Jump to content

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы


Recommended Posts

 

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

Уже реагирует?  :D  Почему раньше не было никакой реакции?  :)

 

 

Я просто констатировал факт. Интересно, есть ли у вас факты заражения Win с включенным автообновлением и MSEssentials ?

Edited by masterzep
Link to post
Share on other sites
  • Replies 528
  • Created
  • Last Reply

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Pit - чистый контрацептив, все у него школоло. контрацептив, а ну подскажи: тебе слово давали? или ты с колен встал только что?   слепое контрацептивное быдло вождь - где у меня написано что ты вожд

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...

Спец операция, чтоб внедрить драконовские законы Как раз голосование на этой неделе за спец. Оборудование .

Posted Images

 

 

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

Уже реагирует?  :D  Почему раньше не было никакой реакции?  :)

 

 

Я просто констатировал факт. Интересно, есть ли у вас факты заражения Win с включенным автообновлением и MSEssentials ?

 

Способы распространения этого кода понятны, но сейчас больше интересны способы восстановления файлов, т.к. много потерпевших  :)

Link to post
Share on other sites

 

Самое интересное рошен не пострадал :) , наверное предупредили заранее что бы не обновляли медок :)))

А зачем им медок ?

 

Вот именно.

Link to post
Share on other sites

Если кому интересно почитать, как оно работает:

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

 

Тут, так сказать, живой эфир %):

https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

 

Походу вирус сейчас еще и модифицируют на ходу... так что не расслабляемся.

 

Насчет медка - похоже вирус вытянул счастливый билетик.

Но и без медка всё произошло бы. 

Сомневаюсь, что кто-то раньше слышал про медок в других странах %) А вирус там тоже есть...

 

У себя, в качестве профилактики - убиваю, где еще не дотянулся ранее - самбу1 (через политики и вручную - где как), накатываю последние апдейты, "вакцинирую" (но не думаю, что вакцина надолго поможет), заодно на роутере блокирнул известные ип серверов вируса (тоже думаю, что они потом будут меняться), проверяю антивирусы и ... добро пожаловать в кибер-реальность %)))

Link to post
Share on other sites

Так M.E.Doc - это украинская разработка, или нет? А то пошла раскрутка темы про русских диверсантов в медке, но компания вроде ж украинская.

Link to post
Share on other sites

M.E.Doc - это разработка "руководителей" налоговой, которые подсадили все предприятия на себя и собирают за "воздух"

 

так как первоначально хотели разработать государственную систему подачи отчетов, но кое-кто подумал и решил зачем... можно же сделать "прокладку" и через нее пересылать отчеты, получая сверхприбыль...

 

 

а вот за метод расспостранения вируса, ставлю "5"

все гениальное просто - вложить вирус в обновление программы, которой пользуются все предприятия страны и одновременно его запустить

 

часть ПК были заражены фишингом, на почту постоянно приходят письма, то от привата, то еще от кого либо с ссылками на подозрительные домены...

но такой рассылкой не возможно было бы сделать то, что сделало обновления медка! )

Link to post
Share on other sites

M.E.Doc - это разработка "руководителей" налоговой, которые подсадили все предприятия на себя и собирают за "воздух"

 

так как первоначально хотели разработать государственную систему подачи отчетов, но кое-кто подумал и решил зачем... можно же сделать "прокладку" и через нее пересылать отчеты, получая сверхприбыль...

 

А каким боком ко всему этому "Интеллект Сервис" из РФии?

Link to post
Share on other sites

Медок говорит что все это чушь и сплетни, с 20 числа обновлений не было вообще.

Плюс, у меня как минимум в 2 конторах стоит этот самый медок с автообновлением - заразы нет.

 

Так что IMHO заражаются все стандартно, через котиков в почте, а дальше вся сеть предприятия падает изнутри.

Link to post
Share on other sites

Медок говорит что все это чушь и сплетни, с 20 числа обновлений не было вообще.

Плюс, у меня как минимум в 2 конторах стоит этот самый медок с автообновлением - заразы нет.

 

Так что IMHO заражаются все стандартно, через котиков в почте, а дальше вся сеть предприятия падает изнутри.

