Скрипты и программы Защита от вируса Petya и его производных

[Miminoks]

Так случилось, что в кругу моих знакомых только я разбираюсь в ПК.
Вся моя жизнь, как песня "тыжпрограммист".
Позавчера я узнал про вирус "Петя".
В тот же вечер моя любимая дрочила мне мозг о том, что мы все в большой опасности и мир летит к чертям.
Вчера вечером у подъезда столкнулся с соседом. Тот предложил по бутылочке пива, я согласился, за что и был наказан изнурительной беседой о вирусе "Петя"...
Сегодня в обед мои родственники наведались в гости... Как вы думаете, о чем был разговор? Конечно же о том, можно ли включать компьютер? А то злой "Петя" "сотрет" все их архи-важные файлы (типа "хиты Тани Булановой" и прочий мусор).

Короче, ЗАТРАХАЛИ меня этим вирусом! Пока родственники общались на кухне с моей благоверной, я загуглил вопрос защиты от этого вируса, а затем написал свою небольшую утилиту, которая не дает вирусу "Петя" распаковаться на локальном диске.
Актуально для: NotPetya, Petya, Tetna, SortaPetya.

Если кому-нибудь он нужен - забирайте.

Процедура: запускаем, жмем на изображение навесного замка, радуемся.

Скачать:
[HIDE="1"]
https://drive.google.com/file/d/0B4kJfyBr5JqMV0M4eXdPUGl0czA/view?usp=sharing

[/HIDE]
Вирустотал: https://www.virustotal.com/ru/file/...8b6638b91ec0565953575a13/analysis/1498771453/

 

[Manager]

Не знаю что там за истерия, но качать что-то неизвестное на форумах чтобы защититься от Petya... Так можно и какого-нибудь Vasya подцепить случайно.

 

[Miminoks]

Не знаю что там за истерия, но качать что-то неизвестное на форумах чтобы защититься от Petya... Так можно и какого-нибудь Vasya подцепить случайно.

Вирустотал прилагается.
В отчете только три неизвестных и богом забытых антивиря сказали, что подозревают что-то неладное. Идем в комментарии и читаем причину их недовольства:
Главный исполняемый файл содержит строку "mr.mimino_собака_gmail.com" (это мой мыльник), которая была добавлена сторонней программой производства "www.heaventools.com" (ResourceTuner). Ранее на этой строке был размещен текст "http://www.indigorose.com" (компилятор).

Т.е. антивирусник ругается на то, что после компиляции я открыл файл в ResourceTuner и заменил вшитые контактные данные компилятора на свои.
Также, ругается на отсутствующие файлы ContextTabGreenClient.bmp, ContextTabYellowClient.bmp, ContextTabPurpleClient.bmp, ContextTabRedClient.bmp
Это подключаемые графические файлы моей IDE, где по-умолчанию используется интерфейс в стиле Office 2007.

Короче, читайте отчет.

 

[mark78]

24xbtc.com – сервис по обмену криптовалют №1 для тех, кому надоело терять деньги на невыгодных обменах, переживать за свою анонимность и безопасность, а также полноту резервов.

Мы гарантируем:

• сотни направлений обмена;
• зачисление денег на карты большинства банков;
• качественную техническую поддержку;
• дополнительные преимущества для каждого клиента.

Просто наслаждайтесь быстрым и выгодным обменом, а все проблемы предоставьте нам.

Перейти к обмену

 

[kari74]

кто нибудь тестил?

 

[Miminoks]

кто нибудь тестил?

Просто из интереса: тестил на что?)))
Пытался ли кто-нибудь нарочно подхватить вирус "Петя", чтобы проверить работоспособность программы?)))

 

[victoriale80]

Не знаю что там за истерия, но качать что-то неизвестное на форумах чтобы защититься от Petya... Так можно и какого-нибудь Vasya подцепить случайно.

точно помеченно так скачивать против вируса петю можно гришку схватить))

 

[Miminoks]

точно помеченно так скачивать против вируса петю можно гришку схватить))

Бляяяяя....
Раньше мне дрочили мозг своим ебаным Петей...
Теперь, когда я сделал от него вакцину, мне ебут мозг Васями и Гришами.
Идите нахуй!

 

[victoriale80]

Бляяяяя....
Раньше мне дрочили мозг своим ебаным Петей...
Теперь, когда я сделал от него вакцину, мне ебут мозг Васями и Гришами.
Идите нахуй!

Вы конечно извените! но по своей персональной дедукции вы действительно имеете все шансы пойти далеко! и это правда!

 

[Miminoks]

Вы конечно извените!

Бог Вам судья!))

но по своей персональной дедукции

ДЕДУ́КЦИЯ
дэ/
Женский род

1. Способ рассуждения, при к-ром новое положение выводится чисто логическим путём от общих положений к частным выводам.

Как дедукция может быть НЕ персональной?...

вы действительно имеете все шансы пойти далеко! и это правда!

