Перейти до

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы


Рекомендованные сообщения

Да вот не факт. Если бы на расшифровку выслали бы какой-то оригинальный файл, который не был до того публично выложен, то да.

https://motherboard.vice.com/en_us/article/evdxj4/notpetya-ransomware-hackers-decrypt-file

Тут же дали расшифровать известный/публичный файл (вот он, к примеру - https://github.com/tpn/pdfs/blob/master/Microsoft%20Portable%20Executable%20and%20Common%20Object%20File%20Format%20Specification%20-%20Revision%208.3%20(6th%20Feb%2C%202013).pdf)

, то есть этот файл можно также было "дешифровать" просто получив хеш всего или части файла и по хешу найти такой же файл. С очень большой вероятностью он и окажется исходным.

К тому же не сильно понятно, учитывая резонанс, зачем им дальше палиться. Скорее смахивает на увод в сторону.

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 528
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Pit - чистый контрацептив, все у него школоло. контрацептив, а ну подскажи: тебе слово давали? или ты с колен встал только что?   слепое контрацептивное быдло вождь - где у меня написано что ты вожд

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...

Спец операция, чтоб внедрить драконовские законы Как раз голосование на этой неделе за спец. Оборудование .

Posted Images

Кто читал http://cert.gov.ua/?p=2771что думаете?

 

Читал. Думаю, что это все херня, по сравнению с тем, что, гипотетически возможно, в "мир" могли улететь ЕЦП с паролями... также ЕЦП нотариусов их пароли доступа к реестрам, например недвижимости...

Відредаговано johny
Ссылка на сообщение
Поделиться на других сайтах

 

 

также ЕЦП нотариусов их пароли доступа к реестрам, например недвижимости...

 

там и без ЕЦП есть где развернуться

 

http://korrespondent.net/business/realestate/3725462-rasstrelnyi-reestr-volna-reiderstva-v-ukrayne

Ссылка на сообщение
Поделиться на других сайтах
Ссылка на сообщение
Поделиться на других сайтах

Ті, що працюють, мабуть таки працюють - їх колеги буквально заставляють працювати. Але, працюють в створених умовах. Той хто платить мінімалку за складну роботу, скоріше за все, не потратить гроші навіть на зовнішній вінт для бекапів...

Знайомі, яких цього разу "пронесло" при всій детальності пояснень (в тому числі про банальний вихід з ладу вінчестера) лише покивали головою.

Укрпошта валяється до сьогодні...

Ссылка на сообщение
Поделиться на других сайтах

 

Если загуглить "ESET Антон Черепанов ДНР" то можно предположить что сам Черепанов расшифрованный файл и передал обоим сторонам, так что просто увод в сторону от того что это была целенаправленная атака по прикрытием вирусной.

 

Криптовымогатели не будут:

- форматировать диски серверов из-под IP KVM

- затирать флешки на коммутаторах из-под взломанных аккаунтов администраторов

- взламывать линкус-сервера систем мониторинга

- ставить кейлоггеры на терминальных серверах

 

Ссылка на сообщение
Поделиться на других сайтах
Чоткая специальность: "компьютерщик".

 

улыбнуло

 

в 1991 (вроде) году, меня принимали на работу на должность "Техник-компьютерщик" . Обслуживал "мега" компьютеры тех лет Атари 65 ХЕ, и игровые автоматы.

 

Прошло 25 лет, специальность не меняется в умах людей) 

Відредаговано johny
Ссылка на сообщение
Поделиться на других сайтах

может кому надо...

 

вот здесь http://kyivstar-inet.com/threads/petya-a-nu-chto-pa-sluchaetsja-kogo-shifrovalschik-nakryl.4607/page-12#post-83344 лежит скрипт и инструкция по конвертации БД из 189-го релиза Медка в 188-й, ибо доступный на сегодня 188-й релиз (в котором бэкдора якобы нет) не воспринимает резервные копии, созданные в следующей по счету, 189-й версии и не может из них восстановить базу из сохраненной резервной копии (из-за чего приходится восстанавливать сильно давние резервные копии, если они есть, созданные еще прежним релизом Медка.

