Сайт Українського клуба фанів FIAT Український клуб фанів FIAT / CLUB UCRAINO TIFOSO DELLA FIAT

 
ФотогалереяФотогалерея   FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Україною поширюється комп’ютерний вірус.....
На страницу Пред.  1, 2, 3, 4  След.
 
Начать новую тему   Ответить на тему    Список форумов Український клуб фанів FIAT / CLUB UCRAINO TIFOSO DELLA FIAT -> Загальні теми
Предыдущая тема :: Следующая тема  
Автор Сообщение
Rorik
Италоманьячище


Италоманьячище

Возраст: 44
Знак зодиака: Козерог
Зарегистрирован: 21.06.2010
Сообщения: 5081
Откуда: Киев

Авто: GP 1.4 МТ / SX4 New МТ

СообщениеДобавлено: Вт Июн 27, 2017 22:00    Заголовок сообщения: Ответить с цитатой

TroF_911
Ну надо же сделать вид деятельности
ВОПРОС:В какой момент шифрует?До загруза или после?

_________________
не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
TroF_911
Италоманьячище


Италоманьячище

Возраст: 34
Знак зодиака: Рак
Зарегистрирован: 12.08.2007
Сообщения: 5104
Откуда: Київ (Святошино)

Авто: Fiat Tipo 1.6 m.i. DGT "92

СообщениеДобавлено: Вт Июн 27, 2017 22:23    Заголовок сообщения: Ответить с цитатой

Rorik
В живую наблюдали через KWM как вирус шифровал файлы уже после ребута, имитируя работу чэкдиска.
Те кто поймал скрипт по почте - там скорей всего шифрование началось до перезагрузки.
Особо разгуляться негде, есть один слепок сервера, за вчера и 3 одинаковых ноута, где побит загрузчик, но файлы не успело зацепить т.к. после перезагрузки uefi не загрузил систему.
Все остальное выключили, проверили бэкапы и пошли пить пиво)

_________________
Ми всі однакові давно
Вам зрозуміти не дано
Що схід і захід за одно
Дайте пожити спокійно
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Rorik
Италоманьячище


Италоманьячище

Возраст: 44
Знак зодиака: Козерог
Зарегистрирован: 21.06.2010
Сообщения: 5081
Откуда: Киев

Авто: GP 1.4 МТ / SX4 New МТ

СообщениеДобавлено: Вт Июн 27, 2017 23:07    Заголовок сообщения: Ответить с цитатой

у жены на работе внешн винт был подключен,на каком-то этапе типа работы чекдиска отрубили от компа,теперь как минимум практически все офис файлы повреждены

Как выглядят шифрованные файлы?

_________________
не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Denwer
Италоманьячище


Италоманьячище

Возраст: 46
Знак зодиака: Рак
Зарегистрирован: 30.11.2010
Сообщения: 6196
Откуда: Киев

Авто: Palio EX Fire 1.2 16V (80 hp)

СообщениеДобавлено: Вт Июн 27, 2017 23:53    Заголовок сообщения: Ответить с цитатой

Heet писал(а):
Есть другие мнения - все десятки подвержены атаке.

https://habrahabr.ru/post/331762/

Дааа...Ыкспер, фигли Rolling Eyes

Особенно понравилось "...Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины" Rolling Eyes ROFL Fool
В гугле нашего Ыксперта явно забанили, а (пу)Яндекс рассказывает онли про духовные скрепы видать Facepalm
Короче, из него такой же IT-шник, как из меня водолаз peshi
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
QNX
Италомафиози


Италомафиози

Возраст: 81
Знак зодиака: Козерог
Зарегистрирован: 26.05.2011
Сообщения: 633
Откуда: Киев

Авто: Fiat

СообщениеДобавлено: Ср Июн 28, 2017 00:30    Заголовок сообщения: Ответить с цитатой

будет ржачно если действительно подтвердится, что виной в большинстве случаем стал медок Very Happy Very Happy

ненавижу это кривое говно, зато юзать его обязаны все
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Taras_Potatos
Рулевой филиала


Рулевой филиала

Возраст: 46
Знак зодиака: Козерог
Зарегистрирован: 24.07.2006
Сообщения: 22630
Откуда: м. Львів

Авто: Fiat Punto HGT

СообщениеДобавлено: Ср Июн 28, 2017 01:27    Заголовок сообщения: Ответить с цитатой

Бо є різні речі проникнення через периметр (МЕДОК, мило, кліки на всякій фігні) і розповсюдження в межах прямої видимості Вінда-Вінда (вразливість САМБА-протоколу, котру Нєкрософт заткнув у квітні, але хто ж то обновлюватись буде.)


Кіберполіція повідомила, що атакували українців через програму M.E.doc
27 Червня 2017 в 21:50

Департамент кіберполіції Національної поліції України близкьо 21:30 оприлюднив інформацію щодо програмного забезпечення через яке відбулася хакерська атака.

