Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Zheny@]

1 година тому, Lisovic сказано:

Це для спеціаліста не проблема, для інших то досить складно, особливо якщо листи подібного плану приходять постійно.

На периферії слово invoice ввело би  в ступор бухгалтера. І більшість працівників.

На теперішній же роботі це норма. Але там бух-и манагери чітко знають адреси і імена відправників.

 

[Zheny@]

57 хвилин тому, Lisovic сказано:

от тільки для корпоративного середовища це мало підходить

Та шо ти кажеш???

Може твій корпоративний сегмент жлобитьса на 30-50$ в рік на юзера гугл?

 

(депо було бідним, там це не проходило. хоча є корпорації які перейшли на гугл. Повністю)

[Lisovic]

42 хвилин тому, Zheny@ сказано:

Та шо ти кажеш???

Може твій корпоративний сегмент жлобитьса на 30-50$ в рік на юзера гугл?

Ти багато корпорацій перевів на гугл? От коли переведеш тоді і поговорим.

[Zheny@]

24 хвилин тому, Lisovic сказано:

Ти багато корпорацій перевів на гугл?

Волинь-Авто у 2011 році.

Зараз уже без мене (на новій роботі) люди перейшли.

 

[AgentSmith13]

Воно все добре, коли керівництво слухає ІТ-шника, а не хом'ячків-юзерів, а особливо вибагливим "цебе" пояснено просто - або працюй з тим, що є, або шукай роботу.

На ділі за 2016 офіс кожна "я не такая, я жду трамвая" починає телефонувати начальству на тему "мені айтішники г@мно якесь поставили, працювати не можу, допоможіть". І через півгодини максимум мусиш зносити ліцензійного 2016, щоб встановити крякнутий 2003. Не вникав глибоко в суть "процесу", але на машині з встановленим 2003 той вірус таки спрацьовує і шифрує, на машині з 2016 - вилазить якась помилка на зразок "немає ..... dll", і все. Вінда - однакова, 7х64. Експеримент проводив особисто на ізольованому від мережі ноуті.

На рахунок переходу на Лінукс - після хвіилі листів щастя 22 червня в нас в приймальні керівника запустили скриптика з пошти "від Кабміну". Сидять тепер на Убунті після того, як я 2 ночі переночував на роботі, розгрібаючи наслідки (бекапи були, але ОС на 2 серверах довелося переставити), з програм - Openoffice, Foxit reader, Mozilla Thunderbird, Mozilla Firefox + драйвер принтера. В меню "Пуск" крім вищезгаданого є ще кнопочка вимкнення/перезавантаження. Все, немає доступу навіть час перевести і картинку на робочому столі змінити, єдина доступна папка - home юзера, перейменована на ROBOTA. Для повноцінного виконання посадових обов'язків (відкрити документ з пошти чи флешки, друканути, віддати керівництву, іноді - послати відповідь на лист) - за голову достатньо, працює стабільно. На вищезгадані "дзвінки і ужимки" пригрозив службовкою з описанням пошкоджень інфи, вчинених тупим відкриттям листа, пообіцяв згадати в ній про їх прохання "постав Косинку". Все, самі переконані лінуксоїди в приміщенні.

Всі файлові сервери  - або на Убунту сервер, або на FreeNAS. Для користувача непомітно - папка мережева, яка була, така і є.

А от з офісом і т.д. - засада, якщо хоч одна кнопочка не така, як в старому 2003 - "я не можу працювати", "я робити листа буду до ранку", і дзинь-дзинь до керівництва. І дурний виходить ІТ-шник. Туди ж і прога для бекапів  - "в мене комп тормозитьвід твоїх копій дурних". Ну, тормозить 20 хвилин, піди кави попий, зате вся інфа збережена (лишати включеними компи, щоб ввечері робило бекап і само вирубало - страшно їм).

Вчити відкривати листи тільки з відомих чи явно державних адрес (gov.ua) - пробував - там такі поширені відмазки є - "ми не компутерщики, щоб якісь адреси дивитися" і "лист же терміновий, з Кабміну, немає часу щось читати, треба срочно друкувати", плюс абсолютний шедевр - "яке навчання, ми туди не ходили". Лишається, як у відомій відяшці - п*здити, ногами.

Хоча поки що щастить - чи то система безпеки поштовика, яка 95% вірусних листів зупиняє, допомогла, чи то настрахав юзерів правильно, але жодної кібератаки з часів 22 червня, коли тупо листи слали з js-кою, не було, ні Петі, ні недавніх нових.

