Comments 192
СИСТЕМА ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА «M.E.DOC IS»
-Пошло через->
«M.E.Doc» — программа национального производителя, который активно поддерживает вузы страны.
DoublePulsar — это бэкдор (англ. backdoor), опубликованный хакерской группой The Shadow Brokers в начале 2017 года.
C вредоносной программой справляется антивирус Windows Defender.
PS/ Это те же самые хлопцы которые заминусовали тут за критику большого XML
-Пошло через->
«M.E.Doc» — программа национального производителя, который активно поддерживает вузы страны.
DoublePulsar — это бэкдор (англ. backdoor), опубликованный хакерской группой The Shadow Brokers в начале 2017 года.
C вредоносной программой справляется антивирус Windows Defender.
PS/ Это те же самые хлопцы которые заминусовали тут за критику большого XML
Ещё забыли про Радіо Люкс, Радіо Максимум (оба, как и 24 канал входят в холдинг ТРК Люкс); телеканал ATR; ОТП банк; компания ДТЕК; Центренерго; Новус; Фоззі-груп; Датагруп; Астеліт; WOG и т.д. (ссылка на новость). И даже Rozetka (скорее не сама, а только службы доставки, которыми они пользуются)
А Метрополитен не пострадал. Пострадал Ощадбанк — в метро перестала работать оплата бесконтактными картами банковскими и только, согласно официальным заявлениям.
P.S. Ходят «достоверные» слухи, что это Petya.A
P.P.S. А смысл такой заметки? И кавычки потеряли в пункте 4. И в конце заметки предложение не дописано
А Метрополитен не пострадал. Пострадал Ощадбанк — в метро перестала работать оплата бесконтактными картами банковскими и только, согласно официальным заявлениям.
P.S. Ходят «достоверные» слухи, что это Petya.A
P.P.S. А смысл такой заметки? И кавычки потеряли в пункте 4. И в конце заметки предложение не дописано
Официальное сообщение правительства.
Коротко: с 14:00 по Киеву пострадали Мин. Инфраструктуры, Борисполь, Укрпошта, Укрзалізниця и т.д. В КабМине пострадали только персональные компьютеры, сервера в сохранности. Несмотря на атаку, транспортная система работает в нормальном режиме. В основном виновата MEDOC, но не всегда. Обещают, что с атакой борется Гос. служба связи — будут инструкции для всех, а пока «выключите компьютеры». Полное сообщение на украинском по ссылке выше
Коротко: с 14:00 по Киеву пострадали Мин. Инфраструктуры, Борисполь, Укрпошта, Укрзалізниця и т.д. В КабМине пострадали только персональные компьютеры, сервера в сохранности. Несмотря на атаку, транспортная система работает в нормальном режиме. В основном виновата MEDOC, но не всегда. Обещают, что с атакой борется Гос. служба связи — будут инструкции для всех, а пока «выключите компьютеры». Полное сообщение на украинском по ссылке выше
будут инструкции для всех, а пока «выключите компьютеры»
Забавно, учитывая, что выключать зараженный компьютер как раз нельзя, т.к. после перезагрузки он будет заблокирован.
Вы же понимаете, это не для спасения заражённого компьютера, а для сохранения тех, кто пока цел и не заразился
Я так понимаю, что можно загрузится после выключения с лайф сд, или реаниматора, и сделать fixmbr.
Я так понимаю что шифрование какраз и происходит после перезагрузки, под видом checkdisk_a
Верно, наш офис тоже попал под раздачу, как и многие другие.
При первой загрузке с лайфсд получили доступ к файлам, но они оказались зашифрованы, далее запустили несколько стандартных скриптов для восстановления загрузки, комп перезагрузился и началась «проверка диска» после чего доступ к диском и инфе был потерян. Будем разбираться в четверг…
При первой загрузке с лайфсд получили доступ к файлам, но они оказались зашифрованы, далее запустили несколько стандартных скриптов для восстановления загрузки, комп перезагрузился и началась «проверка диска» после чего доступ к диском и инфе был потерян. Будем разбираться в четверг…
Спасибо, кавычки вернул.
