#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы

[omp 75]

 

Dimkers - смайлик видели в конце поста? Это уже анекдот придумали.

 

[rabbit-kms 5]

https://geektimes.ru/post/274104/

кто-то пробовал?

[BlackVS 35]

  В 29.06.2017 в 11:29, rabbit-kms сказав:

https://geektimes.ru/post/274104/

кто-то пробовал?

Дату статьи смотрели?

Это для старой версии.

Для этой НЕ работает.

[rabbit-kms 5]

  В 29.06.2017 в 11:50, BlackVS сказав:

 

  В 29.06.2017 в 11:29, rabbit-kms сказав:

https://geektimes.ru/post/274104/

кто-то пробовал?

Дату статьи смотрели?

Это для старой версии.

Для этой НЕ работает.

 

работа над ошибками типо)

[ttttt 195]

  В 29.06.2017 в 08:15, Dimkers сказав:

 

  Цитата

Феерический факап «ИТ-нации», которая в реальности оказалась совсем не «ИТ нацией», а просто сборищем ремесленников-разработчиков «на галерах», способных писать код на заказ, но имеющих весьма отдаленное представление об ИТ в целом и безопасности в частности… Даже словацкое телевидение пнуло Украину, показав с утра в новостях сюжет с ремаркой типа “украинские специалисты не могут справиться с вирусом”…

Трагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

Бред какой-то. Я вот уверен, что это вирус уровня спецслужб, он совсем не такой, как "прошлая волна", только для виду повымогал и туда уже никто не платит. И против спецслужб предприятия в целом бессильны на текущем уровне развития коммерческого софта, сам Майкрософт об этом ноет постоянно, с тех пор как инструменты спецслужб наружу повытекали. Украинские специалисты тут совсем не причем, проблема глобальная и в первую очередь в мировом ИТ, начиная с принципиально небезопасных операционных систем и до языков программирования, поощряющих небезопасные подходы к разработке.

Відредаговано 2017-06-29 12:05:48 ttttt

[BlackVS 35]

 

 

  В 29.06.2017 в 11:52, rabbit-kms сказав:

работа над ошибками типо)

 

Ждем следующей версии - ведь авторы тоже читают про то, как борются с его детищем - а значит в следующих итерациях примут меры по ихз обходу...

Одно радует - народ таки прикроет SMBv1 .... Хотя про то, чтобы не открывать левые ссылки - вроде как знают все и далеко не первый год. А ннет- кто-нибудь да ткнет...

И насчет UAC, работы не под админской учеткой - тоже вроде как все в курсе... и тем не менее....

[ttttt 195]

  В 29.06.2017 в 11:29, rabbit-kms сказав:

кто-то пробовал?

Над утилитами для помощи с восстановлением еще работают, пока ничего не публиковали.

[BUM 242]

1. getdataback to ntfs

2. Trend Micro Ransomware File Decryptor

[BlackVS 35]

  В 29.06.2017 в 12:00, ttttt сказав:

 

  В 29.06.2017 в 08:15, Dimkers сказав:

 

  Цитата

Феерический факап «ИТ-нации», которая в реальности оказалась совсем не «ИТ нацией», а просто сборищем ремесленников-разработчиков «на галерах», способных писать код на заказ, но имеющих весьма отдаленное представление об ИТ в целом и безопасности в частности… Даже словацкое телевидение пнуло Украину, показав с утра в новостях сюжет с ремаркой типа “украинские специалисты не могут справиться с вирусом”…

Трагедия и фарс–украинские CIO и 150долларовые админы,российский след и “атака ФСБ”,тотальный факап Microsoft Ukraine–все, что вам надо знать о причинах вчерашней вирусной атаки в Украине

Бред какой-то. Я вот уверен, что это вирус уровня спецслужб, он совсем не такой, как "прошлая волна", только для виду повымогал и туда уже никто не платит. И против спецслужб предприятия в целом бессильны на текущем уровне развития коммерческого софта, сам Майкрософт об этом ноет постоянно, с тех пор как инструменты спецслужб наружу повытекали. Украинские специалисты тут совсем не причем, проблема глобальная и в первую очередь в мировом ИТ, начиная с принципиально небезопасных операционными систем и до языков программирования, поощрающих небезопасные подходы к разработке.

 

«И — боже вас сохрани — не читайте до обеда советских газет»

Проблема глобальная и не последняя.

"Самый первый Хакер" использовал человеческий фактор, который был тогда, есть сейчас и будет всегда...

Текущая волна просто показала слабые места.

Могло быть похлеще - представьте, что малварь никак бы о себе не давала знать, а втихаря собирала бы конф.данные?