На даний момент достовірно відомо, що вірусна атака на українські компанії виникла через програму “M.E.doc.” (програмне забезпечення для звітності та документообігу)

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.me-doc.com.ua” (92.60.184.55) за допомогою User Agent “medoc1001189”.

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг “пінгів” (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

– створено файл: rundll32.exe;
– звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
– запуск cmd.exe з наступною командою: /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST 14:35”;
– створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
– створення файлу: dllhost.dat;

_________________
This message was sent without a virus, please destroy some files by yourself.

/oo|_\__Ⓐ__/_|oo\
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
black hawk
Италоманьячище


Италоманьячище

Возраст: 53
Знак зодиака: Рыбы
Зарегистрирован: 03.11.2010
Сообщения: 10589
Откуда: Украина

Авто: пешеход

СообщениеДобавлено: Ср Июн 28, 2017 08:15    Заголовок сообщения: Ответить с цитатой

У кого установлен Windows 10 или 8 и кто ещё не познакомился с #petya поближе, отключите в настройках поддержку "SMB 1.0/CIFS File Sharing support" и #вирус вас обойдёт стороной.
_________________
Кто понял жизнь, тот больше не спешит,
Смакует каждый миг и наблюдает -
Как спит ребёнок, молится старик,
Как дождь идёт, и как снежинка тает.
(с)О.Х.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Heet
Италоманьячище


Италоманьячище

Возраст: 44
Знак зодиака: Овен
Зарегистрирован: 16.01.2013
Сообщения: 3295
Откуда: Полтава

Авто: Fiat Doblo 1,3 MJTD 16V 75CV 55KW

СообщениеДобавлено: Ср Июн 28, 2017 08:58    Заголовок сообщения: Ответить с цитатой

Denwer писал(а):
Heet писал(а):
Есть другие мнения - все десятки подвержены атаке.

https://habrahabr.ru/post/331762/

Дааа...Ыкспер, фигли Rolling Eyes

Особенно понравилось "...Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины" Rolling Eyes ROFL Fool
В гугле нашего Ыксперта явно забанили, а (пу)Яндекс рассказывает онли про духовные скрепы видать Facepalm
Короче, из него такой же IT-шник, как из меня водолаз peshi


Я тебе не статью, а каменты хотел показать Very Happy
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Rorik
Италоманьячище


Италоманьячище

Возраст: 44
Знак зодиака: Козерог
Зарегистрирован: 21.06.2010
Сообщения: 5081
Откуда: Киев

Авто: GP 1.4 МТ / SX4 New МТ

СообщениеДобавлено: Ср Июн 28, 2017 10:02    Заголовок сообщения: Ответить с цитатой

Цитата:
questor 28 июня 2017 в 09:50 +1
Итого, спустя сутки нет достоверной информации о том, как заражались машинки, нет сигнатур у крупнейших антивирусных решений, да и все статьи только на уровне предположений. Есть, скажем очень вероятная гипотеза про медок, но полностью не объясняет. Есть гипотеза про долгую скрытую атаку, но восстановленные из бекапов машины чисты. Противоречивая информация о том, помогают ли апдейты от ванна край, но похоже, что нет. Гипотеза о 0-дей уязвимости объяснит что угодно, можно валить на неё все шишки. А меж тем, вирус уже мутировал в новую версию… Риторический вопрос — что происходит? Где пресс-релизы антивирусных компаний, которые сигнатуры обновляют каждый час? (Вот только одна публикация на Хабре, да и то лишь список пострадавших собирают.) Мне кажется, это весьма серьезный удар по их же имиджу. Печально все в общем.

_________________
не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Denwer
Италоманьячище


Италоманьячище

Возраст: 46
Знак зодиака: Рак
Зарегистрирован: 30.11.2010
Сообщения: 6196
Откуда: Киев

Авто: Palio EX Fire 1.2 16V (80 hp)

СообщениеДобавлено: Ср Июн 28, 2017 13:05    Заголовок сообщения: Ответить с цитатой

Опишу свою ситуацию.
Копм на винде 7 сервис пак 1 (к сожалению кастрированная, патчи не устанавливаются). Антивирус Аваст. На компе постоянно открываю пдф и офисные файлы получаемые по почте как из нашей бухгалтерии, так и от разных заказчиков.

Вчера около 14:00 выключил комп, и поехал мотаться по городу, с плановым заездом в офис. Около 16:30 позвонил друг (человек неплохо разбирается в IT), сообщил срочную новость. Когда к 17:30 я подъехал в офис, там все компы уже были выключены в пожарном порядке еще около часа назад, всех отпустили домой. Остался один админ, с которым потрындели пол часа, но прояснить ситуацию он для меня так и не смог.