Удивился, что на GT тишина, нет новости об этом. Статья в первую очередь необходима, чтобы предупредить сообщество об опасности. Поэтому основная информация, как выжимка в теле поста, а подробности по ссылкам, как вы вместе с господином igruh верно заметили.
Удивился, что на GT тишина, нет новости об этом. Статья в первую очередь необходима, чтобы предупредить сообщество об опасности. Поэтому основная информация, как выжимка в теле поста, а подробности по ссылкам, как вы вместе с господином igruh верно заметили.
Продолжим собирать для автора статью об атаке.
Пострадали некоторые компьютеры ЧАЭС. Ничего страшного. Большую часть отключили, чтобы избежать распространения. Не работает электронный документооборот. Радиационной опасности нет, но пока нет возможности отправлять рапорты с показателями, т.к. использовали электронную почту
Пострадали некоторые компьютеры ЧАЭС. Ничего страшного. Большую часть отключили, чтобы избежать распространения. Не работает электронный документооборот. Радиационной опасности нет, но пока нет возможности отправлять рапорты с показателями, т.к. использовали электронную почту
Спасибо, у меня в самом деле недостаточно времени, чтобы написать полноценную статью. С вашего позволения, добавлю в апдейт.
Всегда офигеваю с таких новостей. Почему вообще там стоит консьюмерская Windows, а не RHEL с параноидальными настройками SELinux, или вообще какая-нибудь QNX?
Какие такие задачи требуют на АЭС именно Windows на рабочих станциях? Почту отправлять и читать можно с абслютно любой ОС, даже с AIX мейнфреймов.
Какие такие задачи требуют на АЭС именно Windows на рабочих станциях? Почту отправлять и читать можно с абслютно любой ОС, даже с AIX мейнфреймов.
При чем удивляет еще больше, что раньше были произведены атаки именно на Винду, но как-то за все это время решили они забить на это дело… Ни чего важно ведь, всего лишь АЭС.
Ни чего важно ведь, всего лишь АЭС
Да может там рабочие станции секретарши, главбуха и т.п. на винде, а все что реально работает в АЭС в своей отдельной сети на чем-нибудь экзотическом.
Считаю, что все включая даже бух. и админов должны работать не на винде) слишком высоки ставки для таких оплошностей.
Например? Ну если у секретарши директора стоит комп на Винде и с доступом в инет (при том что она не работает с секретными данными АЭС и не имеет доступа к внутренней локальной сети АЭС), что могут хакеры и вирусы с этим сделать? Или это просто параноя, потому что параноя? Ну тогда вообще компы лучше не использовать, а считать на счетах, это единственный 100% защищенный вариант
Потому, что не пишут софт под них… Да и никому это не надо — всем достаточно уг наколенной на дельфях написанной человеком 50+ за 20к\мес.
В госсекторе, кстати, это вообще проблема — пока у тя нет седыхму.. к тебе все отсносяцца с позиции «шел бы ты отсюда сосунок, ишь удумал учить тут кого-то» :)
В госсекторе, кстати, это вообще проблема — пока у тя нет седых
Потому что негде взять сотрудников, которые бы умели все это делать.
Не верю, что негде. Как отметил комментатор выше, дело исключительно в финансах: кривое гуано под винду (естественно, ворованную, как в том же РЖД) гораздо дешевле, чем качественный софт и админ, который знает про линуксы больше, чем «там чОрная консоль и нихрена не понятно».
Админа можно найти, нет пользователей, которые бы смогли в линукс.
Ну приват как-то смог. Правда там, кажется, софт web-based, так что им в принципе все равно откуда им пользоваться, сравнительно недавно вообще на планшеты перешли.
У меня маман вполне может в линукс на уровне поюзать GIMP, Kdenlive, LibreOffice, digiKam, посмотреть видосики, послушать музыку, и даже может обновить свою систему. Браузеры — само собой. Не вижу причины, по которой юзверь не может в линукс, кроме непроходимой тупости оного. Но зачем тогда нанимать таких дубовых идиотов?
Потому что таких большинство. Никто не будет перебирать свежих выпускников бухгалтерских чушков на предмет «сможет ли в линукс». Да и не понятно заранее, сможет или нет.