"вы" с маленькой буквы пишется в случае обращения к двум и более персонам. Но не об этом...
Вы имеете в виду, что у меня есть шанс пойти нахуй? Да без проблем!))
Вопрос в другом - кто от этого потеряет больше)) Я понимаю, что на данном форуме я еще совсем новичок, но это абсолютно не означает, что до регистрации на этом форуме я никогда не включал ПК.

Здешние ОНОлитики просто поражают!
Вы всерьез рассасываете каждую фразу каких-то *****-тренингов от школьников.
Ищете пруфы или опровержения разных способов заработка, которые еще с первых строк ВОНЯЮТ разводом!
При этом, когда вам предоставляешь прувы в виде вирустотала, вы боитесь...
И я полностью уверен, что большинство людей тут же полезут качать разные читы, кряки и прочий КРАЙНЕ сомнительный софт, вирустотал которых не имеет белых строчек...
О, а как я люблю школо-хакеров с их чекерами, брутфорсами, хавий, дампир и прочими приблудами... Амфи, Легион, Старлей, всякие там АИО, приват чекеры, различные проги для отлова прокси - всё вышеперечисленное у них давно уже стоит в игнор-списке какого-нибудь сраного "Аваста", но когда увидели файл с практически чистым вирустоталом - напряглись... Может, они просто никогда такого не видели?...
Вот поэтому - идите вы нахер!
А для всех адекватных людей я всегда открыт. Рад буду новым знакомствам.

 

[wiseman]

Создаёте три файла, ставите им атрибут "только чтение".
Вот и вся вакцина на данный момент.

C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat

Пока "Петьку" не научат проверять не просто присутствие своих файлов, а мало-мальски их анализить.

 

[Miminoks]

Создаёте три файла.

C:\Windows\perfc
C:\Windows\perfc.dll
C:\Windows\perfc.dat

Ставите им атрибут "только чтение". Вот и вся вакцина на данный момент.
Пока "Петьку" не научать проверять не просто присутствие своих файлов, а мало-мальски их анализить.

я еще дополнительно добавил файлы:

C:\Windows\perfc\perfc
C:\Windows\perfc\perfc.dll
C:\Windows\perfc\perfc.dat

Просто наткнулся на коммент о том, что такой вариант тоже возможен. Решил добавить и его. А почему нет? Лучше перебдеть, чем недобдеть!

Чтобы поставить всем вышеуказанным файлам атрибут "только чтение" я рекомендую использовать батник.
Вот код:

@echo off
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
attrib +R C:\Windows\perfc\perfc
attrib +R C:\Windows\perfc\perfc.dll
attrib +R C:\Windows\perfc\perfc.dat

 

[poker]

https://habrahabr.ru/company/pt/blog/331858/
https://lifehacker.ru/2017/06/28/virus-petya-a/

 

[N3CRO]

во народ,вам чувак выложил готовое решение,чтобы вы ручками не создавали файл
perfc,потому что многие и на это неспособны,а вы тонну говна вылили...самое обидное когда вот такие идут работать в IT сферу,и вместо того чтобы попробовать разобраться и найти решение,или хотя бы скачать готовое просто блочат все шо можно фаерволами,да так,что даже почту х*й прочитаешь...ничего не меняется,интернет,такой интернет,еще и каникулы...
пс:решение это на самом деле временное,выше правильно написали,новая модификация петюни поправит эту недоработку....ставьте апдейт безопасности для ваших 7к и ХР,закрывайте порты и сидите ровно.
ПС2:что за истерия я вообще хз,люди шнурки вырывали с компов так шо rj45 в сетевухе оставался,вот уже двое за вчера-сегодня попросило зайти шнурок обжать...как сказал один известный деятель- "дэбилы бл**ть" ))) петюня страшен только фирмам,там где медок,его цель не я,не вы,и даже не дядя-вася-программист.Случайно да,можно поймать,но можно и кирпич летящий с крыши случайно головой поймать,успокойтесь,эпидемии никакой нет.

 

[Miminoks]

во народ,вам чувак выложил готовое решение,чтобы вы ручками не создавали файл
perfc,потому что многие и на это неспособны,а вы тонну говна вылили...самое обидное когда вот такие идут работать в IT сферу,и вместо того чтобы попробовать разобраться и найти решение,или хотя бы скачать готовое просто блочат все шо можно фаерволами,да так,что даже почту х*й прочитаешь...ничего не меняется,интернет,такой интернет,еще и каникулы...
пс:решение это на самом деле временное,выше правильно написали,новая модификация петюни поправит эту недоработку....ставьте апдейт безопасности для ваших 7к и ХР,закрывайте порты и сидите ровно.
ПС2:что за истерия я вообще хз,люди шнурки вырывали с компов так шо rj45 в сетевухе оставался,вот уже двое за вчера-сегодня попросило зайти шнурок обжать...как сказал один известный деятель- "дэбилы бл**ть" ))) петюня страшен только фирмам,там где медок,его цель не я,не вы,и даже не дядя-вася-программист.Случайно да,можно поймать,но можно и кирпич летящий с крыши случайно головой поймать,успокойтесь,эпидемии никакой нет.

