Кибервойны - мифы и реальность
31,126 51
 

  Теофраст ( Слушатель )
27 июн 2017 19:12:09

Вирус

новая дискуссия Дискуссия  344

Все таки для меня как человека связанного с компьютерами на данный момент непонятно следующее. Как это одновременно с разницей пусть час-два атаковать такое большое количество компьютеров. Ладно атаковать, а вот так успешно атаковать. Подозреваю, что все данные компьютеры чем то связаны между собой или на Украине не осталось толковых сисадминов, которые могут дать по лапкам юзерам за использование компьютеров на работе не по назначению..  
Отредактировано: Теофраст - 27 июн 2017 19:13:02
  • +0.73 / 14
  • АУ
ОТВЕТЫ (10)
 
 
  С.Воронов ( Слушатель )
27 июн 2017 20:14:02

Скорее всего тайм-бомба. Хотя, по некоторым сообщениям, инфицирование произошло сразу после обновления программы для сдачи отчетности - M.Е.Doc, в просторечии "медок". Но это пока не подтверждено. Что касается толковых сисадминов, то уязвимости оказались подвержены системы от МС со всеми текущими апдейтами.
https://habrahabr.ru…paign=best
PS. Лично я ставлю на скоординированную целенаправленную атаку.
PPS. Украина давно добивалась и наконец добилась внимания... сил и средств ИТВ (с) Данкомм.
  • +0.48 / 7
  • АУ
 
 
  Урфин ( Слушатель )
27 июн 2017 20:21:39
Сообщение удалено
Урфин
27 июн 2017 21:31:08
Отредактировано: Урфин - 27 июн 2017 21:31:08

  • +0.08
 
 
 
  Удаленный пользователь
27 июн 2017 20:44:08

Да было-же недавно , что первая версия поразила даже МО , на видузе сидели  .....с месяц  назад .....а теперь уже развивается всё .... не удивлюсь и продолжения!  (Это значит  , что хоть ори - на UNIX  никто не хочет  переходить (я виндузятник отчасти  , привыкший , но госструктуры  ....))(Петя в попу , не о нём речь) Речь о OC с ограниченными правами  , хоть внутренняя  хоть UNIX  .... виндуза тем и отличается , что каждая собака там может полазить - и это не плохо , для общения...  Залёт будет у  Всех , что 404, что Россия. Всем достанется в итоге .
  • -0.03 / 1
  • АУ
 
 
 
  С.Воронов ( Слушатель )
27 июн 2017 20:53:59
Сообщение удалено

27 июн 2017 22:01:06

  • +0.00
 
 
  Андрей Иванов ( Слушатель )
27 июн 2017 21:05:14

А ничего, что по ссылке об этом только предположение сделано? Если шифровщик поразил полностью пропатченную систему, то сразу возникает вопрос: каким образом? Если посредством remote code execution одного из ранее опубликованных эксплойтов или гипотетической 0-day уязвимости - это одно. А если юзер своими руками запустил малвару по любезно предоставленной ему ссылке - какие патчи от этого защитят?
  • +0.29 / 7
  • АУ
 
 
 
  Podli ( Слушатель )
27 июн 2017 21:09:04

Работал в одной из пострадавших компаний. С 99% уверенностью - обновления не помогали, как самой винды, так и антивирусного ПО.
  • -0.05 / 3
  • АУ
 
 
 
 
  Теофраст ( Слушатель )
27 июн 2017 21:15:04


Не все так просто. На Хабре пишут что атаке подверглись машины полностью пропатченные и с антивирами. НО. Вот что появилось

ЦитатаUPD9:  Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.


Т.е. вначале взломали систему подачи отчетности. Нав Украине это программой пользовались почти все. А потом пошло все по цепочке указанной выше.

Кстати разрабы вируса уже заработали 3 биткоина
  • +0.92 / 16
  • АУ
 
 
 
 
 
  svlg ( Слушатель )
28 июн 2017 02:57:25
Сообщение удалено

28 июн 2017 07:01:06

  • +0.00
 
  Podli ( Слушатель )
27 июн 2017 20:49:11

Вирус долго расползается, в коде зашито "проснуться в час х". Таким макаром достигается больший охват - с высокой вероятностью в антивирусные лаборатории оно попадет когда будет уже поздно. В классическом варианте - его выпускают, втечение нескольких часов отрабатывает цепочка - пострадавший - спец в антивирусной компании - обновление антивируса - иммунитет.
  • -0.01 / 8
  • АУ
 
  bormann ( Слушатель )
28 июн 2017 01:13:02

обычная дырка в windows.
а вот тут дело плохо - https://glav.su/foru…age4456501
это означает, что системный подход к защите объектов определенного уровня безопасности попросту сдох. Украина - непредсказуемый пинцет.
  • +0.22 / 9
  • АУ