Category Archives: Windows

RemoteApp на Windows 2012 без домена

Привет, в Windows Server 2012, Microsoft сделали ограничение на использование терминального сервера, если он не введен в домен Active Directory. В частности, я столкнулся с тем, что из консоли управления сервером нельзя настроить RemoteAPP. Но к счастью, приложения можно добавить в ручную, ниже я покажу как это можно сделать.

Само собой, для работы RemoteApp у вас должен быть установлен терминальный сервер, если кто не в курсе, если сервер не в домене, устанавливается он через добавление ролей, а не через установку служб удаленных рабочих столов. Выбираются службы удаленных рабочих столов, в них выбираются лицензирование удаленных рабочих столов и узел сеансов удаленных рабочих столов.

Я покажу как сделать задуманное, на примере 1С, думаю понятно, что по этой схеме можно добавить любое приложение RemoteApp.
Для упрощения процесса, я создал архив с готовыми файлами rdp и reg, скачать можно отсюда.

Ниже описание этих файлов.

Создадим, или откроем из архива .rdp файл подключения.

Содержимое его, должно иметь такой вид:

redirectclipboard:i:1
redirectposdevices:i:0
redirectprinters:i:1
redirectcomports:i:1
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
span monitors:i:1
use multimon:i:1
remoteapplicationmode:i:1
server port:i:3389
full address:s:192.168.1.112
alternate shell:s:||1cestart
remoteapplicationprogram:s:||1cestart
remoteapplicationname:s:1C Предприятие
allow font smoothing:i:1
promptcredentialonce:i:1
authentication level:i:2
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:0
gatewaycredentialssource:i:0
gatewayhostname:s:
remoteapplicationcmdline:s:
screen mode id:i:2
winposstr:s:0,3,0,0,800,600
compression:i:1
keyboardhook:i:2
audiocapturemode:i:0
videoplaybackmode:i:1
connection type:i:7
networkautodetect:i:1
bandwidthautodetect:i:1
displayconnectionbar:i:1
enableworkspacereconnect:i:0
disable wallpaper:i:0
allow desktop composition:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
audiomode:i:0
autoreconnection enabled:i:1
prompt for credentials:i:0
negotiate security layer:i:1
remoteapplicationicon:s:
shell working directory:s:
gatewaybrokeringtype:i:0
use redirection server name:i:0
rdgiskdcproxy:i:0
kdcproxyname:s:

Вам нужно изменить строчки, на ваши порт и адрес:

server port:i:3389
full address:s:192.168.1.112

А так же, в случае, если добавляете не 1С, то эти то же:

alternate shell:s:||1cestart
remoteapplicationprogram:s:||1cestart
remoteapplicationname:s:1C Предприятие

Сохраните файл, и попробуйте подключиться, если файл создан правильно, то должна будет выскочить ошибка, что приложение RemoteApp отсутсвует в списке разрешенных программ.

Дальше добавим наше приложение в список разрешенных, для этого нужно будет отредактировать реестр. Я сделал дамп ветки которую нужно добавить для 1С 8.2. В архиве, файл называется 1cestart.reg

Его содержимое:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\1cestart]
«RequiredCommandLine»=»»
«Name»=»1C Предприятие»
«SecurityDescriptor»=»»
«CommandLineSettings»=dword:00000000
«IconIndex»=dword:00000000
«Path»=»C:\\\\Program Files (x86)\\\\1cv8\\\\common\\\\1cestart.exe»
«ShortPath»=»C:\\\\PROGRA~2\\\\1cv8\\\\common\\\\1cestart.exe»
«ShowInTSWA»=dword:00000001
«IconPath»=»%SystemRoot%\\Installer\\{D4895455-7B12-4E0B-B5F0-EFF6B9C3F93E}\\ShortCut_EnterprSt_41216A7DC6764F558CBAC68BC28BD550.exe»

Если вы будете заносить эти параметры вручную, то нужно в путях изменить \\\\ на \\.

Как не трудно догадаться, в нем нужно изменить пути до вашего приложения, в следующих строках:

«IconPath»=»%SystemRoot%\\Installer\\{D4895455-7B12-4E0B-B5F0-EFF6B9C3F93E}\\ShortCut_EnterprSt_41216A7DC6764F558CBAC68BC28BD550.exe»
«Path»=»C:\\\\Program Files (x86)\\\\1cv8\\\\common\\\\1cestart.exe»
«ShortPath»=»C:\\\\PROGRA~2\\\\1cv8\\\\common\\\\1cestart.exe»

И его имя в строке:

«Name»=»1C Предприятие»

А также ветку реестра, то есть если вы пробрасываете, например, калькулятор, то и ветка должна быть, не Applications\1cestart, а Applications\calc, и не забудьте, проверить, чтобы параметры названия приложения, в файле .rdp, соответствовали названию этой ветки.

Попробуйте подключиться снова, у меня RemoteApp после вышеописанных действий заработал.

Если же у вас что не заработало, проверьте ветку реестра, создалась ли она вообще, и правильные ли в ней пути прописаны, если в ней все верно на 100%, то попробуйте запустить файл termital.reg из архива.

Его содержимое, если кто захочет добавлять руками:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList]
«LicenseServers»=hex(7):00,00
«CertificateIssuedBy»=»»
«LicensingType»=dword:00000005
«fHasCertificate»=dword:00000000
«CertificateExpiresOn»=»»
«CentralLicensing»=dword:00000000
«fDisabledAllowList»=dword:00000000
«CertificateIssuedTo»=»»
«CustomRDPSettings»=»authentication level:i:2»

Источник: https://www.mytechnote.ru/remoteapp-na-windows-2012-bez-domena

3D визуализация и интерьер

Управление VirtualBox из командной строки

Управлять виртуальными машинами VirtualBox можно и бывает, что нужно из командной строки. Делается это с помощью утилиты VBoxManage.