[Zheny@]

19 хвилин тому, AgentSmith13 сказано:

На ділі за 2016 офіс кожна "я не такая, я жду трамвая" починає телефонувати начальству на тему "мені айтішники г@мно якесь поставили, працювати не можу, допоможіть". І через півгодини максимум мусиш зносити ліцензійного 2016, щоб встановити крякнутий 2003.

А керівнику слабо пояснити, що за крякнутий 2003 - штраф і ККУ світить?

І світить 2-м людям: 1-й директор, 2-й ІТ-шник, і сказати, що через тупу козу/мавпу/ іт.д. ти не збираєшся "сідати". І вона або розбереться із новим Libre/Open Office, або хай звільняється. Або звільнишся ти і завтра сюди прийде інший ІТ-шник, який буде робити все, що скажуть, і на фіналі спочатку Петя2/3/5/10 а потім "сядут усє".

21 хвилин тому, AgentSmith13 сказано:

"я не можу працювати", "я робити листа буду до ранку"

Роби! Зробиш 1-й раз за 20 хв. Другий за 10. Третій за 1 хв. Все просто.

Або, хай напише службову від свого імені, що вона особисто готова нести кримінальну відповідальність за встановлену на її ПК не ліцензійну прогу.

Думаю, що вона обере варіант навчання Лібре офісу.

 

23 хвилин тому, AgentSmith13 сказано:

Вчити відкривати листи тільки з відомих чи явно державних адрес (gov.ua) - пробував - там такі поширені відмазки є - "ми не компутерщики, щоб якісь адреси дивитися" і "лист же терміновий, з Кабміну, немає часу щось читати, треба срочно друкувати"

Нагадай їм листи по пошті із сибірською язвою. Якби зараз таке (не дай Бог) повторилося, вони б також бездумно і тупо рвалися відкривати все, що кидали б в поштову скриньку?

24 хвилин тому, AgentSmith13 сказано:

плюс абсолютний шедевр - "яке навчання, ми туди не ходили"

Тобто даремно просрані державні гроші?  ЗБС просто.

 

[AgentSmith13]

22 минуты назад, Zheny@ сказал:

Тобто даремно просрані державні гроші?  ЗБС просто.

Ну, гроші на то не витрачалися - ми просто самотужки в залі з проектором розповіли всім бажаючим щось почути, які можкть бути наслідки відкривання таких листів, показали, як воно в різних варіантах виглядає, як в різних клієнтах побачити, з якої скриньки прийшов лист, розказали про необхідність перевірки інформації в листі - приходить лист "від КМУ", з домену фірми, що металопрокатом торгує, чим взагалі з РДА якоїсь. Хто хотів - почув.

За все "ліве" ПЗ, музику, фільми неліцензійні і т.д. на ПК відповідає користувач, який підписався особисто під карткою обліку ПК, де вписане все залізо, софт, і є приміточка - "зобов'язуюсь виконувати вимоги Закону України "Про авторське право та суміжні права" та не зберігати на носіях ПК нелегальних копій ПЗ, аудіовізуальних записів, електронних книг і т.д."

Колись була перевірка з прокуратури, так вони і шукали не вінду/офіс/файнрідер/фотошоп неліцензійний - від того відписка є - щороку подається бюджетний запит, не фінвнсують, купити прогу не можемо, все, а саме музику і т.д., щоб конкретному користувачу "по шапці дати".

З поштою - простіше - ні на домен ru, ні з нього листи не ходять, для перегляду браузером всі російські популярні сайти заблоковані на проксі, встановити плагін з ВПН не допомагає - він впирається в проксю, а далі "геній" сам телефонує і жаліється, що інет пропав.

Але є нова фігова тенденція - приходить лист без вкладених заражених файлів, зате з посиланням на архів з вірусом. Приходить так, ніби з Аутлука чи Ексченджа  - до листа прикріплено Письмо.html, яке і відображається, як текст листа. Ось це вже заблокувати не виходить - є установи, які реально тим майкрософтом користуються, а міністерство перейти на інший коієнт/сервак я не примушу.

[Zheny@]

З більшістю "мавп" - можна боротися.

