Перейти до

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы


Рекомендованные сообщения

Геращенко рассказал что мол вирусы заранее были разосланы почтой, а сегодня его просто "активировали"...

 

 

геращенко #удак

 

рассказываю, как было у нас

 

 

сеть на виндах, терминальные сервера на w2k3 (так надо) и парк клиентских машин преимущественно на winxp со всеми возможными обновлениями (в свое время были честно закуплены 40 лицензий, апдейтиться пока не позволяет железо и необходимость выкинуть кучу денег на новые лицензии), с терминальных серверов выход в интернет закрыт на файрволе

 

на почтовом сервере стоит специальная антивирусная программа на базе KAV Lite с ежедневным обновлением, почтовые сообщения с вложенными исполняемыми файлами (не только .exe, а еще целой кучей всевозможных типов) убиваются еще на подлёте (и присланные в архиве тоже) -- так что вариант, чтобы кто-то что-то получил по почте и открыл -- исключается в принципе, на клиентских машинах, разумеется, стоят антивирусы)

 

на всех ключевых машинах + серверах установлены обновления для WannaCry от Майкрософт (как известно, МС выпустила обновления с патчами от WannaCry даже для ХП и 2003, поддержка которых официально прекращена)

 

остальные клиентские машины -- это простые терминальные клиенты, которые преустанавливаются простым клонированием системы, на них обновления не устанавливались

 

на машину с Медком обновления ставил лично (там ХП и софтверный raid1 из двух дисков с патченными либами винды, потому что ХП Проф рейд1 штатно делать не умеет, но пришлось из-за медка, поэтому там автообновления отключены)

 

так вот, первой грохнулась именно машина с медком, за ней -- еще две, которые были включены, но на них никто не работал.

причем, две другие машины выводят при старте сообщение от вируса с требованием денег, а вот машина с медком просто не грузится, диски на ней видятся (например, акронисом или парагорном), но написано, что на рейде -- ошибка избыточности или что-то в таком духе (сейчас посмотреть не могу, машина у админа), но похоже, что заражение произошло изнутри, невзирая на патч,закрывающий дыру в RPC, через которую ходил по сети WannaCry)

 

 

так что, похоже, это таки через медок пролезло, через его обновления...

Відредаговано zaborovsky
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 528
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Pit - чистый контрацептив, все у него школоло. контрацептив, а ну подскажи: тебе слово давали? или ты с колен встал только что?   слепое контрацептивное быдло вождь - где у меня написано что ты вожд

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...

Спец операция, чтоб внедрить драконовские законы Как раз голосование на этой неделе за спец. Оборудование .

Posted Images

4-ре вирт сервера на вин2008рц2 свалилось, один уже запросил оплату, остальные 3 в стадии криптования, якобы чек.диск - вирубил. И ноутбук с "медком" остался таки жив, а так пару машин с вин виста слегли. Что дальше, пока не ясно... Откатывать ночной бэкап :mellow:

Відредаговано -VaSaK-
Ссылка на сообщение
Поделиться на других сайтах
Ссылка на сообщение
Поделиться на других сайтах
Ссылка на сообщение
Поделиться на других сайтах

А что вы хотели, компьютерная безграмотность, мы помоему все присутствующие здесь каждый день с таким сталкиваемся. А вы не знаете мой пароль от скайпа, а то я забыла, и прочее

Ссылка на сообщение
Поделиться на других сайтах

 

Что дальше, пока не ясно... Откатывать ночной бэкап :mellow:

 

Глава ИнАУ сказал в морг

 

Вот сидим думаем... Возникла идея из сервера мангал сделать для корпоративов  :D

Ссылка на сообщение
Поделиться на других сайтах

Сегодня. Жара. Маленькое местное предприятие. В серверной дохнет кондиционер. Ремонтники кондиционеров заняты и не могут сегодня прийти.

Поскольку всё равно сокращённый рабочий день, начальство говорит "А вырубайте нахрен все сервера и компьютеры и пошли домой"...

 

А вечером работники предприятия с интересом слушают новости и радуются сдохшему кондею.

