Уязвимость для атаки wannacry doublepulsar как исправить - Исправление недочетов и поиск решений вместе с Examum.ru

В этой статье объясняется, как решить проблему, если компонент Анализ сети программы Avast Antivirus отображает следующее предупреждение:

Уязвимость для атаки WannaCry/DoublePulsar

Это очень серьезная проблема, поэтому мы рекомендуем немедленно устранить ее.

Описание

После сканирования компонентом Анализ сети может отобразиться описанное выше предупреждение.

Вашему компьютеру угрожает опасность, поскольку на нем обнаружен хорошо известный эксплойт под названием EternalBlue, который позволяет злоумышленникам удаленно подключаться к вашему компьютеру и запускать вредоносный код.

Эксплойт EternalBlue делает ваш компьютер крайне уязвимым для удаленного захвата с помощью атаки DoublePulsar. Механизм атаки DoublePulsar предполагает незаметную установку опасной уязвимости, с помощью которой злоумышленники смогут обходить защиту ПК и незаметно получать доступ к системе. Получив доступ к вашей системе, злоумышленники могут внедрить вредоносное программное обеспечение или украсть ваши личные данные. Это означает, что ваше устройство уязвимо к другим атакам вредоносного ПО, в том числе программы-вымогателя WannaCry.

Более подробную информацию об этой проблеме можно найти в разделе Подробнее.

Решение

Чтобы удалить уязвимость DoublePulsar со своего ПК и предотвратить дальнейшие атаки вредоносного ПО, установите обновление безопасности MS17-010 для ОС Microsoft Windows, точно следуя инструкциям в соответствующем разделе ниже.

На уязвимом компьютере под управлением ОС Windows 10 выполните указанные ниже действия.

Перезагрузите ПК.
Нажмите кнопку Пуск в системе Windows, затем выберите Параметры (значок шестеренки).
Нажмите Обновление и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
Установите все доступные обновления.

Установив доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.

Если описанные выше действия по устранению неполадок не помогли, попробуйте другие решения, приведенные ниже.

Другие решения

Более подробную информацию об обновлении Windows 10 можно найти в указанной ниже статье на странице поддержки Microsoft.
- Служба поддержки Microsoft ▸ Обновление Windows 10
Воспользуйтесь помощником по обновлению Windows 10.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows 8 выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть Центр загрузки Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Windows 8 (32-разрядная версия) | Windows 8 (64-разрядная версия) | Windows 8.1
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Установив обновление, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите клавишу Win на клавиатуре, а затем наведите курсор на – (значок минуса) в правом нижнем углу экрана, чтобы открыть пункты меню Windows.
3. Нажмите Параметры ▸ Изменение параметров компьютера ▸ Центр обновления Windows ▸ Проверить на наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows 7 выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть каталог Центра обновления Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Каталог Центра обновления Microsoft ▸ Обновления для Windows 7
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите кнопку Пуск Windows и выберите пункт Панель управления.
3. Нажмите Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows Vista выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть каталог Центра обновления Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Каталог Центра обновления Microsoft ▸ Обновления для Windows Vista
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите кнопку Пуск Windows и выберите пункт Панель управления.
3. Нажмите Безопасность ▸ Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows XP выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть Центр загрузки Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Центр загрузки Microsoft ▸ Обновления для Windows XP
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.

Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

Подробнее

Ваш ПК уязвим, так как на нем используется устаревшая версия службы обмена файлами (SMB) ОС Windows, в которой содержится серьезная уязвимость под названием EternalBlue. На пострадавшем ПК злоумышленник может запускать определенный код, который устанавливает опасную встраиваемую уязвимость DoublePulsar.

Так как в вашей системе присутствует эксплойт EternalBlue, вы крайне уязвимы перед атаками другого вредоносного программного обеспечения. 12 мая 2017 г. уязвимость DoublePulsar в сочетании с эксплойтом EternalBlue была использована программой-вымогателем WannaCry для заражения тысяч компьютеров во всем мире. Подробнее об этой атаке можно прочитать в блоге Avast.

Эксплойт EternalBlue актуален для первой версии протокола SMB (более известного как SMBv1). SMBv2 и более новые версии (доступные для Windows 7 и более новых операционных систем) не подвержены этой атаке. Однако даже в новых версиях Windows сохраняется поддержка протокола SMBv1. По этой причине вам, возможно, потребуется установить обновление безопасности MS17-010 на более новых системах или по крайней мере отключить протокол SMBv1.

Чтобы удалить эксплойт EternalBlue, следуйте указаниям в разделе Решение.

Дополнительные рекомендации

Все версии Avast Antivirus защищают ваш ПК от атак, использующих уязвимость EternalBlue, если работает функция Брандмауэр. Если на пострадавшем компьютере еще не установлена программа Avast Antivirus, можно установить Avast Free Antivirus, чтобы обеспечить его защиту.

