Jump to content

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы


Recommended Posts

Геращенко рассказал что мол вирусы заранее были разосланы почтой, а сегодня его просто "активировали"...

 

 

геращенко #удак

 

рассказываю, как было у нас

 

 

сеть на виндах, терминальные сервера на w2k3 (так надо) и парк клиентских машин преимущественно на winxp со всеми возможными обновлениями (в свое время были честно закуплены 40 лицензий, апдейтиться пока не позволяет железо и необходимость выкинуть кучу денег на новые лицензии), с терминальных серверов выход в интернет закрыт на файрволе

 

на почтовом сервере стоит специальная антивирусная программа на базе KAV Lite с ежедневным обновлением, почтовые сообщения с вложенными исполняемыми файлами (не только .exe, а еще целой кучей всевозможных типов) убиваются еще на подлёте (и присланные в архиве тоже) -- так что вариант, чтобы кто-то что-то получил по почте и открыл -- исключается в принципе, на клиентских машинах, разумеется, стоят антивирусы)

 

на всех ключевых машинах + серверах установлены обновления для WannaCry от Майкрософт (как известно, МС выпустила обновления с патчами от WannaCry даже для ХП и 2003, поддержка которых официально прекращена)

 

остальные клиентские машины -- это простые терминальные клиенты, которые преустанавливаются простым клонированием системы, на них обновления не устанавливались

 

на машину с Медком обновления ставил лично (там ХП и софтверный raid1 из двух дисков с патченными либами винды, потому что ХП Проф рейд1 штатно делать не умеет, но пришлось из-за медка, поэтому там автообновления отключены)

 

так вот, первой грохнулась именно машина с медком, за ней -- еще две, которые были включены, но на них никто не работал.

причем, две другие машины выводят при старте сообщение от вируса с требованием денег, а вот машина с медком просто не грузится, диски на ней видятся (например, акронисом или парагорном), но написано, что на рейде -- ошибка избыточности или что-то в таком духе (сейчас посмотреть не могу, машина у админа), но похоже, что заражение произошло изнутри, невзирая на патч,закрывающий дыру в RPC, через которую ходил по сети WannaCry)

 

 

так что, похоже, это таки через медок пролезло, через его обновления...

Edited by zaborovsky
Link to post
Share on other sites
  • Replies 528
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Pit - чистый контрацептив, все у него школоло. контрацептив, а ну подскажи: тебе слово давали? или ты с колен встал только что?   слепое контрацептивное быдло вождь - где у меня написано что ты вожд

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...

Спец операция, чтоб внедрить драконовские законы Как раз голосование на этой неделе за спец. Оборудование .

Posted Images

4-ре вирт сервера на вин2008рц2 свалилось, один уже запросил оплату, остальные 3 в стадии криптования, якобы чек.диск - вирубил. И ноутбук с "медком" остался таки жив, а так пару машин с вин виста слегли. Что дальше, пока не ясно... Откатывать ночной бэкап :mellow:

Edited by -VaSaK-
Link to post
Share on other sites

А что вы хотели, компьютерная безграмотность, мы помоему все присутствующие здесь каждый день с таким сталкиваемся. А вы не знаете мой пароль от скайпа, а то я забыла, и прочее

Link to post
Share on other sites

 

Что дальше, пока не ясно... Откатывать ночной бэкап :mellow:

 

Глава ИнАУ сказал в морг

 

Вот сидим думаем... Возникла идея из сервера мангал сделать для корпоративов  :D

Link to post
Share on other sites

Сегодня. Жара. Маленькое местное предприятие. В серверной дохнет кондиционер. Ремонтники кондиционеров заняты и не могут сегодня прийти.

Поскольку всё равно сокращённый рабочий день, начальство говорит "А вырубайте нахрен все сервера и компьютеры и пошли домой"...

 

А вечером работники предприятия с интересом слушают новости и радуются сдохшему кондею.

Link to post
Share on other sites

А вечером работники предприятия с интересом слушают новости и радуются сдохшему кондею.

