مشکل امنیتی بسیار خطرناک ویندوز - مهم

سلام
متاسفانه امروز صبح یک باگ امنیتی بسیار خطرناک در ویندوز منتشر شد.
که از صبح امروز تا به الان بیشتر از هزاران سرور قربانی این اکسپلویت شدند و کلی از دیتا ها از بین رفتند و همچنان ادامه دارد
بیشتر حمله روی سرورهای ویندوز 2008 و 2012 میباشد که تا کنون هیچ کدام از کمپانی های مطرح جهان راه حلی برای این موضوع نداده اند
ماکروسافت یک پچ ارایه داده است و شدیدا توصیه میشود اخرین اپدیتها را روی سرور خود نصب نمایید که در صورت الوده شدن به این ویروس راه بازگشتی وجود ندارد.

نقل قول:

---

Hello everyone,

seems like zadaz had similar issue, and found a way to fix it with the help of AES_IN.
I got the same things, anyone can help me please?

I'm tempting to simply format my computer, but I have some family picture I'd like to get back...

Thanks for your help, im terribly bad since this morning, and cant even finish decently a month, so obviously cannot pay any ransom.

Even if no one can help, thanks for taking time readin ig anyway.

Edit : I cannot even start windows, a new user is up... I had to check it with another computer

===============================# aes-ni ransomware #===============================

█████╗ ███████╗███████╗ ███╗ ██╗██╗
██╔══██╗██╔════╝� �█╔════╝ ████╗ ██║██║
███████║█████╗ ███████╗█████╗██� �██╗ ██║██║
██╔══██║██╔══╝ ╚════██║╚════╝██� �╚██╗██║██║
██║ ██║███████╗█████� �█║ ██║ ╚████║██║
╚═╝ ╚═╝╚══════╝╚════� �═╝ ╚═╝ ╚═══╝╚═╝

SPECIAL VERSION: NSA EXPLOIT EDITION

INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.

SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).

We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.

Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.

If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:

0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com

IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
please do not panic and write to BitMsg (https://bitmsg.me) address:
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
or create topic on https://www.bleepingcomputer.com/ and we will find you there.

If someone else offers you files restoring, ask him for test decryption.
Only we can successfully decrypt your files; knowing this can protect you from fraud.

You will receive instructions of what to do next.
You MUST refer this ID in your message:

ADMIN-PC#89D85152E96ABC33778F0E8042BA9E57

Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.


===============================# aes-ni ransomware #===============================

---

باسلام.

صحت گفته های استارتر تایید می شود سرور های زیادی الوده شده و فایل ها encrypt شدند.

با سلام . ضمن تشکر بابت نشر این خبر ، یعنی الان تعداد زیادی سرور ویندوز که مخصوص کار های دانلود بودن + شرکت هایی که هاست ویندوز میدادن ، آلوده به این ویروس شدن ؟
بعد ماجرا هم طوری هست که اگر فایلی آلوده بشه دیگه امکان برگشت نداره! یعنی کامل رمزنگاری میشه ...

در حال حاضر بهترین راه نصب پچ امنیتی مایکروسافت روی سرور هاست . ظاهرا استفاده از آخرین نسخه ویندوز سرور 2016 هم میتونه کارساز باشه و تا حدی از پیش اومدن این مشکل و ورود ویروس مذکور به سرور ها جلوگیری کنه ...