их может и не быть, если в настройках Медка включена опция "сохранять не более N последних копий", где обычно N=3 )

 

т.е. этим методом резервная копия сперва понижается с 189-й до 188-й, а потом ее можно использовать совместно с 188-м релизом

 

такая вот эквилибристика...

Відредаговано zaborovsky
Ссылка на сообщение
Поделиться на других сайтах

по сравнению с тем, что, гипотетически возможно, в "мир" могли улететь ЕЦП с паролями... также ЕЦП нотариусов их пароли доступа к реестрам, например недвижимости...

Да не парьтесь, раньше же было то же самое и никого не волновало, что там могло улететь. От чего-то больше, чем случайных нецелевых атак вирусами практически никакие коммерческие организации не могут защититься. Нет даже специалистов толком, они же приватному сектору особо не нужны и если государство не выращивает их, то и взяться им негде.
Ссылка на сообщение
Поделиться на других сайтах

 

 

может кому надо...

 

Делал сегодня по "Инструкция(Версия 1)"

http://cit.ks.ua/medok-cat/rekomendacii-dlya-otkata-na-versiyu-10-01-188-medok.html 

Ссылка на сообщение
Поделиться на других сайтах

Вот сегодня прочитал в фейсбуке такое вот мнение:

 

"В наших реалиях уже никаких локальных админов нет, т.к. чего ему платить когда всё и так работает. А когда перестает работать, то на этот счет есть контракт с какой нить лавкой managed services, где нанят десяток админов обслуживающих сотню контор. "

 

Тут всё %) Потому "маємо те що маємо".

Ссылка на сообщение
Поделиться на других сайтах

Вот сегодня прочитал в фейсбуке такое вот мнение:

 

"В наших реалиях уже никаких локальных админов нет, т.к. чего ему платить когда всё и так работает. А когда перестает работать, то на этот счет есть контракт с какой нить лавкой managed services, где нанят десяток админов обслуживающих сотню контор. "

 

Тут всё %) Потому "маємо те що маємо".

В наших реалиях вижу что при глобальном кризисе когда резко все обрушилось у многих фирм админ на оутсорсе не помог тк там нет столько сотрудников чтобы мгновенно отреагировать и восстановить такое кол-во клиентов на коротком промежутке времени

Ссылка на сообщение
Поделиться на других сайтах

 

 

"В наших реалиях уже никаких локальных админов нет, т.к. чего ему платить когда всё и так работает. А когда перестает работать, то на этот счет есть контракт с какой нить лавкой managed services, где нанят десяток админов обслуживающих сотню контор. "

 

да, именно так

 

про это я и говорил несколько страниц назад

 

и сервисные конторы рекламу крутят -- зачем платить админу, вызывайте нас 

Ссылка на сообщение
Поделиться на других сайтах

 

 

В наших реалиях вижу что при глобальном кризисе когда резко все обрушилось у многих фирм админ на оутсорсе не помог тк там нет столько сотрудников чтобы мгновенно отреагировать и восстановить такое кол-во клиентов на коротком промежутке времени

 

ну да и фиг с ним -- налоговая вон обещала всем, просрочившим подачу налоговых, послабление

 

делов-то...

 

это для заводов больших, где все встало -- там да, проблемы 

 

а в средних и мелких купи-продайках -- им по большому счету пофиг (знаю конторы, у которых все документы в гугле, там же и почта, а компы -- в роли локальных терминалов)

Ссылка на сообщение
Поделиться на других сайтах
для заводов больших, где все встало -- там да, проблемы

... потому что админ не управляет предприятием а просто делает что говорят. Представте себе зоопарк 350+ ПК  с ОС от WIN XP до WIN 10 где нельзя просто так взять и вырубить SMBv1. Со временем восстановлят но дыры всеравно останутся и даже админ с ЗП ххх баксов не спасет от новых вирусов таких как петя(Petya.A, Petya.C, PetrWrap или PetyaCry)

Ссылка на сообщение
Поделиться на других сайтах
Представте себе зоопарк 350+ ПК  с ОС от WIN XP до WIN 10 где нельзя просто так взять и вырубить SMBv1

 

значит плохой софт или построенный процесс, в котором все на smbv1 работают.

