Zheny@ Опубліковано 3 Березня, 2017 в 07:12 #26 Опубліковано 3 Березня, 2017 в 07:12 1 година тому, Соромітник сказано: Німа в мене такої фігні на пошті хоча в привата мій мейл давним давно, так що наврядчи розсилка має якесь відношення до бази приватбанку. список кількамільйонний, до тебе просто черга не дійшла
santa11 Опубліковано 3 Березня, 2017 в 07:21 #27 Опубліковано 3 Березня, 2017 в 07:21 Вже стикався з цим. Логіка така. Шифрує файли офісу, фото, музику, відео. найбільш небезпечно тому, що лізе на мережеві диски і починає шифрувати там. Причому починає з папок які знаходяться знизу списку. І без бекапів тоді не обійтися. Розшифрувати нажаль не вдається. Пк з якого вірус вліз тупо під форматування. до привата і його розсилок відношення нема - по моїх підрахунках.
Соромітник Опубліковано 3 Березня, 2017 в 09:45 #28 Опубліковано 3 Березня, 2017 в 09:45 2 hours ago, Zheny@ said: список кількамільйонний, до тебе просто черга не дійшла те що листи розсилають на тему привата не означає що список клієнтів має відношення до привата... взагалі ніяк не зв’язано це з таким же успіхом може бути база вк, однокласників, mail.ru чи будь-якої іншої хєрні, на яку такі ласі українці
Zheny@ Опубліковано 3 Березня, 2017 в 10:07 #29 Опубліковано 3 Березня, 2017 в 10:07 20 хвилин тому, Соромітник сказано: це з таким же успіхом може бути база вк, однокласників, mail.ru чи будь-якої іншої хєрн маю 2 ящика на мейл ру. Прийшло на один. Який доречі @mail.ua
Lisovic Опубліковано 3 Березня, 2017 в 10:41 #30 Опубліковано 3 Березня, 2017 в 10:41 @Соромітник в нас поприходило на корпоративну пошту лише бугалтерам які з приватом працюють, і то не всім. На службові ящики які використовуються для збору рахунків і різних повідомлень і які зазвичай всюди вказєм, нічого такого не прийшло.
Oli Опубліковано 3 Березня, 2017 в 11:25 #31 Опубліковано 3 Березня, 2017 в 11:25 @Lisovic вже якась **ка продала базу
Zheny@ Опубліковано 3 Березня, 2017 в 11:27 #32 Опубліковано 3 Березня, 2017 в 11:27 1 хвилина тому, Oli сказано: вже якась **ка продала базу Я вже це сказав в 4-му пості І та *ка не одна/
Oli Опубліковано 3 Березня, 2017 в 11:27 #33 Опубліковано 3 Березня, 2017 в 11:27 1 година тому, Zheny@ сказано: @mail.ua може спецом вибирали такий домен щоб на москалів не витрачатись...
Dieselsmart Опубліковано 3 Березня, 2017 в 12:54 #34 Опубліковано 3 Березня, 2017 в 12:54 2 часа назад, Zheny@ сказал: Прийшло на один. Який доречі @mail.ua А це хіба не дочка того ж кацапського майлсру? тіпа маскіровка як заправки амік. чи я помиляюсь?
Oli Опубліковано 3 Березня, 2017 в 13:06 #35 Опубліковано 3 Березня, 2017 в 13:06 11 хвилин тому, Dieselsmart сказано: А це хіба не дочка того ж кацапського майлсру? тіпа маскіровка як заправки амік. чи я помиляюсь?
Zheny@ Опубліковано 3 Березня, 2017 в 13:54 #36 Опубліковано 3 Березня, 2017 в 13:54 59 хвилин тому, Dieselsmart сказано: А це хіба не дочка того ж кацапського майлсру? був гарний поштовик, mail.ua і раптом БАЦ!!! кУПИли його моцкалі.