بله متاسفانه بنده هم چند مورد و مشاهده کردم
البته جای تشکر داره از همکار عزیزم آقای حسینی که در زمان بسیار مناسبی به بنده اطلاع دادن
موفق باشید

سلام
این باگ برای 2008 هست و با ارتقاع به 2012 حل میشود

نقل قول:

---

نوشته اصلی توسط sarwhost

سلام
این باگ برای 2008 هست و با ارتقاع به 2012 حل میشود

---

متاسفانه برای 2012 هم مشاهده شد
پیروز باشید

با عرض تشکر از همکار گرامی بابت اطلاع رسانی، بله اخیرا روی سرور های ما نیز مشاهده شدند

حتما سیستم عامل تون رو آپدیت کنید و فایروال ویندوز رو روشن کنید

نقل قول:

---

نوشته اصلی توسط novin-web

دیکدر رو خودش قرار داده ولی مطمین نیستیم که اون هم ویروس نباشه

---

در صورت امکان بررسی بفرمایید
تشکر

روی چندتا از سرور های ما هم این مشکل پیش اومده و فایلها خراب شدن
کسی راه حلی پیدا کرد بذاره حتما
مشکل جدیه

متاسفانه این مسئله در دو سرور ما مشاهده شده که به نظر باید منتظر موند تا مایکروسافت یه کاری کنه.

دوستان با بررسی هایی که کردیم ، متوجه شدیم که یه فایل توسط تیم هکر در سطح نت وجود داره که این دوستمون novin-web هم اونو در اینجا قرار دادن . البته امتحان کردن اینکار خودش یه جور ریسک به حساب میاد . در هر حال چندین نکته :
1 ) اگر کسی از دوستان هست که قصد داره به صورت داوطلبانه فایل مذکور رو امتحان کنه ، یه سرور که به ویروس آلوده شده رو گیر بیاره و فایل اجرایی رو ران کنه یا دستور العملی که داده شده رو انجام بده و نتیجه رو اینجا به اشتراک بزاره .

2 ) دوستانی که فایل های سرورشون به این باگ آلوده شده ، در صورت داشتن فایل بک آپ در سرور دیگه ای ، چند راه پیش رو دارن :
1 - از سرور بک آپ استفاده کنن تا مشکل فعلی توسط یک راه حل جامع توسط شرکت های امنیت سرور برطرف بشه .
2 - سیستم عامل فعلی سرورشون رو پاک کنن و بعد از اسکن کردن سرور ، یه سیستم عامل جدید ران کنن ( ترجیحا ویندوز سرور 2016 ) . اگر قصد استفاده از نسخه 2012 رو دارید ، آخرین پچ امنیتی مایکروسافت رو که امروز ارائه شده رو روی سیستم عامل جدید نصب کنید .
3 - بعد از انجام این موارد ، فایل هاتون رو از سرور بک آپ منتقل کنید و لینکدهی کنید .

3 ) البته دوستان راه حل سومی هم وجود داره که اونم باج دادن به تیم هکر هست که این راه پیشنهاد نمیشه . مخصوصا که گفتن زمان پاسخگویی به ایمیل های قربانیان این حمله ، 48 ساعت هست که زمان زیادی حداقل برای دوستانی که عجله دارن به حساب میاد .

در کل داشتن یک نسخه بک آپ از فایل هاتون در حال حاضر خیلی میتونه به کار بیاد . هر چند که عمل بک آپ گیری همیشه توصیه میشه ...

نقل قول:

---

نوشته اصلی توسط SAMANDF

متاسفانه این مسئله در دو سرور ما مشاهده شده که به نظر باید منتظر موند تا مایکروسافت یه کاری کنه.

---

خیر نباید منتظر ‌موند عزیز
خودتون‌دست‌به‌کار بشید
تشکر

سلام

متاسفانه این فایل

https://www.sendspace.com/file/00ccnk

خود یک ویروس هست

در نتیجه تست کردن ان دارای ریسک میباشد

نقل قول:

---

نوشته اصلی توسط company_hosting

سلام

متاسفانه این فایل

https://www.sendspace.com/file/00ccnk

خود یک ویروس هست

در نتیجه تست کردن ان دارای ریسک میباشد

---

از حجم کمش هم قابل تشخیص بود
امیدوارم راه حلی پیدا شه این مشکل رفع شه برای چندتا از دوستان من هم این مشکل پیش اومده و کل فایلاشون از دست رفته

