3119

Ссылки на обновления Microsoft (MS17-010) от уязвимостей, эксплуатируемых Wana Decrypt0r

Каталог обновлений Microsoft под наплывом желающих сейчас очень плохо выдаёт ссылки, поэтому решил потратить время и поделиться ссылками сюда


Windows XP: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Vista x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Vista x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x86: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 7 x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2008 R2: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows 8 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 8.1 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows Server 2012 R2: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1511) x64: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x86: http://download.windowsupdate.com/c/msdownload/update/softwa...

Windows 10 (1607) x64: http://download.windowsupdate.com/d/msdownload/update/softwa...

Windows Server 2016: http://download.windowsupdate.com/d/msdownload/update/softwa...


upd:

Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...

Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...


Вирус распространяется через 445 порт (его использует samba, служба доступа к файлам), эксплуатирует уязвимость в SMBv1 протоколе (эту устаревшую версию можно отключить отдельно: https://support.microsoft.com/en-us/help/2696547/how-to-enab...).


Подвержены опасности компьютеры, напрямую подключенные к интернету (без NAT/firewall), также есть случаи заражения через UPnP конечных компьютеров (пользователь заходит на зараженный сайт/скачивает вирус, тот пробрасывает 445 порт на этот компьютер, заражает компьютер, затем распространяется тем же методом по локальной сети). Буду рад различным тех. подробностям в комментариях, в том числе актуальной информации о реакции антивирусов.


Делайте бэкапы, недоступные через сеть или интернет простыми способами!

Придумав способ резервного копирования, спросите себя: как может мой бэкап пострадать, какие у моего способа уязвимости? Если есть хитрожопый злоумышленник, как он смог бы лишить меня моих данных?

Дубликаты не найдены

650 комментариев

по актуальности
+49

Цитируя хабр:

Исследователи из Cisco Umbrella первыми заметили запросы к домену-выключателю (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), которые начались в 07:24 UTC, а всего через 10 часов количество запросов уже превышало 1400 в час.

Доменное имя выглядит, как составленное человеком, так как большинство символов находятся на соседних рядах клавиатуры.

Этот домен можно назвать выключателем, исходя из его роли в выполнении зловреда.

раскрыть ветку 31
+40
Таки да, зарегистрировавший домен человек сообщил о десятках тысяч обращений к нему.

Неожиданно появилось временное окно, чтобы сисадмины срочно смогли все поменять, так как шифровальщик не запускается при существовании этого домена.

Тяжелые у кого-то выдались выходные :'(
раскрыть ветку 20
+31
Если криптор и дальше продолжит использовать подобный способ остановки, то я думаю через пару дней всё сойдёт на нет. Хотя есть вероятность, что авторы уже сушат вёсла и считают деньги.
раскрыть ветку 18
-4

только у людей которые считают что апдейты для лохов, у меня этот апдейт был установлен еще в апреле

+7

Интересно, что касперыч блочит переход по этому домену и получается, не даст шифровальщику выключиться. Хотя, может там другой протокол или порт юзается, отличный от 80, либо каспер уже научился детектить вирус и это больше необязательно.

раскрыть ветку 3
+1

Возможно, просто в базы автоматом попадают все домены, на которые обращается сэмпл.

раскрыть ветку 1
0

Правильно делает - а то не будут антивирь покупать )

0

а винду под этим вирусом можно поменять? не блочит?

раскрыть ветку 5
+1

можно но на новой винде он опять шифрует по слухам, только полный формат харда тогда да, всё в норме. но и вся инфа будет стёрта.

раскрыть ветку 4
+243

скачал обновление на  семёрку 64,по ссылке,установилось.И всё.Система улетела напрочь.Даже в защищённом режиме не грузиться.Сижу переустанавливаю систему.

