Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

Щойно, Dima4s сказано:

у мене вся робота на робочому столі. але папка робочого столу на диску Д. Чим поганий такий варіант?

Як мінімум тому, що "Робочий стіл" це диск С.

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь
2 хвилин тому, Volyniaka сказано:

Як мінімум тому, що "Робочий стіл" це диск С.

дивно. у мене пише інше
CI-uCyWgREiau8yWRABP1g.jpeg

Посилання на коментар
Поділитись на інші сайти

Якщо ти (чи той, хто тобі Вінду ставив) спеціально руцями не змінював, то "по замовченню" РобСтіл на диску С

Посилання на коментар
Поділитись на інші сайти

2 годин тому, Dima4s сказано:

дивно. у мене пише інше
 

То я погарячкував трохи ... Соррі. то я мав на увазі : По замовчуванню.

Посилання на коментар
Поділитись на інші сайти

З моїх двох уражених - той, котрий з вимагачем 300$ червоними буквами - диск Д цілий і неушкоджений (з диском С ще не возився (там на РобСтолі були тимчасові файли)), а в другого, котрий взагалі не запускається з-за відсутності системного диску - лавсіді взагалі не бачить вінта, схоже змарнувало таблицю розділів. Зара лишив на сканування Р-Студіо

Посилання на коментар
Поділитись на інші сайти

Акроніс видалені розділи оживляє без проблем.

В папці віндовс тре удалити три файлика. На сімці створило нового юзера 'адміністратор' в папці юзерс з вкладеними папочками і вірусньою в середині. На хр такого не найшов.

Темпи всі почистив з ходу, планувальник і тп.

Пока розбираюсь як пофіксити мбр. Інету нема, наявних лайвсд теж не багато.

Загрузитись з вінта без мбр можна через хайренсбут 15 наприклад.

Чим пофіксити мбр? Я давно ремонтом не займався, всьо забув.

На роботі 60%-70% компів злягло. Бухгалтера 'дуже раді' =) роботи нема, параліч повний. Рішив поковиряии компи аби не знудитись

Посилання на коментар
Поділитись на інші сайти

Консоль - фіксбут і фікс мбр і загрузився

Посилання на коментар
Поділитись на інші сайти

1 година тому, Oli сказано:

 

ніяк

на дисках D і E вся інфа збереглася - 1тб. Діск С, накривсь... на всяк випадок зробив бекап з надією на відновлення деякої інфи. Переставив вінду

Посилання на коментар
Поділитись на інші сайти

На роботі і на домашніх вроді все добре, Він10+Аваст. Тьфу, тьфу, тьфу. Всі дії на рахунок perfc, perfc.dat, perfc.dll зробив. Скажіть були випадки спрацювання шифрації сьогодні? Чи все відбувалось тільки 27 числа?

Посилання на коментар
Поділитись на інші сайти

комп тупо перезагрузився. Далі типу тест системи після непередбачуваного виключення. Поки просік неладне (на інших компах така сама фігня почалась) дійшло до 78%. Перезагрузив - червоні букви з вимогою 300баксоф 

Посилання на коментар
Поділитись на інші сайти

Microsoft теж стверджує, що першоджерелом і основними воротами був МЕДок, а далі вже "більш витончений" новий варіант "Петі" скористався дірами мережевих політик

Посилання на коментар
Поділитись на інші сайти

20 хвилин тому, upi сказано:

З власного досвіду. На інших локальних дисках не всі файли збережені. Візуально вони є, але шифровані. Точно можу сказати що шифрує (.CFG і .DBF)

 

Дата файлів змінена чи ні?

Посилання на коментар
Поділитись на інші сайти

28 хвилин тому, upi сказано:

З власного досвіду. На інших локальних дисках не всі файли збережені. Візуально вони є, але шифровані. Точно можу сказати що шифрує (.CFG і .DBF)

eml тоже

Посилання на коментар
Поділитись на інші сайти

11 хвилин тому, dimmon сказано:

 

Дата файлів змінена чи ні?

міняна дата файлу

Посилання на коментар
Поділитись на інші сайти

2 минуты назад, n_a_p сказал:

міняна дата файлу

 

В мене навіть дата не змінилась останньої зміни але файл шифрований. Вінду переставив але більша частина важливої інфи була на клаудах 

Посилання на коментар
Поділитись на інші сайти

Смішно...Але не в МеДкові справа. Мені зається, його просто "поімєлі".

