Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Volyniaka]

Щойно, Dima4s сказано:

у мене вся робота на робочому столі. але папка робочого столу на диску Д. Чим поганий такий варіант?

Як мінімум тому, що "Робочий стіл" це диск С.

[Dima4s]

2 хвилин тому, Volyniaka сказано:

Як мінімум тому, що "Робочий стіл" це диск С.

дивно. у мене пише інше

[jack74]

Якщо ти (чи той, хто тобі Вінду ставив) спеціально руцями не змінював, то "по замовченню" РобСтіл на диску С

[Volyniaka]

2 годин тому, Dima4s сказано:

дивно. у мене пише інше
 

То я погарячкував трохи ... Соррі. то я мав на увазі : По замовчуванню.

[jack74]

З моїх двох уражених - той, котрий з вимагачем 300$ червоними буквами - диск Д цілий і неушкоджений (з диском С ще не возився (там на РобСтолі були тимчасові файли)), а в другого, котрий взагалі не запускається з-за відсутності системного диску - лавсіді взагалі не бачить вінта, схоже змарнувало таблицю розділів. Зара лишив на сканування Р-Студіо

[laser]

Акроніс видалені розділи оживляє без проблем.

В папці віндовс тре удалити три файлика. На сімці створило нового юзера 'адміністратор' в папці юзерс з вкладеними папочками і вірусньою в середині. На хр такого не найшов.

Темпи всі почистив з ходу, планувальник і тп.

Пока розбираюсь як пофіксити мбр. Інету нема, наявних лайвсд теж не багато.

Загрузитись з вінта без мбр можна через хайренсбут 15 наприклад.

Чим пофіксити мбр? Я давно ремонтом не займався, всьо забув.

На роботі 60%-70% компів злягло. Бухгалтера 'дуже раді' =) роботи нема, параліч повний. Рішив поковиряии компи аби не знудитись

[laser]

Консоль - фіксбут і фікс мбр і загрузився

[Профессиона́л]

1 година тому, Oli сказано:

 

ніяк

на дисках D і E вся інфа збереглася - 1тб. Діск С, накривсь... на всяк випадок зробив бекап з надією на відновлення деякої інфи. Переставив вінду

[dimmon]

На роботі і на домашніх вроді все добре, Він10+Аваст. Тьфу, тьфу, тьфу. Всі дії на рахунок perfc, perfc.dat, perfc.dll зробив. Скажіть були випадки спрацювання шифрації сьогодні? Чи все відбувалось тільки 27 числа?

[Профессиона́л]

комп тупо перезагрузився. Далі типу тест системи після непередбачуваного виключення. Поки просік неладне (на інших компах така сама фігня почалась) дійшло до 78%. Перезагрузив - червоні букви з вимогою 300баксоф 

[jack74]

Microsoft теж стверджує, що першоджерелом і основними воротами був МЕДок, а далі вже "більш витончений" новий варіант "Петі" скористався дірами мережевих політик

[dimmon]

20 хвилин тому, upi сказано:

З власного досвіду. На інших локальних дисках не всі файли збережені. Візуально вони є, але шифровані. Точно можу сказати що шифрує (.CFG і .DBF)

 

Дата файлів змінена чи ні?

[n_a_p]

28 хвилин тому, upi сказано:

З власного досвіду. На інших локальних дисках не всі файли збережені. Візуально вони є, але шифровані. Точно можу сказати що шифрує (.CFG і .DBF)

eml тоже

[n_a_p]

11 хвилин тому, dimmon сказано:

 

Дата файлів змінена чи ні?

міняна дата файлу

[sanbOK]

2 минуты назад, n_a_p сказал:

міняна дата файлу

 

В мене навіть дата не змінилась останньої зміни але файл шифрований. Вінду переставив але більша частина важливої інфи була на клаудах 

[SunSeth]

 

[Volyniaka]

Смішно...Але не в МеДкові справа. Мені зається, його просто "поімєлі".