 

А вот еще история:

 

В рабочем чате:

 

- У нас хоть что-то упало?

- Нет.

- Жаль, все паникуют, я тоже хочу.

Edited by vppkn
Link to post
Share on other sites

 

 

и как будет работать 1С на пингвине? (ну, 1С еще куда ни шло -- она в вайне работает или через тонкий клиент или веб-версия, а вот Медок тот же?)

 

Да нормально 1С работатет, даже без wine, есть deb и rpm пакеты - как серверная часть, так и клиентская, даже базы на apache нормально публикуются. Говорят, медок тоже под пингвином заработал (но в wine), но желаня пробовать нету.

Link to post
Share on other sites

 

 

Да нормально 1С работатет, даже без wine, есть deb и rpm пакеты - как серверная часть, так и клиентская, даже базы на apache нормально публикуются.
 

 

это восьмерка -- та да, работает

 

точнее, 8.2 или 8.3 -- какая там последняя версия

 

у нас же еще 7.7 -- за 12 лет там такого понаворочено, что перетащить это в восьмерку нереально, кроме того, есть некоторые критически важные вещи, работающие с 1С++ , поэтому наш вариант -- только wine (я игрался когда-то, причем, даже не в линуксе, а на фре -- работало, но в продакшн его ставить стремно, опять же, 1с++ -- там свои танцы с бубном...)

Link to post
Share on other sites

Под шумок протянут DPI - 100%

В гос банках виндовс с торрентов :facepalm: :facepalm: :facepalm: :facepalm:

Тупые админы не выкидывают атачи из писем.

Тупые жирные тетки в этих структурах, тыкают в сылки своими засаленными пальцами.

А виноваты будут провайдеры.

Грамотный IT народ свалил из страны, их места заняли тупые не образованные "специалисты".

Мосийчук заряжает голосовать за законы тотального контроля.

Edited by Pit
Link to post
Share on other sites

 

ну кто бы сомневался? :)

А в чем проблема? Мог быть и Кремль. Не так, конечно, как министерство правды рассказывает. Но вот сейчас все расшифруют файлы и героически удалят вымогатель и будут думать, что все ок, победили, а реальный троян, для которого этот маскарад создавался, останется спрятан где-то глубоко и будет ждать своего часа, может сливать данные куда-нибудь в ФСБ по невинно выглядевшим протоколам.

 

Вы наверное не слышали о процедурах работы с скомпрометированными системами. В зависимости от цены вопроса/паранойи, может быть вплоть до полной замены железа.

Link to post
Share on other sites

Кстати, в контексте сегодняшнего шухера. Остались ли еще операторы/провайдеры, которые и далее намерены закупать и использовать российское железо? :D

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Дмитро
      Скажите может кто то сталкивался, в последнее время от многих абонентов идет большой исходящий трафик. Как правило такое происходит ночью и на всю скорость тарифного плана. Редко днем. Сначала думал торент, но это не от него, у большинства таких абонентов есть телефоны или планшеты эпл. Трафик идет как правило гугловский cdn 172.217.22.176,  173.194.221.128 lm-in-f128.1e100.net (173.194.221.128)
       
       
      Что это может быть и что делать?
       
       
       
       
       
       
       
       



    • By Туйон
      Доброго дня. 
      Начали твориться интересные вещи.
      Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
      1. Роутер 340 или 740.
      2. PPTP подключение.
      Заявка - нет интернета.
      По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
      Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
      Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.
       