Сведения об использовании брандмауэра приведены в статье ниже.

Брандмауэр Avast: начало работы

Программа Avast Antivirus не поддерживает ОС Windows Vista и Windows XP. Если на пострадавшем ПК используется одна из этих операционных систем, настоятельно рекомендуем установить более новую версию Windows.

Avast Premium Security 22.x для Windows
Avast Free Antivirus 22.x для Windows

Microsoft Windows 11 Home / Pro / Enterprise / Education
Microsoft Windows 10 Home / Pro / Enterprise / Education — 32- или 64-разрядная версия
Microsoft Windows 8.x / Pro / Enterprise — 32- или 64-разрядная версия
Microsoft Windows 8 / Pro / Enterprise — 32- или 64-разрядная версия
Microsoft Windows 7 Home Basic / Home Premium / Professional / Enterprise / Ultimate — SP 1 с обновлением Convenient Rollup, 32- или 64-разрядная версия

Обновлено: 02/06/2022

Источник

Как Удалить ДКОМ. Doublepulsar (05.26.23)

Не зря поставщики программного обеспечения делают упор на своевременное обновление продуктов. Установка обновлений — важная мера для защиты вашей системы и предотвращения киберугроз. Однако большинство пользователей не замечают этого и продолжают использовать системы, работающие на устаревшем программном обеспечении.

Вредоносные программы, такие как DKOM.doublepulsar, используют устаревшие системы и находят лазейки для проникновения в компьютер.

DKOM.doublepulsar действует как продвинутый троян-бэкдор, который может быть использован хакером для простого подключения и удаленного управления вашим компьютером. Этот троянец известен тем, что распространяет пресловутую программу-вымогатель WannaCry.

Этот невоспитанный троянец может многое делать, например собирать важные данные, такие как банковские реквизиты, учетные данные для входа, а также другую конфиденциальную информацию. Он также отключает программное обеспечение безопасности компьютера, облегчая проникновение в вашу систему других вредоносных программ. Как только он проникнет на ваше устройство, он загрузит и установит другой вредоносный контент, что приведет к невыносимым результатам при использовании вашего компьютера.

Простой способ избежать этого вредоносного объекта — поддерживать вашу операционную систему в актуальном состоянии. Однако причина, по которой вы можете оказаться здесь, заключается в том, что вы обнаружили вирус в своей системе или уже начали испытывать его симптомы, такие как постоянные сбои, низкая производительность системы и бесконечные ошибки. Но не волнуйтесь, вы пришли в нужное место. В этой статье объясняется, как избавиться от вируса и исправить поврежденные системные файлы, чтобы восстановить оптимальное состояние вашего ПК.

Что такое DKOM.doublepulsar?

DKOM.doublepulsar был разработан Агентством национальной безопасности США. Удивительно, правда? Что ж, эта сущность была украдена киберпреступниками, а затем распространилась по всему миру для их злополучной выгоды.

Ядро Windows под названием EternalBlue — это уязвимость, которую DKOM.doublepulsar пытается использовать. Печально известная программа-вымогатель WannaCry взломала более 200 000 компьютеров с помощью бэкдора DKOM.doublepulsar. Вся атака привела к всемирной катастрофе в области кибербезопасности.

Что делает DKOM.doublepulsar?

DKOM.doublepulsar относится к наиболее опасным типам вредоносных программ. Его характеристики включают:

Копирует и выгружает личные данные с компьютера жертвы на заранее определенный сервер.
Отключает машину, удаляя важные системные файлы.
Устанавливает несколько вредоносных программ на зараженном компьютере, чтобы причинить больше вреда.
Показывает множество навязчивой рекламы.
Настраивает любую программу, имеющую отношение к безопасности, для прекращения ее работы.
Записывает и крадет важную информацию, такую как финансовые данные и учетные данные.

Троянов трудно обнаружить и , в большинстве случаев пользователь узнает об этом только тогда, когда ущерб уже нанесен.

Трояны трудно обнаружить из-за того, что они замаскированы под законный процесс. Затем они ждут, пока триггер начнет выполнять свою первоначальную цель. По этой причине мы рекомендовали использовать только профессиональные средства защиты от вредоносных программ с обширной вирусной базой.

Распространение троянца DKOM.doublepulsar

Разработчики троянцев используют различные методы для распространения вредоносной программы. Тем не менее, эти типы файлов не предназначены для самостоятельного выполнения. По этой причине в большинстве случаев злоумышленники распространяют их как сомнительную рекламу.

Например, при посещении небезопасного сайта может появиться всплывающее сообщение о том, что ваша система работает плохо, и вам необходимо загрузить и установить рекламируемый инструмент, чтобы устранить проблемы. Если пользователь попадется в ловушку и установит программное обеспечение, троянец пустит свои корни в машину.

