6
 cnpaBeDLuBeU отправлено

Кто-нить с картинками запилите вот этот пункт: Открыть Control Panel, кликнуть на Programs, а потом на Turn Windows features on or off, в окошке Windows Features отключить the SMB1.0/CIFS File Sharing Support и кликнуть OK.


Я не ебу, где в обычной русской семерке эти папки. Может просто адски туплю на фоне паники. Но пока просто помогите.

+3
 K480GU отправлено
+8
 honeyOney отправила

Если у меня написано "Reason: Connection refused", а не "Connection timed out" - все в порядке? @alexnn123

+8
 alexnn123 отправлено

да. все ок. порт закрыт

+1
 honeyOney отправила

спасибо)

+4
 Charg отправил

С портом бред. Многие, если не все, сидят за натом, соответственно сайт видит только внешний айпи и там порт практически всегда будет закрыт (а если нет то у провайдера\работодателя работают имбецилы).

А если зараза проникла в локалку (а делает она это не через открытый порт) - открытый или нет порт нужно смотреть на интерфейсе внутри сети, и вот там то он будет открыт практически гарантированно.

-4
WhoIsMrMe отправил
Сайт тут как бы не при чем, есть такая вещь, как UPnP, когда роутер считает что простым пользователям нечего заморачиваться с портами и сам открывает порты для программ, которые его об этом просят, в данном случае smb
+2
trarantino отправлено

С каких пор SMB умеет в UPnP?

+4
Programmer74 отправлено

Так ведь очень много людей сидят за NATом провайдера, и этот порт наружу просто так не может быть открыт?

+3
 romka136 отправил

Пора запускать SkyNet.

+3
elmehenic отправлено
Что за напасть такая
+3
 alexnn123 отправлено
0
Tatusha2008 отправлено
У меня хр на стареньком компе. Последние два дня в сеть не выходила. Вирус еще активный? Его через что подхватывают?
раскрыть ветвь 1
+2
 Egres отправил

Сколько постов на пикабу на эту тему и во всех ТС влом написать, что если у вас обновляемая винда (купленная, или грамотно сломанная) - можете вообще не напрягаться. Дыра была заткнута в очередном обновлении пару месяцев назад. В итоге куча народу дёргается зря.

+2
 Dreizehnt отправил
У меня ручной Амиго есть, он загрызёт нахер другие вирусы.
+2
vakikrin отправлено

Что по линиксу??

+2
GKononov отправил

Error: I could not see your service on 31.44.63.124 on port (445)

Reason: Connection refused
Это тоже нормально?

+19
LisaLisaLisaLisa отправила

Ты из Рязани

+1
 SerFEL отправил

Нормально, хоть ответ уже дан, скажу. Звездочки в посте (**.**.**.**) просто заменяли цифры, которые называются ip. Усе.

0
 mcrza отправил

нормально

0
GKononov отправил

Спасибо

+1
Masiasupir отправлено
Этот сайт ничего не даст, он покажет правильный результат если по порту текут данные
+1
 AeronLi отправил
Проверился:


Win 10 x64 Corp 1607 (честно купленная в Польше) + автообновления + Agnitum Firewall (честно купленный в свое время).


Спасибо за пост!

+1
 AeronLi отправил

В прошлом посту оказывается соврал. Пока я тупил, винда уже обновилась до 14393 билда...

+1
 MihuilO отправил
Спасибо! Проверил и успокоился!
+1
AnderSun отправил

а если 7 винда нелицензионная?

+6
 alexnn123 отправлено

именно поэтому я написал пост и способ 2)  (как защититься без скачивания обновления)


"Открыть Control Panel, кликнуть на Programs, а потом на Turn Windows features on or off, в окошке Windows Features отключить the SMB1.0/CIFS File Sharing Support и кликнуть OK. После этого перегрузить комп"

+5
 zhekaskates отправлено

А если у меня нет такого пункта? о_О

раскрыть ветвь 27
+2
 smljke отправил

А что, если такого даже нет? Оо

the SMB1.0/CIFS File Sharing Support

Вообще не нашел в списке. Панель управления > Программы > Программы и компоненты (Включение и выключение компонентов Windows). Правильно зашел?

+2
AnderSun отправил

благодарю!

+1
 Raylite отправила

не наблюдаю) меня это обойдет стороной?)

0
 kar1kam1 отправлено

я так понял при отключении SMB1.0/CIFS File Sharing Support с виндовыми шарами внутри сети можно попрощаться? т.е отключить SMB1.0 оставив SMB2.0 и SMB3.0 нельзя?

0
TegraNe отправлено

А что делать, если нет ни одного пункта, где упоминается SMB1.0/CIFS?

0
 Trearey отправил
У меня не лицензия, но пишет

I could not see your service on 3X.XXX.XXX.XXX on port (445)

Reason: Connection timed out

Норм?

