Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

7 хвилин тому, SΩLΩMΩN сказано:

 

в нас на 1 фірму зайняло 1 годину.

скільки тисяч документів для податкової вона відправляє на місяць?

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь
Щойно, case_l сказано:

скільки тисяч документів для податкової вона відправляє на місяць?

 а  скільки ваша?

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, SΩLΩMΩN сказано:

 а  скільки ваша?

10к

Посилання на коментар
Поділитись на інші сайти

Щойно, case_l сказано:

10к

і що ви хочете цим сказати?

Посилання на коментар
Поділитись на інші сайти

Щойно, SΩLΩMΩN сказано:

і що ви хочете цим сказати?

 

3 хвилин тому, case_l сказано:

скільки тисяч документів для податкової вона відправляє на місяць?

 

Посилання на коментар
Поділитись на інші сайти

@SΩLΩMΩN яка кількість документів?

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, case_l сказано:

@SΩLΩMΩN яка кількість документів?

 

напишу в кінці місяця.

Посилання на коментар
Поділитись на інші сайти

Щойно, SΩLΩMΩN сказано:

 

напишу в кінці місяця.

За минулий місяць? За позаминулий ? Приблизно яка кількість?

Посилання на коментар
Поділитись на інші сайти

2 хвилин тому, case_l сказано:

За минулий місяць? За позаминулий ? Приблизно яка кількість?

 

не набагато меньша ніж у вас.

Посилання на коментар
Поділитись на інші сайти

1 час назад, SΩLΩMΩN сказал:

 

Щось після травневої атаки чере Медок вірусу Xdata наступні його оновлення не допомогли. Файли розшифруванню не підлягають, навіть якщо медок випустить оновлення, яке забере 1 з його бекдорів.

так Xdata розшифровується .. Нод зробив утилітку яка відновила дані, що постраждали від "першої" атаки ...ми в себе відновили такі зашифровані файли ...

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, dj_design сказано:

так Xdata розшифровується .. Нод зробив утилітку яка відновила дані, що постраждали від "першої" атаки ...ми в себе відновили такі зашифровані файли ...

 

я так зрозумів, що Xdata  який поиширили з допомогою Медка була лише проба пера. А потім вони влупили петю, массово. 

Посилання на коментар
Поділитись на інші сайти

2 часа назад, Zheny@ сказал:

Я поставив новий медок 10,01,188. Відкотився в базі з 189 на 188 (скриптом, яким вони ж самі й надали) і бух-и юзають медок далі.

Тепер на черзі оновлення (уже к-поліція його перевіряє).

Жень, можна скрипт в приват .. або ссилку .. хоча в мене ніби на 189 працює, але ризикувати не буду ... 

Посилання на коментар
Поділитись на інші сайти

32 хвилин тому, dj_design сказано:

Жень, можна скрипт в приват .. або ссилку .. хоча в мене ніби на 189 працює, але ризикувати не буду ... 

 

Тут інструкція, але навіть сам автор інструкції пише, що не радить поки що використовувати МЕдок.

 

Цитувати

!!!ВАЖНО!!! На данный момент (08.07.2017 14:39) Я НЕ РЕКОМЕНДУЮ ПОЛЬЗОВАТЬСЯ МЕДКОМ И ПЫТАТЬСЯ ЕГО ВОССТАНАВЛИВАТЬ ДО 188 ВЕРСИИ. Сейчас все больше антивирусов определяют файл "ZvitPublishedObjects.dll" медка версии 188 как ЗАВИРУСОВАННЫЙ! Инструкцию оставляю только для истории. Пока ситуация не прояснится - скопируйте резервные копии медка и саму базу на флешку и отключите ее от компьютера! Сам медок рекомендую удалить до прояснения ситуации.

 

Що я власне і зробив.

Посилання на коментар
Поділитись на інші сайти

36 хвилин тому, dj_design сказано:

хоча в мене ніби на 189 працює, але ризикувати не буду ... 