Трояны также распространяются через платформы обмена файлами. К таким платформам относятся торрент-сайты, не использующие сквозное шифрование. Троянец замаскирован под бесплатную программу для взлома последней по цене игры или дорогую лицензионную программу. Разработчики также используют спам-сообщения, скрывая файлы полезной нагрузки во вложении или гиперссылках.

Избавиться от DKOM.doublepulsar?

Чтобы успешно удалить вирусную инфекцию DKOM.doublepulsar, мы советуем пользователям сначала отключить зараженный компьютер от сети. Это помогает избежать распространения вируса на другие системы, подключенные к той же сети. Как только вы это сделаете, вы можете применить обновление Windows MS17-010. Он был специально выпущен в качестве исправления безопасности, чтобы закрыть лазейки, которые позволяли троянам, подобным DKOM.doublepulsar, использовать компьютер.

После применения обновления проблемы сохраняются, перезагрузите устройство и следуйте решениям. ниже, чтобы навсегда избавиться от вируса:

Решение № 1. Выполните полное сканирование системы с помощью надежной утилиты защиты от вредоносных программ.

Как уже указывалось, надежное программное обеспечение защиты от вредоносных программ жизненно важно для обнаружения и удаления DKOM.doublepulsar вирус. Помните, что этот вирус может маскироваться под законную программу. Поэтому важно использовать служебную программу безопасности с обновленной вирусной базой.

Загрузите и установите установочный файл средства безопасности. После этого выполните полное сканирование системы для поиска вредоносного содержимого на компьютере. По завершении выберите «Удалить» или «Поместить в карантин», чтобы избавиться от всего помеченного вредоносного содержимого в системе. Перезагрузите компьютер и при следующем запуске перейдите к решению, приведенному ниже.

Решение № 2: Запустите сканирование SFC, чтобы исправить поврежденные или поврежденные системные файлы

Теперь, когда вы удалили вирус из системы, а также его сообщникам, пора починить компьютер и вернуть его к оптимальному уровню производительности.

Чтобы убедиться, что система уязвима для атак, трояны обычно сначала повреждают или повреждают системные файлы. С помощью встроенной в Windows утилиты под названием System File Checker вы можете обнаружить и исправить любые несоответствия в файлах.

Чтобы выполнить сканирование SFC, следуйте инструкциям ниже:

Войдите в Администратор: командная строка , нажав клавиши Windows + R перед вводом cmd, а затем клавишами Ctrl + Shift + Enter .

В ответ на запрос UAC нажмите кнопку Да , чтобы предоставить права администратора.

Теперь внутри Администратор: командная строка , вставьте команду sfc / scannow и нажмите клавишу Enter .

Дождитесь завершения процесса. В зависимости от размера и характеристик вашей системы процесс может занять до 15 минут.

По завершении перезагрузите компьютер.

Заключение

Троян может иметь любую форму. Однако лучший способ избежать этого — держаться подальше от небезопасных сайтов. Вы не должны быстро нажимать на объявления или открывать вложения в сообщениях электронной почты, так как это может вызвать установку трояна. Вы также должны отслеживать приложения, установленные в вашей системе. Удалите программы, которые вам больше не нужны, и отслеживайте использование ЦП, чтобы выявить любые ненормальные действия, которые обычно вызваны вредоносным ПО.

YouTube видео: Как Удалить ДКОМ. Doublepulsar

05, 2023

Источник

Главная » Статьи » Ваш пк уязвим для атаки doublepulsar выполняемой программой wannacry

Ваш ПК уязвим для атаки «DoublePulsar», выполняемой программой WannaCry!

Обнаружена проблема с компьютером в вашей сети. Она указана ниже.

Уязвимость EternalBlue службы общего доступа к файлам и принтерам Microsoft Windows

Серьезность: Высокая

Ссылка: MS17-010 | CVE-2017-0143

Описание Пострадавший компьютер работает с устаревшей версией службы общего доступа к файлам и принтерам (SMB) операционной системы Windows, которая содержит уязвимость EternalBlue, получившую обозначение CVE-2017-0143. Компания Microsoft выпустила исправление для этой уязвимости для Windows 10, Windows 8.1, Windows 7 и Windows Vista в бюллетене по безопасности MS17-010, выпущенном в марте 2017 года. Для Windows 8 и Windows XP оно стало доступным в мае 2017 года. Однако многие системы, включая и обнаруженную при вашем сканировании сети, не получили этого исправления до начала атаки.