      Кто сталкивался?
      Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
      А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.
    • By BALTAR
      Сегодня ночью Ubiquiti, в связи с "массовым" заражением ОС своей продукции выпустили обновление AirControl 2 с встроенным антивирусом, который исправляет все поправки в AirOs, но у меня часть оборудования зашита на XW v5.5.10-u2, эту прошивку выкопал на форуме, устройства под ее управлением отсылают логи с данными о своем ip на неизвестный адрес и перепрошить себя не дают, обновленный AirControl не видит в прошивке изменений, как быть?
      P.S. Прошивку и скрин прилагаюXW-v5_5_10-u2_28005_150723_1358.zip
    • By Apelsin
      Железо Dell 3324
       
      SW version 1.0.0.52
       
      На порту абонента такая картина:
       
      # show bridge address-table
       

      Vlan Mac Address Port Type ------ --------------------- ------ -------------- 101 00:0f:90:ce:85:05 1/g1 dynamic 101 02:32:7f:20:f2:b7 1/e10 dynamic 101 02:32:7f:24:f2:77 1/e10 dynamic 101 02:32:7f:24:f2:87 1/e10 dynamic 101 02:32:7f:24:f2:b7 1/e10 dynamic 101 02:32:7f:27:f2:77 1/e10 dynamic 101 02:32:7f:27:f2:87 1/e10 dynamic 101 02:32:7f:27:f2:b7 1/e10 dynamic 101 02:72:7e:27:79:87 1/e10 dynamic 101 02:72:7f:27:f2:77 1/e10 dynamic 101 02:92:7e:27:79:77 1/e10 dynamic 101 02:92:7f:20:f2:77 1/e10 dynamic 101 02:92:7f:27:f2:77 1/e10 dynamic 101 08:22:77:26:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b9 1/e10 dynamic 101 08:32:7f:24:f2:b7 1/e10 dynamic 101 08:32:7f:26:72:b7 1/e10 dynamic 101 08:32:7f:27:72:77 1/e10 dynamic 101 08:32:7f:27:f2:77 1/e10 dynamic 101 08:32:7f:27:f2:b7 1/e10 dynamic 101 08:32:7f:76:72:79 1/e10 dynamic 101 08:32:7f:76:72:b7 1/e10 dynamic 101 08:32:7f:77:72:79 1/e10 dynamic 101 08:32:7f:77:72:b7 1/e10 dynamic 101 08:32:7f:77:f2:77 1/e10 dynamic 101 08:32:7f:77:f2:b7 1/e10 dynamic 101 08:33:77:76:7e:b7 1/e10 dynamic 101 08:33:7f:26:72:b7 1/e10 dynamic 101 08:33:7f:27:f2:b7 1/e10 dynamic 101 08:33:7f:76:72:77 1/e10 dynamic 101 08:33:7f:76:72:b7 1/e10 dynamic 101 08:33:7f:76:77:b7 1/e10 dynamic 101 08:33:7f:76:f2:77 1/e10 dynamic 101 08:33:7f:77:72:77 1/e10 dynamic 101 08:33:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:26:72:b7 1/e10 dynamic 101 08:72:7f:27:72:79 1/e10 dynamic 101 08:72:7f:27:72:b7 1/e10 dynamic 101 08:72:7f:27:f2:77 1/e10 dynamic 101 08:72:7f:27:f2:b7 1/e10 dynamic 101 08:72:7f:76:72:77 1/e10 dynamic 101 08:72:7f:76:72:79 1/e10 dynamic 101 08:72:7f:76:72:b7 1/e10 dynamic 101 08:72:7f:77:72:79 1/e10 dynamic 101 08:72:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:77:72:b9 