Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Zheny@]

9 хвилин тому, Lisovic сказано:

, то лінукси в багатьох компаніях напряму торчать в інтернет.

тому й сказав про ддос атаку.

[dj_design]

Хтось пробував ставити оновлення 190 на Медок ?

https://www.medoc.ua/uk/news/shanovn-klnti-vijshlo-onovlennja-1001190

[Zheny@]

12 хвилин тому, dj_design сказано:

Хтось пробував ставити оновлення 190 на Медок ?

ще не встиг.

Завтра буду.

[Zevs_Isver]

ставлю віртуалочку нову для цього

 

а мережеву версію вони вже "повернули" чи і не забирали навіть?

[dj_design]

13 минуты назад, Zheny@ сказал:

ще не встиг.

Завтра буду.

я поки не знаю .. мене скріни добили .. я таких сам можу з десяток зробити .. а де хеш суми сканованих файлів ? а де висновки антивірусної фірми ? а де висновок кібер поліції ? ... подивився і дуже багато стало "а де ... ?"

[dj_design]

2 минуты назад, Zevs_Isver сказал:

ставлю віртуалочку нову для цього

 

а мережеву версію вони вже "повернули" чи і не забирали навіть?

інстал один .. там вибираєш яка версія ... локальна чи мережева ... в цьому вини нічого не міняли .. ніби тільки автооновлення не робить, але скоріш тому що сервера не підняли ...

[Єретик]

2 годин тому, Zevs_Isver сказано:

ставлю віртуалочку нову для цього

 

чим віруталізуєте?

[Zheny@]

19 хвилин тому, SΩLΩMΩN сказано:

чим віруталізуєте?

можу помилятися, але швидше за все VMWare (vsphere)

можна спробувати запихнути у якийсь Hyper-V.

 

[Єретик]

хотілось би знати напевне, може колега підкаже. Переводжу сервера з Hyper-V на VMware. Цікавить нічна автоматизація бекапу гостьових OS.

[dj_design]

8 часов назад, SΩLΩMΩN сказал:

хотілось би знати напевне, може колега підкаже. Переводжу сервера з Hyper-V на VMware. Цікавить нічна автоматизація бекапу гостьових OS.

під Hyper-V використовую сторонній софт - Iperius Server ... бекапить віртуалки в запущеному стані ... https://www.iperiusbackup.com/

[vampirich]

9 годин тому, SΩLΩMΩN сказано:

хотілось би знати напевне, може колега підкаже. Переводжу сервера з Hyper-V на VMware. Цікавить нічна автоматизація бекапу гостьових OS.

особисто я використовую Veeam 

вміє бекапити віртуалки  vsphere і Hyper-V

з фішок - з бекапів можна витягнути конкретний файл чи папку за якийсь день

бекап робиться як інкрементний так і обернено інкрементний (остання копія завжди сама повна, відповідно бекап розгорнеться швидше)

є планувальник перевірки якості зроблених бекапів

є failover plan для того, щоб копія ВМ автоматично піднялася на резервному хості, коли основний вмер

http://www.backupsolution.ru/compare-backup-software/

непогана табличка по рішеннях

[Єретик]

7 хвилин тому, vampirich сказано:

особисто я використовую Veeam 

 

 

Використовуєте безкоштовну версію? Функціонолу безкоштовної версії вистачає?

[vampirich]

мені - вистачає.

в мене не дуже складна структура серверів + різноcторонні бекапи

тому veeam тримаю для випадку коли "а якщо я отак?" з серверами, і щоб можна було вернутися до попереднього стану (снапшоти не сильно хороше рішення) + якщо сама ось глюкне, щоб швидко можна було відновити дієздатність + щоб бекапи були максимально рознесені

повну версію тестив, багато цікавих плюшок... але особисто мені - не сильно актуально

[robot]

А от я хотів просто сказати, що потрібно приділяти більшу увагу безпеці. Не потрібно економити гроші на цьому, тому що, як ми бачимо, втрачається більше. Які збитки понесли компанії..

[Litovets]

1 минуту назад, robot сказал:

А от я хотів просто сказати, що потрібно приділяти більшу увагу безпеці. Не потрібно економити гроші на цьому, тому що, як ми бачимо, втрачається більше. Які збитки понесли компанії..

Мсьє - кеп?

[robot]

5 минут назад, Litovets сказал:

Мсьє - кеп?

можливо і так)

[jack74]

В нас на фірмі всі компи з "10-ками" (свіжими, ліцензованими) вистояли. Деякі й "7-ки" не пошкодились (на одній вцілілій "7-ці" навіть файлик perfc.doc вже сидів, розміром десь 300 -з чимось кілобайт, але ніяких ушкоджень на зробило...), але "10-ки" ні одна не постраждала.

 

On 13.07.2017 at 19:47, dj_design сказано:

Хтось пробував ставити оновлення 190 на Медок ?