Воздействие Эта уязвимость делает возможным удаленное исполнение кода при посредстве сети. Это означает, что при включенном общем доступе к файлам и при отсутствии блокировки порта 445 TCP брандмауэром вредоносный объект получает возможность использовать код уязвимости «DoublePulsar», утечка которого из Агентства национальной безопасности произошла в апреле 2017 года. Он позволяет получить удаленный контроль над ПК и установить вредоносное ПО. Именно это в полном масштабе и произошло 12 мая 2017 года: червь-вымогатель WannaCry (WanaCrypt0r) воспользовался уязвимостью и заразил тысячи компьютеров по всему миру. В нашем блоге вы можете найти более подробную информацию об этой атаке программы-вымогателя.

» Программа-вымогатель, жертвами которой стали компания Telefonica и больницы NHS, агрессивно распространяется: на данный момент произошло уже более 50 000 атак

Если говорить о технических подробностях, уязвимость распространяется на реализации первой версии протокола SMB (общеизвестной под обозначением SMBv1), не получившие исправления. SMBv2 и более новые версии, доступные для Windows 7 и более новых операционных систем, не пострадали. Однако и новые системы имеют поддержку SMBv1, поэтому их стоит немедленно обновить или, по крайней мере, отключить протокол SMBv1. Потенциальными жертвами могут стать все версии операционных систем Microsoft Windows от Windows XP до юбилейного обновления Windows 10. Другие операционные системы, использующие иные способы реализации протокола SMB (включая Samba в ОС Linux), не подвержены этой атаке.

Рекомендация Выполните обновление системы безопасности MS17-010, которое решает эту проблему.

Продукты Avast Premier и Avast Internet Security оснащены встроенным Firewall. Использование этих версий программы Avast и установка для брандмауэра профиля Интернет предотвращают заражение в данной сети.

help.avast.com

Совершена атака DoublePulsar!

На ПК в вашей сети обнаружена следующая проблема:

в памяти присутствует резидент кода лазейки DoublePulsar

Серьезность: Высокая

Ссылка: MS17-010 | CVE-2017-0143

Описание Ваш ПК заражен, так как в его памяти присутствует резидент кода лазейки DoublePulsar. Он оказался там в результате действий злоумышленников или программы-червя. Теперь эта лазейка воспринимает команды, в числе которых может быть установка вредоносного ПО (включая печально известную программу-вымогатель WannaCry) или кража важной информации. Код этой атаки-лазейки стал доступен после утечки из Агентства национальной безопасности США в апреле 2017 года и был использован для создания множества видов вредоносного ПО, заразившего по всему миру системы, которые не получили нужных исправлений.

Рекомендуем немедленно выполнить указанные выше шаги для удаления угрозы. Важно перезапустить устройство, отключив его перед этим от сети. При перезапуске код лазейки выпадает из памяти, а отсутствие подключения к сети предотвращает повторное заражение ПК до установки исправлений.

Причиной заражения стала работа компьютера с устаревшей версией службы общего доступа к файлам и принтерам (SMB) ОС Windows, которая содержит уязвимость EternalBlue, получившую обозначение CVE-2017-0143. Эта уязвимость делает возможным удаленное исполнение кода при посредстве сети. Это означает, что при включенном общем доступе к файлам и при отсутствии блокировки порта 445 TCP брандмауэром вредоносный объект получает возможность использовать код эксплойта для получения удаленного контроля над ПК и установки вредоносного ПО. На обнаруженном при сканировании сети компьютере уже присутствует этот код эксплойта.

Компания Microsoft выпустила исправление для уязвимости EternalBlue для Windows 10, Windows 8.1, Windows 7 и Windows Vista в бюллетене по безопасности MS17-010, выпущенном в марте 2017 года. Для Windows 8 и Windows XP оно стало доступным в мае 2017 года. Правильная установка этого исправления при перезапуске ПК для удаления имеющегося заражения устранит уязвимость и предотвратит заражения этого рода в будущем.

Масштабная атака DoublePulsar произошла 12 мая 2017 года: червь-вымогатель WannaCry (WanaCrypt0r) воспользовался уязвимостью и заразил тысячи компьютеров по всему миру. В нашем блоге вы можете найти более подробную информацию об этой атаке программы-вымогателя.

Если говорить о технических подробностях, уязвимость EternalBlue распространяется на реализациях первой версии протокола SMB (общеизвестной под обозначением SMBv1), не получивших исправления. SMBv2 и более новые версии, доступные для Windows 7 и более новых операционных систем, не пострадали. Однако и новые системы имеют поддержку SMBv1, поэтому их стоит немедленно обновить или, по крайней мере, отключить протокол SMBv1.

Потенциальными жертвами могут стать все версии операционных систем Microsoft Windows от Windows XP до юбилейного обновления Windows 10. Другие операционные системы, использующие иные способы реализации протокола SMB (включая Samba в ОС Linux), не подвержены этой атаке.

Рекомендация Выполните обновление системы безопасности MS17-010, которое решает эту проблему. Делать это следует только после отключения от сети и перезапуска.

