Форум города Горишни Плавни (Комсомольск)
http://forum.km.pl.ua/

И всё таки про Petya
http://forum.km.pl.ua/viewtopic.php?f=19&t=20946
Страница 1 из 1

Автор:  oleg [ 28.06.17, 07:50 ]
Заголовок сообщения:  Всякое интересное)

altair писал(а):
Одновременно с Patya.A (Петя.АлексеевичЬ?):
Угу у этого вируса есть фамилия и отчество.
причем вирус поразил уже давно, никак не выздоровеет.

Автор:  altair [ 28.06.17, 21:30 ]
Заголовок сообщения:  Re: Всякое интересное)

Про Петю и медок
https://medium.com/@gray25/%D1%81%D0%B5 ... f35db4de73

https://blogs.technet.microsoft.com/mmp ... abilities/
Изображение

Автор:  altair [ 28.06.17, 22:36 ]
Заголовок сообщения:  Re: Всякое интересное)

Киберполиция тоже согласна с Мелкомягкими
https://www.facebook.com/cyberpoliceua/ ... nref=story

Одни из моих - точно через Медок. Из 2 включенных на тот момент компов и 2-х серверов пошифровало только тот, на котором был Медок (фирма поголовно в отпуске, кроме главбуха, которая и словила). Комп с клиент-банком не тронуло.
Причем пресловутая обнова была установлена.

Хотя есть по поводу крайней атаки и другое мнение: https://iwalker2000.com/2017/06/28/%D1% ... %B0%D1%80/

Может таки бизнесюки задумаются после такого,что за IT безопасность надо платить

Автор:  gudvin [ 29.06.17, 08:24 ]
Заголовок сообщения:  И всё таки про Petya

И всё таки, кто победил? У меня сервак на 2003. Лёг. Диск D целый. С зашифрованный. Но этот PetyaExtractor не видит заражённого диска... Как то так :(

Автор:  G-shock [ 29.06.17, 10:12 ]
Заголовок сообщения:  Re: И всё таки про Petya

встречал информацию о необратимом шифровании цель вируса атака на информационные системы и умышленная порча данных. собственно если это так восстановление зашифрованных данных путем обратной дешифрации невозможно.

Добавлено спустя 3 минуты 47 секунд:
А победил подход к защите важной информации и оборудования - резервированием, такой подход всегда будет побеждать.

Автор:  altair [ 29.06.17, 10:37 ]
Заголовок сообщения:  Re: И всё таки про Petya

Не победил. Сейчас 2 системника в машине лежат, ждут переустановки винды.
На одном даже описанный везде способ восстановления MBR не сработал.
MBR пофиксило, но файловую систему перевело в RAW. При переводе оброатно в NTFS обнулило директорию.
Но на этом компе пошифровало почему-то дважды. Хотя пишут, что он файл оставляет, препятствующий такому.
Диск С - пошифрован. Диск D и E - нет. По непроверенной информации - там у кого С - SSD - непошифровало

85 % пошифрованных (из "моих") - те компs, где утром во вторник обновлялся МеДок.
5 % - имеющие выход в ГОКовкую IT-предприятие.
остальные 10% - там, где в сети были необновленные XP в рабочей группе, а не домене - с бухгалтерии успело частично расползтись.

Автор:  G-shock [ 29.06.17, 10:42 ]
Заголовок сообщения:  Re: И всё таки про Petya

100% пользователей интернета ответили что у них есть интернет на вопрос о интернете.
ме док тут при чем?
вирус если что распространяется путем узвимости в smb, фишинговой атакой и я так понял после получения данных о админских учетках а АД сетях ложится уже вся сеть.

Автор:  Alexunder [ 29.06.17, 10:48 ]
Заголовок сообщения:  Re: И всё таки про Petya

надейся что после того как они получат нужняй им кэш будет в даркнете отдельный платный дешифратор. а так то можешь даже зря время не тратить на попытки что то сделать

Автор:  G-shock [ 29.06.17, 10:48 ]
Заголовок сообщения:  Re: И всё таки про Petya

если что атака была на корпоративный сектор а медок неожидано ПО для документооборота корпоративного сектора смекаешь.

ох тыж поперло мусором...

Добавлено спустя 2 минуты 12 секунд:
Товарищ шифрование возможно принципиально не восстановимо смекаешь? Если зашифрованные данные принципиально не восстановимы их принципиально не восстановить. Потому что они зашифрованы так что они не поддаются дешифрации.