Ну линукс при желании можно заставить выглядит так:
Какая разница бухгалтерскому чайнику? Вот отсутствие привычного офиса (опен офисы или либро офисы все-таки не то же что последнии микрософт офисы) может и напрягать
Много картинок
Какая разница бухгалтерскому чайнику? Вот отсутствие привычного офиса (опен офисы или либро офисы все-таки не то же что последнии микрософт офисы) может и напрягать
Я ниже уже написал, как выглядит не очень важно, все что нужно от операционки это привычные иконки на рабочем столе, которые запускают хотя бы слегка привычные программы, которые, что важно, корректно работают со старыми файлами.
Переход со старого доброго офиса на новый (не помню нумерацию, где впервые появились большие такие табы в шапке и хрен там что найдешь) — это была жесть и боль, но кто за месяц, кто за три — все справились. И с опенофисом бы сжились, я уверен, особенно если заставлять и стращать именем директора, но если кальк не в состоянии полноценно справиться с файлами экселя, то всё.
Переход со старого доброго офиса на новый (не помню нумерацию, где впервые появились большие такие табы в шапке и хрен там что найдешь) — это была жесть и боль, но кто за месяц, кто за три — все справились. И с опенофисом бы сжились, я уверен, особенно если заставлять и стращать именем директора, но если кальк не в состоянии полноценно справиться с файлами экселя, то всё.
нет пользователей, которые бы смогли в линукс.
Да сейчас есть версии линукса, которые не визуально почти не отличаются от винды, там больше проблема с софтом (тот же офис, например), да удобством администрирования.
кроме непроходимой тупости оного.
Кстати, совсем нулевому чайнику хоть винда, хоть мак, хоть линукс все едино
Если интересно можно почитать или тут посмотреть , прекрасно подойдет для паникующих при виде чего-то нового сотрудников, пенсионеров и т.д. Естественно в винду линукс не превратиться, но с точки «чайника» разницы почти не будет.
Разумеется, под «мочь в линукс» я имел в виду в первую очередь наличие нужного софта.
Лет 10 назад честно попытался перевести группу юзеров под линукс, мне за это премию обещали.
Уперлись, по очереди, в 1) бухгалтерию (преодолел) 2) ворд (преодолел с трудом) 3) эксель (фейл) 4) фотошоп (фейл без шансов). Мне уже говорили, что с тех пор опенофисы и прочие гимпы сделались более лучшими, допускаю, что теперь все проще.
Лет 10 назад честно попытался перевести группу юзеров под линукс, мне за это премию обещали.
Уперлись, по очереди, в 1) бухгалтерию (преодолел) 2) ворд (преодолел с трудом) 3) эксель (фейл) 4) фотошоп (фейл без шансов). Мне уже говорили, что с тех пор опенофисы и прочие гимпы сделались более лучшими, допускаю, что теперь все проще.
Windows в таких случаях стоит на десктопах сотрудников, а не на управляющих компах. Потому опасности и нет, что это — десктопы сотрудников не имеющие доступа к сети в которой идет реальная работа.
Не знаю точно про ЧАЭС, но в мире BMS(АСУЗ) программный комплекс диспетчеризация есть только на Windows. Почему то в эту область технический прогресс продвигается очень медленно.
По ссылке информации на порядок больше, чем в вашем твите, а ошибок — меньше. Так спешили донести первым?
поторопился я с закрытием кредита в хоум кредите :D
Ничего… Вот не смогут они расшифровать свои файлы, откатятся на бэкап — и увидят, что вы им все еще должны ;)
Avira сообщила что этот Petya так же использует EternalBlue уязвимость, как и недавний WannaCry
Twitter
Интересно, а от старого анлокера толк еще есть
Наших партнёров из Америки и Австрии тоже задело.
«вирус распространился на Российские компании, среди них:
Роснефть;
Банк «Хоум кредит».»
здоровья ему и долгих лет жизни )
Роснефть;
Банк «Хоум кредит».»
здоровья ему и долгих лет жизни )
Биткоин адрес вымогателя
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Понравилась транзакция на 666 сатоши
Адрес отправителя говорит сам за себя
1FuckYouRJBmXYF29J7dp4mJdKyLyaWXW6
Видимо автор потратил некоторое время на поиск удачного адреса.
