Перейти к содержимому

DeepNet

ASP24.com.ua — Грозозащита для гигабитных сетей MC-Wit 1000. А Вы уже поставили себе грозозащиту? Звоните! 050-225-8880
Фото

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы

Вирус Шифровальщик Petya Petya.A

  • Чтобы отвечать, сперва войдите на форум
525 ответов в теме

#81 vppkn

vppkn

    Оборотень

  • Сitizens
  • ФишкаФишкаФишкаФишка
  • 322 Сообщений:
  • Пол:Мужчина

Опубликовано 28 Июнь 2017 - 00:49

 

Под шумок протянут DPI - 100%

 

его и безо всякого шума протянут

 

а это так, контрольный выстрел, типа, ну вы же видите, без ДПИ -- никак

 

и сейчас какой-нибудь "аналитик" типа Турчинова вырядится в камуфляж, запрыгнет в окоп и оттуда сделает авторитетное заявление про руку Кремля. 

 

 

Да запросто, если захотят. Причем, пройдет это все под полный всенародный одобрямс пересічних и всенародные благодарности истосковавшихся по твердой руке с просьбами подзатянуть гаечки потуже и добавить еще больше треша, угара и содомии в целях борьбы с вездесущими агентами Кремля.


  • 0

DEPS

#82 ttttt

ttttt

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 752 Сообщений:
  • Пол:Мужчина

Опубликовано 28 Июнь 2017 - 01:06

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc."

Ну т.е. проникли в медок и подложили вирус в апдейт, с чего все и началось.
  • 0

#83 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 01:15

 

 

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc."

Ну т.е. проникли в медок и подложили вирус в апдейт, с чего все и началось.

 

 

 

дотянулся, проклятый... (с)


  • 0

NG Optics

#84 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 01:24

Кстати, в контексте сегодняшнего шухера.

 

какая связь?

 

уже известно, что приехало оно, как я и говорил, с обновлениями от Медка

 

каким боком тут какое-либо железо? 


  • 0

#85 ttttt

ttttt

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 752 Сообщений:
  • Пол:Мужчина

Опубликовано 28 Июнь 2017 - 01:35

(не завидую я ИТ-департаменту Медка.....)

Откуда у них ИТ департамент, они же разработчик. Им сейчас нужно имя вернуть, пригласить западных аудиторов и реально пофиксить проблемы безопасности. Не так:

http://www.me-doc.co...yu-polzovateley

Внимание!

На наши сервера осуществляется вирусная атака.

Просим прощения за временные неудобства!


каким боком тут какое-либо железо?

Никаким, можно хоть у ФСБ покупать, на ситуацию с безопасностью это никак не повлияет.

Изменено: ttttt, 28 Июнь 2017 - 01:40

  • 0

#86 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 01:47

ну, понеслась!
 
СНБО на линии

Подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.


Кровавый Пастор™ не отстает

 

 

По его словам, все государственные учреждения, которые выполняли рекомендации Национального координационного центра кибербезопасности и были включены в защищенный контур (защищенный узел интернет-доступа) не пострадали.

 

Кровавый Пастор и Купол Грома защищенный контур


  • 0

#87 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 01:51

http://www.me-doc.co...yu-polzovateleyЦитата Внимание! На наши сервера осуществляется вирусная атака. Просим прощения за временные неудобства!

 

 

для пущего эффекта надо еще прибавить неизменное "благодарим за понимание" (с)

 

Откуда у них ИТ департамент, они же разработчик.
 

 

они и продажник вполне себе тоже -- оно денег стоит и немалых (сетевая версия особенно)


Изменено: zaborovsky, 28 Июнь 2017 - 01:53

  • 0

#88 Zend

Zend

    Пролетал Мимо

  • Маглы
  • Фишка
  • 14 Сообщений:
  • Пол:Мужчина
  • Город:Kiev

Опубликовано 28 Июнь 2017 - 05:48

У нас помер только сервак с 1С и медком.

Вернее, остановили его на 0%. Другие серверы на винде, да и рабочие машины тоже, хоть и в одной сети, не пострадали.

Но клиентов, чьи сервера размещены в ДЦ, приехало много. Эти не успели :-)

Офисный админ говорит что обновы медка не ставил на этой неделе. Значит, наверное, как-то раньше пришло.

Смотрели диск с R-Studio, сразу ушли папки Program Files (и x86), Windows, ProgramData. Остальное, видать, не успело.


