Комментарии 10
Ну и зачем дублировать статьи с гиктаймса на хабр?
Не вижу повода не разместить отчет нашего вирлаба в корпоративном блоге
Я, конечно, извиняюсь за свой вопрос, но где был Eset 27-го числа?
Сейчас все один впереди другого расследования ведут. Тоже нужное дело, конечно, но 27-е было показательным.
Сейчас все один впереди другого расследования ведут. Тоже нужное дело, конечно, но 27-е было показательным.
А что антивирус мог сделать? Сигнатур бэкдора еще ни у кого не было, его функционал идентичен любому другому модулю обновлений, так что по поведению все чисто. Расположен был в легитимном месте. Сам шифровальщик/вайпер — другое дело, в статье не о нем.
Это все правильно, я с этим согласен.
Но если смотреть на конечный результат — картинка печальная. Ведь народ покупает антивирусы не для того, чтоб они что-то там ловили, а чтоб защитить компьютер, защитить информацию.
Да и шифровальщик тот-же — хотя бы его остановили.
Но если смотреть на конечный результат — картинка печальная. Ведь народ покупает антивирусы не для того, чтоб они что-то там ловили, а чтоб защитить компьютер, защитить информацию.
Да и шифровальщик тот-же — хотя бы его остановили.
Шифровальщик большинство антивирей не видело вообще, так как медок большая часть юзеров добавила в исключения. По советам самого медка.
Шифровальщик вроде не из медка стартовал?
С другой стороны, встроенный в винду антивирь с базами полуторагодичной давности смог найти этого Петю. У меня есть непонимание — что мешало остальным сигнатуры добавить.
С другой стороны, встроенный в винду антивирь с базами полуторагодичной давности смог найти этого Петю. У меня есть непонимание — что мешало остальным сигнатуры добавить.
На входе в предприятие стартовал из медка, а потом — нет, на других машинах никаких исключений не стояло.
Кстати, да. Только MS Security Essentials и Windows Defender среагировали во время атаки. Да и то на запись в MBR, которую определили как Petya.A, что и дало название эпидемии. Шифровальщик файлов же свою работу выполнил, как и mimikatz с PsExec или WMI.
Кстати, да. Только MS Security Essentials и Windows Defender среагировали во время атаки. Да и то на запись в MBR, которую определили как Petya.A, что и дало название эпидемии. Шифровальщик файлов же свою работу выполнил, как и mimikatz с PsExec или WMI.
del
ого! чем дальше в лес, тем интереснее. интересно, что теперь будет с владельцами/администраторами медка — поимеют они проблем с законом или соскочить получится у них?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Анализ бэкдора группы TeleBots