[jack74]

Киберполіція зафіксувала масове поширення вірусу-шифрувальника Scarab

Цитувати

24 листопада 2017 р. 23:21

Вірус шифрувальник, відомий як Scarab вперше був виявлений фахівцями з кібербезпеки в червні 2017 року. Сьогодні, 24 листопада, було зафіксовано його розповсюдження за допомогою найбільшої спам-ботнет мережі “Necurs”.

Фахівці з кібербезбеки встановили, що з використанням “Necurs” було відправлено більше 12,5 мільйонів електронних листів в яких містилися файли з новою версією Scarab ransomware.

Електронні листи, в яких містився Scarab, були замасковані під архіви з відсканованими зображеннями.

Користувачі електронної пошти, отримуючи повідомлення, бачили що до нього начебто були прикріплені файли із зображеннями відсканованих документів. Наприклад:

“Відскановано від Lexmark”

“Відскановано від HP”

“Відскановано від Canon”

“Відскановано від Epson”

Ці листи містили всередині архів 7Zip, із заархівованим Visual Basic скриптом. Після його спрацювання на комп’ютер користувача завантажується та запускається EXE-файл - вірус Scarab ransomware.

Після успішного шифрування вірус створює та автоматично відкриває текстовий файл («ЯКЩО ВИ ХОЧЕТЕ ОТРИМАТИ ВСІ ВАШІ ФАЙЛИ НАЗАД, БУДЬ ЛАСКА, ПРОЧИТАЙТЕ ЙОГО.TXT»), а потім розміщує його на робочому столі.

Сума викупу у повідомленні не вказується. Проте зловмисники звертають увагу жертви на тому, що сума викупу буде збільшуватися з часом, допоки потерпілий не зв’яжеться з авторами Scarab електронною поштою або BitMessage.

За добу до Департаменту кіберполіції Національної поліції України не надходило звернень та заяв з приводу ураження цим вірусом.

Для зменшення ризику зараження техніки вірусом, фахівці з кіберполіції рекомендують користувачам ретельно та уважно відноситися до всієї електронної кореспонденції. Не варто відкривати такі додатки, навіть якщо вони надійшли до з надійного, на Вашу думку, джерела. Радимо отримувати підтвердження надсилання файлів від адресата іншими доступними каналами зв’язку (телефон, смс, мессенджери).

Довідка

Scarab - це вірус, який шифрує різні користувацькі дані. Під час шифрування Scarab додає імена файлів за допомогою розширення ". [Suupport @mail.ru] .scarab". Наприклад, "sample.jpg" перейменовано в "sample.jpg. [Suupport @mail.ru] .scarab". Оновлені варіанти Scarab доповнюють шифрування файлів [[email protected]] .scarab розширенням. Інші варіанти цієї виправлення додають розширення [[email protected]] до зашифрованих файлів.

Сьогоднішня версія Scarab додає до імені кожного файлу розширення:

«. [[email protected]] .scarab ».

 

[Lisovic]

Шо опять? (с)

Якщо не юзають ніяку дирку, то не критично, якщо і пролізе то постраждає лише той хто запустить.

 

 

п.с. хто знає чого використовують 7z, це вже не перша гадость яку розсилають в такому архіві?

[vaz75]

Не можу зрозуміти, чому Майкрософт до цього часу не зробить вбудовану у вінду "пісочницю", в якій можна безпечно відкривати архіви, читати листи і в разі нормального поводження їх переносити з пісочниці на основний робочий стіл\папку, а в разі інфікування, інфікується тільки "пісочниця", яку можна сміливо грохнути і створити нову. Нє, треба встановлювати сторонню віртуальну машину, яка жертиме ресурси ПК, ще одну вінду (питання ліцензійності). Чи може вже існує таке а я "ні в зуб ногою"

[Zheny@]

10 годин тому, vaz75 сказано:

Не можу зрозуміти, чому Майкрософт до цього часу не зробить вбудовану у вінду "пісочницю",

а бабло від Антивірусників?

По великому рахунку, Мєлкософт міг би зробити у вінді ВСЕ! З 1995 року починаючи!

[Nokian]

Цікаво,чи вже хто такого виловлював,і чого це його раптом  ,,розсекретили.,

,https://newsyou.info/laboratoriya-kasperskogo-nashla-neunichtozhaemyj-virus

[bormotuha]

1 година тому, Nokian сказано:

Цікаво,чи вже хто такого виловлював,і чого це його раптом  ,,розсекретили.,

,https://newsyou.info/laboratoriya-kasperskogo-nashla-neunichtozhaemyj-virus

 Ага, такі новини, та на такому ресурсі, де сплошна реклама, а Касперич впереди планеты всей.