Все команды доступные для использования, можно посмотреть тут.

Основные, для использования у себя на компьютере, рассмотрим ниже.

Для того, чтобы посмотреть список существующих виртуальных машин, нужно выполнить

VBoxManage list vms

список будет примерно таким

"windows" {9637154d-3e3c-46eb-9f5c-645d62b54}
"ubuntu" {d66e0cef-3f19-451f-87a3-4f9ecce6f}
"VMBitrix5.0.45-i386" {eb485549-a672-4fd9-9485-6ab696de9}
"centos" {a266f2bc-b81c-455b-bb5a-b00ff2b83}

Запустить какую-либо машину

VBoxManage startvm imyaVM

Запустить без графического окна, в фоне, только для удаленного подключения, нужно указать опцию type как headless

VBoxManage startvm imyaVM --type headless

Для остановки машины существуют следующие команды

Простое выключение

VBoxManage controlvm "imyaVM" poweroff

Сброс, аналогично кнопке компьютера Reset

VBoxManage controlvm "imyaVM" reset

Сохранение состояния и выключение

VBoxManage controlvm "imyaVM" savestate

машина сохранит состояние и выключится.
Запустить машины после этих команд, можно с помощью VBoxManage startvm imyaVM.

Посмотреть список запущенных виртуальных машин

VBoxManage list runningvms

Информация и настройки виртуальных машин VirtualBox.

Чтобы изменить какую-либо настройку виртуальной машины, можно воспользоваться командой ниже, пример изменения размера оперативной памяти

VBoxManage modifyvm "imyaVM" --memory 2048

При изменении настроек с помощью modifyvm виртуальная машина, обязательно должна быть выключена.

Список опций для изменения можно посмотреть по этой ссылке (на английском).

Как создать виртуальную машину VirtualBox из командной строки можно почитать в следующей статье.

Источник:
http://goodigy.ru/upravlenie_virtualbox_console

Как запретить вход по RDP, разрешив запускать RemoteApp или WebRDP приложения?

Как разрешить запускать приложения по RemoteApp или WebRDP, но при этом запретить логиниться на сам сервер по RDP. Вариант вот такой… заходим в свойства пользователя в оснастке AD и переходим на вкладку «среда» и далее в строке «при входе в систему запускать следующую программу» пишем следующее: %systemroot%\system32\logoff.exe. Таким образом, при логине по RDP будет происходит logoff, а программы через web или app будут запускаться.

Грузимся модно

В связи очердной активостью шифровальщиков, бекдоров и хакеров, решил опубликовтаь методы автозагрузки в Windows. Эти методы используют злоумышленники, а это значит, что и те, кто занимается защитой информации может искать там средства, которые угрожают безопасности компьютера…

При написании троянов и прочих полезных
утилит часто возникает потребность в
автозагрузке. Так уж повелось так что все
используют для этих целей раздел RUN в
реестре Windows… А зря, ведь есть еще много
эффективных способов автозагрузки.

Мне кажется или все разленились? Уже никто
не хочет думать! Некоторые задачи стали
настолько тривиальны, что никто даже не
думает над их решением. Я это к тому, что
большая часть людей считает, что в Windows’е
можно сделать автозагрузку через VxD или RUN в
реестре… хммм… давайте копнем поглубже и
увидим неограниченые возможности скрытые в
Windows.

Магические директории

Люди особо «творческого» ума могут
сообщить нам, что загрузится можно
скопировав себя куда-то в «C:\WINDOWS\Главное
меню\Программы\Автозагрузка»(В Windows XP это
будет выглядеть где-то так: «C:\Documents and
Settings\User\Программы\Автозагрузка»). Не
спорю, такой вариант сработает, но давайте
сделаем немного иначе. Местоположение этой
папки система узнает с реестра. Упоминания
о ней можно найти в таких разделах:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Shell
Folders
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell
Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\Shell
Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\explorer\User
Shell Folders

Значение там хранится в переменных «Startup»
и «Common Startup». Все дело в том, что в
переменную «Common Startup» можно написать
все, что угодно. То есть записав туда «c:\windows\system\my_secret_program»
мы запустим все программы находящиеся в
каталоге «my_secret_program». Привет Билли

Волшебные INI

Ну… Тут есть два варианта, использовать
WIN.INI или SYSTEM.INI. В WIN.INI ключ «windows»
содержит две переменные load и run. Придаваемые
им значения и есть программы которые надо
загрузить. Например:
………….

[windows]

load=my_secret_pogram1.exe
run=my_secret_pogram2.exe
………….

А в SYSTEM.INI метод немного другого характера. В
ключе «boot» есть параметр Shell, он задает
программу которая будет служить GUI для Windows.
По умолчанию это Explorer, но можно указывать и
другую программу А самое интересное то,
что можно указать и Explorer с параметром/параметрами.
На что он услужливо запустит передаваемый
параметр. Например:
………….

[boot]

Shell=Explorer.exe my_secret_pogram.exe
………….