Ссылка на сообщение
Поделиться на других сайтах

А вечером работники предприятия с интересом слушают новости и радуются сдохшему кондею.

 

А вот еще история:

 

В рабочем чате:

 

- У нас хоть что-то упало?

- Нет.

- Жаль, все паникуют, я тоже хочу.

Відредаговано vppkn
Ссылка на сообщение
Поделиться на других сайтах

 

 

и как будет работать 1С на пингвине? (ну, 1С еще куда ни шло -- она в вайне работает или через тонкий клиент или веб-версия, а вот Медок тот же?)

 

Да нормально 1С работатет, даже без wine, есть deb и rpm пакеты - как серверная часть, так и клиентская, даже базы на apache нормально публикуются. Говорят, медок тоже под пингвином заработал (но в wine), но желаня пробовать нету.

Ссылка на сообщение
Поделиться на других сайтах
Вы бы читали тескст, перед тем как выкладывать. Эти расшифровщики на современной версию вируса не работают, только на апрельской.
Ссылка на сообщение
Поделиться на других сайтах

 

 

Да нормально 1С работатет, даже без wine, есть deb и rpm пакеты - как серверная часть, так и клиентская, даже базы на apache нормально публикуются.
 

 

это восьмерка -- та да, работает

 

точнее, 8.2 или 8.3 -- какая там последняя версия

 

у нас же еще 7.7 -- за 12 лет там такого понаворочено, что перетащить это в восьмерку нереально, кроме того, есть некоторые критически важные вещи, работающие с 1С++ , поэтому наш вариант -- только wine (я игрался когда-то, причем, даже не в линуксе, а на фре -- работало, но в продакшн его ставить стремно, опять же, 1с++ -- там свои танцы с бубном...)

Ссылка на сообщение
Поделиться на других сайтах

Под шумок протянут DPI - 100%

В гос банках виндовс с торрентов :facepalm: :facepalm: :facepalm: :facepalm:

Тупые админы не выкидывают атачи из писем.

Тупые жирные тетки в этих структурах, тыкают в сылки своими засаленными пальцами.

А виноваты будут провайдеры.

Грамотный IT народ свалил из страны, их места заняли тупые не образованные "специалисты".

Мосийчук заряжает голосовать за законы тотального контроля.

Відредаговано Pit
Ссылка на сообщение
Поделиться на других сайтах

 

ну кто бы сомневался? :)

А в чем проблема? Мог быть и Кремль. Не так, конечно, как министерство правды рассказывает. Но вот сейчас все расшифруют файлы и героически удалят вымогатель и будут думать, что все ок, победили, а реальный троян, для которого этот маскарад создавался, останется спрятан где-то глубоко и будет ждать своего часа, может сливать данные куда-нибудь в ФСБ по невинно выглядевшим протоколам.

 

Вы наверное не слышали о процедурах работы с скомпрометированными системами. В зависимости от цены вопроса/паранойи, может быть вплоть до полной замены железа.

Ссылка на сообщение
Поделиться на других сайтах

Кстати, в контексте сегодняшнего шухера. Остались ли еще операторы/провайдеры, которые и далее намерены закупать и использовать российское железо? :D

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Дмитро
      Скажите может кто то сталкивался, в последнее время от многих абонентов идет большой исходящий трафик. Как правило такое происходит ночью и на всю скорость тарифного плана. Редко днем. Сначала думал торент, но это не от него, у большинства таких абонентов есть телефоны или планшеты эпл. Трафик идет как правило гугловский cdn 172.217.22.176,  173.194.221.128 lm-in-f128.1e100.net (173.194.221.128)
       
       
      Что это может быть и что делать?
       
       
       
       
       
       
       
       



    • Від Туйон
      Доброго дня. 
      Начали твориться интересные вещи.
      Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
      1. Роутер 340 или 740.
      2. PPTP подключение.
      Заявка - нет интернета.
      По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
      Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
      Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.
       