это архаизм уже стал

Ссылка на сообщение
Поделиться на других сайтах

 

 

значит плохой софт или построенный процесс

дело даже не в плохом софте а том что нет нет поддержки, цены в промышленности чуток отличаются и не всегда есть альтернатива.

 

P.S. А по сути кто такой "Petya.х" ? Это просто криптор;. сам процесс запуска был с привилегиями админа, сегодня он по сети "пошел" по SMBv1 "завтра" по другой дыре пролезет и mbr filter не поможет, потому как файло шифрует до перезагрузки, после перезагрузки  "ломает"  MBR и MFT.

Ссылка на сообщение
Поделиться на других сайтах

https://xakep.ru/2017/07/07/medoc-is-back/

http://blog.talosintelligence.com/2017/07/the-medoc-connection.html

Ok. Выпустят они 190-й апдейт. И... всё останется по-прежнему? Вентилятор, дующий на стойку, бумажки (с паролями?) втыкнутые в сервера, остутствие банального https на сайтах медка и АЦСК Украина (про то, что ftp для распространения обновлений вчерашний день)...

Как именно они увели админский пароль?

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

 

 

ну да и фиг с ним -- налоговая вон обещала всем, просрочившим подачу налоговых, послабление   делов-то...
 

http://sfs.gov.ua/media-tsentr/novini/301993.html

Но для этого этот законопроект должен быть принят.

А депутаты уже все намылились на отдых кто куда.

И тут я его не вижу -

http://w1.c1.rada.gov.ua/pls/zweb2/webproc555

То есть походу законопрект из Уряду до Ради так еще и не дошел...

Ссылка на сообщение
Поделиться на других сайтах

 

для заводов больших, где все встало -- там да, проблемы

... потому что админ не управляет предприятием а просто делает что говорят. Представте себе зоопарк 350+ ПК  с ОС от WIN XP до WIN 10 где нельзя просто так взять и вырубить SMBv1. Со временем восстановлят но дыры всеравно останутся и даже админ с ЗП ххх баксов не спасет от новых вирусов таких как петя(Petya.A, Petya.C, PetrWrap или PetyaCry)

 

Админ не должен управлять и планировать стратегию. Это задачи CIO.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Дмитро
      Скажите может кто то сталкивался, в последнее время от многих абонентов идет большой исходящий трафик. Как правило такое происходит ночью и на всю скорость тарифного плана. Редко днем. Сначала думал торент, но это не от него, у большинства таких абонентов есть телефоны или планшеты эпл. Трафик идет как правило гугловский cdn 172.217.22.176,  173.194.221.128 lm-in-f128.1e100.net (173.194.221.128)
       
       
      Что это может быть и что делать?
       
       
       
       
       
       
       
       



    • Від Туйон
      Доброго дня. 
      Начали твориться интересные вещи.
      Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
      1. Роутер 340 или 740.
      2. PPTP подключение.
      Заявка - нет интернета.
      По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
      Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
      Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.
       
      Кто сталкивался?
      Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
      А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.
    • Від BALTAR
      Сегодня ночью Ubiquiti, в связи с "массовым" заражением ОС своей продукции выпустили обновление AirControl 2 с встроенным антивирусом, который исправляет все поправки в AirOs, но у меня часть оборудования зашита на XW v5.5.10-u2, эту прошивку выкопал на форуме, устройства под ее управлением отсылают логи с данными о своем ip на неизвестный адрес и перепрошить себя не дают, обновленный AirControl не видит в прошивке изменений, как быть?
      P.S. Прошивку и скрин прилагаюXW-v5_5_10-u2_28005_150723_1358.zip
    • Від Apelsin
      Железо Dell 3324
       