Автор:  Alexunder [ 29.06.17, 11:00 ]
Заголовок сообщения:  Re: И всё таки про Petya

у тебя есть инфа что после отправки битков твой диск не реанимируется? или ты решил поумничать и поведать о свои знаниях в этой теме

Автор:  G-shock [ 29.06.17, 11:03 ]
Заголовок сообщения:  Re: И всё таки про Petya

товарищ номер два что не понятно в написанном

Цитата:
встречал информацию о необратимом шифровании цель вируса атака на информационные системы и умышленная порча данных. собственно если это так восстановление зашифрованных данных путем обратной дешифрации невозможно.


информация о невозможности дешифрации есть ее много но она косвенная и неподтвержденная пройдет несколько дней уверен ее подтвердят или опровергнут

Автор:  altair [ 29.06.17, 11:04 ]
Заголовок сообщения:  Re: И всё таки про Petya

Через уязвимость в smb распространяется внутри сети, да. Это ГОК так попал. у них, оказывается даже домен не поднят местами, xp-ные компы в рабочей группе.
А изначально ВСЕ подхватили ТОЛЬК те, кто утром во вторник производил процесс онлайн-обновления Медка. Внутри сетей дальше не пошло, бо у моих или домен, или все патчи проставлены. Других вариантов пока не наблюдал. А стстистика немаленькая.

Автор:  G-shock [ 29.06.17, 11:06 ]
Заголовок сообщения:  Re: И всё таки про Petya

Товарищ номер один опять с мусором. Зачем ваш мусор разливать и высыпать в публичное пространство?

Автор:  Alexunder [ 29.06.17, 11:09 ]
Заголовок сообщения:  Re: И всё таки про Petya

это пишет человек который в этой теме постит инфу не проверенную как ты сам сказал мусор

Автор:  G-shock [ 29.06.17, 11:12 ]
Заголовок сообщения:  Re: И всё таки про Petya

Ну так если инфа будет проверятся неделями а восстановить поврежденные устройства надо было вчера. А что бы восстановить устройства надо знать с чем столкнулись. То придется работать с тем что есть на текущий момент.
И придется отсеевать мусор и сообщения ботов.
Таков вызов современности.

Автор:  Alexunder [ 29.06.17, 11:18 ]
Заголовок сообщения:  Re: И всё таки про Petya

ясно/понятно

Автор:  G-shock [ 29.06.17, 11:34 ]
Заголовок сообщения:  Re: И всё таки про Petya

Да и вирус называется Trojan.Encoder.12544.

Автор:  altair [ 29.06.17, 11:35 ]
Заголовок сообщения:  Re: Всякое интересное)

"Программное ядро Антивируса Касперского используют в своих продуктах такие разработчики, как: Microsoft (США), Check Point Software Technologies (Израиль, США), Juniper (США), Nokia ICG (США), F-Secure (Финляндия), Aladdin (Израиль), Sybari (США), Deerfield (США), Alt-N (США), Microworld (Индия), BorderWare (Канада) и т. д.
Продукты «Лаборатории Касперского» сертифицированы ведущими поставщиками аппаратного и программного обеспечения: Microsoft, IBM, Intel, Cisco Systems, Red Hat, Citrix Systems, Novell и другими

и это при том, что:
"Евгений Касперский в 1987 году окончил 4-й (технический) факультет Высшей школы КГБ (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве"

:shock: :lol: :twisted:

Автор:  G-shock [ 29.06.17, 11:44 ]
Заголовок сообщения:  Re: Всякое интересное)

а россияне используют технику и ПО произведенную по всему миру, да и все в мире так делают...
дальше что?

Автор:  altair [ 29.06.17, 11:45 ]
Заголовок сообщения:  Re: И всё таки про Petya

Там у всех 55-и по разному :|
https://virustotal.com/en/file/027cc450 ... /analysis/
Все ясно, у Шока - DrWeb. Тож кацапский :lol:
Шока - подменили :crazy: ЗА москалей мазу тянет. И тут, и в "Беседке"

Автор:  altair [ 29.06.17, 11:45 ]
Заголовок сообщения:  Re: Всякое интересное)

В начале 2017 года ведущие производители средств защиты информации (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro и др.) называли Ransomware одной из основных угроз безопасности информации для государственных и коммерческих организаций различных сфер деятельности и масштабов. И как показывает история, они не ошиблись:

Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие;
Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо (США) более чем на одну неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (свыше 1000 хостов);
Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания (США) из-за атаки и блокировки доступа к данным информационных систем;
Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 26.06.2017 более 546 тысяч компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP). Общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США;
Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1 и поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя;
Июнь 2017 г. Обширной атаке Ransomware была подвержена сеть одного из крупнейших университетов мира – Univercity College London. Атака была направлена на блокирование доступа к общим сетевым хранилищам, автоматизированную систему студенческого управления. Выполнено это было в предэкзаменационный и выпускной период, когда студенты, хранящие свои дипломные работы на файловых серверах университета, вероятнее всего заплатят мошенникам с целью получения своей работы. Объем зашифрованных данных и пострадавших не раскрывается.