Изменено: Zend, 28 Июнь 2017 - 05:56

  • 0

#89 sanyadnepr

sanyadnepr

    Дракон

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 2 700 Сообщений:

Опубликовано 28 Июнь 2017 - 07:59

UPD 6 :
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat

UPD10:
Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными.
Загрузка с LiveCD или USB-диска даст доступ к файлам

 
Слито с https://habrahabr.ru/post/331762/
  • 1

#90 Zend

Zend

    Пролетал Мимо

  • Маглы
  • Фишка
  • 14 Сообщений:
  • Пол:Мужчина
  • Город:Kiev

Опубликовано 28 Июнь 2017 - 08:37

Загрузка с LiveCD или USB-диска даст доступ к файлам
 \

Если процесс пошел, то уже не даст)


  • 0

#91 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 08:59

Офисный админ говорит что обновы медка не ставил на этой неделе. Значит, наверное, как-то раньше пришло.

 

у нас машина с медком -- это просто клиентская машина с софтверным raid1, обновления на ней ставятся то ли автоматом, то ли девочка, ответственная за медок, согласилась с предложениями обновления автоматом (там, если не обновляться. бывают проблемы, что налоговые не отправляются, т.к. формы поменялись и т.д. -- поэтому наши всегда обновляются по команде) 


  • 0

#92 Dellok

Dellok

    Пролетал Мимо

  • Маглы
  • Фишка
  • 11 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 09:14

Похоже криптуется не диск, а отдельные файлы, потому доступ будет к информации, что не успела зашифроваться, будет.
Кстати я правильно понимаю, что первый запуск на первом зараженном компьютере в сети должен быть с правами админа как минимум локального?
  • 0

#93 zulu_Radist

zulu_Radist

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 307 Сообщений:
  • Пол:Мужчина

Опубликовано 28 Июнь 2017 - 09:40

Абоны звонят - "А нам можно уже включать компьютер?"  :lol:


  • 1

#94 zaborovsky

zaborovsky

    Вампир

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишка
  • 1 395 Сообщений:
  • Пол:Мужчина
  • Город:Киев

Опубликовано 28 Июнь 2017 - 09:40

Кстати я правильно понимаю, что первый запуск на первом зараженном компьютере в сети должен быть с правами админа как минимум локального?

 

если судить по тому, что написала киберполиция про Медок -- то да

 

но это ж не спасет, потому как Медок спрашивает, мол, доступны обновления -- обновить?

 

и налоговый бухгалтер (тот, кто отвечает за отправку налоговых накладных в налоговую) отвечает "да"

 

и иначе и быть не может, потому что отказ от обновления Медка череват тем, что могут быть не приняты налоговые (если форма изменилась, а она меняется часто, поэтому все всегда соглашаются)


  • 0

#95 Zend

Zend

    Пролетал Мимо

  • Маглы
  • Фишка
  • 14 Сообщений:
  • Пол:Мужчина
  • Город:Kiev

Опубликовано 28 Июнь 2017 - 09:59

На всякий случай, мож кому пригодится. Софтинка, сканит на предмет уязвимости к WannaCry.
https://github.com/p...etya_FastDetect

Нашлись несколько машин, в т.ч., с хр, но, как ни странно, никаких проблем с ними :)
  • 1

#96 mixeysan

mixeysan

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 279 Сообщений:
  • Пол:Мужчина
  • Город:Донецк

Опубликовано 28 Июнь 2017 - 10:08

Дампы с HDD после заражения машины 

 

У кого есть зараженные компы - плиз сделайте бэкапчики первые 0-63 сектора диска или , лучше , первые 1-4 мб данных  :)

Прикрепленные файлы:


Изменено: mixeysan, 28 Июнь 2017 - 10:12

  • 0

#97 Zend

Zend

    Пролетал Мимо

  • Маглы
  • Фишка
  • 14 Сообщений:
  • Пол:Мужчина
  • Город:Kiev

Опубликовано 28 Июнь 2017 - 10:26

Дампы с HDD после заражения машины 
 
У кого есть зараженные компы - плиз сделайте бэкапчики первые 0-63 сектора диска или , лучше , первые 1-4 мб данных  :)


А толку. Дядьки из PT его уже ковыряли.
Все ж одинаковое будет.
  • 0

#98 masterzep

masterzep

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 216 Сообщений:
  • Пол:Мужчина

Опубликовано 28 Июнь 2017 - 10:41

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

 

 

Прикрепленные миниатюры

  • mse-ramsom-pa-alert.jpg

Изменено: masterzep, 28 Июнь 2017 - 10:41

  • 0

#99 mixeysan

mixeysan

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 279 Сообщений:
  • Пол:Мужчина
  • Город:Донецк

Опубликовано 28 Июнь 2017 - 10:44

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

Уже реагирует?  :D  Почему раньше не было никакой реакции?  :)


  • 0

#100 strellson

strellson

    Оборотень

  • Сitizens
  • ФишкаФишкаФишкаФишка
  • 431 Сообщений:
  • Пол:Мужчина
  • Город:Kiev

Опубликовано 28 Июнь 2017 - 10:45

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...


  • 5





Также с меткой «Вирус, Шифровальщик, Petya, Petya.A»

1 пользователей читают эту тему

0 members, 1 guests, 0 anonymous users

Local.blog МЕТА - Украина