fenmix Опубліковано 4 Березня, 2017 в 14:17 #37 Опубліковано 4 Березня, 2017 в 14:17 В 03.03.2017 at 15:54, Zheny@ сказал: був гарний поштовик, mail.ua і раптом БАЦ!!! кУПИли його моцкалі. Так з того часу я й перестав ним користуватись і остаточно перейшов на гугл. + мені такі листи на гугл не приходили, хоча теж користуюсь ПБ. Стосовно більшості атак на клієнтів банків, судячи по статтям на тему кібербезпеки з хабру + з горе-досвіду моїх знайомих, скажу, що це все через відсутність елементарних знань комп'ютерної безпеки. Як раз комусь ідея для стартапу - замутити команду, яка буде пропонувати підприємствам за невелику плату проводити тренінги співробітникам по кібербезпеці. Бо такі трабли краще попереджувати, ніж розгрібати, особливо з шифрувальниками. При хорошій ІТ-освіті і дотриманні певних правил, через порушення яких буде дрючити адмін з начальством (відкриття тих самих вкладень з листів) навіть передплата на антивіруси не знадобиться, які лише створюють ілюзію безпеки для директорів таких підприємств.
Lisovic Опубліковано 15 Березня, 2017 в 09:39 #38 Опубліковано 15 Березня, 2017 в 09:39 Ну що продовжуем, на цей раз від імені ДФС, Скрін прислали колеги
Zevs_Isver Опубліковано 15 Березня, 2017 в 10:11 #39 Опубліковано 15 Березня, 2017 в 10:11 нормально.... скоро від кіберполіції листи шифрувальщики будуть приходити
romanc Опубліковано 15 Березня, 2017 в 11:05 #40 Опубліковано 15 Березня, 2017 в 11:05 Ну если базы сам Приват покупает, почему нельзя покупать базу Привата? Недавно звонят, предлагают счет у них открыть, а перед этим я оставил координаты в госструктуре.
Zheny@ Опубліковано 15 Березня, 2017 в 17:12 #41 Опубліковано 15 Березня, 2017 в 17:12 7 годин тому, Lisovic сказано: Ну що продовжуем, на цей раз від імені ДФС, Якби не палівний джозеф.. Ссилка реальна ,але не робоча. Хіба може хакнули сайт і запхали вірусню!
Lisovic Опубліковано 15 Березня, 2017 в 19:57 #42 Опубліковано 15 Березня, 2017 в 19:57 @Zheny@ ну тут нічого сказати не можу, прислали знайомі лише скрін, самого листа я не бачив, з їх слів в них таки зловили заразу, значить ссилка таки була робоча. Там могла бути замаскована ссилка, в імені одне, а в самому посиланні зовсім інше, мені це відразу спало на думку.
Zheny@ Опубліковано 15 Березня, 2017 в 21:22 #43 Опубліковано 15 Березня, 2017 в 21:22 1 година тому, Lisovic сказано: Там могла бути замаскована ссилка, в імені одне, а в самому посиланні зовсім інше, мені це відразу спало на думку. Згоден. розумно. Назва посилання у вигляді посилання.
AgentSmith13 Опубліковано 16 Березня, 2017 в 13:18 #44 Опубліковано 16 Березня, 2017 в 13:18 Там так і є, своїм юзерам вчора провів інструктаж з показом крупним планом проектором на всю стіну, чого відкривати не треба, думаю, допоможе. А так, єдиний спосіб боротьби - встановити асоціацію файлів .js i .jse з Блокнотом якимось + заборонити їх відкриття прямо з Вінрара без розпаковки - її мало хто робити стане. Ех, неправильну стратегію вибрав "пошифрун", треба було тему листа писати "довідка для декларації", і по всім держустановам. Доречі, поштовиком фіг заблокуєш - бо йде завжди з різних доменів, в тому числі і з реальних доменів українських фірм, навіть з rdc.sw.energy.gov.ua (Укренерго) і vobu.com.ua (газета "Все про бухгалтерський облік"). Виглядає так, ніби для тої атаки купу серверів ламанули.
Zheny@ Опубліковано 16 Березня, 2017 в 14:38 #45 Опубліковано 16 Березня, 2017 в 14:38 1 година тому, AgentSmith13 сказано: в тому числі і з реальних доменів українських фірм, Звідти не йде Що забороняє зробити так: http://vobu.com.ua
Lisovic Опубліковано 16 Березня, 2017 в 14:40 #46 Опубліковано 16 Березня, 2017 в 14:40 1 година тому, AgentSmith13 сказано: Там так і є, своїм юзерам вчора провів інструктаж з показом крупним планом проектором на всю стіну, чого відкривати не треба, думаю, допоможе. Не допоможе, те що ти їм розказуєш для більшості ніфіга незрозуміло. 1 година тому, AgentSmith13 сказано: А так, єдиний спосіб боротьби - встановити асоціацію файлів .js i .jse Нє, є значно більш потужний інструмент, AppLocker називається, грамотна настройка цієї штуки може взагалі зменшити ризик шото підцепити до мінімума. включаючи різні яндекс-бари. Правда працює лише починаючи з Windows 7/2008r2 п.с. взагалі джава скрипт це тільки загрузчик, який впринципі може бути і іншим, він в свою чергу скачує вже програму яка вже і робить все інше.
