Типа работать с медком надо а антивирь косит в нем библиотеку с бекдором после чего Медок не работает.
Представители Медка на местах разнообразием версий не блещут — вируса там нет, добавляйте файл в исключения антивируса.
Ну а насчёт крайне мало — перечислено 46 платежей, пришло 3.99BTC итого.
Но согласен — по уму, с восстановлением данных и т.д. было бы получено ГОРАЗДО больше.
Вчера рассказали прекрасное — оказывается налоговая сервера которой в конце месяца не принимали отчётов из-за вирусной активности не считает произошедшее форс-мажором и будет штрафовать тех, кто не успел отправить отчёты.
Вот это и удивляет…
Складывается впечатление что какие-то пионеры криворукие порезвились офигев от масштабов получившегося…
Если бы хотели денег — была бы возможность восстановления данных.
Если гипотетически предположить акцию на государственном уровне — почему-то думается что тотальный контроль по тихому над ИТ-инфраструктурой страны гораздо более интересная штука чем одноразовая акция вандализма с уничтожением данных.
Вроде внутри вируса не отмечено наличие модуля самостоятельной рассылки через почту?
Наверное все-таки вручную рассылали?
Да и вообще — при предыдущих эпидемиях я хотя бы на один из своих адресов получал письма от «налоговой», «ПриватБанка» и т.д.
А вот с Петей — тишина, ничего не происходило.
И по знакомым ничего не было замечено.
Более адресная а не общая была рассылка?
Или упоминания о том, что Петя по почте приходил это информационный шум для отвода глаз от Медка?
Похоже история получила продолжение.
Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…
Специальные агенты департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Об этом сообщил министр внутренних дел Арсен Аваков на своей странице в Facebook.
«Пик атаки планировался на 16.00 (вторника, 4 июля – ред.). Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc», – написал глава МВД Украины.
По словам Авакова, атака была остановлена.
«Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации. Спасибо спецагентам за службу!» – добавил министр.
И не только запускать от имени администратора.
На одном из форумов человек приводит диалог с чатом поддержки Медка:
_________________________________
Вот переписка в чате медка, 17 мая
Тамара
Здравствуйте!
09:11
Вы
Здравствуйте,
При попытке загрузить обновление
ezvit.10.01.179-10.01.180.exe
скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.
Malware Name: Trojan:Win32/Azden.A!cl
Number of infections: 2
Last detection time(UTC time): 5/17/2017 11:59:04 AM
Соответственно мы не можем получить последние обновления для M.E.DOC
Заранее спасибо за быстрый ответ
09:12
Тамара
В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту
09:12
Вы
Извините, но мы не можем отключить антивирус.
09:19
Тамара
или я могу Вам выслать обновление на электронную почту
09:21
Вы
Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.
09:29
Тамара
На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
_________________________________
Запаролены.
Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.
Модуль интернет-радио появился недавно в прошивке wifi-iot.com для ESP32 — т.е. с половиной задачи вроде как справляется.
Хотя почему с половиной — система оповещения штука односторонняя в отличии от интеркома.
Так что похоже все шансы есть — осталось SIP-стек под ESP32 найти ;-)
«Прекрасное» от профессиональных критиков:
https://oper.ru/news/read.php?t=1051618992 — кто и как голосует на Оскаре?
После просмотра ролика очередной раз убедился что вкусы профессиональных критиков страшно
Как писал один гражданин анализируя цену на топливо: «Вы думаете что бензин состоит из нефти? Как бы не так — судя по всему по большей части он состоит из налогов»
Тоже первая мысль была о роутере.
В китайцах правда не силен а вот Микротик RB951Ui-2HnD на ура бы подошёл.
В USB вставить 3g, нарисовать скрипт дергающий питание модему при повисании, поднять любой впн наружу.
Камеру взять что-то типа Hikvision DS-2CD2020F-I если наружную и/или DS-2CD2420F-I если внутреннюю.
Камеры достаточно умные чтобы анализировать не только движение в кадре а и более интересные вещи типа пересечения виртуальных линий и т.д.
У «комнатного» варианта ещё есть микрофон, динамик, PIR-датчик, вход куда можно например геркон прицепить, выход через который управлять фонарем/сиреной/пулеметом…
Само собой в камеру можно воткнуть miniSD для хранения фото/видео.
Кушает электроэнергии это все поменьше чем комп, можно взять бесперебойник на 12в типа как от сигнализации чтобы все это запитать…
Само собой этот вариант не претендует на звание «самого бюджетного» но возможностей даёт немало.
На маршрутизаторе закрывающем сетку /23 реальных адресов нарисовал правило блокирующее попытки входящих соединений на 445-й порт.
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
Проблема похоже в том, что я кажется не совсем правильно понимаю кусок первоначального правила
limit=1k,5:packet
Предполагал что это имеется в виду тысяча пакетов данного вида в секунду.
Но судя по количеству айпишек которые за ночь в список набились (порядка 500 штук) — взяло большое сомнение…
Неужели с каждой из этих айпишек более чем по 1000 TSP RST per sec на меня валило?
