VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
в сети паника от модификации ранее появившегося вируса ванакрай
Quote:
Originally Posted by habrahabr.ru
Украина подверглась самой крупной в истории кибератаки вирусом Petya
Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.
Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5).
Ага, еще некоторые умники пытались Приват потопить. Не удалось, пресс-служба быстрее работает
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 7723
0
судя по постам на хабре, у привата в офисах линукс, но вот в терминалах все же винда
что там слышно?
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3981
Репутация в разделе: 680
1
Quote:
Originally Posted by kerk
судя по постам на хабре, у привата в офисах линукс, но вот в терминалах все же винда
что там слышно?
На банкоматах точно винда.
В общем, в кратких итогах. Сугубо имхо.
1. Судя по всему, источник распространения M.E.doc, это местная софтина для сдачи отчетности, стоит практически у каждого с укр буха. Судя по ахам-вздохам, сам червь прилетел еще давно, может пару месяцев жил молча в системе. Это дало время на распространение малвари, откуда и масштабы. В час Х червю отдается команда на активацию, например с последним обновлением медока. Параллельно идет спам на email и другие источники распространения.
2. Время атаки выбрано идеально с точки зрения социальной инженерии. Предпраздничный день, 11 утра Не 9 утра, когда не все еще пришли на работу; не 3 дня, когда не все еще на работе; на кануне обеденного перерыва - достаточное время на шифрование раздела диска (это далеко не молниеносная операция)
3. Вектор атаки - бухгалтерия. Это ядро любого предприятия, от большого до мелкого ЧП. На предприятиях бухгалтерия сидит вся в одной сети с работающей SMB. Дальше червь моментально распространяется по локальной сети плюс вторичные пути распостранения
4. Локация - Украина. Тут однозначно и способ заражения и другие признаки. Заражение в других странах - вероятно это следствие волны спама с п1, рассылка по базе контрагентов украинских предприятий. На это указывает и характер заражения - нет массовости, ограничение сетью предприятий.
5. 0-day. Неоднозначно. С одной стороны есть случаи заражения систем со всеми заплатками. С другой стороны, заражение могло быть ранее, а сейчас наступил момент активации. В этом случае, установленные заплатки бесполезны, червь уже внутри системы и благополучно выжил до часа Х. У меня нет информации, может ли червь успешно атаковать свежеустановленную и обновленную заведомо чистую систему. Если сможет - тогда 0-day.
6. Продолжительность атаки. Ну, не более нескольких дней, дальше все пошло на убыль. Особенно учитывая шумиху и выходной день, который даст возможность it-шникам приступать к чистке.
7. Последствия. Это феерично. Я не могу определить процент информации, которая будет (точнее уже) безвозвратно утеряна, но если не будет дешифровщика, то это будет двухзначное число в общем и единицы процентов (в случае наличия дешифровщика) чувствительной информации. Это довольно больно.
Банкоматы и терминалы привата работали в штатном режиме. Лично использовал.
В офисе у них линукс - это да
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3981
Репутация в разделе: 680
0
Обновление с хабра
Quote:
Дополнение к моим сообщениям выше:
1) Развернул резервные копии на утро 27 июня, в них нет трояна, подозрение на заранее установленный зловред и часовую бомбу снимается.
2) На одном из серверов не зашифровался диск D (при этом везде C зашифрован и у него «неизвестная ФС»), однако большинство самих файлов зашифрованы без смены имён. Это видно по дате и при сравнении с файлами в бекапе.
3) На одном из серверов Медка не было вообще, при этом стояли последние обновления и были урезаны права пользователям. Так что оно распространяется не только Медком, предположение о 0-day остаётся в силе, хотя публичного подтверждения ещё нет.
4) На другой организации из всей локальной сети пострадал один рядовой компьютер и там был Медок.
Вот как-то так.
Smalesh добавил 28.06.2017 в 01:18
Quote:
Originally Posted by Sven
Банкоматы и терминалы привата работали в штатном режиме. Лично использовал.
Насколько я знаю, терминалы у них ложились. Не знаю причины.
Last edited by Smalesh : 06-28-2017 at 02:18 AM.
Reason: Добавлено сообщение
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 7723
0
ммм...
значит все таки IT-шники в компаниях мышей не ловят?
если зловред окопался в системе ранее и только ждал команды на исполнение
kerk
k0t
Join Date: May 2005
Location: localhost
Posts: 28,711
Версия vB: 3.8.x
Пол:
Reputation:
Гуру 20257
Репутация в разделе: 7723
0
а, и еще...
korrespondent.net не открывается
из одного из постов с ГА
Quote:
Ага, весь день висит. У них сайт работал (кхе-кхе-кхе) под Виндовсом Да,да,да , вы не ослышались веб-сервер на Винвовсе!
Smalesh
В Черном списке
Join Date: Oct 2006
Награды в конкурсах:
Posts: 3,055
Версия vB: 3.8.7
Пол:
Reputation:
Мастер 3981
Репутация в разделе: 680
0
Quote:
Originally Posted by kerk
значит все таки IT-шники в компаниях мышей не ловят?
Ну почему же. Были примеры путешествий малварей в софте, например QIP и AIMP жили с чем-то простеньким, и что было обнаружено в принципе случайно. Вопрос в другом - в реакции на угрозу и ее ликвидация, раз уж она проникла за барьер.
Quote:
Originally Posted by Smalesh
4. Локация - Украина. Тут однозначно и способ заражения и другие признаки. Заражение в других странах - вероятно это следствие волны спама с п1, рассылка по базе контрагентов украинских предприятий. На это указывает и характер заражения - нет массовости, ограничение сетью предприятий.
Все пропало, шеф!