Адрес отправителя говорит сам за себя
1FuckYouRJBmXYF29J7dp4mJdKyLyaWXW6
Видимо автор потратил некоторое время на поиск удачного адреса.
После первой волны WannaCry кто-то еще не установил апдейты?..
/риторический вопрос/
/риторический вопрос/
судя по инфе — апдейты защищают только от вторичного заражения по локалке. попавшихся на фишинг они не спасают.
жду инфу по количеству заразившихся систем вин хп отключенных от инета )
жду инфу по количеству заразившихся систем вин хп отключенных от инета )
Там не только виндовые дыры.
Говорят, что заражались даже полностью обновлённые компьютеры с Windows.
Хз, на сколько это правда. Сейчас неразбериха творится.
Хз, на сколько это правда. Сейчас неразбериха творится.
windows 10 релиз 1703 с последними обновлениями. погибли все, кого не успели отключить
В смысле у вас в сетке 10ки заразились? А антивирус какой?
10, 8, 7, 2008R2. на счет ХР нужно проверять
AV ESET, Defender
AV ESET, Defender
а не определили с кого все началось? интересно посмотреть что там за письмо такое приходят, что столько людей открывают вложение из него
Жесть. По почте прислали файл? Ни один антивирус не поймал, я так понял? Помогло только выдёргивание кабелей?
заражение было точно по сети. от кого началось, думаю узнать теперь вряд ли получится. за полчаса компьютера падали сотнями
Вот вам работы привалило. Страшный вопрос. Серверы то хоть из бэкапов можно поднять?
Если заражались полностью обновлённые ПК, значит используется неизвестная уязвимость.
У меня в рабочей сети заражение началось с машины под необновленной ХР, на которой работает МедОк, вирусный процесс был запущен от процесса МедОк. От нее по сети пострадало 2 машины с необновленной ХР и одна с 7-кой, похоже там бала какая-то проблема с обновлениями. Пара ХР еще выпала в синий экран, что там пока не смотрел, но думаю все должно быть нормально. Там где на ХР стоят последние обновления все ок.Так же все ок с 7-ми с относительно последними обновлениями.
Последними это как? WSUS есть? Уверены, что нужные заплатки установлены были?
На самом деле не только Россия и Украина, Европа тоже
Компьютеры на Windows — самые дешевые, если ваши данные ничего не стоят.
А Linux вообще бесплатный :)
Учитывая, что патч уж три месяца как доступен, а от отсуствия мозгов смена ОС не поможет — Windows тут ни при чём…
Если бы обновления в windows ставились без перезагрузки, возможно, их бы никто и не отключал.
Тоже верно, но сдаётся мне, после первого звоночка в лице Wannacry время для перезагрузки всё-таки можно было найти.
Чуть выше есть репорты о том, что попадали пропатченые Win10.
Я не понимаю, неужели на терминалы в аэропортах требуется именно Windows? Я почему-то уверена, что несложно даже .NET софт переписать так, что бы он работал под Mono/Linux, к которому можно прикрутить kExec, и обновлять не только юзермод, но и ядро без перезагрузки.
Ключевое слово «переписать». Никто не будет этим заниматься только ради перехода на Linux. А так-то я сам согласен, что для многих вещей Linux подходит намного больше.
То есть взять всех разработчиков, пишущих под .NET под винду, и никогда не работавших под Линукс, нанять новых разработчиков, купить/найти/установить систему разработки под Линукс, так как новые скорее всего никогда не работали под виндой, и заставить их переписывать виндовый софт, который еще неизвестно насколько легко перейдет на кросс-платформенность?
Звучит куда страшнее, чем решается в реальности :)
В реальности это найм пары человек в команду или покупка аутсорсинговых услуг.
В реальности это найм пары человек в команду или покупка аутсорсинговых услуг.
Нет, это решается страшнее чем звучит.
Очень много компаний не могут себе позволить разработку еще одной энтерпрайз системы в принципе.
Я знаю примеры, когда даже айти компании не очень жаждут разрабатывать что-то удобное для себя, потому что дорого, и все силы тратят на клиентов. А что говорить про средний и мелкий бизнес, для которых персональная разработка вообще не по карману, и они берут массовый дешевый продукт?