Автор:  G-shock [ 29.06.17, 11:50 ]
Заголовок сообщения:  Re: И всё таки про Petya

Ну ты привел внутренние названия от разработчиков антивирусного ПО. А вы с коллегами почему то выбираете самое антиукраинское название. Какова причина такого выбора?

Добавлено спустя 24 минуты 7 секунд:
А я привел похоже внутренне название Др. Веба и оно не использует узнаваемость которую вы с товарищами регулярно подчеркиваете по теме.

Автор:  G-shock [ 29.06.17, 11:48 ]
Заголовок сообщения:  Re: Всякое интересное)

не ну ясно понятно там зрада апаснасте кгб балалайка матрьошка

Только сертификацию и проверку не кто не отменял. Ядро это совсем мало кода... А и новость по дебильному составлена я многозначность вижу в ней, малоинформативность и обилие слухов и поводов для спекуляции. Что очень вероятно ты и делаешь.

андрюшенька это в кого корм кстати ты контекстно постил ?

Автор:  Админ [ 29.06.17, 16:15 ]
Заголовок сообщения:  Re: И всё таки про Petya

G-shock писал(а):

информация о невозможности дешифрации есть ее много но она косвенная и неподтвержденная пройдет несколько дней уверен ее подтвердят или опровергнут


G-shock, есть такая интересная вещь, как пунктуация. Вместо дилетантского трёпа советую подучить на досуге..

Автор:  altair [ 29.06.17, 22:36 ]
Заголовок сообщения:  Re: И всё таки про Petya

Ответ на вопрос топикстартера - Petya.A - не шифровальщик, а вайпер.
http://itc.ua/news/petya-uzhe-ne-tot-po ... mogatelem/

Автор:  Alexunder [ 30.06.17, 07:24 ]
Заголовок сообщения:  Re: И всё таки про Petya

бедняги те кто отправил =)

хотя тоже читал что локнули почту куда должны были слать подтверждения оплаты =)

Автор:  oleg [ 30.06.17, 09:28 ]
Заголовок сообщения:  Re: Всякое интересное)

G-shock писал(а):
не ну ясно понятно там зрада апаснасте кгб балалайка матрьошка

Только сертификацию и проверку не кто не отменял. Ядро это совсем мало кода...
андрюшенька это в кого корм кстати ты контекстно постил ?


Для чего писать о том о чем вы совершенно не имеете никакого понятия.
экономист недоучка пишуший о совсем мало кода в ядре :)

LOL.

Автор:  gudvin [ 30.06.17, 09:40 ]
Заголовок сообщения:  Re: Всякое интересное)

Сегодня в утреннем Дизель утре:
- А прослеживался ли российский след в вирусе петя?
- Нет. Был бы российский, было бы название ув.ВладимирВладимирович
:-D

Автор:  Julia [ 30.06.17, 20:02 ]
Заголовок сообщения:  Re: И всё таки про Petya

altair писал(а):
Через уязвимость в smb распространяется внутри сети, да. Это ГОК так попал. у них, оказывается даже домен не поднят местами, xp-ные компы в рабочей группе.
А изначально ВСЕ подхватили ТОЛЬК те, кто утром во вторник производил процесс онлайн-обновления Медка. Внутри сетей дальше не пошло, бо у моих или домен, или все патчи проставлены. Других вариантов пока не наблюдал. А стстистика немаленькая.

а как твои "или домен или все патчи" помогут от psexec'a запущенного от админа пароли которого натырены мимкатцем, c коннектом на любой \\pc ?

Цитата:
В зависимости от разрядности ОС троянец распаковывает соответствующую версию утилиты Mimikatz, сохраняет ее во временную папку, после чего запускает с именем pipe:

'%TEMP%\4214.tmp' \\.\pipe\{7AC40626-8E78-436F-8DFE-8EE9752FE743}

Информацию об учетных записях пользователей Windows троянец получает через этот pipe. Помимо использования утилиты Mimikatz, троянец получает данные об учетных записях пользователей с помощью следующих методов:

Извлекает через CredEnumerateW с фильтром TERMSRV.
Анализирует командную строку с параметром –h, в которой передается список учетных записей.