      Кто сталкивался?
      Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
      А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.
    • Від BALTAR
      Сегодня ночью Ubiquiti, в связи с "массовым" заражением ОС своей продукции выпустили обновление AirControl 2 с встроенным антивирусом, который исправляет все поправки в AirOs, но у меня часть оборудования зашита на XW v5.5.10-u2, эту прошивку выкопал на форуме, устройства под ее управлением отсылают логи с данными о своем ip на неизвестный адрес и перепрошить себя не дают, обновленный AirControl не видит в прошивке изменений, как быть?
      P.S. Прошивку и скрин прилагаюXW-v5_5_10-u2_28005_150723_1358.zip
    • Від Apelsin
      Железо Dell 3324
       
      SW version 1.0.0.52
       
      На порту абонента такая картина:
       
      # show bridge address-table
       

      Vlan Mac Address Port Type ------ --------------------- ------ -------------- 101 00:0f:90:ce:85:05 1/g1 dynamic 101 02:32:7f:20:f2:b7 1/e10 dynamic 101 02:32:7f:24:f2:77 1/e10 dynamic 101 02:32:7f:24:f2:87 1/e10 dynamic 101 02:32:7f:24:f2:b7 1/e10 dynamic 101 02:32:7f:27:f2:77 1/e10 dynamic 101 02:32:7f:27:f2:87 1/e10 dynamic 101 02:32:7f:27:f2:b7 1/e10 dynamic 101 02:72:7e:27:79:87 1/e10 dynamic 101 02:72:7f:27:f2:77 1/e10 dynamic 101 02:92:7e:27:79:77 1/e10 dynamic 101 02:92:7f:20:f2:77 1/e10 dynamic 101 02:92:7f:27:f2:77 1/e10 dynamic 101 08:22:77:26:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b9 1/e10 dynamic 101 08:32:7f:24:f2:b7 1/e10 dynamic 101 08:32:7f:26:72:b7 1/e10 dynamic 101 08:32:7f:27:72:77 1/e10 dynamic 101 08:32:7f:27:f2:77 1/e10 dynamic 101 08:32:7f:27:f2:b7 1/e10 dynamic 101 08:32:7f:76:72:79 1/e10 dynamic 101 08:32:7f:76:72:b7 1/e10 dynamic 101 08:32:7f:77:72:79 1/e10 dynamic 101 08:32:7f:77:72:b7 1/e10 dynamic 101 08:32:7f:77:f2:77 1/e10 dynamic 101 08:32:7f:77:f2:b7 1/e10 dynamic 101 08:33:77:76:7e:b7 1/e10 dynamic 101 08:33:7f:26:72:b7 1/e10 dynamic 101 08:33:7f:27:f2:b7 1/e10 dynamic 101 08:33:7f:76:72:77 1/e10 dynamic 101 08:33:7f:76:72:b7 1/e10 dynamic 101 08:33:7f:76:77:b7 1/e10 dynamic 101 08:33:7f:76:f2:77 1/e10 dynamic 101 08:33:7f:77:72:77 1/e10 dynamic 101 08:33:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:26:72:b7 1/e10 dynamic 101 08:72:7f:27:72:79 1/e10 dynamic 101 08:72:7f:27:72:b7 1/e10 dynamic 101 08:72:7f:27:f2:77 1/e10 dynamic 101 08:72:7f:27:f2:b7 1/e10 dynamic 101 08:72:7f:76:72:77 1/e10 dynamic 101 08:72:7f:76:72:79 1/e10 dynamic 101 08:72:7f:76:72:b7 1/e10 dynamic 101 08:72:7f:77:72:79 1/e10 dynamic 101 08:72:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:77:72:b9 