[Harddriver]

Щось я не уявляю як таке можливо, адмінка побутових роутерів з інтернету не доступна, а серйозні залізяки з такою фічею настроюють серйозні дядьки, де ситуація з лог/пассом admin/admin неможлива впринципі, ну чи там один випадок на мільярд.

[Oli]

22 хвилин тому, Harddriver сказано:

Щось я не уявляю як таке можливо, адмінка побутових роутерів з інтернета не доступна, а серйозні залізяки з такою фічею настроюють серйозні дядьки, де ситуація з лог/пассом admin/admin неможлива впринципі, ну чи там один випадок на мільярд.

 

Маю знайомого, тримав колись автосервіс, адмінка сайту була адмін/адмін. 

Зробили йому сайт, трохи поадмінили і віддали йому... з таким паролем!!!

[serega]

В даних випадках і файрволи з сильними паролями не допомогають коли нариють цікаву дірку.

[Zheny@]

часи брутфорсу пройшли . У всіх проявах. 

 

 

[Lisovic]

2 годин тому, Zheny@ сказано:

часи брутфорсу пройшли . У всіх проявах. 

Да ладно,я он сьогодні поставив нову залізячку на об'єкт, так кітайці вже годин зо пять пароль на root підбирають, тіки логи засирають.

[Zheny@]

10 годин тому, Lisovic сказано:

,я он сьогодні поставив нову залізячку на об'єкт,

 

10 годин тому, Lisovic сказано:

так кітайці вже годин зо пять пароль на root підбирають,

Підозрюю, що залізячка китайська?

 

[Lisovic]

2 хвилин тому, Zheny@ сказано:

Підозрюю, що залізячка китайська?

нє

[Zheny@]

11 годин тому, Lisovic сказано:

Да ладно,я он сьогодні поставив нову залізячку на об'єкт, так кітайці вже годин зо пять пароль на root підбирають, тіки логи засирають.

Я веду до того, що писаки вірусів стали шукати вразливості у існуючих протоколах чи захистах, замість того, щоб тупо довбати стіну.

Китайці окрема тема - їх там міль'ярди, в них брутфорс проканає. їм і ботнетів робити не потрібно

 

Десь ти ІР-шку засвітив.

[Lisovic]

3 хвилин тому, Zheny@ сказано:

Десь ти ІР-шку засвітив.

Боти постійно сєть сканять, якщо находять відкриті ssh, telnet, hhtp порти то починають бутфорсити, ну або експлойтами кидатись. Ща дуже багато прикордонного обладнання стоїть з дефолтними юзерам і нескладними паролями, якщо немає захисту від бутфорсу то такі штуки ламаються на ура.

Тут на новий рік була атака на один із провайдерів, для організації якої і використали взломаний домашній роутер в середині операторської мережі. https://cys-centrum.com/ru/news/armada_collective_adventures_in_ukraine

[MACCEN]

багато ума не треба взломати чужий вайфай, а вже через його компа ломати ще щось, у багатьох файли з паролями лежать відкрито на робочому столі (бо так зручо).

 

Доречі хто хоче стати досвідченим по кібер захисту, можете арендувати собі сервачка за 5 баксів в місяць навісити туди сайтика якогось, створити пару сайтів з легкими пароляи і понаблюдати як вас ломають, проаналізувати логи, ну і так можна атакуючому теж щось цікавеньке відправити "отвєточку" він думає що поламам вас, а на справді ви його ломанули  

 

Так робить більшість спеців з банків

[Lisovic]

Не про шифрувальники, але теж неприємна штука, вчора мікротік прислав, є дирка в мікротіках і зараз ботнет сканить мережу в пошуках вразливих залізяк. Так що в кого є мікротік із верією ПО нижче 6.38.5 то обновляємось.

Від себе додам якщо будете обновлятись з версії 6.38 до 6.41 то рекомендую спочатку забекапити конфу, в 41 версії вони не слабо поміняли логіку роботи і настройки, того можуть бути глюки після оновлення.

Цитувати

Hello,

It has come to our attention that a rogue botnet is currently scanning random public IP addresses to find open Winbox (8291) and WWW (80) ports, to exploit a vulnerability in the RouterOS www server that was patched more than a year ago (in RouterOS v6.38.5, march 2017).

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so within the last year.

More information can be found here: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499

Best regards,
MikroTik