Вирус

Цитата: Теофраст от 27.06.2017 19:12:09Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..

Цитата: Теофраст от 27.06.2017 19:12:09

 

Скорее всего тайм-бомба. Хотя, по некоторым сообщениям, инфицирование произошло сразу после обновления программы для сдачи отчетности - M.Е.Doc, в просторечии "медок". Но это пока не подтверждено. Что касается толковых сисадминов, то уязвимости оказались подвержены системы от МС со всеми текущими апдейтами.
https://habrahabr.ru…paign=best
PS. Лично я ставлю на скоординированную целенаправленную атаку.
PPS. Украина давно добивалась и наконец добилась внимания... сил и средств ИТВ (с) Данкомм.

• +0.48 / 7

Цитата: Урфин от 27.06.2017 20:21:39Речь даже не об ОС, а о принципе организации корпоративной сети. Ну не должно быть доступа из неё в инет, если организация имеет отношение к гостайне или большим бабкам. И невозможно в Сбере на рабочем месте бухгалтерши или кредитницы "открыть интересное письмо с незнакомого адреса". А в кассах так и флешку левую засунуть не получится.

Да, и кстати, организации в России тоже пострадали от вымогателя Пети.

Цитата: Урфин от 27.06.2017 20:21:39

 

Да было-же недавно , что первая версия поразила даже МО , на видузе сидели  .....с месяц  назад .....а теперь уже развивается всё .... не удивлюсь и продолжения!  (Это значит  , что хоть ори - на UNIX  никто не хочет  переходить (я виндузятник отчасти  , привыкший , но госструктуры  ....))(Петя в попу , не о нём речь) Речь о OC с ограниченными правами  , хоть внутренняя  хоть UNIX  .... виндуза тем и отличается , что каждая собака там может полазить - и это не плохо , для общения...  Залёт будет у  Всех , что 404, что Россия. Всем достанется в итоге .

• -0.03 / 1

Цитата: С.Воронов от 27.06.2017 20:14:02Что касается толковых сисадминов, то уязвимости оказались подвержены системы от МС со всеми текущими апдейтами.
https://habrahabr.ru…paign=best

Цитата: С.Воронов от 27.06.2017 20:14:02

 

А ничего, что по ссылке об этом только предположение сделано? Если шифровщик поразил полностью пропатченную систему, то сразу возникает вопрос: каким образом? Если посредством remote code execution одного из ранее опубликованных эксплойтов или гипотетической 0-day уязвимости - это одно. А если юзер своими руками запустил малвару по любезно предоставленной ему ссылке - какие патчи от этого защитят?

• +0.29 / 7

Цитата: Андрей Иванов от 27.06.2017 21:05:14А ничего, что по ссылке об этом только предположение сделано? Если шифровщик поразил полностью пропатченную систему, то сразу возникает вопрос: каким образом? Если посредством remote code execution одного из ранее опубликованных эксплойтов или гипотетической 0-day уязвимости - это одно. А если юзер своими руками запустил малвару по любезно предоставленной ему ссылке - какие патчи от этого защитят?

Цитата: Андрей Иванов от 27.06.2017 21:05:14

 

Работал в одной из пострадавших компаний. С 99% уверенностью - обновления не помогали, как самой винды, так и антивирусного ПО.

• -0.05 / 3

Цитата: Podli от 27.06.2017 21:09:04Работал в одной из пострадавших компаний. С 99% уверенностью - обновления не помогали, как самой винды, так и антивирусного ПО.

Цитата: Podli от 27.06.2017 21:09:04

 

Не все так просто. На Хабре пишут что атаке подверглись машины полностью пропатченные и с антивирами. НО. Вот что появилось

ЦитатаUPD9:  Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Т.е. вначале взломали систему подачи отчетности. Нав Украине это программой пользовались почти все. А потом пошло все по цепочке указанной выше.

Кстати разрабы вируса уже заработали 3 биткоина

• +0.92 / 16

Цитата: Теофраст от 27.06.2017 19:12:09Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..

Цитата: Теофраст от 27.06.2017 19:12:09

 

Вирус долго расползается, в коде зашито "проснуться в час х". Таким макаром достигается больший охват - с высокой вероятностью в антивирусные лаборатории оно попадет когда будет уже поздно. В классическом варианте - его выпускают, втечение нескольких часов отрабатывает цепочка - пострадавший - спец в антивирусной компании - обновление антивируса - иммунитет.

• -0.01 / 8

Цитата: Теофраст от 27.06.2017 19:12:09Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..

Цитата: Теофраст от 27.06.2017 19:12:09

 

обычная дырка в windows.
а вот тут дело плохо - https://glav.su/foru…age4456501
это означает, что системный подход к защите объектов определенного уровня безопасности попросту сдох. Украина - непредсказуемый пинцет.

• +0.22 / 9