Охренительно, я худею дорогая редакция

раскрыть ветку 164
+87
По крайней мере на Win7 x64 точно не ставьте. У меня такая же хрень.
раскрыть ветку 90
+69
На трех win7 x64 поставил, все окей.
раскрыть ветку 28
+38

Рекомендую сменить "левый" активатор, это очень распространённая проблема на криво сломанных пиратках. В гугле "windows 7 синий экран после обновления" - куча сайтов и форумов на эту тему.

раскрыть ветку 33
+8

Вот что вылезло у меня

Иллюстрация к комментарию
раскрыть ветку 7
+16

Антивирус заинтересовался этим обновлением раньше меня.

Иллюстрация к комментарию
раскрыть ветку 11
+2

встало норм. Рекомендую делать точку восстановления перед установкой

+1

Прочитал,офуел,решил не ставить,что за херня с 7?

раскрыть ветку 2
+1
Только что поставил на Win7 x64. Всё работает.
раскрыть ветку 1
+1

Во,во и я про тоже

+16

Это старая тема, как я понял на платформах АМД. Заведи себе загрузочную флешку. Что-бы не переустанавливать систему, можно с загрузочной флешки зайти в восстановление системы и там с командной строки DISM в помощь.


Если под рукой имеется только загрузочный/установочный диск с Windows 7/8, необходимо:

Загрузится с него, открыть командную строку и выполнить команду:

DISM /Image:D:\ /Get-Packages, где D – буква диска, на котором установлена система (скорее всего она будет отличаться от назначенных в системе, определить ее можно по этой методике).

Найдите и скопируйте имя пакета, начинающееся с Package_for_KB2859537… например, Package_for_KB2859537~31af3253ad364e34~x86~~6.1.1.0)

Удалите обновление с помощью DISM:

DISM /Image:D:\ /Remove-Package /PackageName:Package_for_KB2859537~31af3253ad364e34~x86~~6.1.1.0

После удаления апдейте перезагрузите систему, попробуйте загрузиться в нормальном режиме и убедитесь, что KB2859537 отсутствует в списке установленных обновлений в панели управления.

раскрыть ветку 18
+15

Только не 2859537, а то которое он сейчас поставил.

Проблема не с AMD связана, а с активатором винды (который загрузчик подменяет)

раскрыть ветку 10
+1

Спасибо)) воспользовался Вашим советом 3 шутки таких притянули)) в сервис

раскрыть ветку 1
0
Ребят, помогайте, слетел активатор, пытаюсь сделать через командную строку как было написано в комментариях выше dism выдает ошибку 87, пытался удалить обновление через MSDART, а он не видит винду, то есть меню с исправлением не активно и пишет "требуется поддерживаемая автономная операционная система". Заранее спасибо!
раскрыть ветку 1
0

у меня амд, всё в норме

0
Спасибо!
0

Увы и ах.И платформа интел и востановление не помогло.Просто плюнул и переустановил.Данные всё равно сохранились,ну а программы это так бытовые мелочи

+5

Поторопился) Проблема широко известная, через командную строку можно было как минимум удалить обновление - сам вчера так извращался. Впрочем, если не было второго компа, чтобы нагуглить решение...

раскрыть ветку 9
+3

Можно было бы нагуглить через телефон. 21 век всё-таки.

раскрыть ветку 2
+1

Так со второго и пишу,но умная мысля приходит опосля

0

А напиши как?

раскрыть ветку 4
+3

Тоже устанавливал, хотел даже зарегистрироваться на пикабу чтобы написать гневный комент, через безопасный загрузился удалил последнее обновление щас все нормально.

+2

Вирус шифровальшик столько бы не наворотил скок эта обнова, интересно сколько нас таких сейчас с пивком кто винду переставляет?

+2
Да уж, пиздец тоже словил гемморой. Как решить теперь эту проблему?
+2

Версию сборки очень важно правильную подобрать было. Точка восстановления системы должна помочь, если Вы её не отключали конечно

раскрыть ветку 6
+2

Конечно же отключали. Ведь падают с такой проблемой только говнасборки с вшитым активатором.