Заражение сетевых узлов осуществляется двумя методами:

Запуском удаленного процесса с помощью утилиты Sysinternals PsExec, которую он извлекает из собственных ресурсов:

%s \\\\%s -accepteula -s -d C:\\Windows\\System32\\rundll32.exe \"C:\\Windows\\%s\",#1

С помощью утилиты wbem\\wmic.exe:

%s /node:\"%ws\" /user:\"%ws\" /password:\"%ws\ process call create \"C:\\Windows\\System32\\rundll32.exe \\\"C:\\Windows\\%s\\\" #1

Троянец содержит 4 сжатых ресурса:

MZPE x86 файл, SHA1 56c03d8e43f50568741704aee482704a4f5005ad — Tool.Mimikatz.64.
MZPE x64 файл, SHA1 38e2855e11e353cedf9a8a4f2f2747f1c5c07fcf — Tool.Mimikatz.65.
MZPE x86 файл, SHA1 cd23b7c9e0edef184930bc8e0ca2264f0608bcb3 — Sysinternals PsExec.
Зашифрованный фрагмент кода, SHA1 5fb0843a2bbb58a92037f836a97f2f05fae71667 — Trojan.Inject2.55021.

пруф https://habrahabr.ru/company/drweb/blog/331878/

Автор:  G-shock [ 30.06.17, 20:59 ]
Заголовок сообщения:  Re: И всё таки про Petya

А у нас бекапы хранились от сервера на самом сервере )))

Автор:  altair [ 30.06.17, 21:58 ]
Заголовок сообщения:  Re: И всё таки про Petya

ну это почти у всех так. максимум - на отдельном физносителе

Автор:  G-shock [ 30.06.17, 22:08 ]
Заголовок сообщения:  Re: И всё таки про Petya

тогда это очень ограниченное по отказоустойчивости резервирование

Добавлено спустя 3 минуты 28 секунд:
и то что у кого то так не оправдание, даже если таких достаточно много

Автор:  altair [ 30.06.17, 22:20 ]
Заголовок сообщения:  Re: И всё таки про Petya

Кстати, у нас хоть кто-нибудь киберполицию вызывал, чтобы справку для налоговой оформить?
Полтава - Куев, по моим сведениям не преминули пользоваться такой возможностью

Автор:  G-shock [ 01.07.17, 17:26 ]
Заголовок сообщения:  Re: И всё таки про Petya

Цитата:
Почему эпидемия вышла за пределы Украины? Наше исследование показало, что зараженные компании в других странах подключались через VPN к своим украинским филиалам или бизнес-партнерам.


Цитата:
Группа TeleBots совершенствует инструменты деструктивных атак. Вместо направленных фишинговых писем с документами, содержащими вредоносные макросы, они использовали более сложную схему, известную как кибератаки на цепи поставок (supply-chain attack). До начала эпидемии группа атаковала преимущественно финансовый сектор. Вероятно, что последняя кампания была нацелена на украинский бизнес, но атакующие недооценили возможности вредоносной программы – малварь вышла из-под контроля.


Ну и медок таки использовали похоже злоумышленники в своих целях.

Автор:  Alexunder [ 01.07.17, 22:14 ]
Заголовок сообщения:  Re: И всё таки про Petya

G-shock писал(а):
Ну и медок таки использовали похоже злоумышленники в своих целях.


я так понимаю и до акопов АТО добрался Petya

Автор:  altair [ 02.07.17, 00:20 ]
Заголовок сообщения:  Re: И всё таки про Petya

Кстати, оказывается дешифратор на ~xdata~ появился еще 1 июня :), но в СМИ об этом - тишина, хотя про саму атаку "пели" чуть не все ...

Автор:  altair [ 04.07.17, 11:33 ]
Заголовок сообщения:  Re: Всякое интересное)

Украинская компания M.E. Doc может попасть под уголовную ответственность из-за пренебрежения к информационной безопасности, что могло повлечь за собой распространение вируса Petya в Украине. Об этом заявил начальник Киберполици Украины полковник Сергей Демидюк, передает Радио Свобода.