1/e10 dynamic 101 08:72:7f:77:d2:77 1/e10 dynamic 101 08:72:7f:77:f2:77 1/e10 dynamic 101 08:72:7f:77:f2:b7 1/e10 dynamic 101 08:73:77:76:72:b7 1/e10 dynamic 101 08:73:77:77:72:79 1/e10 dynamic 101 08:73:77:77:72:b7 1/e10 dynamic 101 08:73:77:77:f2:77 1/e10 dynamic 101 0a:71:71:77:ad:13 1/e10 dynamic 101 0a:71:77:77:ad:13 1/e10 dynamic 101 0c:79:77:87:7b:1c 1/e10 dynamic 101 10:2f:77:76:78:72 1/e10 dynamic 101 10:77:57:77:77:37 1/e10 dynamic 101 10:d7:17:47:77:37 1/e10 dynamic 101 10:d7:57:77:77:71 1/e10 dynamic 101 10:d7:77:47:77:71 1/e10 dynamic 101 10:d7:97:77:77:71 1/e10 dynamic 101 10:d7:d7:47:27:71 1/e10 dynamic 101 12:76:77:77:f7:77 1/e10 dynamic 101 12:76:b7:77:17:77 1/e10 dynamic 101 12:76:b7:77:1d:77 1/e10 dynamic 101 12:76:b7:77:72:77 1/e10 dynamic 101 12:76:b7:78:77:77 1/e10 dynamic 101 12:77:77:77:17:77 1/e10 dynamic 101 12:77:77:77:77:77 1/e10 dynamic 101 12:77:77:77:f7:77 1/e10 dynamic 101 12:77:7a:77:17:77 1/e10 dynamic 101 12:77:7c:77:17:77 1/e10 dynamic 101 12:77:b7:27:77:77 1/e10 dynamic 101 12:77:b7:27:87:77 1/e10 dynamic 101 12:77:b7:27:e7:77 1/e10 dynamic 101 12:77:b7:37:78:77 1/e10 dynamic 101 12:77:b7:37:e9:77 1/e10 dynamic 101 12:77:b7:77:17:77 1/e10 dynamic 101 12:77:b7:78:17:77 1/e10 dynamic 101 12:77:b7:78:77:77 1/e10 dynamic 101 12:77:b7:88:77:77 1/e10 dynamic 101 12:77:bc:78:17:77 1/e10 dynamic 101 12:77:d7:27:17:77 1/e10 dynamic 101 12:77:d7:77:f7:77 1/e10 dynamic 101 12:77:d7:78:17:77 1/e10 dynamic 101 12:77:d7:78:77:77 1/e10 dynamic 101 14:23:77:97:77:75 1/e10 dynamic 101 14:c7:37:77:4b:e5 1/e10 dynamic 101 16:18:17:77:77:71 1/e10 dynamic 101 16:18:57:77:77:71 1/e10 dynamic 101 16:58:17:77:77:71 1/e10 dynamic 101 16:77:17:17:75:71 1/e10 dynamic 101 16:77:17:17:77:71 1/e10 dynamic 101 16:77:17:77:77:71 1/e10 dynamic 101 16:77:57:57:77:71 1/e10 dynamic 101 16:77:57:77:77:71 1/e10 dynamic 101 16:77:d7:47:27:37 1/e10 dynamic 101 16:77:d7:47:27:71 1/e10 dynamic 101 16:77:d7:47:b7:71 1/e10 dynamic 101 16:78:17:17:77:71 1/e10 dynamic 101 16:78:17:77:77:71 1/e10 dynamic 101 16:c7:17:77:77:71 1/e10 dynamic 101 16:d7:17:17:77:71 1/e10 dynamic 101 16:d7:17:47:77:71 1/e10 dynamic 101 16:d7:17:57:77:71 1/e10 dynamic 101 16:d7:17:77:77:71 1/e10 dynamic 101 16:d7:57:57:77:71 1/e10 dynamic 101 16:d7:57:77:27:71 1/e10 dynamic 101 16:d7:57:77:77:37 1/e10 dynamic 101 16:d7:57:77:77:71 1/e10 dynamic 101 16:d7:57:77:77:77 1/e10 dynamic 101 16:d7:57:77:b7:37 1/e10 dynamic 101 16:d7:57:77:b7:71 1/e10 dynamic 101 16:d7:97:47:b5:71 1/e10 dynamic 101 16:d7:97:77:77:71 1/e10 dynamic 101 16:d7:d7:47:77:71 