Или потихоньку внедрялась бы на всё, что смогла бы. С полгода или год (хотя такое уже было, но в меньшем масштабе).

А ведь она сидела там, где ее по определению не должно было быть.

А тут - скорее как показательная порка. От кого? Не думаю, что когда-то точно узнаем.

Теперь вот придется чиновникам думать:

1. Что же делать с гос.сектором %) 80% софта пиратского, плохо поддерживаемого (по разным причинам).

2. Какого черта режимные предприятия в инет по общим каналам ходили?

3. Как получилось так, что достаточно было вскрыть пару серверов (типа медка), чтобы выйти на ПК по сути всей Украины? А ведь медок типа сертифицирован... Вот теперь вопрос - как же его так сертифицировали. Как бы медок не выдавал из себя "невиноватая я" - но таки они допустили саму такую возможность. То есть для таких вот "всеукраинских" программ, да еще и навязываемых государством, должен быть жесткий контроль на такие вещи. Как по мне - тут прямая вина чиновников. Ну сделали себе кормушку, так позаботтесь, чтобы она была надежной %) Кстати, меня покоробило, как киберполиция чуть ли не извинялась перед медком за "наезд". Если б это был бы не медок - были б маски шоу, вынос всех серверов. 

4. Придется задуматься и банкам и торговым сетям о смысле бИтия.

5. Ну и всем нам есть о чем подумать. В частности, как так получилось, что бухгалтерские ПК были способны заразить все остальные ПК в сети предприятия. 

 

Думаете я один такой умный? Не а, вот сижу и потихоньку апдейты накатываю, проверяю безопасноть, и тд и тп. А ведь не чесался до самой этой волны %)))

Ведь один раз прошло мимо, второй, а третий может и накрыть.

Відредаговано 2017-06-29 12:20:05 BlackVS

[rabbit-kms 5]

ну чесаться будут те кто не на 150 зелени сидит за компом, госсектор так и будет чесать ж#пу... а толку чесать если не чего не покупают для развития? из гов...на конфетку не слепишь ИМХО

[Dimkers 1 615]

Именно.

 

  В 29.06.2017 в 12:16, BlackVS сказав:

вот сижу и потихоньку апдейты накатываю, проверяю безопасноть, и тд и тп. А ведь не чесался до самой этой волны

Вот честно человек признался.  И этот человек не манагер по продаже в конторе. Вот он уровень ИТ в Нэньке.

 

Так что, ttttt,

можете говорить что угодно, но статья имеет зерна. Жаль только что не до всех оно доходит.

[nordstream 1 246]

  В 29.06.2017 в 12:24, rabbit-kms сказав:

ну чесаться будут те кто не на 150 зелени сидит за компом, госсектор так и будет чесать ж#пу... а толку чесать если не чего не покупают для развития? из гов...на конфетку не слепишь ИМХО

 

Как раз те кто сидит на $150+ не чешуться не фига.

[zaborovsky 359]

https://medium.com/@gray25/серверы-обновлений-m-e-doc-оказались-на-хостинге-wnet-f3f35db4de73

 

вон оно как, Михалыч...

[rabbit-kms 5]

  В 29.06.2017 в 12:28, nordstream сказав:

 

  В 29.06.2017 в 12:24, rabbit-kms сказав:

ну чесаться будут те кто не на 150 зелени сидит за компом, госсектор так и будет чесать ж#пу... а толку чесать если не чего не покупают для развития? из гов...на конфетку не слепишь ИМХО

 

Как раз те кто сидит на $150+ не чешуться не фига.

 

да тут и на 300у.е. чесать то нечего... за 500у.е. еще можно думать "стоит ли"...

[Dimkers 1 615]

 

 

  В 29.06.2017 в 12:28, nordstream сказав:

Как раз те кто сидит на $150+ не чешуться не фига.

 

Да ладно. Давайте пройдем по ЗП контор, которые пострадали. Руководство я не буду брать(кумовсво рулит). Берем обычных админов, которые обслуживают рабочие станции\серваки на местах. work.ua и rabota.ua в помошь.

Вот по моему региону:

https://rabota.ua/company2831026/vacancy6031797

https://rabota.ua/company5351695/vacancy6777714

Відредаговано 2017-06-29 12:37:09 Dimkers

[ttttt 195]

  В 29.06.2017 в 12:16, BlackVS сказав:

3. Как получилось так, что достаточно было вскрыть пару серверов (типа медка), чтобы выйти на ПК по сути всей Украины? А ведь медок типа сертифицирован... Вот теперь вопрос - как же его так сертифицировали. Как бы медок не выдавал из себя "невиноватая я" - но таки они допустили саму такую возможность. То есть для таких вот "всеукраинских" программ, да еще и навязываемых государством, должен быть жесткий контроль на такие вещи. Как по мне - тут прямая вина чиновников.