Хоча це не знімає відповідальності з їхніх адмінів, скорше навпаки.

[srs]

Є інформація, що джерело "зарази" - не тільки один МЕДок (+ PSEXEC, WMI, Samba, ...) : https://habrahabr.ru/company/panda/blog/331886/

[Volyniaka]

21 хвилин тому, srs сказано:

Є інформація, що джерело "зарази" - не тільки один МЕДок (+ PSEXEC, WMI, Samba, ...) : https://habrahabr.ru/company/panda/blog/331886/

Думаю МеДок був лише засобом (використали його бази та його ж дірки)

У мене сьогодні бухгалтери норм ввійшли в то й же "МеДок", оновили прогу і ніяких проблем.

Знов таки: тьху-тьху-тьху

ЗІ. Всі були попереджені, ніхто в пошті ніяких вкладень і посилань не відкривав.

ЗІІ. Сподіваюсь, якась "личинка" не відклалась на майбутнє. Сьогодні Антималвар (я йому найбільше довіряю) нічого не виявив

[Гість rl72]

Про Медок

Серверы обновлений M.E.Doc оказались на ФСБшном хостинге WNet, — блогер
http://politolog.net/analytics/servery-obnovlenij-m-e-doc-okazalis-na-fsbshnom-xostinge-wnet-bloger/

[santa11]

Як відновити дані  після петі. Те що знайшли на вчора-сьогодні.

Якщо стоїть Win7-Win10 і вдалось методом відновлення MBR  запуститись. Тупо через "відновити попередні версії"  папки на диску  С  повідновлювались у 100%. У випадку, якщо була включена така можливість. Якщо налаштовував то можна відновлюваит і інші диски. Користувачам і робочого столу в багатьох випадках хватало цілком. Одному в якого вінда займала весь вінт 500 гб вернули всі файли.

Win xp - як на зло не відновлюють файли. Але через fixmbr + fixboot компи запустились і на кількох навіть виявилось, що шифрування фйлів не було (повезло - логіки не знайшли)

є ПК на яких системні диски тупо пішли в RAW формат і поки запуститись не вдається- будемо думати. в кого є "творчі" ідеї вітаються. Переставляти систему то вже остання.

 

 

[Саня]

On 28.06.2017 at 00:15, Lisovic сказано:

Це насправді досить складно, DNS-захищені від несанкційованої зміни записів, тут хіба що зламати адмінку на сайті реестранта і там поміняти адресу. Але знов таки процедура зміни DNS не швидка.

http://politolog.net/analytics/servery-obnovlenij-m-e-doc-okazalis-na-fsbshnom-xostinge-wnet-bloger/

Цитувати

Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

 

[phantom]

On 6/28/2017 at 0:27 AM, youman91 said:

Грьобаний ESET NOD. Безкорисна штука. Хз за що там бабки платяться за лінцезію.

 

Цікаво чи витримали атаку компи з безкоштовним авастом ?

[jack74]

9 годин тому, laser сказано:

...Пока розбираюсь як пофіксити мбр. Інету нема, наявних лайвсд теж не багато.

Загрузитись з вінта без мбр можна через хайренсбут 15 наприклад.

Чим пофіксити мбр? ..

 

8 годин тому, laser сказано:

Консоль - фіксбут і фікс мбр і загрузився

fixmbr і fixboot - це в ХР. В 7-ки bootrec. Завтра теж буду робити, бо сьогодні руки не дійшли.

Короче в мене, схоже, все закінчилось "малой кров'ю". Р-студіо гарно відсканував вінта і відновлює файли. Файли нешифровані. Схоже, в Петі щось пішло не так і все, що він зміг нагадити - змарнував таблицю вінчестера.

[igor]

На рахунок Авасту: неділі 3 тому від одного клієнта прийшло повідомлення від Авасту типу у вас дірка у віндовс і вірус ваннакрі може пошкодити ваш компютер. Після встановлення заплаток повідомлення пропало.