AgentSmith13 Опубліковано 16 Березня, 2017 в 15:32 #47 Опубліковано 16 Березня, 2017 в 15:32 55 минут назад, Zheny@ сказал: Звідти не йде Що забороняє зробити так: http://vobu.com.ua Лист сам якраз прийшов з "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, "Державна фіскальна служба України" <[email protected]>, а от посилання в ньому - таки фейкове https://sfs.gov.ua/downloads/2017-03/5521sZ98xd.html?tm=277201 Реальна адреса - http://innproject.it/OpenFMS/of-archive/0300/media/20140423/documents.zip 53 минуты назад, Lisovic сказал: Не допоможе, те що ти їм розказуєш для більшості ніфіга незрозуміло. Нє, є значно більш потужний інструмент, AppLocker називається, грамотна настройка цієї штуки може взагалі зменшити ризик шото підцепити до мінімума. включаючи різні яндекс-бари. Правда працює лише починаючи з Windows 7/2008r2 В вимогах при прийомі на держслужбу (будь-яку посаду) була чітка вимога - впевнений користувач ПК (відрізнити значок офісного документа чи ПДФ від джаваскрипта - реально, особливо побачивши ту скотину на весь великий екран, і почувши про наслідки, люлєй отримати за САМОСТІЙНЕ, своїми ж руками знищення інфи, аж до офіційних "дисциплінарних" паперів - теж - сам скачав, сам запустив...). Доречі, не відкрив тої ахінеї в мене ніхто - вчасно попередили + люди були в курсі ще про "Приватбанк" і до нього. Ще до "лекції" самі дзвонили і питали про "лист з податкової" - вчений юзер знає, що краще перебдіти ). Апплокер то, звичайно, добре, але є купа машин з ХР (як через старувату машину, так і через старе ПЗ). От через те і доводиться робити асоціації і т.д. - грошей на нові компи "нема і не буде"... Були б гроші на норм сервери під домен і бекапи - було б легше. Ще на поштовику можна накрутити не пропускати джаваскрипти в архіві - postfix + amavisd-new вміють так (блочити домени - по барабану, воно звідки хочеш йде, в.т.ч. [email protected].gov.ua, хоча з .ru в мене листи не приходять - прибито наглухо).
Lisovic Опубліковано 16 Березня, 2017 в 15:43 #48 Опубліковано 16 Березня, 2017 в 15:43 @AgentSmith13 до дупи то все, сьогодні ти їм показав джаваскрипт, а завтра прилетить екзешник в архіві зі значком ворда, і хтось його обов'язково та запустить. В XP є "Политики ограниченного использования программ" А на рахунок адрес відправників, там скоріш за все юзають smtp spoofing. Я тільки вчора над цим задумувався, чого вони його не використовують, а виявляється таки використовують.
vampirich Опубліковано 16 Березня, 2017 в 15:47 #49 Опубліковано 16 Березня, 2017 в 15:47 11 хвилин тому, AgentSmith13 сказано: Лист сам якраз прийшов з "Державна фіскальна служба України" <[email protected]>,... дайте мені вашу електронку, я на неї відправлю лист з [email protected] (образно) якщо ваш поштовик не перевіряє spf(або spf домену, під який косить розсилка криво прописаний) то він прийме лист з любою видуманою адресою
AgentSmith13 Опубліковано 16 Березня, 2017 в 21:25 #50 Опубліковано 16 Березня, 2017 в 21:25 По наявній в мене інфі, поштовики фірм і установ таки ламануті, створено "ліві" поштові акаунти, і побомбили, доречі, всього 1 день. Сьогодні навіть натяку на такі листи не було. І дуже багато хто і не помітив появи того акаунта в себе. Отже, чекаєм листа від СБУ, НАБУ і т.д.... Далі буде...
Рекомендовані повідомлення
Заархівовано
Ця тема знаходиться в архіві та закрита для подальших відповідей.