عزیزان من روی ویندوز 7 هم این مورد رو مشاهده کردم ، این مورد فقط برای ویندوز سرورها نیست.
ویندوز های خانگی هم این مورد رو دیدم
خطری برای ویندوز های شخصی 7 و یا 8 نداره؟
البته روی سیستم آنتی ویروس nod32 نصبه ، به راحتی این ویروس رو شناسایی کرد

نقل قول:

---

نوشته اصلی توسط meysam021

عزیزان من روی ویندوز 7 هم این مورد رو مشاهده کردم ، این مورد فقط برای ویندوز سرورها نیست.
ویندوز های خانگی هم این مورد رو دیدم
خطری برای ویندوز های شخصی 7 و یا 8 نداره؟
البته روی سیستم آنتی ویروس nod32 نصبه ، به راحتی این ویروس رو شناسایی کرد

---

سلام

لوگ فایل ویروسی کامل زیپ کنید و ارسال کنید
اگر مطمئن هستید همان مورد میباشد

سلام
ویروس پس از اجرا شدن در کامپیوتر شناسایی شد
به صورت تست بر روی یکی از سرور ها اجرا میکنیم و نتیجه رو ببینیم چی میشه که بتونیم راه حل بدیم در غیر اینصورت نمیشه جلوش رو گرفت

نقل قول:

---

نوشته اصلی توسط company_hosting

سلام

متاسفانه این فایل

https://www.sendspace.com/file/00ccnk

خود یک ویروس هست

در نتیجه تست کردن ان دارای ریسک میباشد

---

سلام

من این فایل اجرا کردم در یک سرور 2012 مشکلی ندیدم
اگه ویروس باشه چه مشکلی باید ایجاد بشه بعد اجرا

کافیه تیکت درخواست بزنی بلافاصله آفرها سرازیر میشن!!
هرچند این موارد به خود مشتری بستگی داره اما اگر شرکت کاربلد، متخصص باشه در جریان اخبار قرار میگیره و بلافاصله اطلاع رسانی میکنه نه اینکه به این شکل کاربرها یکی پس از دیگری قربانی بشن

اسم این بد افزار NSA است که چند روز است منتشر شده و ظاهرا کار در کل دنیا مشکل ساز شده
تعداد زیادی از سرور های ما هم با این مشکل مواجه شدند :
https://www.google.com/#q=NSA+EXPLOI...ws+server+2008

نقل قول:

---

نوشته اصلی توسط MyroxSoft

کافیه تیکت درخواست بزنی بلافاصله آفرها سرازیر میشن!!
هرچند این موارد به خود مشتری بستگی داره اما اگر شرکت کاربلد، متخصص باشه در جریان اخبار قرار میگیره و بلافاصله اطلاع رسانی میکنه نه اینکه به این شکل کاربرها یکی پس از دیگری قربانی بشن

---

شما از کجا اینقدر مطمئن هستید که دوستان پیگیری خاصی انجان ندادن؟

نقل قول:

---

نوشته اصلی توسط Nomix

سلام

من این فایل اجرا کردم در یک سرور 2012 مشکلی ندیدم
اگه ویروس باشه چه مشکلی باید ایجاد بشه بعد اجرا

---

سلام

اجرا به معنی چی ؟

ویروس پیدا نشد ؟
فایل های مشکل دار درست شدند ؟

یا فقط فایل را باز کردید !!

نقل قول:

---

نوشته اصلی توسط viasky

شما از کجا اینقدر مطمئن هستید که دوستان پیگیری خاصی انجان ندادن؟

---

یک مثال ساده:
سرور بنده ظهر ویروسی شده
دقایقی پیش ایمیل شرکت اومده و....