раскрыть ветвь 1
+2
bybligum отправил

ставишь обновления от simplix пакетом. Там убрано всё лишнее, ставятся только самые нужные обновы.и живешь себе спокойно

+1
Gansserov отправил

Винда пиратская, поставил это обновление спокойно. Кряк не слетел. Также на всякий пожарный установил все остальные обновления безопасности для винды через центр обновления (обновления самой винды не ставил). С кряком все в порядке.

0
AnderSun отправил

отлично.благодарю за отзыв.

+1
Bandicoote отправлено

Автор я не понял что нужно скачать и установить, по твоей ссылке стена текста,а куда жать то чтобы скачать

+1
Korsika отправлено

В списке находишь свою версию винды и скачиваешь.

+1
 LittleBobby отправил

Error: I could not see your service on 31.******* on port (445)

Reason: Connection timed out

Это как переводится? У меня все норм?

за зюхелем сижу.

+2
 alexnn123 отправлено

да. все хорошо. вирусы(например вчерашний WannaCry) которые влазят через порт 445 к вам  не попадут

+1
 LittleBobby отправил

да у меня по любому порту такое выдает. Даже 80-ый порт.

раскрыть ветвь 4
0
 Furfurka отправил

А если так. То норм?
Error: I could not see your service on ххх.ххх.ххх.ххх on port (445)

Reason: Network is unreachable

раскрыть ветвь 1
0
 Reall отправил

дружище подскажи, вот отключил я эту штуку в компонентах виндоус. после этого сайт с помощью которого можно проверить порт 445 все равно пигет Success: I can see your service on, так должно быть????

0
 AragornKenobi отправил

А если написано почти все тоже, но Reason: Connection refused ?
Вроде и еррор, но причина другая

раскрыть ветвь 1
0
 MadDadOwl отправил

Спасибо!

0
dude2012 отправлено

Кстати, если кого-то еще интересует: как проверить, есть ли на компах сети необходимая защита или обновления от WannaCry

http://www.10-strike.com/rus/blog/na-kakih-kompyuterah-net-obnovleniy-ot-wanna-cry/

https://sysadminblog.ru/microsoft/2017/05/17/kak-proverit-kakie-kompyutery-v-seti-uyazvimy-k-wannacry-wcry.html

0
Amply отправлено

Подскажите, почему после выключения в компонентах поддержки SMB/CIFS переставало работать подключение к сетевому диску с помощью net use, пока не включишь этот компонент обратно?

0
Nikolaus74 отправлено

@alexnn123, также можно удалить порт через реестр, в интернете нашёл

0
allyn отправлено

Сайт по крайней мере не обманывает. Сижу через роутер с выключенным UPnP. Включил для проверки и запустил торрент, чекнул порт торрента - показало что открыт, отключил UPnP - Connection timed out.


https://pp.userapi.com/c638520/v638520641/34a54/kviIQB1XXbQ.jpg

https://pp.userapi.com/c638520/v638520641/34a4b/yTWRsqAgHdc.jpg

https://pp.userapi.com/c638520/v638520641/34a5b/zgZaHKl19pc.jpg

0
 imayk отправлено
Спасибо
0
MalikVrn отправил

Не обновлял винду года полтора, автоматические обновления отключены, по ссылке говорят что я защищен.

0
khafiz6549 отправил

Error: I could not see your service on *********** on port (80)

Reason: Connection refused это норм?

0
PicsabaMenj отправлено

Нет, ты не тот порт проверяешь. Вместо 80 впиши 445.

-1
khafiz6549 отправил

благодарю, все норм)

0
piratovi отправлено

А я просто просканировал свою сетку nmap'ом на наличие открытых 445.

0
 SouthernLinda отправила

Спасибо!

0
40usov отправлено
На английском, это понты или лень своё выложить?)
0
Yasenka1 отправлено

Я не поняла ни чего, Сделала как в посте, судя по комментам у меня все в порядке. Надеюсь что так и есть, потому как повторюсь, вообще ни чего не поняла , шаманство какое то для меня :)

0
 mrakobeq отправил
Данная проверка актуальна только для людей у которых есть:
1. белый IP, а это единицы
2. Либо на роутере есть пробросить портов, а по умолчанию он выключен либо компьютер подключен напрямую
0
 eliztriad отправлено
У меня знакомый уже подхватил эту заразу, вопрос такой как расшифровать то что уже пострадало?
0
 IrisKi отправила

Деньгу платить.