 

Ну повалились первыми очень часто почему-то именно машины с медком. Совпадение?

Link to post
Share on other sites

Медок говорит что все это чушь и сплетни, с 20 числа обновлений не было вообще.

Плюс, у меня как минимум в 2 конторах стоит этот самый медок с автообновлением - заразы нет.

 

Так что IMHO заражаются все стандартно, через котиков в почте, а дальше вся сеть предприятия падает изнутри.

 

 

Медок может и не делал обновлений, но вот их сервер скомпрометировали и залили новый файл "якобы обновление"

 

по поводу обновлений Медка, если Вы не в курсе - обновления скачиваются при запуске программы, если программа работала на ПК то такие ПК не пострадали

 

у нас как раз так и случилось, компьютер бухгалтера не выключался и программа 27/06 не обновилось, все остались живы, на втором ПК медок запустили уже после 14 и уже сервер обновлений у медка был выключен

Link to post
Share on other sites

Наш бух. сказал что Медок "подвис" и он ушёл пить кофе, когда вернулся ноут был перезагружен. Но не пострадал. Пострадали сервера и три юзерских машини, в нутри сети.

Link to post
Share on other sites

 

немедленно вычистить все российское ПО! долой 1С, даешь отечественный продукт! так победим!

Память у вас как у рыбки,вспомните сколько каспер своими обновами машин положил

Тут же положил не сам медок,его скомпрометировали и ипользовали как транспорт, разнесли заразу с его обновлениями,причем заявляют что это не единственный путь попадания Petya на машину

Сомневаюсь что в других странах пострадавших от пети медок вообще используется

 

 

 

да это сарказм был :)

 

за каспера не скажу, а вот Зилля несколько раз MS Office 2003 сносил буквально недавно (считал зараженными файлы excel.exe и access.exe)

 

про Медок в качестве транспорта -- тоже понятно

 

красиво сделано, как говорится, снимаю шляпу ;)

 

умеют...

Edited by zaborovsky
Link to post
Share on other sites

Самое интересное рошен не пострадал :) , наверное предупредили заранее что бы не обновляли медок :)))

 

у них вполне себе может быть не Медок, а какая-нибудь Соната...

Link to post
Share on other sites

 

Самое интересное рошен не пострадал :) , наверное предупредили заранее что бы не обновляли медок :)))

А зачем им медок ?

 

 

тонко подмечено :)

Link to post
Share on other sites

 

 

так как первоначально хотели разработать государственную систему подачи отчетов, но кое-кто подумал и решил зачем... можно же сделать "прокладку" и через нее пересылать отчеты, получая сверхприбыль...

 

есть и государственная (OPZ), но она, как бы это помягче сказать, далека не то, чтобы от идеала, а вобще от  чего-либо

Link to post
Share on other sites
Медок может и не делал обновлений, но вот их сервер скомпрометировали и залили новый файл "якобы обновление"   по поводу обновлений Медка, если Вы не в курсе - обновления скачиваются при запуске программы, если программа работала на ПК то такие ПК не пострадали

 

да, у нас именно так -- Медок в т.н. сетевой версии и грохнулся именно комп, выполнявший роль локального сервера Медка (на нем база и на него скачиваются обновления, с которых потом обновляются клиенты), а вот клиентские Медки (+2 шт.) -- не пострадали

 

так и есть

Edited by zaborovsky
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Дмитро
      Скажите может кто то сталкивался, в последнее время от многих абонентов идет большой исходящий трафик. Как правило такое происходит ночью и на всю скорость тарифного плана. Редко днем. Сначала думал торент, но это не от него, у большинства таких абонентов есть телефоны или планшеты эпл. Трафик идет как правило гугловский cdn 172.217.22.176,  173.194.221.128 lm-in-f128.1e100.net (173.194.221.128)
       
       
      Что это может быть и что делать?
       
       
       
       
       
       
       
       



    • By Туйон
      Доброго дня. 
      Начали твориться интересные вещи.
      Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
      1. Роутер 340 или 740.
      2. PPTP подключение.
      Заявка - нет интернета.
      По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
      Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
      Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.
       