نقل قول:

---

نوشته اصلی توسط viasky

شما از کجا اینقدر مطمئن هستید که دوستان پیگیری خاصی انجان ندادن؟

---

جالب هست

تاریخ رلیز برای 14م هست

توقع هست همه ثانیه ای اپدیت بشن

APR 14, 2017
Friday’s release of suspected NSA spying tools is bad news for companies running Windows Server

میشه متن ایمیل شرکت رو ارسال کنید؟

نقل قول:

---

نوشته اصلی توسط MyroxSoft

یک مثال ساده:
سرور بنده ظهر ویروسی شده
دقایقی پیش ایمیل شرکت اومده و....

---

نقل قول:

---

نوشته اصلی توسط pardishosting

اسم این بد افزار NSA است که چند روز است منتشر شده و ظاهرا کار در کل دنیا مشکل ساز شده
تعداد زیادی از سرور های ما هم با این مشکل مواجه شدند :
https://www.google.com/#q=NSA+EXPLOI...ws+server+2008

---

راه حل؟

- - - Updated - - -

نقل قول:

---

نوشته اصلی توسط MyroxSoft

یک مثال ساده:
سرور بنده ظهر ویروسی شده
دقایقی پیش ایمیل شرکت اومده و....

---

چه ایمیلی متنشو بدید

راه حل :

1) اپدیت ویندوز ...
2) نصب انتی ویروس
رایگانش :
https://support.microsoft.com/en-us/...tials-download

نقل قول:

---

نوشته اصلی توسط company_hosting

سلام

اجرا به معنی چی ؟

ویروس پیدا نشد ؟
فایل های مشکل دار درست شدند ؟

یا فقط فایل را باز کردید !!

---

سلام
اقای حسینی اون فایل دیکودر ما تست کردیم کلا الکی بود!
هیچ کاری نکرد.
الان دقیقا باید چیکار کرد؟

خلاصه متن ایمیل این بوده که ویندوزهای 2008 رو آپدیت کنید و ترجیحا به ویندوز 2012 کوچ کنید

------
روی سرور من که ویندوز بکاپ فعال نبود
دوستانی که ویندوز بکاپ روی سرورشون فعال بوده تست کنن، ویندوز رو به بکاپ قبلی برگردونن

نقل قول:

---

نوشته اصلی توسط mizban97

سلام
اقای حسینی اون فایل دیکودر ما تست کردیم کلا الکی بود!
هیچ کاری نکرد.
الان دقیقا باید چیکار کرد؟

---

سلام

فعلا هیچ کاری نمیشه کرد همه گرفتار این ابزار مخرب شدن

باید منتظر باشیم از سمت شرکت های انتی ویروسی یک انتی ارائه شود یا شرکت ماکروسافت انتی ارائه کند

رنج ایپیهای مورد حمله از 100 شروع شده اند

ایپیهای زیر ان رنج فعلا مشکلی نداشتند

تا این لحظه که اظلاع دارم

سلام

فایل دیکودر توسط بنده هم تست شد
اصلا انگار فقط توش نوشتن
< html>
</ html >

چون کلا به هیچ دردی نمیخورد
هیچکاری نکرد!

آپدیت:
دوستان طبق آخرین چیزی که خوندم با آپدیت ویندوز و تغییر پورت همه چیز اوکی میشه . حالا صحت داره یا نه نمیدونم باید تست بشه روی یه سرور مشکل دار

نقل قول:

---

نوشته اصلی توسط w.h.t

سلام

فایل دیکودر توسط بنده هم تست شد
اصلا انگار فقط توش نوشتن
< html>
</ html >

چون کلا به هیچ دردی نمیخورد
هیچکاری نکرد!

آپدیت:
دوستان طبق آخرین چیزی که خوندم با آپدیت ویندوز و تغییر پورت همه چیز اوکی میشه . حالا صحت داره یا نه نمیدونم باید تست بشه روی یه سرور مشکل دار

---

APR 15, 2017


Microsoft said it has already patched vulnerabilities revealed in Friday’s high-profile leak of suspected U.S. National Security Agency spying tools, meaning customers should be protected if they’ve kept their software up-to-date.
Friday’s leak caused concern in the security community. The spying tools include about 20 exploits designed to hack into old versions of Windows, such as Windows XP and Windows Server 2008.