Вы ищите виноватых не там, баги и ошибки будут всегда, пока этим занимаются люди, это понятно, надеюсь? Ну вот, а как так получилось, что об этом все предприятия не знают и юзают ОС, которая не может даже базово изолировать каждую программу в свою песочницу от всего остального и дать программе доступ только к собственным файлам данных и больше ни к чему? Это факап ОС в первую очередь и всей ИТ индустрии и он длится уже очень давно. Сама capability model до сих пор не мейнстрим, как так?

[vppkn 102]

  В 29.06.2017 в 12:32, zaborovsky сказав:

https://medium.com/@gray25/серверы-обновлений-m-e-doc-оказались-на-хостинге-wnet-f3f35db4de73

 

вон оно как, Михалыч...

 

Шо, таки агенты кругом?

[vppkn 102]

  В 29.06.2017 в 12:33, rabbit-kms сказав:

 да тут и на 300у.е. чесать то нечего... за 500у.е. еще можно думать "стоит ли"...

 

Не стОит. Разве что с голодухи.

[vppkn 102]

  В 29.06.2017 в 12:35, Dimkers сказав:

 

  В 29.06.2017 в 12:28, nordstream сказав:

Как раз те кто сидит на $150+ не чешуться не фига.

 

Да ладно. Давайте пройдем по ЗП контор, которые пострадали. Руководство я не буду брать(кумовсво рулит). Берем обычных админов, которые обслуживают рабочие станции\серваки на местах. work.ua и rabota.ua в помошь.

Вот по моему региону:

https://rabota.ua/company2831026/vacancy6031797

https://rabota.ua/company5351695/vacancy6777714

 

 

Ну понятно, что работодатель хочет нихера не заплатить и получить на работу ниипического специалиста. Только кто туда реально пойдет за эти деньги? А если пойдет - долго ли он там удержится, после того, как опыта поднахватается, если минимальный мозг, способный к обучению, имеется?

[BlackVS 35]

  В 29.06.2017 в 12:28, Dimkers сказав:

Именно.

 

  В 29.06.2017 в 12:16, BlackVS сказав:

вот сижу и потихоньку апдейты накатываю, проверяю безопасноть, и тд и тп. А ведь не чесался до самой этой волны

Вот честно человек признался.  И этот человек не манагер по продаже в конторе. Вот он уровень ИТ в Нэньке.

 

Так что, ttttt,

можете говорить что угодно, но статья имеет зерна. Жаль только что не до всех оно доходит.

Ну в моем случае ен все так запущено %) - просто не на всех машинах - были - последние апдейты и не везде был закрыт smbv1 (все откладывал на потом, так как даже с последними апдейтами винды почему-то не везде 1-я самба оказалась закрытой. Верь после этого мелкософту %).

А так у нас боле менее - нкито под админским не работает, все предупреждены насчет открытия левых ссылок, почта - два уровня контроля (на сервере и на клиентских ПК), все с антивирусами, бекапы, критичные системы продублированы, "гостевых" и "everyone r/w" шар нету, фтп даже выведен только шифрованный (ftps) %) , все порты закрыты, на роутерах политики безопасности настроены, впн - 256 бит. Почта на девайсах только при активированном пине. Все филиалы в собсвенных подсетях (кстати для последней волны было важно - Петя.А для доменных сетей по DHCP получал адрес текущей подсети и пинал только ее). И все равно даже у меня (я не админ, если что) зачесалось в одном месте, как узнал про медок (пришлось придумать и навернуть срочно пару защит + через политики их разослать) и прикинул, что не дай бог он доберется до рабочих серверов - потерять-то не потеряем информацию (разве что какой-то минимум), но вот попотеть-то пришлось бы..... Хорошо, что бухгалтер у меня уже обученный - она в тот злополучный день просто решила обновление не ставить, хоть медок и просился пару раз это сделать %) Выучка! 

Відредаговано 2017-06-29 12:49:08 BlackVS

[nordstream 1 246]

Давайте так - тут есть кто из провов пострадал?

Еще вопрос - у всех есть клиенты которые пострадали. Так вот давайте определитесь так сказать их уровень.

И почему то уверен что среди них только будут:

1. Конторы муниципального уровня

2. Госконторы с крупным ИТ-отделом.

3. Частные конторы уровня среднего банка где ИТ-отдел не один десяток человек

 

И практически на 100% уверен что нет пострадавших контор с уровнем рабочих мест от 5 до 50 и где всего 1-2 админа, и не удивлюсь если они вообще приходящие.