Если заражен другой компьютер в вашей сети, на котором не установлена программа Avast, лазейка DoublePulsar могла установить на него вредоносное ПО. Не исключено, что была установлена и сама печально известная программа-вымогатель WannaCry. Установите на него программу Avast Free Antivirus и запустите Сканирование при загрузке, чтобы удалить все возможные угрозы.

help.avast.com

Ваш ПК уязвим для атаки «DoublePulsar», выполняемой программой WannaCry!

Систему необходимо перезапустить до выполнения обновления; во время перезапуска и обновления она должна быть отключена от сети. В противном случае при наличии действующей программы «DoublePulsar» попытка установить исправление может помешать запуску ПК.

Обновление Windows 7

Скачайте средство исправления с сайта Microsoft и сохраните его на своем компьютере.
» Переход к скачиванию для Windows 7
Отключите ПК от сети (отключите сетевой кабель, выключите Wi-Fi).
Перезагрузите компьютер.
Запустите установщик, сохраненный на ПК при выполнении шага 1.
Перезагрузите компьютер, чтобы завершить процесс установки исправления.
Подключите ПК к сети.
Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.

Перезагрузите компьютер.
Войдите в Центр обновления Windows и проверьте наличие обновлений (меню «Пуск» ▸ Панель управления ▸ Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений).
Установите все доступные обновления и перезагрузите ПК.
Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.

Чтобы отключить протокол SMBv1, воспользуйтесь руководством Microsoft.

» Включение и отключение протоколов SMBv1, SMBv2 и SMBv3 в ОС Windows и Windows Server

help.avast.com

Ваш ПК уязвим для атаки «DoublePulsar», выполняемой программой WannaCry!

Обновление Windows 8 и Windows 8.1

Скачайте средство исправления с сайта Microsoft и сохраните его на своем компьютере.
» Переход к скачиванию для Windows 8 (32-разрядная версия) | Windows 8 (64-разрядная версия) | Windows 8.1
Отключите ПК от сети (отключите сетевой кабель, выключите Wi-Fi).
Перезагрузите компьютер.
Запустите установщик, сохраненный на ПК при выполнении шага 1.
Перезагрузите компьютер, чтобы завершить процесс установки исправления.
Подключите ПК к сети.
Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.

Перезагрузите компьютер.
Войдите в Центр обновления Windows и проверьте наличие обновлений (меню чудо-кнопок ▸ Параметры ▸ Изменение параметров компьютера ▸ Центр обновления Windows ▸ Проверить наличие обновлений).
Установите все доступные обновления и перезагрузите ПК.
Запустите сканирование средства Avast Wi-Fi Inspector (Protection ▸ Wi-Fi Inspector ▸ Network Scan), чтобы убедиться, что система избавилась от уязвимости.

Чтобы отключить протокол SMBv1, воспользуйтесь руководством Microsoft.

» Включение и отключение протоколов SMBv1, SMBv2 и SMBv3 в ОС Windows и Windows Server

help.avast.com

Смотрите также

Зарядник аккумулятора для авто
Cpu intel core i5 2500k
Поисковые системы без цензуры и ограничений
Как скинуть номера с айфона на сим карту
Цвета samsung galaxy s6 edge
Ватсап на две сим карты
Ssd жесткий диск что это
Как выключить семейный фильтр
Neffos x1 телефон
Samsung gear s3 совместимость с другими телефонами
Micro itx материнская плата

Источник

Уязвимость для атаки WannaCry/DoublePulsar

Это очень серьезная проблема, поэтому мы рекомендуем немедленно устранить ее.

Описание

После сканирования компонентом Анализ сети может отобразиться описанное выше предупреждение.

Более подробную информацию об этой проблеме можно найти в разделе Подробнее.

Решение

На уязвимом компьютере под управлением ОС Windows 10 выполните указанные ниже действия.

Перезагрузите ПК.
Нажмите кнопку Пуск в системе Windows, затем выберите Параметры (значок шестеренки).
Нажмите Обновление и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
Установите все доступные обновления.

Другие решения

Более подробную информацию об обновлении Windows 10 можно найти в указанной ниже статье на странице поддержки Microsoft.
- Служба поддержки Microsoft ▸ Обновление Windows 10
Воспользуйтесь помощником по обновлению Windows 10.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows 8 выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть Центр загрузки Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Windows 8 (32-разрядная версия) | Windows 8 (64-разрядная версия) | Windows 8.1
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите клавишу Win на клавиатуре, а затем наведите курсор на – (значок минуса) в правом нижнем углу экрана, чтобы открыть пункты меню Windows.
3. Нажмите Параметры ▸ Изменение параметров компьютера ▸ Центр обновления Windows ▸ Проверить на наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows 7 выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть каталог Центра обновления Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Каталог Центра обновления Microsoft ▸ Обновления для Windows 7
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите кнопку Пуск Windows и выберите пункт Панель управления.
3. Нажмите Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows Vista выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть каталог Центра обновления Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Каталог Центра обновления Microsoft ▸ Обновления для Windows Vista
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Другие решения