+2
 eliztriad отправлено

Отвечаю чтобы некоторые не подумали что ваш ответ - это действительно стоящий совет.
(всегда ваш капитан)


Извините но нужно быть конченым идиотом чтобы слать кому то биткоины и надеяться что вам пришлют ключ шифрования который может быть вполне не уникальным, что буквально вылечит все компы, либо вообще создается случайно что вероятнее всего и эти ключи могут вообще не высылаться автору (нахер оно ему нужно если ваши деньги уже у него), или что ещё лучше шифруется часть файла что делает их одновременно не читаемым и значительно ускоряет шифрование кучи данных, это кстати объясняет скорость с которой происходит всё это дерьмо.
У эксплоита огромная поражающая способность, и скорость работы что даёт ему в минимальный срок заразить максимум оборудования, + обратный отсчёт времени что ещё сильнее психологически давит на пострадавшего. Из этого можно сделать вывод что автор хочет быстро срубить бабла с максимально возможного количества людей пока лавочку не прикрыли и высылать ключи он всем им явно не собирается.

Но это можно было понять и без глубокого анализа, достаточно придерживаться простого правила, если вы видите что в интернете с вас срочно требуют деньги - вас пытаются наебать :)

0
MblBaLLLeKpyTble отправлено

Написало Error и далее, как в посте. Т.е., можно сказать "Еее, бич!" или нет?

0
api14 отправлено
Глупый вопрос ,но, если я комп 2 дня не включала все норм будет?) А то как то уже страшно
0
 eliztriad отправлено
Этот может произойти даже если вы год комп не включали, какая разница, эксплоит то орудует сейчас
0
conroex2 отправлено

я своим клиентам на коммутаторах закрываю 445 порт, все довольны все впорядке

0
 Kiboune отправил

хм, а у меня

Error: I could not see your service on (айпи) on port (445)

Reason: No route to host

0
proXBOCT отправил

Точно такое же сообщение (Win7 Максимальная SP1). Подскажите пожалуйста - это значит порт 445 закрыт и ПК в безопасности?

0
 Kiboune отправил
Я бы сам хотел знать
раскрыть ветвь 1
0
RoMsTeIn отправил

А если отключил и SMB1.0 через Компоненты Windows, и через командную строку отключил этот протокол, а сайт из поста все равно показывает, что порт открыт - это нормально?

0
shalaginov отправлено

Такая же хрень,ставил обнову,вырубал через реестр,ком.строку и заблочил в брэндмауре и все равно показывает,что открыт.

0
 K480GU отправлено

Я тоже полностью отключил протокол SMB, сначала через локальное подключение удалил этот протокол и подключение к принтерам, потом через реестр и консоль. Все нормально.

раскрыть ветвь 1
0
 robber1992 отправил
А для MacOS этот вирус опасен?
+1
DimonSA отправил

Нет, рассчитан только на Windows

0
 Rarna отправлено

А как понять установлено у тебя нужное обновление или нет?

Или должна быть какая-то нужная версия виндовс(типа 1607 или 1703)?

+6
grinat отправлено

Если win 10 и не отключено установление апдейтов автоматически, то вообще пофиг. Заплатка на это еще в марте пришла.

0
dude2012 отправлено
Инструкция, правда, для компаний. Но и для дома подойдет.

http://www.10-strike.com/rus/blog/na-kakih-kompyuterah-net-obnovleniy-ot-wanna-cry/

0
 nekraf отправлено

Но у многих же нет внешнего IP, значит будут получать сразу error.

-1
rumanzo отправлено

Просто обновиться не вариант, да? Уязвимость была закрыта еще в марте.

+1
dude2012 отправлено

вот и я об этом неделю уже думаю. У нас сетка 200+ компов, везде автоматов обновления с заплаткой поставились месяц назад. Начал проверять - все везде пучком.

-1
w3ga отправлено

эммм...эт нормально?

-1
anpirus отправил

Пасаны, не могу найти этот SMB1.0/CIFS File Sharing Support


Проверил на сайте, пишет, что видит мой IP.

Система Windows 8.1 пиратка.

-2
juri86 отправлено
Да ну нах. Ничего делать не буду
-2
 point87 отправил

То есть получается, что если я сижу у провайдера с VPN, при этом использую роутер, и при этом операционка win 8.1  без обновлений с 14 года, то мне теоретически ничего не грозит ?

+3
 Lucipoher отправил
Впн тебя не защитит.
-2
pamperzoid отправлено
Патчить надо обязательно, потому что часто бывают волны взломов роутеров в том числе, поэтому теперь атаки будут комбинированными. Раньше на роутерах тупо днсы подменяли на вражеские.
-3
ElMarik отправлено

Ёбана рот, как затрахали нахуй. Как установить это ёбаное обновление? Как проверить, установлено ли оно? Нихуя не понятно. В журнале обновлений одни артикулы, здесь сука другие. Какие-то обновления встали, какие-то нет. Как это обновление качать с этой ссылки?
Винда - лиценз, обновляется через ценрт обновления. Значит ли это что нужное обновление стоит или не значит?
Пизда рулю, весь пикабу усыпан админами, один я, дибил, нихуя не понял.
Всё утро рабочего дня блять убил на это, даже бекап захуярил. Не могу по ссылке скачать обновление на лицензионную винду.

Ещё 17 комментариев


Пожалуйста, войдите в аккаунт или зарегистрируйтесь