1/e10 dynamic 101 08:72:7f:77:d2:77 1/e10 dynamic 101 08:72:7f:77:f2:77 1/e10 dynamic 101 08:72:7f:77:f2:b7 1/e10 dynamic 101 08:73:77:76:72:b7 1/e10 dynamic 101 08:73:77:77:72:79 1/e10 dynamic 101 08:73:77:77:72:b7 1/e10 dynamic 101 08:73:77:77:f2:77 1/e10 dynamic 101 0a:71:71:77:ad:13 1/e10 dynamic 101 0a:71:77:77:ad:13 1/e10 dynamic 101 0c:79:77:87:7b:1c 1/e10 dynamic 101 10:2f:77:76:78:72 1/e10 dynamic 101 10:77:57:77:77:37 1/e10 dynamic 101 10:d7:17:47:77:37 1/e10 dynamic 101 10:d7:57:77:77:71 1/e10 dynamic 101 10:d7:77:47:77:71 1/e10 dynamic 101 10:d7:97:77:77:71 1/e10 dynamic 101 10:d7:d7:47:27:71 1/e10 dynamic 101 12:76:77:77:f7:77 1/e10 dynamic 101 12:76:b7:77:17:77 1/e10 dynamic 101 12:76:b7:77:1d:77 1/e10 dynamic 101 12:76:b7:77:72:77 1/e10 dynamic 101 12:76:b7:78:77:77 1/e10 dynamic 101 12:77:77:77:17:77 1/e10 dynamic 101 12:77:77:77:77:77 1/e10 dynamic 101 12:77:77:77:f7:77 1/e10 dynamic 101 12:77:7a:77:17:77 1/e10 dynamic 101 12:77:7c:77:17:77 1/e10 dynamic 101 12:77:b7:27:77:77 1/e10 dynamic 101 12:77:b7:27:87:77 1/e10 dynamic 101 12:77:b7:27:e7:77 1/e10 dynamic 101 12:77:b7:37:78:77 1/e10 dynamic 101 12:77:b7:37:e9:77 1/e10 dynamic 101 12:77:b7:77:17:77 1/e10 dynamic 101 12:77:b7:78:17:77 1/e10 dynamic 101 12:77:b7:78:77:77 1/e10 dynamic 101 12:77:b7:88:77:77 1/e10 dynamic 101 12:77:bc:78:17:77 1/e10 dynamic 101 12:77:d7:27:17:77 1/e10 dynamic 101 12:77:d7:77:f7:77 1/e10 dynamic 101 12:77:d7:78:17:77 1/e10 dynamic 101 12:77:d7:78:77:77 1/e10 dynamic 101 14:23:77:97:77:75 1/e10 dynamic 101 14:c7:37:77:4b:e5 1/e10 dynamic 101 16:18:17:77:77:71 1/e10 dynamic 101 16:18:57:77:77:71 1/e10 dynamic 101 16:58:17:77:77:71 1/e10 dynamic 101 16:77:17:17:75:71 1/e10 dynamic 101 16:77:17:17:77:71 1/e10 dynamic 101 16:77:17:77:77:71 1/e10 dynamic 101 16:77:57:57:77:71 1/e10 dynamic 101 16:77:57:77:77:71 1/e10 dynamic 101 16:77:d7:47:27:37 1/e10 dynamic 101 16:77:d7:47:27:71 1/e10 dynamic 101 16:77:d7:47:b7:71 1/e10 dynamic 101 16:78:17:17:77:71 1/e10 dynamic 101 16:78:17:77:77:71 1/e10 dynamic 101 16:c7:17:77:77:71 1/e10 dynamic 101 16:d7:17:17:77:71 1/e10 dynamic 101 16:d7:17:47:77:71 1/e10 dynamic 101 16:d7:17:57:77:71 1/e10 dynamic 101 16:d7:17:77:77:71 1/e10 dynamic 101 16:d7:57:57:77:71 1/e10 dynamic 101 16:d7:57:77:27:71 1/e10 dynamic 101 16:d7:57:77:77:37 1/e10 dynamic 101 16:d7:57:77:77:71 1/e10 dynamic 101 16:d7:57:77:77:77 1/e10 dynamic 101 16:d7:57:77:b7:37 1/e10 dynamic 101 16:d7:57:77:b7:71 1/e10 dynamic 101 16:d7:97:47:b5:71 1/e10 dynamic 101 16:d7:97:77:77:71 1/e10 dynamic 101 16:d7:d7:47:77:71 