Очень много компаний не могут себе позволить разработку еще одной энтерпрайз системы в принципе.
Я знаю примеры, когда даже айти компании не очень жаждут разрабатывать что-то удобное для себя, потому что дорого, и все силы тратят на клиентов. А что говорить про средний и мелкий бизнес, для которых персональная разработка вообще не по карману, и они берут массовый дешевый продукт?
Скорее, если бы после них не обновлялась самопроизвольно винда.
Это обычный шифровальщик, он никак не блокируется обновлениями ОС.
Это не эксплоит (вроде как, по уточнённым данным). Поскольку страдают даже «десятки» с последними патчами.
Это не эксплоит (вроде как, по уточнённым данным). Поскольку страдают даже «десятки» с последними патчами.
Ну справедливости ради линь сам по себе изначально требует присутствия мозгов. Или вправляет по мере использования.
Похоже скоро уже в порядке вещей будет такие атаки.
п.с. Антивирусы, как всегда сели в лужу.
п.с. Антивирусы, как всегда сели в лужу.
Не, сейчас у одного разраба выйдет заплатка, которая решит все вопросы разом.
Вроде часть ловит. Но информация противоречивая. У Virustotal 16/61 детекция. Один из первых аналитиков говорил, что Defender ловил.
Неужели и в этот раз не найдут источник? Учитывая глобальность заражения.
Мы стараемся полезности и технические факты добавлять вот сюда.
Там есть ссылки на образцы потенциальной малвари, плюс немножко анализов и IoC.
Там есть ссылки на образцы потенциальной малвари, плюс немножко анализов и IoC.
Все эти события, как по мне, портят репутацию криптовалют очень сильно и показывают темную сторону анонимных валют. Ведь с картами такое никак бы не вышло.
ХР опять неуязвима получилась?
Это обычный шифровальщик, где запустят, там и зашифрует. Хоть на XP.
WannaCry зачастую не могла зашифровать данные в ХР. Только зависание было от него.
https://geektimes.ru/post/289665/
Вот интересно что насчет этого вируса. Все же ХР сильно устарела ина ней часто не могут нормально вирусы работать.
Спасибо а минусы, а то ведь правдивую информацию стоит минусовать. если она не нравится.
Там дело, как следует из того комментария, было в том, что не отрабатывал эксплоит (отправлял систему в BSOD), в результате действий которого уже бы запускалось шифрование.
То есть, с шифровальной начинкой всё в порядке, а проблема была в том, чтобы отправить её на исполнение. А у «Пети» с этим нет проблем — на исполнение его отправляет сам пользователь.
То есть, с шифровальной начинкой всё в порядке, а проблема была в том, чтобы отправить её на исполнение. А у «Пети» с этим нет проблем — на исполнение его отправляет сам пользователь.
На первой машине отправляет пользователь, а как насчет остальных в сети? Там то уже или отправлять через уязвимость или через стандартные права типа админа домена.
В сообщении киберполиции Украины пишут, что «В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).» Понятно без перевода…
Как вариант, может «Петя» по корпоративной почте себя рассылает с первой машины. Внутрь периметра-то он уже проник. А дальше юзеры охотно открывают вложения от коллеги.
Просто не сходится иначе, как он заражает через SMB машины на Windows 10 1703, которая изначально не подвержена той уязвимости?
Просто не сходится иначе, как он заражает через SMB машины на Windows 10 1703, которая изначально не подвержена той уязвимости?
В общем, похоже, что у этой зверушки сразу несколько различных механизмов проникновения. В том числе, через систему документооборота.
Поэтому, наличие XP особо не помогает. До неё не дотянуться по SMB, зато другими путям — вполне.
Поэтому, наличие XP особо не помогает. До неё не дотянуться по SMB, зато другими путям — вполне.
Инфо от знакомого айтишника в ХМАО. В ХМАО зацепило все дочки Роснефти. Патчи от wannacry стояли везде их поставили сразу практически даже с обходом компов и принудительным включением компов отпускников для обновления, не помогло. Машины почти все на вин7. Большую часть инфраструктуры месторождений удалось отсечь, но офисам досталось больше всех, там практически все компы залочились.