И снова подарки от майкрософт Шелл еще
указывается в реестре: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\Shell». По умолчанию там
Explorer, но его можно заменить…

Великий BAT

Ну что, поехали дальше… Что такое бат файлы
знают все (я надеюсь…), но не все знают что
существует достаточно интересный файл
winstart.bat, который находится в папке Windows. Он
автоматически запускается системой каждый
раз при загрузке. Это обычный Bach файл с
досовскими командами. Чтобы с его помощью
запустить нашу программу добавляем в файл
что-то вроде: c:\windows\my_secret_program.exe.

В противовес ему прилагается dosstart.bat,
который как и winstart находится в директории
Windows, но запускается он если выбрать «Перезагрузить
компьютер в режим эмуляции MS-DOS». 

И конечно же Autoexec.bat, про который нельзя не
упомянуть говоря про батники :), запускается
при каждой загрузке твоего металлического
друга еще до винды. А для счасливых
обладателей NT/XP я имею другую прекрасную
новость. У них Autoexec.bat не грузится, зато Microsoft
не обделила и их вниманием, они могут
пользоваться файлом Autoexec.NT Его работа
заключается в том, что если у DOS’овской
программы нет ярлыка, то настройки для
создания DOS-BOX’а берутся из него. А он в свою
очередь тот же батник А если кто-нибудь
хочет загрузится в NT с Autoexec.bat (удовольствие
для исключительных извращенцев), тогда
придется покопаться в реестре… В разделе: 

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. 

Значение переменной ParseAutoexec установите
равным «1». Вот и все

Реестр — знакомый и не очень

Хех… Про реестр рассказали уже столько
баек, что мне даже стыдно про него упоминать,
но ради приличия перечислю стандартные
ключи автозагрузки и то, о чем знают
немногие. Итак, стандартные места откуда
можно загрузится:

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\RunServices

Тут все просто в нужном разделе, создаем
параметр со значением запускаемой проги. А
теперь встречайте RunOnceEx! Что очень
удивительно, мало кто знает как в этом ключе
прописать свою программу. Вот рекомендации
по использованию

1 Создаем ключ(если его нету)

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunOnceEx\000x

2 Создаем строковую переменную со
значением программы которую надо запустить,
но в интересном формате: 

«DLL|Function|Arguments» или «||command parameters»

То есть у нас есть два варианта: мы можем
запустить некоторую функцию Function или exe-шник.

Например:

«my_secret_pogram»=»||my_secret_pogram.exe» —
запустит my_secret_pogram.exe
«msprint2.dll|RUNDLL_PrintTestPage|» — печать пробной
страницы

Ах да… В NT есть еще один раздел:

HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit

Работает он также, как и классический RUN.

RegisterServiceProcces

Поскольку мелкомягкие отменили фичу с
RegisterServiceProcces в NT, то я расскрою тебе тайну,
как сделать RegisterServiceProcces+Autorun. Все очень
просто залазишь в «HKEY_LOCAL_MACHINE/Software/ Microsoft/WindowsNT/CurrentVersion/AppInit_DLLs».
Теперь создаешь переменную со значением
«my_secret_pogram.dll», где «my_secret_pogram.dll» —
имя нашей Dll’ки. В ней нужно создать функцию,
которая будет исполнятся при загрузке.
Радует то, что в этом случае наш процесс не
будет видно в Таск Менеджере! Но
использовать можно только функции из
KERNEL32.DLL. За более подробной информацией
полезай на www.microsoft.com!

Быстрее всех

Windows NT позволяет запускать специально
написанные программы до регистрации
пользователя (logon). Эти программы
подразделяются на две группы: драйверы и
сервисы. Все дело в том, что любую Win32
программу можно запустить до logon с помощью
специального сервиса. В Windows NT Resource Kit
включен сервис srvany.exe, выполняющий именно
эти задачи :). Его подробное описание
находится в файле srvany.wri. Почитай на досуге

Маленький трюк

Ну и наконец, после такого прогрузона я
скажу, что если тебе влом копаться в этом
дерьме, то ты можешь просто скопировать
my_secret_pogram.exe в корень диска C:\ и
переименовать в Explorer.exe. Он запустится до
настоящего Эксплорера И это работает во
всех версиях Windows…

Теперь ты вооружен. Надеюсь после прочтения
этого ты задумаешься, каким способом будет
грузится твой новый троян Удачи!

Источник: https://xakep.ru/2002/12/02/17026/

MD5 сумма файлов командами Windows из командной строки

Если у вас возникла задача узнать хеш-сумму файла, а устанавливать какие-либо дополнительные программы для этого не хочется, то это можно сделать стандартными средствами с помощью командной строки.

Нам поможет утилита CertUtil по умолчанию входящая в комплект Windows

Чтобы узнать хеш сумму файла необходимо зайти в командную строку: (клавиши Win+R и набираем cmd, либо «Пуск-Все программы-Стандартные-Командная строка«)

и выполнить команду

где, c:file — путь до файла

По умолчанию утилита считает хеш-сумму с помощью SHA1

Если хотите использовать другой, пожалуйста, доступны MD5 MD4 MD2 SHA512 SHA384 SHA256 SHA1

Например:

Также можно воспользоваться утилитой FCIV (File Checksum Integrity Verifier utility) эта утилита может не входить по умолчанию в систему. Скачать можно ее с оф.сайта http://support.microsoft.com/ru-ru/kb/841290

Распаковываем и кладем файл fciv.exe для удобства в папку C:windowssystem32

Теперь можно выполнив команду

узнать хеш-сумму файла, по умолчанию MD5, но также доступен SHA1

Из полезных функций хочется отметить возможность проверить автоматом хеш-суммы всех файлов в папке, а также загрузить их в XML-файл для последующей сверки

Считаем хеш-сумму всех файлов в папке

Создаем файл d:hashes.xml, который содержит хеши и пути до файлов всех файлов папки d:Folder

Сверяем хеш суммы файлов по ранее созданному xml файлу

 

Источник: http://itfound.ru/123-uznat-hash-sum-standart-sredstva-cmd.html

Предметная визуализация

Как отключить обновления Windows 10

В этой инструкции пошагово описаны способы отключить автоматические обновления Windows 10 (т.е. установку обновлений). В этом контексте вас также может заинтересовать Как отключить автоматическую перезагрузку Windows 10 при установке обновлений (с возможностью ручной их установки).

