TroF_911
Ну надо же сделать вид деятельности
ВОПРОС:В какой момент шифрует?До загруза или после? _________________ не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Rorik
В живую наблюдали через KWM как вирус шифровал файлы уже после ребута, имитируя работу чэкдиска.
Те кто поймал скрипт по почте - там скорей всего шифрование началось до перезагрузки.
Особо разгуляться негде, есть один слепок сервера, за вчера и 3 одинаковых ноута, где побит загрузчик, но файлы не успело зацепить т.к. после перезагрузки uefi не загрузил систему.
Все остальное выключили, проверили бэкапы и пошли пить пиво) _________________ Ми всі однакові давно
Вам зрозуміти не дано
Що схід і захід за одно
Дайте пожити спокійно
у жены на работе внешн винт был подключен,на каком-то этапе типа работы чекдиска отрубили от компа,теперь как минимум практически все офис файлы повреждены
Как выглядят шифрованные файлы? _________________ не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Есть другие мнения - все десятки подвержены атаке.
Дааа...Ыкспер, фигли
Особенно понравилось "...Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины"
В гугле нашего Ыксперта явно забанили, а (пу)Яндекс рассказывает онли про духовные скрепы видать
Короче, из него такой же IT-шник, как из меня водолаз
Бо є різні речі проникнення через периметр (МЕДОК, мило, кліки на всякій фігні) і розповсюдження в межах прямої видимості Вінда-Вінда (вразливість САМБА-протоколу, котру Нєкрософт заткнув у квітні, але хто ж то обновлюватись буде.)
Кіберполіція повідомила, що атакували українців через програму M.E.doc
27 Червня 2017 в 21:50
Департамент кіберполіції Національної поліції України близкьо 21:30 оприлюднив інформацію щодо програмного забезпечення через яке відбулася хакерська атака.
На даний момент достовірно відомо, що вірусна атака на українські компанії виникла через програму “M.E.doc.” (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.me-doc.com.ua” (92.60.184.55) за допомогою User Agent “medoc1001189”.
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг “пінгів” (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
– створено файл: rundll32.exe;
– звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
– запуск cmd.exe з наступною командою: /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST 14:35”;
– створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
– створення файлу: dllhost.dat; _________________ This message was sent without a virus, please destroy some files by yourself.
У кого установлен Windows 10 или 8 и кто ещё не познакомился с #petya поближе, отключите в настройках поддержку "SMB 1.0/CIFS File Sharing support" и #вирус вас обойдёт стороной. _________________ Кто понял жизнь, тот больше не спешит,
Смакует каждый миг и наблюдает -
Как спит ребёнок, молится старик,
Как дождь идёт, и как снежинка тает.
(с)О.Х.
Есть другие мнения - все десятки подвержены атаке.
Дааа...Ыкспер, фигли
Особенно понравилось "...Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины"
В гугле нашего Ыксперта явно забанили, а (пу)Яндекс рассказывает онли про духовные скрепы видать
Короче, из него такой же IT-шник, как из меня водолаз
questor 28 июня 2017 в 09:50 +1
Итого, спустя сутки нет достоверной информации о том, как заражались машинки, нет сигнатур у крупнейших антивирусных решений, да и все статьи только на уровне предположений. Есть, скажем очень вероятная гипотеза про медок, но полностью не объясняет. Есть гипотеза про долгую скрытую атаку, но восстановленные из бекапов машины чисты. Противоречивая информация о том, помогают ли апдейты от ванна край, но похоже, что нет. Гипотеза о 0-дей уязвимости объяснит что угодно, можно валить на неё все шишки. А меж тем, вирус уже мутировал в новую версию… Риторический вопрос — что происходит? Где пресс-релизы антивирусных компаний, которые сигнатуры обновляют каждый час? (Вот только одна публикация на Хабре, да и то лишь список пострадавших собирают.) Мне кажется, это весьма серьезный удар по их же имиджу. Печально все в общем.
_________________ не надо "змінювати країну"
НАЧНИ МЕНЯТЬСЯ САМ
Опишу свою ситуацию.
Копм на винде 7 сервис пак 1 (к сожалению кастрированная, патчи не устанавливаются). Антивирус Аваст. На компе постоянно открываю пдф и офисные файлы получаемые по почте как из нашей бухгалтерии, так и от разных заказчиков.
Вчера около 14:00 выключил комп, и поехал мотаться по городу, с плановым заездом в офис. Около 16:30 позвонил друг (человек неплохо разбирается в IT), сообщил срочную новость. Когда к 17:30 я подъехал в офис, там все компы уже были выключены в пожарном порядке еще около часа назад, всех отпустили домой. Остался один админ, с которым потрындели пол часа, но прояснить ситуацию он для меня так и не смог.
Вернулся домой к 20:00, включил комп офлайн. Потом решился подключиться к сети. Полез искать информацию, к тому времени кое-что уже стало известно. Полез проверять свой комп на всякий случай. И оп-па - нашел около десятка разных файлов с именем "perfc.dat", и самое интересное что 4 из них были датированы 27.06.17 и временем моего включения компа! По совету знающего человека, перенес их все в отдельную папку, папку сархивировал, исходники удалил с полной очисткой корзины и кэша.
Затем отключил а затем вообще удалил Аваст, установил вместо него Pabda (хоть и не люблю я ее очень). Просканировал комп, правда ничего толком Панда не нашла, только один "вредоносный URL" удалила.
Затем решил закрыть порты 445 и 135, как советовали в некоторых источниках. Закрыл. Комп перезагружал уже несколько раз. Все нормально.
Как думаете, вовремя спохватился, или у страха глаза велики?
Пишуть, що там була закладений таймер.
Скоріш за все пронесло. _________________ This message was sent without a virus, please destroy some files by yourself.
Мікрософт вказує на МЕДОК(Інтелект Сервіс) як початкове джерело тієї рансомварі.
Initial infection appears to involve a software supply-chain threat involving the Ukrainian company M.E.Doc, which develops tax accounting software, MEDoc. Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector. Microsoft now has evidence that a few active infections of the ransomware initially started from the legitimate MEDoc updater process. As we highlighted previously, software supply chain attacks are a recent dangerous trend with attackers, and it requires advanced defense.
_________________ This message was sent without a virus, please destroy some files by yourself.
/oo|_\__Ⓐ__/_|oo\
Последний раз редактировалось: Taras_Potatos (Ср Июн 28, 2017 14:52), всего редактировалось 2 раз(а)
Taras_Potatos
Саме цікаве що цим "МеДоком" вже років два користуються усі бухгалтери (здається що усі), бо їх до цього ЗАБОВ`ЯЗАЛИ державні служби.
На справді не так.
Є альтернативне ПЗ. Але воно все настільки кінчене, що навіть МЕДОК на їхньому фоні виглядає пристойно. Принаймі півтора року тому так було. _________________ This message was sent without a virus, please destroy some files by yourself.
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете присоединять файлы в этом форуме Вы можете скачивать файлы в этом форуме
Фотогалерея
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