1/e10 dynamic 101 16:d7:d7:47:b7:35 1/e10 dynamic 101 16:da:17:17:77:71 1/e10 dynamic 101 16:da:57:77:b7:71 1/e10 dynamic 101 18:17:14:70:4e:61 1/e10 dynamic 101 18:17:14:70:7e:65 1/e10 dynamic 101 18:76:b7:77:12:77 1/e10 dynamic 101 18:7a:1e:74:4e:61 1/e10 dynamic 101 18:7a:1e:74:4e:71 1/e10 dynamic 101 1c:f7:78:4b:76:75 1/e10 dynamic 101 24:77:97:79:77:77 1/e10 dynamic 101 26:77:77:71:67:27 1/e10 dynamic 101 2e:1b:77:b4:87:07 1/e10 dynamic 101 2e:77:77:a4:8e:07 1/e10 dynamic 101 2e:7b:77:24:7d:07 1/e10 dynamic 101 2e:7b:77:a4:8e:87 1/e10 dynamic 101 2e:7b:a2:b4:77:07 1/e10 dynamic 101 2e:7b:a7:21:8d:87 1/e10 dynamic 101 2e:7b:a7:24:7d:07 1/e10 dynamic 101 2e:7b:a7:24:8d:87 1/e10 dynamic 101 2e:7b:a7:24:8e:87 1/e10 dynamic 101 2e:7b:a7:b4:87:07 1/e10 dynamic 101 34:77:97:79:77:77 1/e10 dynamic 101 38:09:27:77:77:75 1/e10 dynamic 101 38:09:27:7e:77:75 1/e10 dynamic 101 38:09:27:7f:77:75 1/e10 dynamic 101 38:09:28:71:75:76 1/e10 dynamic 101 38:09:28:71:75:77 1/e10 dynamic 101 38:09:28:77:75:76 1/e10 dynamic 101 38:09:28:77:75:77 1/e10 dynamic 101 38:09:e7:77:74:77 1/e10 dynamic 101 38:09:e7:7c:77:75 1/e10 dynamic 101 38:09:e7:7e:77:75 1/e10 dynamic 101 38:09:e7:7f:77:75 1/e10 dynamic 101 38:09:e8:7e:77:75 1/e10 dynamic 101 42:32:7f:26:72:b7 1/e10 dynamic 101 42:32:7f:27:f2:77 1/e10 dynamic 101 42:32:7f:27:f2:b7 1/e10 dynamic 101 42:32:7f:76:72:b9 1/e10 dynamic 101 42:73:79:8f:78:71 1/e10 dynamic 101 42:9f:77:bc:27:99 1/e10 dynamic 101 44:77:7a:77:70:27 1/e10 dynamic 101 44:77:7a:f1:70:77 1/e10 dynamic 101 48:32:7f:27:f2:77 1/e10 dynamic 101 48:32:7f:77:f2:77 1/e10 dynamic 101 48:72:7f:76:72:77 1/e10 dynamic 101 48:72:7f:76:7e:b7 1/e10 dynamic 101 48:77:77:77:27:0f 1/e10 dynamic 101 48:77:77:77:34:07 1/e10 dynamic 101 48:77:77:d7:e4:07 1/e10 dynamic 101 48:79:77:d7:74:0f 1/e10 dynamic 101 48:97:77:27:87:97 1/e10 dynamic 101 48:b2:79:8f:d8:71 1/e10 dynamic 101 4a:b1:44:c5:a7:77 1/e10 dynamic 101 4c:97:a7:77:77:99 1/e10 dynamic 101 4e:71:14:71:64:61 1/e10 dynamic 101 4e:71:14:74:a5:76 1/e10 dynamic 101 4e:71:14:81:6c:61 1/e10 dynamic 101 4e:71:14:84:6c:61 1/e10 dynamic 101 4e:71:14:84:ad:66 1/e10 dynamic 101 4e:71:18:84:6c:71 1/e10 dynamic 101 4e:76:14:44:67:66 1/e10 dynamic 101 4e:76:14:44:6c:66 1/e10 dynamic 101 4e:76:14:44:a5:77 1/e10 dynamic
       
      И так до бесконечности генерируются мак адреса, на порту висит роутер TP-Link за ним абонент. Проблема в нестабильном соединении с Интернет.
      Роутер так флудит красиво? Что бы такой флуд пошел, надо подождать часика два, сразу при подключении нету такой картины.

×
×
  • Створити нове...