Хоча це не знімає відповідальності з їхніх адмінів, скорше навпаки.

Посилання на коментар
Поділитись на інші сайти

Є інформація, що джерело "зарази" - не тільки один МЕДок (+ PSEXEC, WMI, Samba, ...) : https://habrahabr.ru/company/panda/blog/331886/

Посилання на коментар
Поділитись на інші сайти

21 хвилин тому, srs сказано:

Є інформація, що джерело "зарази" - не тільки один МЕДок (+ PSEXEC, WMI, Samba, ...) : https://habrahabr.ru/company/panda/blog/331886/

Думаю МеДок був лише засобом (використали його бази та його ж дірки)

У мене сьогодні бухгалтери норм ввійшли в то й же "МеДок", оновили прогу і ніяких проблем.

Знов таки: тьху-тьху-тьху

ЗІ. Всі були попереджені, ніхто в пошті ніяких вкладень і посилань не відкривав.

ЗІІ. Сподіваюсь, якась "личинка" не відклалась на майбутнє. Сьогодні Антималвар (я йому найбільше довіряю) нічого не виявив

Посилання на коментар
Поділитись на інші сайти

Про Медок

Серверы обновлений M.E.Doc оказались на ФСБшном хостинге WNet, — блогер
http://politolog.net/analytics/servery-obnovlenij-m-e-doc-okazalis-na-fsbshnom-xostinge-wnet-bloger/

Посилання на коментар
Поділитись на інші сайти

Як відновити дані  після петі. Те що знайшли на вчора-сьогодні.

Якщо стоїть Win7-Win10 і вдалось методом відновлення MBR  запуститись. Тупо через "відновити попередні версії"  папки на диску  С  повідновлювались у 100%. У випадку, якщо була включена така можливість. Якщо налаштовував то можна відновлюваит і інші диски. Користувачам і робочого столу в багатьох випадках хватало цілком. Одному в якого вінда займала весь вінт 500 гб вернули всі файли.

Win xp - як на зло не відновлюють файли. Але через fixmbr + fixboot компи запустились і на кількох навіть виявилось, що шифрування фйлів не було (повезло - логіки не знайшли)

є ПК на яких системні диски тупо пішли в RAW формат і поки запуститись не вдається- будемо думати. в кого є "творчі" ідеї вітаються. Переставляти систему то вже остання.

 

 

Посилання на коментар
Поділитись на інші сайти

On 28.06.2017 at 00:15, Lisovic сказано:

Це насправді досить складно, DNS-захищені від несанкційованої зміни записів, тут хіба що зламати адмінку на сайті реестранта і там поміняти адресу. Але знов таки процедура зміни DNS не швидка.

http://politolog.net/analytics/servery-obnovlenij-m-e-doc-okazalis-na-fsbshnom-xostinge-wnet-bloger/

Цитувати

Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

 

Посилання на коментар
Поділитись на інші сайти

On 6/28/2017 at 0:27 AM, youman91 said:

Грьобаний ESET NOD. Безкорисна штука. Хз за що там бабки платяться за лінцезію.

 

Цікаво чи витримали атаку компи з безкоштовним авастом :) ?

Посилання на коментар
Поділитись на інші сайти

9 годин тому, laser сказано:

...Пока розбираюсь як пофіксити мбр. Інету нема, наявних лайвсд теж не багато.

Загрузитись з вінта без мбр можна через хайренсбут 15 наприклад.

Чим пофіксити мбр? ..

 

8 годин тому, laser сказано:

Консоль - фіксбут і фікс мбр і загрузився

fixmbr і fixboot - це в ХР. В 7-ки bootrec. Завтра теж буду робити, бо сьогодні руки не дійшли.

Короче в мене, схоже, все закінчилось "малой кров'ю". Р-студіо гарно відсканував вінта і відновлює файли. Файли нешифровані. Схоже, в Петі щось пішло не так і все, що він зміг нагадити - змарнував таблицю вінчестера.

Посилання на коментар
Поділитись на інші сайти

На рахунок Авасту: неділі 3 тому від одного клієнта прийшло повідомлення від Авасту типу у вас дірка у віндовс і вірус ваннакрі може пошкодити ваш компютер. Після встановлення заплаток повідомлення пропало.

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



Hosting Ukraine
AliExpress WW


×
×
  • Створити...