По умолчанию, Windows 10 автоматически проверяет наличие обновление, скачивает и устанавливает их, при этом отключить обновления стало сложнее, чем в предыдущих версиях операционной системы. Тем не менее, сделать это возможно: с помощью средств администрирования ОС или сторонних программ. В инструкции ниже — о том, как полностью отключить обновления системы, если же вам требуется отключить установку конкретного обновления KB и удалить его, необходимую информацию вы найдете в руководстве Как удалить обновления Windows 10. См. также: Как отключить автоматическое обновление драйверов в Windows 10.

Помимо полного отключения обновлений Windows 10 в инструкции показано, как отключить конкретное обновление, вызывающее проблемы, или, при необходимости — «большое обновление», такое как April Update 1803 или Fall Creators Update, не отключая при этом установку обновлений безопасности.

Как отключить автоматические обновления Windows 10, но разрешить ручную установку обновлений

С выходом Windows 10 версии 1709 Fall Creators Update и 1803 April Update многие способы отключения обновлений перестали работать: служба «Центр обновления Windows» включается сама по себе (обновление 2018: добавил способ обойти это и полностью отключить Центр обновления, далее в инструкции), блокировка в hosts не срабатывает, задания в планировщике заданий автоматически активируются со временем, параметры реестра работают не для всех редакций ОС.

Тем не менее, способ отключения обновлений (во всяком случае, их автоматического поиска, скачивания на компьютер и установки) существует.

В заданиях Windows 10 присутствует задание Schedule Scan (в разделе UpdateOrchestrator), которое, используя системную программу C:\Windows\System32\UsoClient.exe регулярно выполняет проверку наличия обновлений, и мы можем сделать так, чтобы оно не работало. При этом обновления определений вредоносных программ для защитника Windows продолжат устанавливаться автоматически.

Отключение задания Schedule Scan и автоматических обновлений

Для того, чтобы задание Schedule Scan перестало работать, а соответственно перестали автоматически проверяться и скачиваться обновления Windows 10, можно установить запрет на чтение и выполнение программы UsoClient.exe, без чего задание работать не будет.

Порядок действий будет следующим (для выполнения действий вы должны быть администратором в системе)

  1. Запустите командную строку от имени администратора. Для этого можно начать набирать «Командная строка» в поиске на панели задач, затем нажать правой кнопкой мыши по найденному результату и выбрать пункт «Запуск от имени администратора».
  2. В командной строке введите команду

    и нажмите Enter.

 

  • Закройте командную строку, перейдите в папку C:\Windows\System32\ и найдите там файл usoclient.exe, нажмите по нему правой кнопкой мыши и выберите пункт «Свойства».
  • На вкладке «Безопасность» нажмите кнопку «Изменить».

5. Поочередно выберите каждый пункт в списке «Группы или пользователи» и снимите для них все отметки в столбце «Разрешить» ниже.

 

  • Поочередно выберите каждый пункт в списке «Группы или пользователи» и снимите для них все отметки в столбце «Разрешить» ниже. Отключение разрешений для usoclient.exe
  • Нажмите Ок и подтвердите изменение разрешений.
  • Перезагрузите компьютер.

После этого обновления Windows 10 не будут устанавливаться (и обнаруживаться) автоматически. Однако, при желании вы можете проверить наличие обновлений и установить их вручную в «Параметры» — «Обновление и безопасность» — «Центр обновления Windows».

При желании, вы можете вернуть разрешения на использование файла usoclient.exe командной в командной строке, запущенной от имени администратора:

(однако, разрешения для TrustedInstaller не будут возвращены, равно как и не будет изменен владелец файла).

Примечания: Иногда, когда Windows 10 попробует обратиться к файлу usoclient.exe вы можете получить сообщение об ошибке «Отказано в доступе». Описанные выше шаги 3-6 можно выполнить и в командной строке, используя icacls, но рекомендую визуальный путь, поскольку список групп и пользователей с разрешениями может меняться по ходу обновлений ОС (а в командной строке нужно их указывать вручную).

Обновление март 2018: в комментариях предлагают ещё один способ, который может оказаться работоспособным, лично не проверил:

Есть ещё одна идея, которая автоматически отключает службу «Центр обновления Windows», в чём суть. Windows 10 включает сам «Центр обновления Windows», в Управление компьютером — Служебные программы — Просмотр событий — Журналы Windows — Система, отображается информация об этом, при этом указывается, что сам пользователь включил службу (ага, только выключил недавно). Гуд, событие есть, поехали дальше. Создаём батник, который останавливает службу и меняет тип запуска на «отключить»:

Гуд, батник создан.

Теперь создаём задачу в Управление компьютером — Служебные программы — Планировщик заданий.

  • Триггеры. Журнал: Система. Источник: Service Control Manager.
  • Код события: 7040. Действия. Запуск нашего батника.

Остальные настройки по вашему усмотрению.