Он напомнил, что сотрудников указанной компании неоднократно предупреждали о несоответствии их информационных технологий требованиям кибербезопасности.
"Они об этом знали. Их много раз предупреждали различные антивирусные компании. За это пренебрежение эти люди предстанут перед уголовной ответственностью ", – сказал Демидюк.
В комментарии Reuters представители компании открестились от подобных обвинений в свой адрес, и отметили, что их программное обеспечение не отвечает за распространение вируса.
Как ранее заявляли в компании Microsoft, в Украине во время массированной хакерской атаки были инфицированы 12,5 тыс. компьютеров. Вирус распространялся с помощью бухгалтерского программного обеспечения M.E. Doc украинского производства.

Хорошо бы действительно, взъ@бали

Автор:  oleg [ 04.07.17, 12:13 ]
Заголовок сообщения:  Re: Всякое интересное)

altair писал(а):
Украинская компания M.E. Doc может попасть под уголовную ответственность из-за пренебрежения к информационной безопасности, что могло повлечь за собой распространение вируса Petya в Украине. Об этом заявил начальник Киберполици Украины полковник Сергей Демидюк, передает Радио Свобода.

Он напомнил, что сотрудников указанной компании неоднократно предупреждали о несоответствии их информационных технологий требованиям кибербезопасности.
"Они об этом знали. Их много раз предупреждали различные антивирусные компании. За это пренебрежение эти люди предстанут перед уголовной ответственностью ", – сказал Демидюк.
В комментарии Reuters представители компании открестились от подобных обвинений в свой адрес, и отметили, что их программное обеспечение не отвечает за распространение вируса.
Как ранее заявляли в компании Microsoft, в Украине во время массированной хакерской атаки были инфицированы 12,5 тыс. компьютеров. Вирус распространялся с помощью бухгалтерского программного обеспечения M.E. Doc украинского производства.

Хорошо бы действительно, взъ@бали


Любишь Медок, люби и холодок :)

Добавлено спустя 1 час 6 минут 2 секунды:
altair писал(а):
Мне когда то вирус в 1с 77 попался, его внедрили через OLE объект, вместе с логотипом организации,
так вот антивирус его не видел, а когда печатали счет вирус каждый раз заражал компьютер.

Автор:  Alexunder [ 04.07.17, 13:34 ]
Заголовок сообщения:  Всякое интересное)

altair писал(а):
Он напомнил, что сотрудников указанной компании неоднократно предупреждали о несоответствии их информационных технологий требованиям кибербезопасности.


где можно почитать о соответствии технологий требованиям кибербезопасности,

altair писал(а):
За это пренебрежение эти люди предстанут перед уголовной ответственностью


и про уголовную ответственность за несоответствие информационных технологий требованиям кибербезопасности тоже хотел бы почитать

Кому не лень дайте ссылочку :crazy:

Автор:  altair [ 05.07.17, 08:59 ]
Заголовок сообщения:  Re: Всякое интересное)

Авакян разбушевалсЁ

Вчера специальные агенты департамента киберполиции совместно со специалистами СБУ и городской прокуратуры, прекратили второй этап кибератаки Petya. :D :cry:

Об этом сообщил министр внутренних дел Украины Арсен Аваков на своей странице в Facebook.

"Пик атаки планировался на 16.00. Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc. Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Росийской Федерации", - написал министр.

По его словам, заражение информационных систем украинских компаний вирусом Petya произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота - M.E.Doc. При этом злоумышленники вмешались в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО Интеллект-Сервис.

"Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15.05.2017 года", - добавил Аваков.

Также он сообщил, что представители компании-разработчика M.E.Doc знали о наличии уязвимостей в их системах антивирусными компаниями, но проигнорировали эту информацию, а также отрицают проблемы с безопасностью назвав это совпадением.

Кроме этого, следствие прорабатывает версию, согласно которой настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в Украине.

А на самом деле:
https://www.welivesecurity.com/2017/07/ ... -backdoor/

------------------------------------------------------------------------------
Добавлено спустя 16 минут 19 секунд:
Ха. ESET с сегодняшнего дня считает МеДок вирусом и пытается его полечить. В результате - System.NullReferenceException

Вложение:
ЬуВщс.JPG
ЬуВщс.JPG [ 162.32 КБ | Просмотров: 3077 ]


Добавлено спустя 14 минут 1 секунду:
В общем пробема такая. Позвонили, перестал запускаться Медок. 189-й. Соответственно резервная копия того-же релиза.
Пытаюсь переустановить. Есть полная установка 188-я. Устанавливаю. ESET ее лечит. В результате 189-ое обновление не накатывается. И из рез.копии данные не дает восстановить

Автор:  oleg [ 05.07.17, 10:56 ]
Заголовок сообщения:  Re: Всякое интересное)

altair писал(а):
Авакян разбушевалсЁ
"Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15.05.2017 года", - добавил Аваков.