      SW version 1.0.0.52
       
      На порту абонента такая картина:
       
      # show bridge address-table
       

      Vlan Mac Address Port Type ------ --------------------- ------ -------------- 101 00:0f:90:ce:85:05 1/g1 dynamic 101 02:32:7f:20:f2:b7 1/e10 dynamic 101 02:32:7f:24:f2:77 1/e10 dynamic 101 02:32:7f:24:f2:87 1/e10 dynamic 101 02:32:7f:24:f2:b7 1/e10 dynamic 101 02:32:7f:27:f2:77 1/e10 dynamic 101 02:32:7f:27:f2:87 1/e10 dynamic 101 02:32:7f:27:f2:b7 1/e10 dynamic 101 02:72:7e:27:79:87 1/e10 dynamic 101 02:72:7f:27:f2:77 1/e10 dynamic 101 02:92:7e:27:79:77 1/e10 dynamic 101 02:92:7f:20:f2:77 1/e10 dynamic 101 02:92:7f:27:f2:77 1/e10 dynamic 101 08:22:77:26:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b7 1/e10 dynamic 101 08:32:7f:24:72:b9 1/e10 dynamic 101 08:32:7f:24:f2:b7 1/e10 dynamic 101 08:32:7f:26:72:b7 1/e10 dynamic 101 08:32:7f:27:72:77 1/e10 dynamic 101 08:32:7f:27:f2:77 1/e10 dynamic 101 08:32:7f:27:f2:b7 1/e10 dynamic 101 08:32:7f:76:72:79 1/e10 dynamic 101 08:32:7f:76:72:b7 1/e10 dynamic 101 08:32:7f:77:72:79 1/e10 dynamic 101 08:32:7f:77:72:b7 1/e10 dynamic 101 08:32:7f:77:f2:77 1/e10 dynamic 101 08:32:7f:77:f2:b7 1/e10 dynamic 101 08:33:77:76:7e:b7 1/e10 dynamic 101 08:33:7f:26:72:b7 1/e10 dynamic 101 08:33:7f:27:f2:b7 1/e10 dynamic 101 08:33:7f:76:72:77 1/e10 dynamic 101 08:33:7f:76:72:b7 1/e10 dynamic 101 08:33:7f:76:77:b7 1/e10 dynamic 101 08:33:7f:76:f2:77 1/e10 dynamic 101 08:33:7f:77:72:77 1/e10 dynamic 101 08:33:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:26:72:b7 1/e10 dynamic 101 08:72:7f:27:72:79 1/e10 dynamic 101 08:72:7f:27:72:b7 1/e10 dynamic 101 08:72:7f:27:f2:77 1/e10 dynamic 101 08:72:7f:27:f2:b7 1/e10 dynamic 101 08:72:7f:76:72:77 1/e10 dynamic 101 08:72:7f:76:72:79 1/e10 dynamic 101 08:72:7f:76:72:b7 1/e10 dynamic 101 08:72:7f:77:72:79 1/e10 dynamic 101 08:72:7f:77:72:b7 1/e10 dynamic 101 08:72:7f:77:72:b9 1/e10 dynamic 101 08:72:7f:77:d2:77 1/e10 dynamic 101 08:72:7f:77:f2:77 1/e10 dynamic 101 08:72:7f:77:f2:b7 1/e10 dynamic 101 08:73:77:76:72:b7 1/e10 dynamic 101 08:73:77:77:72:79 1/e10 dynamic 101 08:73:77:77:72:b7 1/e10 dynamic 101 08:73:77:77:f2:77 1/e10 dynamic 101 0a:71:71:77:ad:13 1/e10 dynamic 101 0a:71:77:77:ad:13 1/e10 dynamic 101 0c:79:77:87:7b:1c 1/e10 dynamic 101 10:2f:77:76:78:72 1/e10 dynamic 101 10:77:57:77:77:37 1/e10 