Также, если в последнее время у вас стал принудительно устанавливаться помощник по обновлению до следующей версии Windows 10 и вам требуется это прекратить, обратите внимание на новую информацию в разделе «Отключение обновления до Windows 10 Fall Creators Update (1709) и April Update (1803)» далее в этой инструкции. И еще одно примечание: если никак не удается достичь желаемого (а в 10-ке это становится сложнее и сложнее), посмотрите комментарии к инструкции — там также есть полезные сведения и дополнительные подходы.

Отключение Центра обновления Windows 10 (обновлено, так чтобы он не включался автоматически)

Этот способ подходит не только для Windows 10 Профессиональная и Корпоративная, но и для домашней версии (если у вас Pro, рекомендую вариант с помощью редактора локальной групповой политики, который описан далее). Заключается он в отключении службы центра обновления. Однако, начиная с версии 1709 этот способ перестал работать в описываемом виде (служба включается со временем сама).

После отключения указанной службы, ОС не сможет автоматически загружать обновления и устанавливать их до тех пор, пока вы снова не включите ее. С недавних пор Центр обновления Windows 10 стал сам включаться, но это можно обойти и отключить его навсегда. Для отключения проделайте следующие шаги.

  1. Нажмите клавиши Win+R (Win — клавиша с эмблемой ОС), введите services.msc в окно «Выполнить» и нажмите Enter. Откроется окно «Службы».

 

  • Найдите в списке службу «Центр обновления Windows» (Windows Update), дважды кликните по ней.
  • Нажмите «Остановить». Также установите в поле «Тип запуска» значение «Отключена», примените настройки.

Если так и оставить, то через некоторое время Центр обновления снова включится. Чтобы этого не произошло, в этом же окне, после применения параметров, перейдите на вкладку «Вход в систему», выберите пункт «С учетной записью» и нажмите «Обзор».

В следующем окне нажмите «Дополнительно», затем — «Поиск» и в списке выберите пользователя без прав администратора, например, встроенного пользователя Гость.

В окне уберите пароль и подтверждение пароля для пользователя (у него нет пароля) и примените настройки.

Теперь автоматическое обновление системы происходить не будет: при необходимости, вы можете аналогичным образом вновь запустить службу Центра обновления и сменить пользователя, от которого производится запуск на «С системной учетной записью». Если что-то осталось не понятным, ниже — видео с этим способом.

Также на сайте доступна инструкция с дополнительными способами (хотя приведенного выше должно быть достаточно): Как отключить Центр обновления Windows 10.

Как отключить автоматические обновления Windows 10 в редакторе локальной групповой политики

Отключение обновлений с помощью редактора локальной групповой политики работает только для Windows 10 Pro и Enterprise, но при этом является самым надежным способом для выполнения указанной задачи. Действия по шагам:

  1. Запустите редактор локальной групповой политики (нажать Win+R, ввести gpedit.msc)
  2. Перейдите к разделу «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Центр обновления Windows». Найдите пункт «Настройка автоматического обновления» и дважды кликните по нему.

В окне настройки установите «Отключено» для того, чтобы Windows 10 никогда не проверяла и не устанавливала обновления.

Закройте редактор, после чего зайдите в параметры системы и выполните проверку наличия обновлений (это нужно, чтобы изменения вступили в силу, сообщают, что иногда срабатывает не сразу. При этом при ручной проверке обновления найдутся, но в будущем автоматически поиск и установка выполняться не будут).

То же действие можно сделать и с помощью редактора реестра (в Домашней работать не будет), для этого в разделе HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ WindowsUpdate\ AU создайте параметр DWORD с именем NoAutoUpdate и значением 1 (единица).

Использование лимитного подключения для предотвращения установки обновлений

Примечание: начиная с Windows 10 «Обновление для дизайнеров» в апреле 2017 года, задание лимитного подключения не будет блокировать все обновления, некоторые продолжат скачиваться и устанавливаться.

По умолчанию, Windows 10 не загружает обновления автоматически при использовании лимитного подключения. Таким образом, если вы для своей Wi-Fi укажите «Задать как лимитное подключение» (для локальной сети не получится), это отключить установку обновлений. Способ также работает для всех редакций Windows 10.

Чтобы сделать это, зайдите в Параметры — Сеть и Интернет — Wi-Fi и ниже списка беспроводных сетей нажмите «Дополнительные параметры».

Включите пункт «Задать как лимитное подключение», чтобы ОС относилось к этому подключению как к Интернету с оплатой за трафик.

Отключение установки конкретного обновления

В некоторых случаях может потребоваться отключить установку конкретного обновления, которое приводит к неправильной работе системы. Для этого можно использовать официальную утилиту Microsoft Show or Hide Updates (Показывать или скрывать обновления):

  1. Загрузите утилиту со страницы официального сайта.
  2. Запустите утилиту, нажмите кнопку Далее, а затем — Hide Updates (скрыть обновления).

Выберите обновления, установку которых необходимо отключить.

  1. Нажмите Далее и дождитесь завершения выполнения задачи.

После этого выбранное обновление не будет устанавливаться. Если же вы решите установить его, снова запустите утилиту и выберите пункт Show hidden updates (показать скрытые обновления), после чего уберите обновление из числа скрытых.

Отключение обновления до Windows 10 April Update (1803) и Fall Creators Update (1709)

Обновление март 2018: в последнее время обновление Windows 10 1709 Fall Creators Update стало устанавливаться на компьютеры автоматически вне зависимости от настроек. Существует следующий способ отключить это:

  1. В панели управления — программы и компоненты — просмотр установленных обновлений найдите и удалите обновления KB4023814 и KB4023057 если они там присутствуют.
  2. Создайте следующий reg файл и внесите изменения в реестр Windows 10.