раскрыть ветку 5
+1
Черт, сперва поставил, потом прочитал твой коммент, сижу с мобилы =\
UPD: Восстановление с флешки помогло)
раскрыть ветку 1
0

Да уж, я сегодня как в русскую рулетку играл. Винду еще в далеком 2012ом установил. С тех пор никаких обновлений,версия вроде как от m0nkrus. И хоть убей, не помнил, какой же активатор монк там использовал. Эмпирическим путем выяснил, что кмс :/

Благо, стандартное восстановление системы все исправило, только вот каспер и все браузеры послетали к чертям, но это мелочи.

+1

Вирус от майков

0
Тоже была проблема с вылетом системы. Помогла загрузочная флешка, через нее пытаясь восстановить систему столкнулся все с тем же экраном, но после через встроенный в оболочку флешки Тотал Командер, зашел в папку с дистрибутивом обновления и снес вручную его к херам. Пытался найти в реестре от него хвосты, потом плюнул, перезагрузил и винда стартанула. Еще почему-то командная строка не хотела выполнять мои команды, может руки кривые =) Но восстоновление прошло. Я был горд собой, в 2 часа ночи=) а начал я ибстись с компом в 7 вечера)
0

win7 x64 поставил - работает

Иллюстрация к комментарию
0

Как удалить обновление kb4012212 без перестановки системы

http://450505.ru/не-загружается-windows-перезагрузка-kb3045999в/

0

ну спасибо редакции и тем кто нагнал жути!
в шапке можно было указать на всякий случай, что при некоторых условиях винде может быть жопа!!! дабы защитить пользователей (особенно впечатлительных) спасающихся от халеры. так что этот пост некоторым нанёс только вред!
я лично проверил все ли порты закрыты и срать на обнову, потом ещё с бубном плясать воскрешая её или переустанавливая.

0

Мне помогла точка восстановления, а так тоже не запускалась винда, тупо бутлуп.

0

по этой же причине зарекся обновлять свою семерку
хватило 2х раз((

раскрыть ветку 1
0

Обновления крашат винду по чаще вирусов! ну их нахрен!

0
Плюс один.
0

спасибо что предупредил, не буду ставить.

0

Не знаю пошутил ты или нет, но я увидел коммент во время запуска установки и запаниковав тыкнул перезагрузку. Система не пострадала (хрен знает могла ли пострадать), но вот ворд фаил открытый на тот момент пострадал, печаль.

Если ты тролль, то успешный.

раскрыть ветку 1
0

Если бы шутки,но увы.Кстати посмотри коменты,если и тролли,что то их много здесь собралось

0
Пиратка?
раскрыть ветку 18
+22

Отвечу за него: пиратка, криво сломанная. Это известная проблема, решается правильным активатором. В гугле "windows 7 синий экран после обновления" тысячи таких же.

раскрыть ветку 16
+2

да понятное дело, автор уже описал проблему с активатором. Прост первым комментом надо было написать АХТУНГ - пиратам не ставить, а то абордажный лом получили любители халявки.

-2

Пятнадцать человек на сундук мертвеца, йо-хо-хо и бутылка рома!

+92

Вытащил из компа съёмный жесткий с порнухой и всеми файлами. Теперь я в полной безопасности.

раскрыть ветку 11
+66
Не ты в безопасности, а твоя порнуха. Небось, с твоих запасов в случае чего порнохаб можно будет восстановить?
раскрыть ветку 10
+21

На компе ничего ценного нет. Если что, просто снесу винду и буду жить с чистого листа.

Не весь конечно, но что-то можно будет восстановить.

Иллюстрация к комментарию
раскрыть ветку 9
+21

@moderator, не могли бы вы помочь добавить в пост ссылки? Нету кнопки "редактировать".


Windows XP x64: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/win...

Windows Server 2003 x86: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

Windows Server 2003 x64: http://download.windowsupdate.com/c/csa/csa/secu/2017/02/win...

раскрыть ветку 20
+17

где в сети не надо шароёбиться чтобы не подцепить вирус? на пикабу меня не заразят?

раскрыть ветку 9
+32

нахуй вы тут кому-то нужны?