dynamic 101 10:d7:17:47:77:37 1/e10 dynamic 101 10:d7:57:77:77:71 1/e10 dynamic 101 10:d7:77:47:77:71 1/e10 dynamic 101 10:d7:97:77:77:71 1/e10 dynamic 101 10:d7:d7:47:27:71 1/e10 dynamic 101 12:76:77:77:f7:77 1/e10 dynamic 101 12:76:b7:77:17:77 1/e10 dynamic 101 12:76:b7:77:1d:77 1/e10 dynamic 101 12:76:b7:77:72:77 1/e10 dynamic 101 12:76:b7:78:77:77 1/e10 dynamic 101 12:77:77:77:17:77 1/e10 dynamic 101 12:77:77:77:77:77 1/e10 dynamic 101 12:77:77:77:f7:77 1/e10 dynamic 101 12:77:7a:77:17:77 1/e10 dynamic 101 12:77:7c:77:17:77 1/e10 dynamic 101 12:77:b7:27:77:77 1/e10 dynamic 101 12:77:b7:27:87:77 1/e10 dynamic 101 12:77:b7:27:e7:77 1/e10 dynamic 101 12:77:b7:37:78:77 1/e10 dynamic 101 12:77:b7:37:e9:77 1/e10 dynamic 101 12:77:b7:77:17:77 1/e10 dynamic 101 12:77:b7:78:17:77 1/e10 dynamic 101 12:77:b7:78:77:77 1/e10 dynamic 101 12:77:b7:88:77:77 1/e10 dynamic 101 12:77:bc:78:17:77 1/e10 dynamic 101 12:77:d7:27:17:77 1/e10 dynamic 101 12:77:d7:77:f7:77 1/e10 dynamic 101 12:77:d7:78:17:77 1/e10 dynamic 101 12:77:d7:78:77:77 1/e10 dynamic 101 14:23:77:97:77:75 1/e10 dynamic 101 14:c7:37:77:4b:e5 1/e10 dynamic 101 16:18:17:77:77:71 1/e10 dynamic 101 16:18:57:77:77:71 1/e10 dynamic 101 16:58:17:77:77:71 1/e10 dynamic 101 16:77:17:17:75:71 1/e10 dynamic 101 16:77:17:17:77:71 1/e10 dynamic 101 16:77:17:77:77:71 1/e10 dynamic 101 16:77:57:57:77:71 1/e10 dynamic 101 16:77:57:77:77:71 1/e10 dynamic 101 16:77:d7:47:27:37 1/e10 dynamic 101 16:77:d7:47:27:71 1/e10 dynamic 101 16:77:d7:47:b7:71 1/e10 dynamic 101 16:78:17:17:77:71 1/e10 dynamic 101 16:78:17:77:77:71 1/e10 dynamic 101 16:c7:17:77:77:71 1/e10 dynamic 101 16:d7:17:17:77:71 1/e10 dynamic 101 16:d7:17:47:77:71 1/e10 dynamic 101 16:d7:17:57:77:71 1/e10 dynamic 101 16:d7:17:77:77:71 1/e10 dynamic 101 16:d7:57:57:77:71 1/e10 dynamic 101 16:d7:57:77:27:71 1/e10 dynamic 101 16:d7:57:77:77:37 1/e10 dynamic 101 16:d7:57:77:77:71 1/e10 dynamic 101 16:d7:57:77:77:77 1/e10 dynamic 101 16:d7:57:77:b7:37 1/e10 dynamic 101 16:d7:57:77:b7:71 1/e10 dynamic 101 16:d7:97:47:b5:71 1/e10 dynamic 101 16:d7:97:77:77:71 1/e10 dynamic 101 16:d7:d7:47:77:71 1/e10 dynamic 101 16:d7:d7:47:b7:35 1/e10 dynamic 101 16:da:17:17:77:71 1/e10 dynamic 101 16:da:57:77:b7:71 1/e10 dynamic 101 18:17:14:70:4e:61 1/e10 dynamic 101 18:17:14:70:7e:65 1/e10 dynamic 101 18:76:b7:77:12:77 1/e10 dynamic 101 