Далее — «стандартные» способы отключить обновление, которые уже не работают для версии Fall Creators Update 1709, но должны быть работоспособными для April Update (Windows 10 1803), которое выйдет в скором времени (30 апреля 2018).

В скором времени на компьютеры пользователей начнет приходить очередное большое обновление — Windows 10 1803 April Update. Если вы не хотите его устанавливать, сделать это можно следующим образом:

  1. Зайдите в Параметры — Обновление и безопасность и нажмите «Дополнительные параметры» в разделе «Центр обновления Windows».

В дополнительных параметрах в разделе «Выберите, когда устанавливать обновления» установите «Current branch for business» (это отложит установку обновления на несколько месяцев по сравнению с датой выхода очередного обновления для простых пользователей).

  1. В разделе «Обновление компонентов включает в себя…» установите максимальное значение — 365, это отложит установку April Update или Fall Creators Update еще на один год.

Несмотря на то, что это не полное отключение установки обновления, вероятнее всего, срока в год с лишним будет вполне достаточно.

Есть еще один способ отложить установку обновлений компонентов Windows 10 — с помощью редактора локальной групповой политики (только в Pro и Enterprise): запустите gpedit.msc, перейдите в раздел «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Центр обновления Windows» — «Отложить обновления Windows».

Дважды нажмите по параметру «Выберите, когда следует получать обновления компонентов Windows 10», задайте «Включено», «Current Branch for Business» и 365 дней.

Программы для отключения обновлений Windows 10

Сразу после выхода Windows 10 появилось множество программ, позволяющих выключить те или иные функции системы (см. например статью про Отключение шпионства Windows 10). Есть таковые и для отключения автоматических обновлений.

Одна из них, работающая в настоящее время и не содержащая чего-либо нежелательного (проверял portable-версию, вам рекомендую тоже выполнять проверку на Virustotal) — бесплатная Win Updates Disabler, доступная для скачивания на сайте site2unblock.com.

После загрузки программы все что требуется сделать — отметить пункт «Disable Windows Updates» и нажать кнопку «Apply Now» (применить сейчас). Для работы требуются права администратора и, помимо прочего, программа умеет отключать защитник Windows и брандмауэр.

Второе ПО такого рода — Windows Update Blocker, правда этот вариант платный. Еще один интересный бесплатный вариант — Winaero Tweaker (см. Использование Winaero Tweaker для настройки оформления и поведения Windows 10).

Как отключить автоматическую установку обновлений Windows 10 — видео инструкция

В завершение — видео, в котором наглядно показаны описанные выше способы предотвратить установку и загрузку обновлений.

Надеюсь, вы смогли найти способы, подходящие в вашей ситуации. Если нет — спрашивайте в комментариях. На всякий случай отмечу, что отключение обновлений системы, особенно если это лицензионная ОС Windows 10 — не самая лучшая практика, делайте это только при явной необходимости.

 

Источник: https://remontka.pro/disable-updates-windows-10/

 

RDP-сервер из Winows 10 / Windows 7

Как и в прошлых клиентских версиях операционных систем Майкрософт, пользователи Pro и Enterprise Windows 10 (но не Home) редакций могут удаленно подключаться к своим компьютерам через службу удаленных рабочих столов (RDP). Однако есть ограничение на количество одновременных RDP сессии – возможна одновременная работа только одного удаленного пользователя. При попытке открыть вторую RDP сессию, сеанс первого пользователя предлагается завершить.

second-rdp-login

В английской версии предупреждение такое:

Дело в том, что в настольных редакциях операционных систем Microsoft есть следующие основные ограничения на использование службы удаленного рабочего стола:

  1. Поддержка RDP доступа имеется только в старших редакциях Windows (Professional и выше), а в домашних редакциях (Home) этот функционал отключен.
  2. Возможно только одно удаленного RDP подключения. При попытке открыть вторую RDP-сессию, пользователю предлагается завершить существующее подключение.
  3. В том случае, есть пользователь работает за консолью компьютера (локально), при удаленном подключении RDP, его сеанс будет отключен (заблокирован). Правильно и обратное утверждение: удаленный RDP сеанс принудительно завершается, если пользователь авторизуется на консоле системы

По сути, ограничение на количество одновременных rdp подключений является не техническим, а скорее лицензионным, запрещающее создавать на базе рабочей станции терминальный RDP сервер для работы нескольких пользователей. Хотя с технической точки зрения любая редакция Windows при наличии достаточного количества памяти может поддерживать одновременную работу нескольких десятков удаленных пользователей (в среднем на одну сессию пользователя без учета запускаемых приложений требуется 150-200 Мб памяти). Т.е. максимальное количество одновременных сессий в теории ограничивается только ресурсами компьютера.

Мы рассмотрим два способа отключить ограничение на количество одновременных RDP подключений к Windows 10:

  • RDP Wrapper Library.
  • Модификация файла termsrv.dll.

Важно. Изначально в самой первой версии статьи основным рабочим вариантом, позволяющим снять ограничение на количество одновременных RDP подключений пользователей был способ модификации и подмены файла termsrv.dll в папке %SystemRoot%\System32. Однако при установке нового билда Windows 10 или некоторых обновлений безопасности, этот файл обновляется. В результате приходится каждый раз редактировать этот файл Hex редактором, что довольно утомительно. Поэтому в качестве основного способа организации бесплатного терминального сервера на клиентской Windows 10 стоит считать утилиту RDP Wrapper Library.