1/e10 dynamic 101 16:d7:d7:47:b7:35 1/e10 dynamic 101 16:da:17:17:77:71 1/e10 dynamic 101 16:da:57:77:b7:71 1/e10 dynamic 101 18:17:14:70:4e:61 1/e10 dynamic 101 18:17:14:70:7e:65 1/e10 dynamic 101 18:76:b7:77:12:77 1/e10 dynamic 101 18:7a:1e:74:4e:61 1/e10 dynamic 101 18:7a:1e:74:4e:71 1/e10 dynamic 101 1c:f7:78:4b:76:75 1/e10 dynamic 101 24:77:97:79:77:77 1/e10 dynamic 101 26:77:77:71:67:27 1/e10 dynamic 101 2e:1b:77:b4:87:07 1/e10 dynamic 101 2e:77:77:a4:8e:07 1/e10 dynamic 101 2e:7b:77:24:7d:07 1/e10 dynamic 101 2e:7b:77:a4:8e:87 1/e10 dynamic 101 2e:7b:a2:b4:77:07 1/e10 dynamic 101 2e:7b:a7:21:8d:87 1/e10 dynamic 101 2e:7b:a7:24:7d:07 1/e10 dynamic 101 2e:7b:a7:24:8d:87 1/e10 dynamic 101 2e:7b:a7:24:8e:87 1/e10 dynamic 101 2e:7b:a7:b4:87:07 1/e10 dynamic 101 34:77:97:79:77:77 1/e10 dynamic 101 38:09:27:77:77:75 1/e10 dynamic 101 38:09:27:7e:77:75 1/e10 dynamic 101 38:09:27:7f:77:75 1/e10 dynamic 101 38:09:28:71:75:76 1/e10 dynamic 101 38:09:28:71:75:77 1/e10 dynamic 101 38:09:28:77:75:76 1/e10 dynamic 101 38:09:28:77:75:77 1/e10 dynamic 101 38:09:e7:77:74:77 1/e10 dynamic 101 38:09:e7:7c:77:75 1/e10 dynamic 101 38:09:e7:7e:77:75 1/e10 dynamic 101 38:09:e7:7f:77:75 1/e10 dynamic 101 38:09:e8:7e:77:75 1/e10 dynamic 101 42:32:7f:26:72:b7 1/e10 dynamic 101 42:32:7f:27:f2:77 1/e10 dynamic 101 42:32:7f:27:f2:b7 1/e10 dynamic 101 42:32:7f:76:72:b9 1/e10 dynamic 101 42:73:79:8f:78:71 1/e10 dynamic 101 42:9f:77:bc:27:99 1/e10 dynamic 101 44:77:7a:77:70:27 1/e10 dynamic 101 44:77:7a:f1:70:77 1/e10 dynamic 101 48:32:7f:27:f2:77 1/e10 dynamic 101 48:32:7f:77:f2:77 1/e10 dynamic 101 48:72:7f:76:72:77 1/e10 dynamic 101 48:72:7f:76:7e:b7 1/e10 dynamic 101 48:77:77:77:27:0f 1/e10 dynamic 101 48:77:77:77:34:07 1/e10 dynamic 101 48:77:77:d7:e4:07 1/e10 dynamic 101 48:79:77:d7:74:0f 1/e10 dynamic 101 48:97:77:27:87:97 1/e10 dynamic 101 48:b2:79:8f:d8:71 1/e10 dynamic 101 4a:b1:44:c5:a7:77 1/e10 dynamic 101 4c:97:a7:77:77:99 1/e10 dynamic 101 4e:71:14:71:64:61 1/e10 dynamic 101 4e:71:14:74:a5:76 1/e10 dynamic 101 4e:71:14:81:6c:61 1/e10 dynamic 101 4e:71:14:84:6c:61 1/e10 dynamic 101 4e:71:14:84:ad:66 1/e10 dynamic 101 4e:71:18:84:6c:71 1/e10 dynamic 101 4e:76:14:44:67:66 1/e10 dynamic 101 4e:76:14:44:6c:66 1/e10 dynamic 101 4e:76:14:44:a5:77 1/e10 dynamic
       
      И так до бесконечности генерируются мак адреса, на порту висит роутер TP-Link за ним абонент. Проблема в нестабильном соединении с Интернет.
      Роутер так флудит красиво? Что бы такой флуд пошел, надо подождать часика два, сразу при подключении нету такой картины.

×
×
  • Create New...