Обновите Windows вручную с помощью Центра обновления Windows.
1. Перезагрузите ПК.
2. Нажмите кнопку Пуск Windows и выберите пункт Панель управления.
3. Нажмите Безопасность ▸ Система и безопасность ▸ Центр обновления Windows ▸ Проверить наличие обновлений.
4. Установив все доступные обновления, выполните сканирование с помощью компонента Анализ сети программы Avast Antivirus, чтобы убедиться в устранении уязвимости.
Если вам не удается установить обновление, единственным альтернативным способом избавиться от этой уязвимости является отключение службы общего доступа к файлам Windows, а именно — версии 1 протокола SMB. Чтобы отключить протокол SMB версии 1, воспользуйтесь руководством Microsoft.
- Документация Microsoft ▸ Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

На уязвимом компьютере под управлением ОС Windows XP выполните указанные ниже действия.

Перейдите по указанной ниже ссылке, чтобы открыть Центр загрузки Microsoft, скачайте обновление безопасности и сохраните его на своем компьютере:
- Центр загрузки Microsoft ▸ Обновления для Windows XP
Перезагрузив ПК, запустите установщик, сохраненный на компьютере при выполнении шага 1.
Перезагрузите ПК снова, чтобы завершить установку.
Подключите ПК к сети.

Как обнаруживать, включать и отключать SMBv1, SMBv2 и SMBv3 в Windows

Подробнее

Чтобы удалить эксплойт EternalBlue, следуйте указаниям в разделе Решение.

Дополнительные рекомендации

Сведения об использовании брандмауэра приведены в статье ниже.

Брандмауэр Avast: начало работы

Avast Premium Security 22.x для Windows
Avast Free Antivirus 22.x для Windows

Microsoft Windows 11 Home / Pro / Enterprise / Education
Microsoft Windows 10 Home / Pro / Enterprise / Education — 32- или 64-разрядная версия
Microsoft Windows 8.x / Pro / Enterprise — 32- или 64-разрядная версия
Microsoft Windows 8 / Pro / Enterprise — 32- или 64-разрядная версия
Microsoft Windows 7 Home Basic / Home Premium / Professional / Enterprise / Ultimate — SP 1 с обновлением Convenient Rollup, 32- или 64-разрядная версия

Обновлено: 02/06/2022

Всем хорошего.

Наверное все уже начитались про слитые с ресурсов АНБ кучу разных утилит, уязвимостей и т.д. Eternalblue & Doublepulsar Exploit одна из них, и как не странно, все еще актуальность имеет. Хотя почему странно, если у нас люди сидят по 3-4 года на Win 7 не обновлясь ( у некоторых причина — потеря хакнутой лицензии, тачка не тянет, и так все работает ). так вот, данный экслоит нацелен на remote эксплоутацию.

берем тут git clone https://github.com/ElevenPaths/Eternalblue-Doublepulsar-Metasploit.git

файл eternalblue_doublepulsar.rb копируем сюда /usr/share/metasploit-framework/modules/exploits/windows/smb

собственно все на скринах

Если все пройдет успешно — получим доступ к тачке.

В моем случае это был Win7 Ентерпрайз
[doublepost=1494355854,1494355356][/doublepost]то что IP разные на скринах — перазапускал виртуалку и другой комп заюзал для атаки
[doublepost=1494358832][/doublepost]Видео по теме (не мое)

Видео с русскоязычным комментированием)) (не мое)

a113

Стоп,а эти эксплоиты работают только, и только под Win7?

[doublepost=1494476332,1494476241][/doublepost]

Стоп,а эти эксплоиты работают только, и только под Win7?

Ну в метасплоите икспи у меня пробивает,но сесия не прилетает…

Xulinam

и так уважаемый знатоки вопрос?? что я делаю не так, что экспл. не проходит

Screenshot at 2017-05-11 19-49-23.png

99,4 КБ

· Просмотры: 1 921

molexuse

и так уважаемый знатоки вопрос?? что я делаю не так, что экспл. не проходит

А wine установлен?
Не находит папку /root/.wine

Xulinam

А wine установлен?
Не находит папку /root/.wine

cспс имхо)) чет сразу не заметел)) вот знание анг. языка рулит
wine установил, сделал reboot, но паки .wine нет

Последнее редактирование: 11.05.2017

a113

Да, знание английского рулит. Лучше всего знать не только англ, но плюсом было-бы еще парочку, так как файлы на серверах заморских не только на английском. (если вы понимаете о чем я )

Xulinam

Да, знание английского рулит. Лучше всего знать не только англ, но плюсом было-бы еще парочку, так как файлы на серверах заморских не только на английском. (если вы понимаете о чем я )