Примечание. Модификации системы, описанные в этой статье, вероятно, будут считаться нарушением лицензионного соглашения на Windows со всеми вытекающими последствиями.

RDP Wrapper Library

Альтернативой модификации файла termsrv.dll  является использование  проекта RDP Wrapper Library. Эта программа работает в качестве прослойки между менеджером управления службами (SCM- Service Control Manager) и службой терминалов (Terminal Services) и позволяет включить не только поддержку нескольких одновременных RDP сессии, но и активировать поддержку RDP Host на домашних редакциях Windows 10. RDP Wrapper не вносит никаких изменений в файл termsrv.dll, просто подгружая termsrv с изменёнными параметрами.

Таким образом, это решение будет работать даже при обновлении версии файла termsrv.dll, что позволяет не опасаться обновлений Windows.

Важно. Перед установкой RDP Wrapper: важно, чтобы у вас использовалась оригинальная (непропатченная) версия файл termsrv.dll. В противном случае RDP Wrapper может работать не стабильно, или вообще не запускаться.

Скачать RDP Wrapper можно с репозитория GitHub: https://github.com/binarymaster/rdpwrap/releases (последняя доступная версия RDP Wrapper Library v1.6.2 вышла относительно недавно – 28 декабря 2017 года). Судя по информации на странице разработчика, поддерживаются все версии Windows. Windows 10 поддержиывается вплость до версии Insider Preview build 10.0.17063.1000 от 13 декабря 2017 года.

Совет. Кстати говоря, доступны исходники RDP Wrapper Library, что позволяет при желании самому собрать исполняемые файлы.

Архив RDPWrap-v1.6.2.zip содержит несколько файлов:

  • RDPWinst.exe —программа установки/удаления RDP Wrapper Library
  • RDPConf.exe — утилита настройки RDP Wrapper
  • RDPCheck.exe — Local RDP Checker — утилита проверки RDP
  • install.bat, uninstall.bat, update.bat — пакетные файлы для установки, удаления и обновления RDP Wrapper

Чтобы установить утилиту, запускам файл install.bat с правами администратора.

После окончания установки запускаем RDPConfig.exe. И удостоверяемся, что в секции Diagnostics все элементы окрашены в зеленый цвет.

Примечание. В моем случае, т.к. на компьютере отсутствует доступ в интернет, программа не смогла получить с Github актуальную версию INI файла с настройками под мою версию Windows. Поэтому в статусе указано [not supported]. Скачайте файл rdpwrap.ini с ресурса разработки и поместите его в каталог установки. Перезапустите службу и убедитесь, что надпись [not supported] сменилась на [fully supported].

Из интересных особенностей новой версии RDP Wrapper:

  • опция Hide users on logon screen – позволяет скрыть список пользователей на экране приветствия.
  • При отключении опции Single session per user — будут разрешены несколько одновременных RDP сессий под одной учетной записью (устанавливается ключ реестра fSingleSessionPerUser = 0 в ветке HKLM\SYSTEM\ CurrentControlSet\Control\Terminal Server\fSingleSessionPerUser).

В том случае, если после обновления версии Windows, RDP Wrapper не работает, проверьте, что в секции Diagnostics присутствует надпись Listener state: Not listening.

Попробуйте обновить ini файл скриптом update.bat, либо вручную и переустановить службу

rdpwinst.exe -u
rdpwinst.exe -i

Пытаемся открыть вторую RDP сессию. Все получилось! Теперь наша Windows 10 позволяет одновременно подключаться по RDP сразу двум удаленным пользователям.

Утилита должна работать на всех поддерживаемых на данный момент редакциях Windows : Windows Vista, Windows 7, Windows 8, Windows 8.1 и Windows 10. Таким образом из любой клиентской версии Windows можно сделать сервер терминалов.

Модификация файла termsrv.dll

Убрать ограничение на количество RDP подключений можно с помощью модификации файла termsrv.dll (файл библиотеки, используемый службой Remote Desktop Services). Файл находится в каталоге C:\Windows\System32).

Перед модификацией файла termsrv.dll желательно создать его резервную копию (в случае необходимости можно будет вернуться к первоначальной версии файла):

copy c:\Windows\System32\termsrv.dll termsrv.dll_backup

Перед правкой файла termsrv.dll нужно стать его владельцем и предоставить группе администраторов полные права на него (все операции выполняются аналогично описанным в статье Убираем ограничение на количество RDP сессий в Windows 8). Затем остановите службу Remote Desktop service (TermService) из консоли services.msc или из командной строки:

Net stop TermService

Для редакции Windows 10 x64 RTM (версия файла termsrv.dll — 10.0.10240.16384): Откройте файл termsrv.dll с помощью любого HEX редактора (к примеру, Tiny Hexer)

Найдите строку:

И замените ее на:

Сохраните файл и запустите службу TermService.

Готовый пропатченный файл termsrv.dll для Windows 10 Pro x64 можно скачать здесь: termsrv_windows_10_x64_10240.zip

 

Источник: http://winitpro.ru/index.php/2015/09/02/neskolko-rdp-sessij-v-windows-10/

 

Оптимизация скорости Windows

Оптимизация скорости Windows

Все, кто работает с Windows сталкиваются с проблемой «торможения» Windows со временем. Создается впечатление «усталости операционной системы». Как результат, через некоторое время операционная система Windows раздражает своей не поворотливостью.

Особенно остро проблема возникает, когда на дисках много файлов. Это проявляется как на серверах, так и на компьютерах.

