BerezovskiyAnd
09.05.2017, 21:59
Итак недавно, а конкретно у меня это началось 19.04.2017, судя по логам во 2 часу ночи, с заражённой машины на сервак грузанулс вирус DOUBLEPULSAR (сейчас я уже знаю что это). Тогда я думал что меня взломали какие то бешеные хакеры и каким то невообразимым образом получили доступ к моему ПК (хотя так и было к ПК доступ получили, ненадолго :) но всё же).
И так DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США.
На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR.
В загрузке у вашего ПК должнгы быть приблизительно вот такие файлы: WINSec.exe, wuauser.exe0, secscan.exe, это не полный набор все не копировал
Удалить их можно самостоятельно, но при условии что система не зависла по полной. В безопасном режиме эта фигня не грузится
по расположенным каталогам находится в следующих местах:C:\Windows\Prefetch ; C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files
Распиловщик где то скрыт поскольку именно он при перезагрузке всё возвращает на места. В логах тишина откуда, что берётся непонятно да и времени совсем нет на изучение данной проблемы поскольку Юзера даже на клавиатуре не знаят где находится кнопка Ctrl.
Так же временно вам поможет антивирусные утилиты от различных контор я на данный момент пользуюсь этой: esetonlinescanner_rus (https://www.esetnod32.ru/download/utilities/online_scanner/)
Короче говоря если вы заражены данным вирусом: под жестким ативирусом подключаем заражённый винт к чистой системе заходим через безопасный режим или через загрузочную флэш(на которой и установлен хороший антивирус) копируем нашу базу данных 1с или что там у вас, идём в магазин покупаем новый винт ставим всё как было с 0. Старый лежит в сторонке ждёт когда общество придумает лекарство.
Сылка (http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/) на иностранный источник.
Сылка (http://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/) на форму где сейчас идёт более менее активная дискуссия на русском (с этого форума взята инфа о DOUBLEPULSAR)
Из 4 серваков читый сейчас только один на котором тупо был поменян жесткий диск и полностью перестановлена система с 0.
У тех у кого Windows Vista, 8, 10, server 2012, лицензионные естественно должны установить последнее обновления от Макрасофта и радоваться жизни.
И так DOUBLEPULSAR появился в Сети 12-го апреля 2017 года, когда произошла утечка в Сеть утилит для взлома используемых Национальным Агенством Безопасности США.
На эти утилиты тут же наложили лапы все кому не лень, и уже к 15-му апреля насчитывалось 1,951,075 серверов инфицированных Backdoor DOUBLEPULSAR.
В загрузке у вашего ПК должнгы быть приблизительно вот такие файлы: WINSec.exe, wuauser.exe0, secscan.exe, это не полный набор все не копировал
Удалить их можно самостоятельно, но при условии что система не зависла по полной. В безопасном режиме эта фигня не грузится
по расположенным каталогам находится в следующих местах:C:\Windows\Prefetch ; C:\Windows\SysWOW64\config\systemprofile\AppData\L ocal\Microsoft\Windows\Temporary Internet Files
Распиловщик где то скрыт поскольку именно он при перезагрузке всё возвращает на места. В логах тишина откуда, что берётся непонятно да и времени совсем нет на изучение данной проблемы поскольку Юзера даже на клавиатуре не знаят где находится кнопка Ctrl.
Так же временно вам поможет антивирусные утилиты от различных контор я на данный момент пользуюсь этой: esetonlinescanner_rus (https://www.esetnod32.ru/download/utilities/online_scanner/)
Короче говоря если вы заражены данным вирусом: под жестким ативирусом подключаем заражённый винт к чистой системе заходим через безопасный режим или через загрузочную флэш(на которой и установлен хороший антивирус) копируем нашу базу данных 1с или что там у вас, идём в магазин покупаем новый винт ставим всё как было с 0. Старый лежит в сторонке ждёт когда общество придумает лекарство.
Сылка (http://www.theregister.co.uk/2017/04/21/windows_hacked_nsa_shadow_brokers/) на иностранный источник.
Сылка (http://forums.playground.ru/hardware/majner_winsec_exe_msiexev_exe-934689/) на форму где сейчас идёт более менее активная дискуссия на русском (с этого форума взята инфа о DOUBLEPULSAR)
Из 4 серваков читый сейчас только один на котором тупо был поменян жесткий диск и полностью перестановлена система с 0.
У тех у кого Windows Vista, 8, 10, server 2012, лицензионные естественно должны установить последнее обновления от Макрасофта и радоваться жизни.