спс )) буду стараться))) но вин 7 профи, я так не пробил)

molexuse

cспс имхо)) чет сразу не заметел)) вот знание анг. языка рулит
wine установил, сделал reboot, но паки .wine нет

Она скрыта в root директории, посмотреть можно командой ls -la
а перейти cd .wine

Xulinam

спс я знаю))) но ее нет))

Dr.Lafa

win7 64 максимальная пробилась, если сначала запустить smb_ms17_010 с указанием rhosts и в targets указать server 2008

Нужно в procesinject опции ,или как она там, указать имя процесс запущенного от системы, lsass.exe правда у меня через пару минут делала ребут системы но сессия прилетала.
[doublepost=1494593427,1494571183][/doublepost]Изменил имя процеса для инжекта и все заработало)

Xulinam

Нужно в procesinject опции ,или как она там, указать имя процесс запущенного от системы, lsass.exe правда у меня через пару минут делала ребут системы но сессия прилетала.
[doublepost=1494593427,1494571183][/doublepost]Изменил имя процеса для инжекта и все заработало)Посмотреть вложение 10054

СПС вам) семерка пробилась, вылезла сесия)) но на ноуте с семеркой сразу выскачила системное сообщение «обнаружено крит оштбка….. бла….бла…. ноут перезагрузиться через 1 минуту))

Screenshot at 2017-05-12 22-13-58.png

251,9 КБ

· Просмотры: 551

id2746

На win7 x64 отработало без обрывов.

Xulinam

На win7 x64 отработало без обрывов.

у меня х86))

Dmitry88

если выбрал lsass.exe, то на х86 некоторые действия вызывают bsod. Попробуй использовать spoolsv.exe или lsm.exe.

Xulinam

если выбрал lsass.exe, то на х86 некоторые действия вызывают bsod. Попробуй использовать spoolsv.exe или lsm.exe.

ок ))вечерком попробую) спасибо за подсказку

id2746

Она скрыта в root директории, посмотреть можно командой ls -la
а перейти cd .wine

спс я знаю))) но ее нет))

если wine установлен, а папки .wine в /root/ нету, значит вы не сконфигурировали wine.
Это делается командой wine winecfg в терминале, после чего появится /root/.wine

Есть хорошая новость. Команда метасплоита отреверсила експлоит ms17_010 и он уже должен появиться как полноценный експлоит переписаный под метасплоита ,без wine.Правда пока только вин7 но обещали сделать и остальные..

Вирус-шифровальщик WannaCry, или Wana Decryptor, поразил десятки тысяч компьютеров по всему миру. Пока те, кто попал под атаку, ждут решения проблемы, еще не пострадавшим пользователям стоит использовать все возможные рубежи защиты. Один из способов избавить себя от вирусного заражения и защититься от распространения от WannaCry — это закрытие портов 135 и 445, через которые в компьютер проникает не только WannaCry, но и большинство троянов, бэкдоров и других вредоносных программ. Средств для прикрытия этих лазеек существует несколько.

Иллюстрация работы вируса WannaCry

Способ 1. Защита от WannaCry — использование Firewall

Firewall, также известный как брандмауэр, в классическом понимании — это стена, разделяющая секции построек для защиты их от пожара. Компьютерный брандмауэр работает похожим образом — он защищает компьютер, соединенный с интернетом, от лишней информации, фильтруя поступающие пакеты. Большинство firewall-программ можно тонко настроить, в т.ч. и закрыть определенные порты.

Включение и отключение брандмауэра в Windows 7

Видов брандмауэров существует множество. Самый простой firewall — это стандартный инструмент Windows, который обеспечивает базовую защиту и без которого ПК не продержался бы в «чистом» состоянии и 2 минуты. Сторонние брандмауэры — например, встроенные в антивирусные программы — работают гораздо эффективнее.

Преимущество брандмауэров в том, что они блокируют все подключения, которые не соответствуют указанному набору правил, т.е. работают по принципу «запрещено все, что не разрешено». Из-за этого при использовании firewall для защиты от вируса WannaCry скорее придется открывать нужные порты, чем закрывать ненужные. Убедиться в том, что брандмауэр Windows 10 работает, можно, открыв настройки программы через поиск и зайдя в дополнительные параметры. Если порты по умолчанию открыты, закрыть 135 и 445 можно, создав соответствующие правила через настройки брандмауэра в разделе входящих подключений.

Однако в некоторых случаях брандмауэром пользоваться невозможно. Без него обеспечить защиту от зловреда WannaCry будет сложнее, но закрыть самые очевидные дырки получится без особых затруднений.

Карта, как распространяется WannaCry

Действенный способ защиты от Wana Descrypt0r проиллюстрирован на видео!