Если пользователь работает не под админской учеткой, и все апдейты установлены — ему боятся нечего даже если он запустит это опасное вложение? или все таки нет?
нет, боятся всегда есть чего. У нас «МЕДОК» несколько недель назад отказался запускаться после обновления, как вариант решения проблемы в их поддержке рекомендовали запустить службу от имени администратора домена. И вот сегодня все доменные компьютеры зашифрованы, а несколько не доменных в порядке. Все доступные обновления были установлены.
«Публикуем код для разблокировки. Кто там с Win32/Diskcoder.Petya.C воюет — попробуйте.
Код:
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
»
https://t.me/alexlitreev_channel
Посмотрел — а это SHA256 вирусного файла… хм…
Код:
027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
»
https://t.me/alexlitreev_channel
Посмотрел — а это SHA256 вирусного файла… хм…
del
Нашли киллсвитч. Достаточно создать файл C:\Windows\perfc. Источник
Авторы шифровальщиков какие-то скучные, делают киллсвитч в файле. Проанализировать просто, защититься тоже просто. Нет бы делать киллсвитч-домен, который должен отдать зашифрованную закрытым ключом команду, а открытый ключ встраивать в сам зловред.
Всё зависит от цели. Для длительного выжимания денег наличие простых киллсвитчей невыгодно, но здесь целью судя по всему ставилось мгновенное поражение максимального количества целей с атакой по таймеру, и проверка на зараженность по наличию файла проста и удобна. Вообще для шифровальщика вирус крайне злобный (полный вывод систем из строя), а та часть, которая отвечает за расшифровку проста по сравнению со всем остальным (1 адрес кошелька, 1 контактная почта, которая заблокирована сразу). Так что направленность вируса на максимально возможный единовременный ущерб очевидна.
Конечно, атаковавшие точно знали что делали. :-) В современной высокотехнологичной стране где почти все зависит от цифровой техники кибер-атака принесет максимальный ущерб экономике. :-) И главное, время выбрали удачное, на следующий день остановились все гос. предприятия (они сейчас действительно не работают с самого утра целый день :-)
Вот же PT, судя по времени это было обнаружено другим специалистом.
Исследователь Cybereason — Amit Serper обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. PT опоздали на 5 минут.
Источник
Исследователь Cybereason — Amit Serper обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. PT опоздали на 5 минут.
Источник
На другом форуме подтвердили что это M.E.Doc виноват, было несколько компов, на которые ничего не качалось, кроме апдейтов к бухсофту.
Хакерская атака на Украину осуществлялась через программу для отчетности и документооборота M.E.doc. Об этом говорится в сообщении Департамента Киберполиции Украины в Facebook. В полиции отметили, что данное программное обеспечение имеет встроенную функцию обновления, а хакерская атака началась после сегодняшнего обновления в 10:30.
https://www.rbc.ua/rus/news/kiberpolitsiya-nazvala-programmu-cherez-kotoruyu-1498589636.html
https://www.rbc.ua/rus/news/kiberpolitsiya-nazvala-programmu-cherez-kotoruyu-1498589636.html
у меня Windows 7 service pack 1
годами никакие patch, никакие update не делал.
полностью блокирую всякие обновления.
все возможные IP microsoft идут на 0.0.0.0 в etc/hosts
всё угодно скачаю, торрент и др.
только одна Avira стоит и никакие проблемы.
Думаю, что тем более делаются update и всякие patch через Microsoft, система становиться хуже и более уязвимой.
Все эти патчи может быть открывают разные бэкдоры, случайно или нарочно.
Держите нас в курсе, как вы не делаете update и patch через Microsoft, которые открывают backdoors, чтобы всякие NSA могли использовать exploits для внедрения worms и ramsonware.
п.с. Это очень, очень плохие советы.
п.с. Это очень, очень плохие советы.
Антипрививочники тоже любят хвастаться, мол «а я и мои дети не заболели, а эти прививки придуманы чтобы уничтожить человечество». Невежество везде работает одинаково.
Так всё правильно, тут главное отличие у «выжившего» — отсутствие бэкдора по имени «медок». Это если не учитывать социнженерию. А патчи… Это к WannaCry. Тут они не помогают.
UFO just landed and posted this here
просто я всё блокирую.