      Кто сталкивался?
      Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
      А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.
    • By BALTAR
      Сегодня ночью Ubiquiti, в связи с "массовым" заражением ОС своей продукции выпустили обновление AirControl 2 с встроенным антивирусом, который исправляет все поправки в AirOs, но у меня часть оборудования зашита на XW v5.5.10-u2, эту прошивку выкопал на форуме, устройства под ее управлением отсылают логи с данными о своем ip на неизвестный адрес и перепрошить себя не дают, обновленный AirControl не видит в прошивке изменений, как быть?
      P.S. Прошивку и скрин прилагаюXW-v5_5_10-u2_28005_150723_1358.zip
    • By Apelsin
      Железо Dell 3324
       
      SW version 1.0.0.52
       
      На порту абонента такая картина:
       
      # show bridge address-table
       

      Vlan Mac Address Port Type ------ --------------------- ------ -------------- 101 00:0f:90:ce:85:05 1/g1 dynamic 101 02:32:7f:20:f2:b7 1/e10 dynamic 101 02:32:7f:24:f2:77 1/e10 dynamic 101 02:32:7f:24:f2:87 1/e10 dynamic 101 02:32:7f:24:f2:b7 1/e10 dynamic 101 02:32:7f:27:f2:77 1/e10 dynamic 101 02:32:7f:27:f2:87 1/e10 dynamic 101 02:32:7f:27:f2:b7 1/e10 dynamic 101 02:72:7e:27:79:87 1/e10 dynamic 101 02:72:7f:27:f2:77 1/e10 dynamic 101 02:92:7e:27:79:77 1/e10 dynamic 101 02:92:7f:20:f2:77 1/e10 dynamic 101 02:92:7f:27:f2:77 1/e10 dynamic 101 08:22:77:26:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b9 1/e10 dynamic 101 08:32:7f:24:f2:b7 1/e10 dynamic 101 08:32:7f:26:72:b7 1/e10 dynamic 101 08:32:7f:27:72:77 1/e10 dynamic 101 08:32:7f:27:f2:77 1/e10 dynamic 101 08:32:7f:27:f2:b7 1/e10 dynamic 101 08:32:7f:76:72:79 1/e10 dynamic 101 08:32:7f:76:72:b7 1/e10 dynamic 101 08:32:7f:77:72:79 1/e10 dynamic 101 08:32:7f:77:72:b7 1/e10 dynamic 101 08:32:7f:77:f2:77 1/e10 dynamic 101 08:32:7f:77:f2:b7 1/e10 dynamic 101 08:33:77:76:7e:b7 1/e10 dynamic 101 08:33:7f:26:72:b7 1/e10 dynamic 101 08:33:7f:27:f2:b7 1/e10 dynamic 101 08:33:7f:76:72:77 1/e10 dynamic 101 08:33:7f:76:72:b7 1/e10 dynamic 101 08:33:7f:76:77:b7 1/e10 dynamic 101 08:33:7f:76:f2:77 1/e10 dynamic 101 08:33:7f:77:72:77 1/e10 dynamic 101 08:33:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:26:72:b7 1/e10 dynamic 101 08:72:7f:27:72:79 1/e10 dynamic 101 08:72:7f:27:72:b7 1/e10 dynamic 101 08:72:7f:27:f2:77 1/e10 dynamic 101 08:72:7f:27:f2:b7 1/e10 dynamic 101 08:72:7f:76:72:77 1/e10 dynamic 101 08:72:7f:76:72:79 1/e10 dynamic 101 08:72:7f:76:72:b7 1/e10 dynamic 101 08:72:7f:77:72:79 1/e10 dynamic 101 08:72:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:77:72:b9 