Способ 2. Блокируем распространение вируса с Windows Worms Doors Cleaner

Windows Worms Doors Cleaner — эта простая программа весит всего 50 КБ и позволяет закрыть порты 135, 445 и некоторые другие в один клик от вируса WannaCry.

Скачать Windows Worms Doors Cleaner можно по ссылке: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

Главное окно программы содержит перечень портов (135–139, 445, 5000) и краткую информацию о них — для каких служб используются, открыты они или закрыты. Рядом с каждым портом имеется ссылка на официальные положения службы безопасности Microsoft.

Чтобы закрыть порты с помощью Windows Worms Doors Cleaner от WannaCry, нужно нажать на кнопку Disable.
После этого красные кресты заменятся зелеными галочками, и появятся надписи, говорящие о том, что порты успешно заблокированы.
После этого программу нужно закрыть, а компьютер — перезагрузить.

Способ 3. Закрытие портов через отключение системных служб

Логично, что порты нужны не только вирусам, таким как WannaCry — в нормальных условиях ими пользуются системные службы, которые большинству пользователей не нужны и легко отключаются. После этого портам незачем будет открываться, и вредоносные программы не смогут проникнуть в компьютер.

Закрытие порта 135

Порт 135 используется службой DCOM (Distributed COM), которая нужна для связи объектов на разных машинах в локальной сети. Технология практически не используется в современных системах, поэтому службу можно безопасно отключить. Сделать это можно двумя способами — с помощью специальной утилиты или через реестр.

При помощи утилиты служба отключается так:

1. Запускается программа Dcomcnfg.exe. Сделать это можно через окно «Выполнить» открываемое сочетанием Win+R или через меню «Пуск».

Запускаем Dcomcnfg.exe
2. Открывается вкладка «Свойства по умолчанию».
3. Снимается галочка в пункте «Разрешить использование DCOM».
4. Программа закрывается с сохранением изменений.
5. Компьютер перезагружается.

В системах Windows Server 2003 и старше нужно выполнить ряд дополнительных операций, но, поскольку вирус WannaCry опасен только для современных версий ОС, затрагивать этот момент нет смысла.

Через реестр порт от вирусной программы WannaCry закрывается следующим образом:

1. Запускается редактор реестра (regedit в окне «Выполнить»).
2. Ищется ключ HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle.
3. Параметр EnableDCOM меняется с Y на N.
4. Компьютер перезагружается.

Редактировать реестр можно только из-под учетной записи администратора.

Закрытие порта 445

Порт 445 используется службой NetBT — сетевым протоколом, который позволяет старым программам, полагающимся на NetBIOS API, работать в современных сетях TCP/IP. Если такого древнего ПО на компьютере нет, порт можно смело блокировать — это закроет парадный вход для распространения вируса WannaCry. Сделать это можно через настройки сетевого подключения или редактор реестра.

Первый способ:

1. Открываются свойства используемого подключения.
2. Открываются свойства TCP/IPv4.
3. Нажимается кнопка «Дополнительно…»
4. На вкладке WINS ставится флажок у пункта «Отключить NetBIOS через TCP/IP».

Сделать это нужно для всех сетевых подключений. Дополнительно стоит отключить службу доступа к файлам и принтерам, если она не используются — известны случаи, когда WannaCry поражал компьютер через нее.

Второй способ:

1. Открывается редактор реестра.
2. Ищутся параметры NetBT в разделе ControlSet001 системных записей.
3. Удаляется параметр TransportBindName.

То же самое следует сделать в следующих разделах:

ControlSet002;
CurrentControlSet.

После завершения редактирования компьютер перезагружается. Следует учитывать, что при отключении NetBT перестанет работать служба DHCP.

Заключение

Таким образом, чтобы защититься от распространения вируса WannaCry, нужно убедиться, что уязвимые порты 135 и 445 закрыты (для этого можно использовать различные сервисы) или включить брандмауэр. Кроме того, необходимо установить все обновления системы Windows. Чтобы избежать атак в будущем, рекомендуется всегда пользоваться свежей версией антивирусного ПО.

Источник

WannaCry (также известный как WannaCrypt, WCry и WanaCrypt0r 2.0) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая только компьютеры под управлением операционной системы Microsoft Windows. Её массовое распространение началось 12 мая 2017 года — одними из первых были атакованы компьютеры в Испании, а затем и в других странах. Среди них по количеству заражений лидируют Россия, Украина и Индия[2]. В общей сложности, от червя пострадало более 200 тысяч компьютеров, принадлежащих частным лицам, коммерческим организациям и правительственным учреждениям более чем 150 стран мира

В основном уязвимы ХР и win 7

Security Update for Windows XP SP3 (KB4012598)

https://www.microsoft.com/en-us/download/details.aspx?id=55245

Обновление для Windows 7 для систем на базе процессоров x64 (KB2570791)

https://www.microsoft.com/ru-ru/download/details.aspx?id=27028

Источник