Что-то не все так просто с таким правилом…
Поставил для теста только первую часть, которая собирает айпишки в адрес-лист.
За полчаса насобиралось под полсотни апишек в список…
Сомнения у меня что это атакующие…
Представители Медка на местах разнообразием версий не блещут — вируса там нет, добавляйте файл в исключения антивируса.
Но согласен — по уму, с восстановлением данных и т.д. было бы получено ГОРАЗДО больше.
Складывается впечатление что какие-то пионеры криворукие порезвились офигев от масштабов получившегося…
Если бы хотели денег — была бы возможность восстановления данных.
Если гипотетически предположить акцию на государственном уровне — почему-то думается что тотальный контроль по тихому над ИТ-инфраструктурой страны гораздо более интересная штука чем одноразовая акция вандализма с уничтожением данных.
Наверное все-таки вручную рассылали?
Да и вообще — при предыдущих эпидемиях я хотя бы на один из своих адресов получал письма от «налоговой», «ПриватБанка» и т.д.
А вот с Петей — тишина, ничего не происходило.
И по знакомым ничего не было замечено.
Более адресная а не общая была рассылка?
Или упоминания о том, что Петя по почте приходил это информационный шум для отвода глаз от Медка?
Интересно что там на самом деле произошло, без политических заявлений и белиберды о спецагентах…
Специальные агенты департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры прекратили второй этап кибератаки Petya. Об этом сообщил министр внутренних дел Арсен Аваков на своей странице в Facebook.
«Пик атаки планировался на 16.00 (вторника, 4 июля – ред.). Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc», – написал глава МВД Украины.
По словам Авакова, атака была остановлена.
«Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации. Спасибо спецагентам за службу!» – добавил министр.
На одном из форумов человек приводит диалог с чатом поддержки Медка:
_________________________________
Вот переписка в чате медка, 17 мая
Тамара
Здравствуйте!
09:11
Вы
Здравствуйте,
При попытке загрузить обновление
ezvit.10.01.179-10.01.180.exe
скачаный файл распознается антивирусом Microsoft Defender, как опасный вирус и перемещается в карантин.
Malware Name: Trojan:Win32/Azden.A!cl
Number of infections: 2
Last detection time(UTC time): 5/17/2017 11:59:04 AM
Соответственно мы не можем получить последние обновления для M.E.DOC
Заранее спасибо за быстрый ответ
09:12
Тамара
В обновлениях нет вирусов. Вы можете временно отключить антивирус, или я могу Вам выслать обновление на электронную почту
09:12
Вы
Извините, но мы не можем отключить антивирус.
09:19
Тамара
или я могу Вам выслать обновление на электронную почту
09:21
Вы
Я понимаю, но тот же дефендер НЕ ДАСТ распаковать и загрузить обновления. Еще раз, это антивирус от Майкрософт и он интегрирован в операционную систему.
09:29
Тамара
На данный момент разработчик ищет контакты для предоставление наших файлов для добавления в исключение Вашего антивируса
_________________________________
Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.
Хотя почему с половиной — система оповещения штука односторонняя в отличии от интеркома.
Так что похоже все шансы есть — осталось SIP-стек под ESP32 найти ;-)
P.S. Прошу прощения за сдвоенный комментарий, не нашёл в клиенте для Андроида возможность отредактировать написанное.
https://oper.ru/news/read.php?t=1051618992 — кто и как голосует на Оскаре?
После просмотра ролика очередной раз убедился что вкусы профессиональных критиков страшно
Полноценный линукс не подойдёт?
В китайцах правда не силен а вот Микротик RB951Ui-2HnD на ура бы подошёл.
В USB вставить 3g, нарисовать скрипт дергающий питание модему при повисании, поднять любой впн наружу.
Камеру взять что-то типа Hikvision DS-2CD2020F-I если наружную и/или DS-2CD2420F-I если внутреннюю.
Камеры достаточно умные чтобы анализировать не только движение в кадре а и более интересные вещи типа пересечения виртуальных линий и т.д.
У «комнатного» варианта ещё есть микрофон, динамик, PIR-датчик, вход куда можно например геркон прицепить, выход через который управлять фонарем/сиреной/пулеметом…
Само собой в камеру можно воткнуть miniSD для хранения фото/видео.
Кушает электроэнергии это все поменьше чем комп, можно взять бесперебойник на 12в типа как от сигнализации чтобы все это запитать…
Само собой этот вариант не претендует на звание «самого бюджетного» но возможностей даёт немало.
За час в блеклист по нему насобиралось более 400 айпишек.
Исходя из этого почему-то думается что выставленная голой ж… ээээ 445-м портом в инет непропатченная винда проживет час-два от силы…
limit=1k,5:packet
Предполагал что это имеется в виду тысяча пакетов данного вида в секунду.
Но судя по количеству айпишек которые за ночь в список набились (порядка 500 штук) — взяло большое сомнение…
Неужели с каждой из этих айпишек более чем по 1000 TSP RST per sec на меня валило?
Поставил для теста только первую часть, которая собирает айпишки в адрес-лист.
За полчаса насобиралось под полсотни апишек в список…
Сомнения у меня что это атакующие…