в мене також працювало, але "Софтверна" (купили у неї медок) наполягла на перевстановленні. Бо ця "нова" 188, уже типу без "дір".

37 хвилин тому, dj_design сказано:

можна скрипт в приват

ок.

 

Посилання на коментар
Поділитись на інші сайти

3 хвилин тому, SΩLΩMΩN сказано:

Тут інструкція, але навіть сам автор

Цитувати

Лайкаем чтобы все увидели.

далі навіть читати не став.

 

Посилання на коментар
Поділитись на інші сайти

З Інструкції:

 

Цитувати

1) Установите медок 188 версии в ДРУГУЮ папку, не удаляя испорченный медок (например в папку c:\ProgramData\Medoc\Medoc-NEW\)

Справа в тому, що він сам встановиться ЗОВСІМ в Іншу папку. Тому як зватиметься - medoc3.

перед тим рекомендують вимкнути службу zvitgrp.

 

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, Zheny@ сказано:

далі навіть читати не став.

 

 

2 хвилин тому, Zheny@ сказано:

З Інструкції:

 

Справа в тому, що він сам встановиться ЗОВСІМ в Іншу папку. Тому як зватиметься - medoc3.

перед тим рекомендують вимкнути службу zvitgrp.

 

 

таки прочитав?

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, SΩLΩMΩN сказано:

таки прочитав?

Кинулося в очі.

Я не читав.

Посилання на коментар
Поділитись на інші сайти


Я правильно розумію, що спочатку (ще 15.05.2017) було оновлення «M.E.Doc» з бекдором, через який збиралась купа інформації, зокрема коди ЄДРПОУ. Подальші дії були спрямовані на те, щоб приховати сліди втручання. Оці так званні Petya та похідні були лише прикриттям та спробою знищити сліди. WannaCry - лише проба пера.

Вважаю, що необхідно терміново вжити заходів, щоб зібрана інформація стала неактуальною. Змінити тисячі кодів реєстру, який існує майже 15 років, непросто, але треба вживати заходів. Поки інформація актуальна - ворог має важелі впливу.

Посилання на коментар
Поділитись на інші сайти

А хіба той єдрпоу не є піблічним і відкритим?

Посилання на коментар
Поділитись на інші сайти

15 хвилин тому, laser сказано:

А хіба той єдрпоу не є піблічним і відкритим?

 

Каждая зарегистрированная организация в Украине имеет уникальный код ЄДРПОУ. И, как подчеркивают эксперты ESET, это очень важно, так как используя ЄДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЄДРПОУ на этой машине для отправки их злоумышленникам.

Кроме ЄДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Посилання на коментар
Поділитись на інші сайти

Я цей текст від есет читав ще тиждень тому.

Я задав питання про код. В інеті є реєстр з безплатним відкритим доступом до нього. Також нерідко цей код можна побачити елементарно загугливши якусь організацію.

То в чому таємниця власне?

Посилання на коментар
Поділитись на інші сайти

таємниця не в коді, а в інших даних, які передавались разом з кодом. Збір кодів ЄДРПОУ свідчить про те, що метою хакерів була Україна.

Посилання на коментар
Поділитись на інші сайти

Ну то може варто змінити логіни і паролі а не коди, як пише саня.

Хоча загалом хід думок вірний.

У них велика таблиця де в рядку на кожну юр особу йдуть код, ір, мило, паролі... треба ''розбивати'' цю таблицю якомога швидше

Посилання на коментар
Поділитись на інші сайти

Так ІР і мило організацій і так взнати можна при бажанні. Моя думка що ЄДРПОУ  використовувався для індетифікації всередині, щоб розуміти куди попали, і відповідно від цього які дії виконувати далі. З цього всього саме небезпечне це збір паролів адміністратора, і встановлення це десь бекдора, ну і ще паролів користувачів якщо є ексченж який торчить назовні, тоді зможуть отримати доступ до почти і розсилати спам.

Ну і в потрібних організаціях могли позливати конфіденційну інформацію, але знов таки тут не все так просто.

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.




×
×
  • Створити...