тут якраз в тему про Медок:

Кіберполіція закликає в жодному разі не дотримуватися порад розробника "M.E.Doc"

текст  

Кіберполіція: якісне програмне забезпечення є ключовою складовою кібербезпеки

15.07.2017 | 16:01

 

Погоджуючись на використання програмного забезпечення, яке потребує адміністративних повноважень та включення до «білих списків» систем захисту, користувачі ставлять під загрозу не лише свій комп’ютер, а й комп’ютерну мережу підприємства, установи чи організації, у тому числі об’єктів критичної інфраструктури.

    У зв’язку з нещодавніми подіями, пов’язаними з масовим ураженням комп’ютерної техніки вірусом Petya (Diskcoder.C), що сталися через вразливості програмного забезпечення «M.E.Doc», до Департаменту кіберполіції почали звертатися представники державних та приватних компаній для отримання консультацій щодо блокування антивірусними системами під час оновлення програмного забезпечення, яке використовується для подання бухгалтерської звітності до ДФС.

    При цьому розробники такого ПЗ запевнюють у повній безпечності свого продукту, пояснюють цей факт його особливостями, а для повноцінного функціонування ще й рекомендують запускати лише від імені адміністратора системи та вносити його до «списку виключень» (також відомого як «білий список», «список довірених програм» тощо) антивірусних програм, що дозволить системі безпеки комп’ютера ігнорувати окремі дії згаданого програмного забезпечення.

    Крім того, кіберполіцією зафіксовано факти поширення у мережі Інтернет рекомендацій про налаштування антивірусів та фаєрволів, які примушують системи захисту комп’ютера користувача ігнорувати будь-яку підозрілу активність чи код у вітчизняному бухгалтерському програмному забезпеченні. Такі рекомендації поширюються деякими партнерами компаній-розробників бухгалтерського ПЗ, а також безпосередньо компаніями-розробниками через технічну підтримку.

    Спеціалісти з інформаційної безпеки Департаменту кіберполіції попереджають, що у разі виконання цих рекомендацій користувач несвідомо заборонить системам захисту комп’ютера правильно та вчасно реагувати на шкідливу діяльність програмного забезпечення доданого у «список виключення». Слідуючи таким рекомендаціям користувач відкриває зловмисникам доступ до свого комп’ютера через вказане програмне забезпечення в обхід системи захисту, піддаючи небезпеці не лише власний комп’ютера, а і всю локальну мережу.

    Користувачу необхідно чітко усвідомлювати, що додаючи програмне забезпечення до «списку виключення» він має бути впевнений у відсутності критичних вразливостей та, іноді, навіть прихованого шкідливого функціоналу.

    Слід звернути увагу, що над жодним з розповсюджених в Україні бухгалтерських продуктів не проводився аудит визнаними міжнародними експертами з інформаційної безпеки, що регулярно публікують свої звіти на незалежних авторитетних ресурсах. Факт систематичного проведення таких аудитів є підтвердженням того, що компанія-розробник опікуються своєю репутацією та безпекою користувачів.

   Такими нерозважливими інструкціями компанії-розробники ПЗ створюють потенційну платформу для розповсюдження шкідливого програмного забезпечення, яку хакерам залишається лише зламати та використати у своїх протиправних цілях. При цьому зловмисники економлять свій час та ресурси, а їх атаки стають масовими та руйнівними.

    Щоб не допустити нових масових кібератак, аналогічним тим, що відбулися 27 червня цього року, кіберполіція наполегливо рекомендує ні в якому разі не дотримуватись вищевказаних порад від виробників ПЗ, за допомогою яких останні намагаються приховати недосконалість коду.

 

Крім того, при використанні комп’ютерів будьте обачливими та виконуйте найпростіші правила інформаційної безпеки:

- не працювати та не запускати такі програми під обліковим записом адміністратора системи;

- відмовитися від програмного забезпечення або його оновлення, що потребує додавання у «список виключення» систем захисту комп’ютера;

- уважно відноситися до попереджень антивірусного програмного забезпечення та систематично його оновлювати;

- у разі отримання тривоги від системи захисту комп’ютера (антивіруса, фаєрволу тощо) не перешкоджати діям за замовчуванням антивірусу (блокування, видалення, карантин, тощо). Чітко усвідомлювати, що спростувати небезпечність про яку повідомив антивірус, може лише кваліфікований спеціаліст з інформаційної безпеки;

- відключити автоматичні оновлення та в ручному режимі оновлювати програмне забезпечення, у ході чого додатково його перевіряти на авторитетних ресурсах, призначених для аналізу підозрілих файлів, наприклад:

https://www.virustotal.com/

https://malwr.com/

https://www.reverse.it/

 

Окрім того, аналіз кібернетичних атак з використанням прикладних програм показує, що внесення певного програмного забезпечення до “списків виключень” антивірусів обумовлюється тим, що його розробники використовують системні функції із підвищеними привілеями для полегшення процесу інтеграції програми в систему. Це може пояснюватися лише недостатньо високою кваліфікацією розробників, яким легше виконувати необхідні програмні операції із використанням повноважень адміністратора, ніж реалізовувати власний механізм. Правильно спроектоване та реалізоване програмне забезпечення не потребує підвищених привілеїв у операційній системі, а тим паче не повинно виконуватися із адміністративними повноваженнями.