1/e10 dynamic 101 08:72:7f:77:d2:77 1/e10 dynamic 101 08:72:7f:77:f2:77 1/e10 dynamic 101 08:72:7f:77:f2:b7 1/e10 dynamic 101 08:73:77:76:72:b7 1/e10 dynamic 101 08:73:77:77:72:79 1/e10 dynamic 101 08:73:77:77:72:b7 1/e10 dynamic 101 08:73:77:77:f2:77 1/e10 dynamic 101 0a:71:71:77:ad:13 1/e10 dynamic 101 0a:71:77:77:ad:13 1/e10 dynamic 101 0c:79:77:87:7b:1c 1/e10 dynamic 101 10:2f:77:76:78:72 1/e10 dynamic 101 10:77:57:77:77:37 1/e10 dynamic 101 10:d7:17:47:77:37 1/e10 dynamic 101 10:d7:57:77:77:71 1/e10 dynamic 101 10:d7:77:47:77:71 1/e10 dynamic 101 10:d7:97:77:77:71 1/e10 dynamic 101 10:d7:d7:47:27:71 1/e10 dynamic 101 12:76:77:77:f7:77 1/e10 dynamic 101 12:76:b7:77:17:77 1/e10 dynamic 101 12:76:b7:77:1d:77 1/e10 dynamic 101 12:76:b7:77:72:77 1/e10 dynamic 101 12:76:b7:78:77:77 1/e10 dynamic 101 12:77:77:77:17:77 1/e10 dynamic 101 12:77:77:77:77:77 1/e10 dynamic 101 12:77:77:77:f7:77 1/e10 dynamic 101 12:77:7a:77:17:77 1/e10 dynamic 101 12:77:7c:77:17:77 1/e10 dynamic 101 12:77:b7:27:77:77 1/e10 dynamic 101 12:77:b7:27:87:77 1/e10 dynamic 101 12:77:b7:27:e7:77 1/e10 dynamic 101 12:77:b7:37:78:77 1/e10 dynamic 101 12:77:b7:37:e9:77 1/e10 dynamic 101 12:77:b7:77:17:77 1/e10 dynamic 101 12:77:b7:78:17:77 1/e10 dynamic 101 12:77:b7:78:77:77 1/e10 dynamic 101 12:77:b7:88:77:77 1/e10 dynamic 101 12:77:bc:78:17:77 1/e10 dynamic 101 12:77:d7:27:17:77 1/e10 dynamic 101 12:77:d7:77:f7:77 1/e10 dynamic 101 12:77:d7:78:17:77 1/e10 dynamic 101 12:77:d7:78:77:77 1/e10 dynamic 101 14:23:77:97:77:75 1/e10 dynamic 101 14:c7:37:77:4b:e5 1/e10 dynamic 101 16:18:17:77:77:71 1/e10 dynamic 101 16:18:57:77:77:71 1/e10 dynamic 101 16:58:17:77:77:71 1/e10 dynamic 101 16:77:17:17:75:71 1/e10 dynamic 101 16:77:17:17:77:71 1/e10 dynamic 101 16:77:17:77:77:71 1/e10 dynamic 101 16:77:57:57:77:71 1/e10 dynamic 101 16:77:57:77:77:71 1/e10 dynamic 101 16:77:d7:47:27:37 1/e10 dynamic 101 16:77:d7:47:27:71 1/e10 dynamic 101 16:77:d7:47:b7:71 1/e10 dynamic 101 16:78:17:17:77:71 1/e10 dynamic 101 16:78:17:77:77:71 1/e10 dynamic 101 16:c7:17:77:77:71 1/e10 dynamic 101 16:d7:17:17:77:71 1/e10 dynamic 101 16:d7:17:47:77:71 1/e10 dynamic 101 16:d7:17:57:77:71 1/e10 dynamic 101 16:d7:17:77:77:71 1/e10 dynamic 101 16:d7:57:57:77:71 1/e10 dynamic 101 16:d7:57:77:27:71 1/e10 dynamic 101 16:d7:57:77:77:37 1/e10 dynamic 101 16:d7:57:77:77:71 1/e10 dynamic 101 16:d7:57:77:77:77 1/e10 dynamic 101 16:d7:57:77:b7:37 1/e10 dynamic 101 16:d7:57:77:b7:71 1/e10 dynamic 101 16:d7:97:47:b5:71 1/e10 dynamic 101 16:d7:97:77:77:71 1/e10 dynamic 101 16:d7:d7:47:77:71 