Ха. ESET с сегодняшнего дня считает МеДок вирусом и пытается его полечить. В результате - System.NullReferenceException


Да, правильней и дешевле удалить его нафиг :ROFL:

Добавлено спустя 1 час 43 минуты 39 секунд:
oleg писал(а):
altair писал(а):
Авакян разбушевалсЁ
"Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15.05.2017 года", - добавил Аваков.

Ха. ESET с сегодняшнего дня считает МеДок вирусом и пытается его полечить. В результате - System.NullReferenceException


Да, правильней и дешевле удалить его нафиг :ROFL:




Комсомольск опять на всех ведущих новостных сайтах

https://lenta.ru/news/2017/07/05/plavni/

Автор:  Julia [ 08.07.17, 06:55 ]
Заголовок сообщения:  Re: И всё таки про Petya

ExPetr таки шифровальщик, а не вайпер?
Hackers Linked to NotPetya Ransomware Decrypted a File for Us



Проскочила информация что Петю и Мишу предлагают в качестве сервиса с партнеркой

Автор:  Julia [ 09.07.17, 08:06 ]
Заголовок сообщения:  Re: Всякое интересное)

Alexunder писал(а):
altair писал(а):
Он напомнил, что сотрудников указанной компании неоднократно предупреждали о несоответствии их информационных технологий требованиям кибербезопасности.
где можно почитать о соответствии технологий требованиям кибербезопасности,
и про уголовную ответственность за несоответствие информационных технологий требованиям кибербезопасности тоже хотел бы почитать
Кому не лень дайте ссылочку :crazy:

и мне интересно... где эти требования?
вижу только стратегию и проект закона

Автор:  altair [ 20.07.17, 22:44 ]
Заголовок сообщения:  Re: И всё таки про Petya

Изображение

Фахівці виявили, що невідомі зловмисники викрали облікові дані адміністратора M.E.Doc. Вони увійшли на сервер, отримали root-привілеї та переконфігурували сервер NGINX так, що будь-який трафік до upd.me-doc.com.ua перенаправлявся у режимі проксі через апдейт-сервер до хоста з IP-адресою 176.31.182.167.
Подальше дослідження виявило, що цей сервер був стертий того ж дня о 19:46 UTC (всесвітній координований час). Також спеціалісти побачили маркери періоду активної фази інфікування: з 9:11:59 UTC до 12:31:12 UTC. Поза межами цього часового проміжку нові випадки інфікування організацій не були помічені.
27 червня о 12:33 UTC зловмисники повернули конфігурацію NGINX до її оригінального стану. Крім цього, залишився лише один вартий уваги індикатор — латвійська IP-адреса, яка від'єдналася від системи о 2:11:07 UTC.
У M.E.Doc підтверджують, що ні використаний зловмисниками сервер, ні ця IP-адреса не мають жодного стосунку до їхньої компанії.
На цьому етапі фахівці зрозуміли, що зловмисники отримали доступ до більшої частини мережі та систем M.E.Doc за допомогою компрометованих облікових даних. Нез'ясованими залишалися питання, що вони робили під час контролю сервера оновлень і як було надіслано шкідливе програмне забезпечення.

Команда Cisco з дослідження та ліквідації загроз занепокоєна тим, що зловмисники під час атаки "спалили" значний ресурс. Вони скомпрометували як свій бекдор у програмному забезпеченні M.E.Doc, так і здатність маніпулювати конфігурацією сервера оновлень.

Це означає, що вони відмовилися від можливості доставляти довільний код у 80% українських компаній, які використовують M.E.Doc як бухгалтерське ПЗ. Це істотна втрата оперативного потенціалу. З цього можна зробити висновок: скоріш за все, зловмисники мають або можуть легко отримати аналогічні можливості.

Виходячи з цього, Talos радить обережно ставитися до програмного забезпечення, подібного до M.E.Doc, та інших систем в Україні, оскільки вони є пріоритетними цілями для осіб, які реалізують загрози високого рівня виконання.
Для захисту фахівці рекомендують надавати таким системам окрему мережеву архітектуру, постійно моніторити ці системи на предмет загроз, надавати їм такий рівень доступу, який абсолютно необхідний для ведення бізнесу.

Страница 1 из 1 Часовой пояс: UTC + 2 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/