Департамент кіберполіції Національної поліції України

Hide  

 

 

On 14.07.2017 at 14:37, robot сказано:

А от я хотів просто сказати, що потрібно приділяти більшу увагу безпеці. Не потрібно економити гроші на цьому, тому що, як ми бачимо, втрачається більше. Які збитки понесли компанії..

Капітан Ачєвіднасть, а можеш конкретизувати, як саме "приділяти більшу увагу безпеці" і на чому саме "не потрібно економити гроші", якщо проплачені ліцензійні антивіруси пропустили цю заразу і, при чому, саме тому пропустили, що цю заразу "провела" теж проплачена ліцензована програма? Можна нам рецептик по пунтах, куди натискати, що вмикати/вимикати, за що платити, а?

 

 

[Єретик]

48 хвилин тому, jack74 сказано:

Можна нам рецептик по пунтах, куди натискати, що вмикати/вимикати, за що платити, а?

 

Особисто я розгорнув тестове середовище з централізованою автентифікацією Windows користувачів без AD і без SMB. Якщо все вийде, то реалізую це в робочій мережі.

 

Взагалі вимкнувши SMB на рівні мережевої карти, можна значно підняти рівень захисту OS сімейства Windows.

 

[jack74]

добре тому, хто має можливість щось обрізати, а коли потрібен весь функціонал мережі?

[dj_design]

5 часов назад, SΩLΩMΩN сказал:

 

Особисто я розгорнув тестове середовище з централізованою автентифікацією Windows користувачів без AD і без SMB. Якщо все вийде, то реалізую це в робочій мережі.

 

Взагалі вимкнувши SMB на рівні мережевої карти, можна значно підняти рівень захисту OS сімейства Windows.

 

угу .. а спільні папки? доступ до сервера ? мережевий друк ? чи заставите користувачів з флешками бігати між компами ... не робіть дурниць .. не так експерименти проводите .....

 

краще пошукайте про політику безпеки і заборону запуску не авторизованих програм .... можливість роботи програм тільки з папки "Program Files" і заборона взагалі виконання скриптів з тимчасових папок ... тоді ви закриваєте доступ вірусів на комп взагалі .... із мінусів - всі програми доведеться обновляти вручну .. але .. якщо є АД - то проблем менше ...

 

для прикладу  - http://www.windowsfaq.ru/content/view/694/46/

[Zheny@]

gpedit.msc

 

[Єретик]

26 хвилин тому, dj_design сказано:

угу .. а спільні папки? доступ до сервера ? мережевий друк ? чи заставите користувачів з флешками бігати між компами ... не робіть дурниць .. не так експерименти проводите .....

 

Спільні папки є і без SMB. Мережевий друк через апаратний принт сервер. З доступом до сервера не зрозумів що мається на увазі.

 

26 хвилин тому, dj_design сказано:

краще пошукайте про політику безпеки і заборону запуску не авторизованих програм .... можливість роботи програм тільки з папки "Program Files" і заборона взагалі виконання скриптів з тимчасових папок ...

 

це все було крім користувачів з правами адміна. Вірус це не зупинило.

 

[Єретик]

33 хвилин тому, dj_design сказано:

із мінусів - всі програми доведеться обновляти вручну .. але .. якщо є АД - то проблем менше ...

 

тут вже обговорювали рішення як встановлювати і оновлювати програми централізовано, без АД. Я перевірив, працює.

[dj_design]

"Служба доступа к файлам и принтерам Microsof"t - http://www.firststeps.ru/msoffice/win/r.php?44

одним словом - не займайтесь "кастрацією Вінди" ... а то потім самі не будете знати що і чому глючить .. саме тому я ніколи не любив "збірки", тому що ніколи не знаєш що там вирізали або добавили ... 

 

зараз була атака по одних портах, а завтра може бути по інших .. на даний момент крім повних бекапів захисту фактично немає .... 

[Єретик]

2 хвилин тому, dj_design сказано:

"Служба доступа к файлам и принтерам Microsof"t - http://www.firststeps.ru/msoffice/win/r.php?44

одним словом - не займайтесь "кастрацією Вінди"

 

Збірок теж не люблю. Але завжди відключаю зайві сервіси. На тестовому середовищі переконався, життя без АД і SMB можливе зі збереженням найнеобхіднішого корпоративного функціоналу. А саме: централізована автентифікація, автоматичне встановлення і оновлення програм, система моніторингу, спільні мережеві ресурси. Для чого придумувати вірус, який розпосюджується не через SMB, якщо SMB включений майже в усіх мережах, там де є віндовс?