1/e10 dynamic 101 16:d7:d7:47:b7:35 1/e10 dynamic 101 16:da:17:17:77:71 1/e10 dynamic 101 16:da:57:77:b7:71 1/e10 dynamic 101 18:17:14:70:4e:61 1/e10 dynamic 101 18:17:14:70:7e:65 1/e10 dynamic 101 18:76:b7:77:12:77 1/e10 dynamic 101 18:7a:1e:74:4e:61 1/e10 dynamic 101 18:7a:1e:74:4e:71 1/e10 dynamic 101 1c:f7:78:4b:76:75 1/e10 dynamic 101 24:77:97:79:77:77 1/e10 dynamic 101 26:77:77:71:67:27 1/e10 dynamic 101 2e:1b:77:b4:87:07 1/e10 dynamic 101 2e:77:77:a4:8e:07 1/e10 dynamic 101 2e:7b:77:24:7d:07 1/e10 dynamic 101 2e:7b:77:a4:8e:87 1/e10 dynamic 101 2e:7b:a2:b4:77:07 1/e10 dynamic 101 2e:7b:a7:21:8d:87 1/e10 dynamic 101 2e:7b:a7:24:7d:07 1/e10 dynamic 101 2e:7b:a7:24:8d:87 1/e10 dynamic 101 2e:7b:a7:24:8e:87 1/e10 dynamic 101 2e:7b:a7:b4:87:07 1/e10 dynamic 101 34:77:97:79:77:77 1/e10 dynamic 101 38:09:27:77:77:75 1/e10 dynamic 101 38:09:27:7e:77:75 1/e10 dynamic 101 38:09:27:7f:77:75 1/e10 dynamic 101 38:09:28:71:75:76 1/e10 dynamic 101 38:09:28:71:75:77 1/e10 dynamic 101 38:09:28:77:75:76 1/e10 dynamic 101 38:09:28:77:75:77 1/e10 dynamic 101 38:09:e7:77:74:77 1/e10 dynamic 101 38:09:e7:7c:77:75 1/e10 dynamic 101 38:09:e7:7e:77:75 1/e10 dynamic 101 38:09:e7:7f:77:75 1/e10 dynamic 101 38:09:e8:7e:77:75 1/e10 dynamic 101 42:32:7f:26:72:b7 1/e10 dynamic 101 42:32:7f:27:f2:77 1/e10 dynamic 101 42:32:7f:27:f2:b7 1/e10 dynamic 101 42:32:7f:76:72:b9 1/e10 dynamic 101 42:73:79:8f:78:71 1/e10 dynamic 101 42:9f:77:bc:27:99 1/e10 dynamic 101 44:77:7a:77:70:27 1/e10 dynamic 101 44:77:7a:f1:70:77 1/e10 dynamic 101 48:32:7f:27:f2:77 1/e10 dynamic 101 48:32:7f:77:f2:77 1/e10 dynamic 101 48:72:7f:76:72:77 1/e10 dynamic 101 48:72:7f:76:7e:b7 1/e10 dynamic 101 48:77:77:77:27:0f 1/e10 dynamic 101 48:77:77:77:34:07 1/e10 dynamic 101 48:77:77:d7:e4:07 1/e10 dynamic 101 48:79:77:d7:74:0f 1/e10 dynamic 101 48:97:77:27:87:97 1/e10 dynamic 101 48:b2:79:8f:d8:71 1/e10 dynamic 101 4a:b1:44:c5:a7:77 1/e10 dynamic 101 4c:97:a7:77:77:99 1/e10 dynamic 101 4e:71:14:71:64:61 1/e10 dynamic 101 4e:71:14:74:a5:76 1/e10 dynamic 101 4e:71:14:81:6c:61 1/e10 dynamic 101 4e:71:14:84:6c:61 1/e10 dynamic 101 4e:71:14:84:ad:66 1/e10 dynamic 101 4e:71:18:84:6c:71 1/e10 dynamic 101 4e:76:14:44:67:66 1/e10 dynamic 101 4e:76:14:44:6c:66 1/e10 dynamic 101 4e:76:14:44:a5:77 1/e10 dynamic
       
      И так до бесконечности генерируются мак адреса, на порту висит роутер TP-Link за ним абонент. Проблема в нестабильном соединении с Интернет.
      Роутер так флудит красиво? Что бы такой флуд пошел, надо подождать часика два, сразу при подключении нету такой картины.

×
×
  • Create New...