[vppkn 102]

  В 29.06.2017 в 12:48, nordstream сказав:

Давайте так - тут есть кто из провов пострадал?

Еще вопрос - у всех есть клиенты которые пострадали. Так вот давайте определитесь так сказать их уровень.

И почему то уверен что среди них только будут:

1. Конторы муниципального уровня

2. Госконторы с крупным ИТ-отделом.

3. Частные конторы уровня среднего банка где ИТ-отдел не один десяток человек

 

И практически на 100% уверен что нет пострадавших контор с уровнем рабочих мест от 5 до 50 и где всего 1-2 админа, и не удивлюсь если они вообще приходящие.

 

Ну примерно так и есть. За мелких на 5 рабочих мест только не знаю. И что это нам дает?

 

Хотя, вот, например, ДТЭК завалился говорят. А это не мелкая и не госконтора, но с крупным ИТ-отделом.

Відредаговано 2017-06-29 12:52:01 vppkn

[nordstream 1 246]

  В 29.06.2017 в 12:44, BlackVS сказав:

 

  В 29.06.2017 в 12:28, Dimkers сказав:

Именно.

 

  В 29.06.2017 в 12:16, BlackVS сказав:

вот сижу и потихоньку апдейты накатываю, проверяю безопасноть, и тд и тп. А ведь не чесался до самой этой волны

Вот честно человек признался.  И этот человек не манагер по продаже в конторе. Вот он уровень ИТ в Нэньке.

 

Так что, ttttt,

можете говорить что угодно, но статья имеет зерна. Жаль только что не до всех оно доходит.

Ну в моем случае ен все так запущено %) - просто не на всех машинах - были - последние апдейты и не везде был закрыт smbv1 (все откладывал на потом, так как даже с последними апдейтами винды почему-то не везде 1-я самба оказалась закрытой. Верь после этого мелкософту %).

А так у нас боле менее - нкито под админским не работает, все предупреждены насчет открытия левых ссылок, почта - два уровня контроля (на сервере и на клиентских ПК), все с антивирусами, бекапы, критичные системы продублированы, "гостевых" и "everyone r/w" шар нету, фтп даже выведен только шифрованный %) , все порты закрыты, на роутерах политики бехзопасности настроены, впн - 256 бит. Все филиалы в собсвтенных подсетях (кстати для последней волны было важно - Петя.А для доменных сетей по DHCP получал адрес текущей подсети и пинал только ее). И все равно даже у меня (я не админ, если что) зачесалось в одном месте, как узнал про медок (пришлось придумать и навернуть срочно пару защит + через политики их разослать). Хорошо, что бухгалтер у меня уже обученный - она в тот злополучный день просто решила обновление не ставить, хоть медок и просился пару раз это сделать %) Выучка! 

 

 

Сами медок не используем (когда налоговая пыталась всех нагнуть на него стали использовать другой софт из принципа) но вот у соседей через стенку спросил - вы с Медком работаете и как? Влетели? Отвечают - нет, мы это обновление не скачивали!! Спрашиваю - а почему? А нам админ ЗАПРЕТИЛ скачивать их обновления раньше чем 7 дней после их выхода!!!! Поймал ихнего админа - спрашиваю а с чего такой пассаж? А он говорит - год назад у Медка был интересный сбой (в подробности я не вдавался), когда обновляли какой то бланк и после этого по всей Украине сервера налоговой отказались принимать отчеты. Причем только у Медка! Тогда съехали на то что вместо нового бланка по ошибке залили старый. Но сосед себе на заметку взял это - так как кроме этой конторы он фрилансит приходящим админом еще в пару десятков мелких контор и ему тогда бухгалтера капитально вынесли мозг. После того он всем категорически запретил ставить обновы раньше чем через 7 дней. Вплоть до того что кто раньше поставил он не виноват. И вуаля - все они работают без проблем.

Відредаговано 2017-06-29 12:55:25 nordstream

[Dimkers 1 615]

BlackVS, вы не админ. Ладно, опустим этот момент - неадмин накатывает обновы и рулит ИТ на предприятии. Ваше ЗП на вашем предприятии 150 баксов? 300? 500? 1К?

За 150-200 баксов вы готовы так работать?

Відредаговано 2017-06-29 12:55:08 Dimkers

[BlackVS 35]

 

 

  В 29.06.2017 в 12:51, nordstream сказав:

А нам админ ЗАПРЕТИЛ скачивать их обновления раньше чем 7 дней после их выхода!!!!

 

Молодец админ!