особенно Microsoft.
Всякие IPC$ и подобные.
И "No pasaran".
Понимаю — каникулы, родители на даче, но имхо в той же дотке вам будет много интереснее чем тут пытаться троллить про exploits для внедрения worms и ramsonware. :)
Бтв — чтобы килсвитч сработал требуется чтоб оно получило SE_d
Бтв — чтобы килсвитч сработал требуется чтоб оно получило SE_d
мне кажется это вы троллите.
какие каникулы, родители на даче ??
мне 59, я сам себе.
просто личное мнение здесь поделляю.
если вы так прямо доверяетесь американцам… пожалуйста.
Компьютер у Вас, стало быть, из наших, православных комплектующих? Почем «Эльбрус» брали? А телефон чей? Тоже российский? С куполами на задней крышке, по аналогии с яблоком?
Помнится, когда я задал такой же вопрос в теме про провайдерский роутер, где некоторые полагали что в него обязательно встроен бэкдор чтобы провайдер использовал эту уязвимость (можно подумать другие производители, не привязанные к провайдеру, не могут встроить уязвимость в свое железо… ну это ладно), меня дико заминусовали =(
Merkat0r мне кажется это вы троллите.
какие каникулы, родители на даче ??
мне 59, я сам себе.
просто личное мнение здесь поделляю.
если вы так прямо доверяетесь американцам… пожалуйста.
Так всё-таки был 0-day или это всё — следствие неправильной настройки различных политик безопасности и недостаточное внимание сисадминов к вопросам безопасности?
https://www.facebook.com/cyberpoliceua/posts/536947343096100
По крайней мере в Украине атака была произведена через обновления популярной в компаниях софтины M.E.doc. То есть взломали сервер с обновлениями, и подсунули вирус вместо обновления. Дальше клиенты автоматически сами выкачали это обновление и запустили.
По крайней мере в Украине атака была произведена через обновления популярной в компаниях софтины M.E.doc. То есть взломали сервер с обновлениями, и подсунули вирус вместо обновления. Дальше клиенты автоматически сами выкачали это обновление и запустили.
Насколько я понимаю, M.E.doc только один из векторов первоначального заражения. Вопрос по 0-day остаётся по распространению по локальной сети, где патчи от майкрософт уже были использованы. Есть предположение о получении доступа к аккаунтам администратора домена, и тогда другие машины ничего сделать не могли в принципе. Пока окончательных выводов нет.
Не раз попадались утверждения (от людей кто столкнулся с проблемой), что во всей сети пострадали только машины с этой софтиной, и сразу после её обновления. То есть можно считать, что в этих компаниях компьютеры были обновлены и всё было настроено верно, поэтому вирус не смог распространиться на другие машины с помощью тех уязвимостей, на которые он опирается. Это указывает на то, что какие-то до сих пор незалатанные 0-day уязвимости в самой Windows не использовались.
Видел утверждения двух типов, и там где пострадал только M.E.doc, и где пострадало всё (возможно начиная с M.E.doc). Так что проход по локальной сети не такой надежный, как до фиксов от WannaCry, но он есть на компах с обновлениями. Так же путаницы добавляет то, что возможно в атаке было несколько разновидностей зловреда. Пока детального анализа я ещё не видел.
На Тутбай пишут, что вирус, скорее всего, использовал сетевые инструменты Windows, такие как инструментарий управления Windows (WMI) и PsExec, для заражения других компьютеров.
Тогда, вероятно заражение с правами администратора домена и далее по накатанной во всей сети, куда успели дотянуться. Там, где запуск был осуществлен с правами твари дрожащей, скорее всего для распространения было необходимо отсутствие заплатки. Заявление сильное, я понимаю.
Похоже на правду.
Еще про первичные заражения, сообщает белорусский МВД: Зараженные файлы присылают под видом резюме, финансовых отчетов, прочей входящей документации или маскируют под архив с документами.
Еще про первичные заражения, сообщает белорусский МВД: Зараженные файлы присылают под видом резюме, финансовых отчетов, прочей входящей документации или маскируют под архив с документами.
В вашу логику не вписывается факт заражения ВИН10 (если он конечно имел место быть).