نقل قول:

---

نوشته اصلی توسط w.h.t

سلام

فایل دیکودر توسط بنده هم تست شد
اصلا انگار فقط توش نوشتن
< html>
</ html >

چون کلا به هیچ دردی نمیخورد
هیچکاری نکرد!

آپدیت:
دوستان طبق آخرین چیزی که خوندم با آپدیت ویندوز و تغییر پورت همه چیز اوکی میشه . حالا صحت داره یا نه نمیدونم باید تست بشه روی یه سرور مشکل دار

---

لطفا در صورت امکان آخرین نسخه ویندوز سرور 2008 و 2012 اینجا قرار بدید.
با تشکر

دوستان این مشکل روی ویندوز خانگی که مشاهده نشده؟ چون به جز اعلام چند نفر که اوناهم ثابت نکردن گزارش رسمی دیگه ای نیست

نقل قول:

---

نوشته اصلی توسط w.h.t

دوستان این مشکل روی ویندوز خانگی که مشاهده نشده؟ چون به جز اعلام چند نفر که اوناهم ثابت نکردن گزارش رسمی دیگه ای نیست

---

سلام

ماکروسافت اعلام کرده که این فایل ها در ویندوز 7 و 10 دیده شده اند اما روی انها کار نکردند

Three of the exploits found in the leak have not been patched but do not work on platforms that Microsoft currently supports, such as Window 7 or later and Exchange 2010 or later.

نقل قول:

---

نوشته اصلی توسط mizban97

لطفا در صورت امکان آخرین نسخه ویندوز سرور 2008 و 2012 اینجا قرار بدید.
با تشکر

---

سلام

قرار بدید روی آپدیت خودکار
همکارم نسخه ویندوزش قانونی نبود ولی آپدیت شده مثل اینکه
ولی امید نداشته باشید با آپدیت خوب بشه

فکر کنم نصب مجدد او اس لازم باشه!

نقل قول:

---

نوشته اصلی توسط mizban97

لطفا در صورت امکان آخرین نسخه ویندوز سرور 2008 و 2012 اینجا قرار بدید.
با تشکر

---

آخرین نسخه که الان من خواستم از خود مایکروسافت بگیرم برای 2014 بود جدید تر نداشت
باید بعد نصب آپدیت کنید یا مگر از جای دیگه دانلود کنید

نقل قول:

---

نوشته اصلی توسط w.h.t

سلام

قرار بدید روی آپدیت خودکار
همکارم نسخه ویندوزش قانونی نبود ولی آپدیت شده مثل اینکه

---

با تشکر
بله زدیم اپدیت خودکار اپدیت ها رو اورد
اخرین اپدیت برای چه تاریخی هست؟
اگر میشه تاریخ بگید تا دوستان بدونند.

نقل قول:

---

نوشته اصلی توسط mizban97

با تشکر
بله زدیم اپدیت خودکار اپدیت ها رو اورد
اخرین اپدیت برای چه تاریخی هست؟
اگر میشه تاریخ بگید تا دوستان بدونند.

---

سلام مجدد

اطلاع ندارم همکار آپدیت کردند
سرور خودم هم خاموشه کلا نه آپدیت کردم نه پورت عوض کردم نه ... :|

نقل قول:

---

نوشته اصلی توسط mizban97

با تشکر
بله زدیم اپدیت خودکار اپدیت ها رو اورد
اخرین اپدیت برای چه تاریخی هست؟
اگر میشه تاریخ بگید تا دوستان بدونند.

---

سلام

اکثرا این تاریخ هستند

date: ‎4/‎23/‎2014


خیلی هایش هم برای چند روز گذشته ...


اپدیت اتوماتیگ بزنید