Вернулся домой к 20:00, включил комп офлайн. Потом решился подключиться к сети. Полез искать информацию, к тому времени кое-что уже стало известно. Полез проверять свой комп на всякий случай. И оп-па - нашел около десятка разных файлов с именем "perfc.dat", и самое интересное что 4 из них были датированы 27.06.17 и временем моего включения компа! По совету знающего человека, перенес их все в отдельную папку, папку сархивировал, исходники удалил с полной очисткой корзины и кэша.
Затем отключил а затем вообще удалил Аваст, установил вместо него Pabda (хоть и не люблю я ее очень). Просканировал комп, правда ничего толком Панда не нашла, только один "вредоносный URL" удалила.
Затем решил закрыть порты 445 и 135, как советовали в некоторых источниках. Закрыл. Комп перезагружал уже несколько раз. Все нормально.

Как думаете, вовремя спохватился, или у страха глаза велики?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Taras_Potatos
Рулевой филиала


Рулевой филиала

Возраст: 46
Знак зодиака: Козерог
Зарегистрирован: 24.07.2006
Сообщения: 22630
Откуда: м. Львів

Авто: Fiat Punto HGT

СообщениеДобавлено: Ср Июн 28, 2017 13:12    Заголовок сообщения: Ответить с цитатой

Пишуть, що там була закладений таймер.
Скоріш за все пронесло.

_________________
This message was sent without a virus, please destroy some files by yourself.

/oo|_\__Ⓐ__/_|oo\
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Taras_Potatos
Рулевой филиала


Рулевой филиала

Возраст: 46
Знак зодиака: Козерог
Зарегистрирован: 24.07.2006
Сообщения: 22630
Откуда: м. Львів

Авто: Fiat Punto HGT

СообщениеДобавлено: Ср Июн 28, 2017 14:16    Заголовок сообщения: Ответить с цитатой

Мікрософт вказує на МЕДОК(Інтелект Сервіс) як початкове джерело тієї рансомварі.

Initial infection appears to involve a software supply-chain threat involving the Ukrainian company M.E.Doc, which develops tax accounting software, MEDoc. Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector. Microsoft now has evidence that a few active infections of the ransomware initially started from the legitimate MEDoc updater process. As we highlighted previously, software supply chain attacks are a recent dangerous trend with attackers, and it requires advanced defense.

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

_________________
This message was sent without a virus, please destroy some files by yourself.

/oo|_\__Ⓐ__/_|oo\


Последний раз редактировалось: Taras_Potatos (Ср Июн 28, 2017 14:52), всего редактировалось 2 раз(а)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Denwer
Италоманьячище


Италоманьячище

Возраст: 46
Знак зодиака: Рак
Зарегистрирован: 30.11.2010
Сообщения: 6196
Откуда: Киев

Авто: Palio EX Fire 1.2 16V (80 hp)

СообщениеДобавлено: Ср Июн 28, 2017 14:24    Заголовок сообщения: Ответить с цитатой

Taras_Potatos
Саме цікаве що цим "МеДоком" вже років два користуються усі бухгалтери (здається що усі), бо їх до цього ЗАБОВ`ЯЗАЛИ державні служби.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Taras_Potatos
Рулевой филиала


Рулевой филиала

Возраст: 46
Знак зодиака: Козерог
Зарегистрирован: 24.07.2006
Сообщения: 22630
Откуда: м. Львів

Авто: Fiat Punto HGT

СообщениеДобавлено: Ср Июн 28, 2017 14:51    Заголовок сообщения: Ответить с цитатой

Denwer писал(а):
Taras_Potatos
Саме цікаве що цим "МеДоком" вже років два користуються усі бухгалтери (здається що усі), бо їх до цього ЗАБОВ`ЯЗАЛИ державні служби.

На справді не так.
Є альтернативне ПЗ. Але воно все настільки кінчене, що навіть МЕДОК на їхньому фоні виглядає пристойно. Принаймі півтора року тому так було.

_________________
This message was sent without a virus, please destroy some files by yourself.

/oo|_\__Ⓐ__/_|oo\
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Taras_Potatos
Рулевой филиала


Рулевой филиала

Возраст: 46
Знак зодиака: Козерог
Зарегистрирован: 24.07.2006
Сообщения: 22630
Откуда: м. Львів

Авто: Fiat Punto HGT

СообщениеДобавлено: Ср Июн 28, 2017 15:15    Заголовок сообщения: Ответить с цитатой

Карта ураження.

Таки виглядає на кацапів...

_________________
This message was sent without a virus, please destroy some files by yourself.

/oo|_\__Ⓐ__/_|oo\
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов Український клуб фанів FIAT / CLUB UCRAINO TIFOSO DELLA FIAT -> Загальні теми Часовой пояс: GMT + 3
На страницу Пред.  1, 2, 3, 4  След.
Страница 2 из 4

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете присоединять файлы в этом форуме
Вы можете скачивать файлы в этом форуме






Powered by phpBB © 2001, 2005 phpBB Group
З питань розміщення реклами писати на цю адресу