Не 0-day. Просто отлично продуманная и исполненная массовая атака.
Насколько я понял ситуацию, первоначальное заражение могло случиться несколькими путями:
После первого заражения зловред распространял себя по локальной сети либо через тот же эксплоит, где это было возможно, либо через PSExec, получая необходимые данные учетных записей с высокими привилегиями при помощи Mimikatz.
Если честно, я восхищен этой атакой. Остроумно и эффективно. Защититься от такого заранее очень непросто, хотя сейчас уже примерно понятно, как:
Насколько я понял ситуацию, первоначальное заражение могло случиться несколькими путями:
- Зараженное вложение в письмо
- Обновление до зараженной версии M.E.Doc
- Эксплоит в SMB (тот же, что и у WannaCry)
После первого заражения зловред распространял себя по локальной сети либо через тот же эксплоит, где это было возможно, либо через PSExec, получая необходимые данные учетных записей с высокими привилегиями при помощи Mimikatz.
Если честно, я восхищен этой атакой. Остроумно и эффективно. Защититься от такого заранее очень непросто, хотя сейчас уже примерно понятно, как:
- Устанавливать вовремя обновления
- Сегментировать сеть на как можно более мелкие сегменты VLAN, либо иными способами запретить обмен трафиком между клиентскими ПК
- Через политики настроить Windows Firewall на пользовательских ПК так, чтобы закрыть входящий трафик на порты SMB
- В-принципе отключить службу LanmanServer у пользователей через политики
- Использовать для запуска служб сторонних производителей учетные записи с возможно наименьшими правами
- Агрессивно фильтровать почтовые вложения
- Обучить пользователей не открывать вложения от неизвестных отправителей
- Бэкапы, бэкапы, бэкапы...
Свинцовый саркофаг забыли. По существу могу добавить applocker, тюнинг запуска доверенного ПО и банальное переопределение скриптовых расширений в notepad.
Бэкапы, бэкапы, бэкапы..тоже могут оказаться зашифрованными ;-)
можно их делать в архиве под паролем и без расширения, как вариант
А какая разница? Вроде этот вирус шифрует все файлы кроме системных, которые смог найти. А архив и пароль ему до лампочки, ему же не прочитать бэкапы надо, а зашифровать,
P.S. Оптимально делать бекапы на сторонее хранилище с возможностью создания, но без возможности изменения и удаления с этого компа.
Большие файлы с непонятными расширениями оно вряд ли шифрует, это отнимает время. Ощутимо отнимает. Хотя, может и сигнатуру проверяет…
Не знаю не знаю… я когда поймал шифровальщика лет 3 назад, зашифровал архивы и даже файлы алкоголя, причем iso образы оставил. да видео и аудио не тронул, но мне бы их жалко не было. А так хотел поймать авторов…
Тут я как понял вирус писался не энтузиастами, а как заработать денег, вот и профессионально подошли к написанию :(
Тут я как понял вирус писался не энтузиастами, а как заработать денег, вот и профессионально подошли к написанию :(
У больших файлов шифрует только 1-й мегабайт.
В общем, отказаться от сетевых шар/встроенного удалённого администрирования Microsoft, прикрыть виндовые порты на каждой машине и держать сторонние автообновляющиеся приложения в sandbox'е, а лучше — вообще в виртуальной машине.
Ну а от пользователей, открывающих вложения, врядли что-то спасёт, судя по масштабу…
Ну а от пользователей, открывающих вложения, врядли что-то спасёт, судя по масштабу…
Тут уже упоминали что им рекомендовали запускать медок от имени доменного админа. Еще тут упоминалса psexec. Вот вам и способ распространения. Чистая соц инженерия
UFO just landed and posted this here
Petya uses LSADump to get Admin password and infect all network. There is no need for #EternalBlue vulnerable PCs.
Хорошая реклама почтовому сервису http://posteo.net
остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Под «C:\Windows» подразумевается именно этот путь, или %windir%?
А Trend Micro поможет или вот Elcomsoft Forensic Disk Decryptor Наверное последний берет из памяти, если только пока компьютер не пере загружен? Кто знает или пробовал?
Sign up to leave a comment.
Очередная атака криптовымогателя парализует крупные компании