Спасибо!
Мысленно жму Вам руку)))

По поводу "закрывайте порты" - практично, но я бы не назвал такое решение гуманным. К примеру, в виду особенностей моей профессии, у меня слишком много подвязано на различных нестандартных портах - виртуалки, локальные сервера, ВПН-ки и прочее... И я понимаю, что я не один такой, поэтому блокировать порты - не лучший выход. Потом пользователи не будут понимать почему у них что-то не работает и будут грешить на какой-нибудь очередной вирус...

Самым правильным решением будет установка обновлений ОС.
А для 99% пользователей достаточно будет и решения с файлами "perfc".

 

[victoriale80]

Спасибо!
Мысленно жму Вам руку)))

По поводу "закрывайте порты" - практично, но я бы не назвал такое решение гуманным. К примеру, в виду особенностей моей профессии, у меня слишком много подвязано на различных нестандартных портах - виртуалки, локальные сервера, ВПН-ки и прочее... И я понимаю, что я не один такой, поэтому блокировать порты - не лучший выход. Потом пользователи не будут понимать почему у них что-то не работает и будут грешить на какой-нибудь очередной вирус...

Самым правильным решением будет установка обновлений ОС.
А для 99% пользователей достаточно будет и решения с файлами "perfc".

Все достали вызываю вас на дуэль! выбирайте оружие любое и пишите письмо где и когда!

 

[Miminoks]

выбирайте оружие любое

Интеллект))

и пишите письмо где и когда!

Здесь и сейчас))
Ваш выпад, мсье!))

------ Добавлено позже ------
PS: Оу, прошу прощения. Только сейчас заметил, что с нами дама.
А я тут словами некрасивыми разбрасывался... Нехорошо получилось...
Мои извинения...

 

[N3CRO]

Спасибо!
Мысленно жму Вам руку)))

По поводу "закрывайте порты" - практично, но я бы не назвал такое решение гуманным. К примеру, в виду особенностей моей профессии, у меня слишком много подвязано на различных нестандартных портах - виртуалки, локальные сервера, ВПН-ки и прочее... И я понимаю, что я не один такой, поэтому блокировать порты - не лучший выход. Потом пользователи не будут понимать почему у них что-то не работает и будут грешить на какой-нибудь очередной вирус...

Самым правильным решением будет установка обновлений ОС.
А для 99% пользователей достаточно будет и решения с файлами "perfc".

Я ж и не говорил что это гуманно) Но если закрыть ТОЛЬКО порты 1024-1035, 137, 138, 139, 445 и 135 то обычный среднестатистический юзер не страдает от этого вообще вроде как,хотя утверждать не буду,лень гуглить за что они вообще отвечают...У меня вот у товарища в конторе "IT спецы" в панике закрыли не только их,а еще кучу других,то что по локалке хрен что скинешь это пол беды,так говорит даже почтовики не работают,только сайт,только хардкор)))..вот это да ,негуманно,я бы сказал-жопонька))).

 

[Miminoks]

Я ж и не говорил что это гуманно) Но если закрыть ТОЛЬКО порты 1024-1035, 137, 138, 139, 445 и 135 то обычный среднестатистический юзер не страдает от этого вообще вроде как,хотя утверждать не буду,лень гуглить за что они вообще отвечают...У меня вот у товарища в конторе "IT спецы" в панике закрыли не только их,а еще кучу других,то что по локалке хрен что скинешь это пол беды,так говорит даже почтовики не работают,только сайт,только хардкор)))..вот это да ,негуманно,я бы сказал-жопонька))).

Знаю, что 445 порт в обязательном порядке нужен для нормальной работы Samba (пакет программ для связи в единую локальную сеть компов с Windows и GNU Linux).
Могу ошибаться, но подозреваю, что 135 порт ему тоже нужен.
Ну, это так... просто из того, что сразу приходит на ум.

Вообще, закрывая все эти порты, локальная сеть наверняка работать перестанет. Я не уверен, не проверял, но склоняюсь к этому выводу. Тут же сразу вспоминаю провайдеров, у которых есть свои локальные файловые сервера, игровые сервера и прочее - вот вам еще одна категория людей. Потом они не поймут что случилось и будут думать, что подцепили вирус.

Тем не менее, вышеупомянутым Вами "ИТ-специалистам" можно посоветовать настроить FTP-сервер. Это не сложно, а скорость передачи данных будет ощутимо быстрее. Вот, только предпросмотр файлов будет недоступен, но это плата за безопасность и закрытые порты.

 

[kari74]

какая клевая дискуссия получилась!!! - ЖЕСТЬ!!!

 

[Alf_Alf]

ТС, не слушай никого — это школота изголяется. Хотел спросить, у меня ESET NOD32 Smart Security 8, не будет конфликтовать? А то в вирустотале он, почему-то, отсутствует. Хотя ладно, сам проверю. Если чего не того откачусь назад по оси. Спасибо за работу и не полемизируй с гуманоидами страдающими манией преследования. Только потратишь время и нервы в пустую.