Некоторые админы «решают» проблему полной переустановкой Windows с периодичностью раз в 1-2 года. Но, такими действиями они лишь сбрасывают проблему к нулю, а не решают ПРИЧИНУ проблемы.

В процессе борьбы с торможениями я вывел ряд рецептов, которые приводят к уменьшению количества чтения/записей дисковых накопителей, а как результат к стабильно высокой скорости работы системы.

 

1. Если SSD-диск. Включаем функцию Trim.

Проверить включена ли функция trim можно в командной строке, выполнив:

Если 0 — то Trim включен, если 1 — выключен.

 

2. Отключаем дефрагментацию.

Запускаем команду:

В ней, нужно для всех дисков отключить план запуска дефрагментации.

Отключение дефрагментации диска

 

3. Отключаем индексацию содержимого файлов.

Нажимаем на диске правой клавишей и вызываем свойства. Там указываем, что не нужна индексация (убираем галочку индексации).

Отключение индексации диска

 

4. Отключение файла подкачки.

Убираем галочку автоматического определения файла подкачки. Устанавливаем значение «без файла подкачки».

Отключение файла подкачки Windows

 

5. Отключаем файл гибернации.

Для того, чтоб отключить гибернацию, входите под админ-правами в cmd и выполняете команду:

 

Использованная статья: http://remontka.pro/nastroika-ssd-windows

 

Автор: Рудюк Сергей https://k2r.biz https://corp2.net

https://3dvisio.org

Предметная визуализация

Что делать, если провреждено хранилище компонентов Windows Server 2012

Бывает, что операционная система Windows Server 2012 ругается на повреждение хранилища компонентов. В этом случае, сервисы не ставятся и такая ситуация вводит администраторов в «ступор».

Что же делать, в этом случае?

Ответ найден на сайте Microsoft.

Для возможного решения проблемы рекомендую Вам выполнить следующее:

 

1. Удалите антивирусную программу.

  • После удаления антивирусной программы, перезапустите компьютер.
  • При следующем запуске включится встроенная защита от вирусов Windows Defender (Защитник Windows).
  • Проверьте работу Центра обновления Windows.

 

2. Проверьте наличие ошибок в хранилище системных файлов и обновлений.

 

  • Для этого нажмите «Win+X», выберите «Командная строка (администратор)»
  • В Командной строке введите следующую команду: Dism /Online /Cleanup-Image /CheckHealth

 

3.    Вне зависимости от результатов проверки выполните проверку данной папки и устранение потенциальных ошибок

  • Для этого, так же в Командной строке введите следующую команду: Dism /Online /Cleanup-Image /RestoreHealth

4.    Выполните проверку системных файлов на целостность

  • Для этого в Командной строке введите следующую команду: sfc /scannow

 

5.    Проверьте работу служб:

  • Также в командной строке введите поочередно следующие команды:

net stop wuauserv

net stop bits

net stop cryptsvc

ren %systemroot%\SoftwareDistribution sdold123

ren %systemroot%\System32\catroot2 cr2old123

net start cryptsvc

net start bits

net start wuauserv

 

P.S. Документация Windows молчит, что это может не помогать.

 

Запустите PowerShell от имени администратора, выполните:

Если это не момогло, скопируйте install.wim из дистрибутива на жесткий диск в C:\image и смонтируйте в C:\mount

Затем:

 

Не все так просто с Petya

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc.

Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Возможно, обновление от 17-го мая было неожиданным для атакующих. Но они снова загрузили уязвимость в обновление от 18-го мая, тем не менее большинство пользователей M.E.Doc уже обновились «вчерашним» патчем, и первая атака прошла не особо заметно.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.

Вирус Петя

Timestamp показывает, что троянский модуль был создан 15 мая.

Вирус Петя 2017

Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева.

Основной класс бэкдора — MeCom, который расположен в пространстве имен ZvitPublishedObjects.Server, как это указано на картинке 3.

Петя Вирус

Класс MeCom с троянским кодом в ILSpy .NET Decompiler.

Методы класса MeCom вызываются из метода IsNewUpdate в пространстве имен UpdaterUtils и ZvitPublishedObjects.Server. Сам метод IsNewUpdate вызывается периодически, чтобы проверять доступны ли новые обновления. Зараженный модуль от 15 мая работает немного иначе и содержит меньше функций, чем модуль от 22 июня.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.

Вирус Петя

Код, который собирает ЕДРПОУ.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних серверов как контрольных центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.

Вирус Петя-А

HTTP-запрос от трояснкого модуля, который содержит ЕДРПОУ в cookie.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.

Вирус Петя

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.

Вирус Петя

Код трояна, который расшифровывает список инструкций для выполнения на зараженной машине.

Таблица возможных команд:

Command назначение

0 – RunCmd Выполнить shell команду
1 – DumpData декодировать Base64 данные и сохранить их в файл
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Можно отметить, что именно команда номер 5, названная автором зловреда как «AutoPayload», полностью подходит под то, каким образом изначально распространялся DiskCoder.C на зеро-пациентах (первых зараженных машинах).

Вирус Петя

Метод AutoPayload, который использовался для выполнения шифровальщика DiskCoder.C.

Выводы

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными?

Отдельная благодарность моим коллегам Frédéric Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Вполне даже тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько компаний — кто-то как автор, кто-то как независимый аудитор.

Совершенно очевидно, что подобный диалог нужен, и ПО, которое используется настолько широко, должно проходить сертификацию как ПО национального значения.

Источник: https://geektimes.ru/post/290779/