18:7a:1e:74:4e:61 1/e10 dynamic 101 18:7a:1e:74:4e:71 1/e10 dynamic 101 1c:f7:78:4b:76:75 1/e10 dynamic 101 24:77:97:79:77:77 1/e10 dynamic 101 26:77:77:71:67:27 1/e10 dynamic 101 2e:1b:77:b4:87:07 1/e10 dynamic 101 2e:77:77:a4:8e:07 1/e10 dynamic 101 2e:7b:77:24:7d:07 1/e10 dynamic 101 2e:7b:77:a4:8e:87 1/e10 dynamic 101 2e:7b:a2:b4:77:07 1/e10 dynamic 101 2e:7b:a7:21:8d:87 1/e10 dynamic 101 2e:7b:a7:24:7d:07 1/e10 dynamic 101 2e:7b:a7:24:8d:87 1/e10 dynamic 101 2e:7b:a7:24:8e:87 1/e10 dynamic 101 2e:7b:a7:b4:87:07 1/e10 dynamic 101 34:77:97:79:77:77 1/e10 dynamic 101 38:09:27:77:77:75 1/e10 dynamic 101 38:09:27:7e:77:75 1/e10 dynamic 101 38:09:27:7f:77:75 1/e10 dynamic 101 38:09:28:71:75:76 1/e10 dynamic 101 38:09:28:71:75:77 1/e10 dynamic 101 38:09:28:77:75:76 1/e10 dynamic 101 38:09:28:77:75:77 1/e10 dynamic 101 38:09:e7:77:74:77 1/e10 dynamic 101 38:09:e7:7c:77:75 1/e10 dynamic 101 38:09:e7:7e:77:75 1/e10 dynamic 101 38:09:e7:7f:77:75 1/e10 dynamic 101 38:09:e8:7e:77:75 1/e10 dynamic 101 42:32:7f:26:72:b7 1/e10 dynamic 101 42:32:7f:27:f2:77 1/e10 dynamic 101 42:32:7f:27:f2:b7 1/e10 dynamic 101 42:32:7f:76:72:b9 1/e10 dynamic 101 42:73:79:8f:78:71 1/e10 dynamic 101 42:9f:77:bc:27:99 1/e10 dynamic 101 44:77:7a:77:70:27 1/e10 dynamic 101 44:77:7a:f1:70:77 1/e10 dynamic 101 48:32:7f:27:f2:77 1/e10 dynamic 101 48:32:7f:77:f2:77 1/e10 dynamic 101 48:72:7f:76:72:77 1/e10 dynamic 101 48:72:7f:76:7e:b7 1/e10 dynamic 101 48:77:77:77:27:0f 1/e10 dynamic 101 48:77:77:77:34:07 1/e10 dynamic 101 48:77:77:d7:e4:07 1/e10 dynamic 101 48:79:77:d7:74:0f 1/e10 dynamic 101 48:97:77:27:87:97 1/e10 dynamic 101 48:b2:79:8f:d8:71 1/e10 dynamic 101 4a:b1:44:c5:a7:77 1/e10 dynamic 101 4c:97:a7:77:77:99 1/e10 dynamic 101 4e:71:14:71:64:61 1/e10 dynamic 101 4e:71:14:74:a5:76 1/e10 dynamic 101 4e:71:14:81:6c:61 1/e10 dynamic 101 4e:71:14:84:6c:61 1/e10 dynamic 101 4e:71:14:84:ad:66 1/e10 dynamic 101 4e:71:18:84:6c:71 1/e10 dynamic 101 4e:76:14:44:67:66 1/e10 dynamic 101 4e:76:14:44:6c:66 1/e10 dynamic 101 4e:76:14:44:a5:77 1/e10 dynamic
       
      И так до бесконечности генерируются мак адреса, на порту висит роутер TP-Link за ним абонент. Проблема в нестабильном соединении с Интернет.
      Роутер так флудит красиво? Что бы такой флуд пошел, надо подождать часика два, сразу при подключении нету такой картины.

×
×
  • Створити нове...