раскрыть ветку 1
0

#comment_87302107

Пишут, что достаточно быть подключнным к интеренету. Шароёбиться нигде не надо.

раскрыть ветку 5
0
Тут реклама присутствует, так что хз.
+12

Обновил пост. Спасибо.

раскрыть ветку 5
+12

Вам спасибо!

+1

Вам выдали клавиатуры?

раскрыть ветку 3
-3

скажите пожалуйста, если у меня XP SP3 x32, стоит опасаться этой гадости, или тут эта дыра отсутствует? И да, я в курсе, что в 2к17 сидеть на xp глупо.

раскрыть ветку 3
+2

бегом ставить обнову.

раскрыть ветку 2
+12

UPD6: Нашелся интересный изъян в коде:



Распространение вируса-вымогателя WannaCrypt удалось приостановить, зерегистрировав домен iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.


Специалист по безопасности, который ведет твиттер @MalwareTechBlog, обнаружил, что вирус зачем-то обращается к этому домену и решил зарегистрировать его, чтобы следить за активностью программы.



Как выяснилось потом, в коде вируса говорилось, что если обращение к этому домену успешно, то заражение следует прекратить; если нет, то продолжать. Сразу после регистрации домена, к нему пришли десятки тысяч запросов.



Вирус-вымогатель начал распространяться 12 мая. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.


Регистрация вышеупомянутого домена не помогла тем, кто уже был заражен, но дала время другим установить обновление Windows, после которого вирус не работает.

раскрыть ветку 5
+11
Тут видно https://intel.malwaretech.com/WannaCrypt.html

прекрасно распространяется, может и не так активно.

раскрыть ветку 4
+4

А как они блядь отслеживают то?

раскрыть ветку 3
+17

На 2003 сервер не завезли?

раскрыть ветку 29
+21

Да, XP получает обновления потому что ещё не закончилась поддержка POS-терминалов на базе XP Embedded, от которой подходит большинство обновлений к обычной XP.

Остались без обновлений:

XP x64

2003 x86

2003 x64

2003 R2 x86

2003 R2 x64

раскрыть ветку 23
+10
Здасьте приехали!
Смотреть ссылки под спойлером
https://forum.kasperskyclub.ru/index.php?showtopic=55543
раскрыть ветку 2
+5

MS выкатила обнову для старых систем, ХР и WS2003R2,  подсуетились крч.

+2

а не подскажете что делать - пишет "обновление не применимо к данному компьютеру" win 7 64 у меня стоит. ставила и на х64 и на х86 - не ставится.(

раскрыть ветку 4
+1
0

А если Windows 7 лицензионная, то обновление должно автоматом через "Центр обновления" прилететь?

раскрыть ветку 2
0

апдейт XP требует SP3.
старенький ноут с XP SP2 на котором DiabloII теперь можно выкидывать в помойку?

0

скажи, а если файлы в архиве с паролем, он тоже зашифруется?

раскрыть ветку 7
0

у меня 8,1 х64 не может поставить обновление, по всей видимости от того что очень давно не обновлялся ибо пиратка

может кто знает от каких обновлений зависит kb4012213 и kb4012216  ?

+5

Ссылки на английские версии Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer...

+2

Извините что здесь - последние обновления http://www.catalog.update.microsoft.com/search.aspx?q=401259...

раскрыть ветку 2
-4

Пусть на минусах сорвусь,но я давно говорю о бэках! пусть минусят, но я заработаю на Вас лохах кто не верил! ВинЧих вспомните!!!

раскрыть ветку 1
+6

качнул для 8.1, пропал интернет
пришлось обратно удалять (
винда лиц

раскрыть ветку 5
+1

upd
как оказалось дело в брандмауэре антивируса, написал в поддержку, жду

-1

Если винда лицензионная, то чего париться? Просто поставь все обновления из центра обновлений. И вообще, стоит включить автоматическое обновление. Фикс пришел еще в марте, 2 месяца назад.

раскрыть ветку 3