Harddriver Опубліковано 27 Червня, 2017 в 15:15 Поділитися #76 Опубліковано 27 Червня, 2017 в 15:15 @charlie До чого мається 1С? Список постраждалих - внаявності, там банки, і такі серйозні дяді, що точно 1С не юзають, їм цей москальський "кіт в мішку" нафіг не потрібен. Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:31 Поділитися #77 Опубліковано 27 Червня, 2017 в 15:31 2 годин тому, alexvvv сказано: Кацапським антивірусом лікувати? Гарна порада пропонуєш Бур'ян? Зілля? Zilya ? Посилання на коментар Поділитись на інші сайти Поділитися
dj_design Опубліковано 27 Червня, 2017 в 15:36 Поділитися #78 Опубліковано 27 Червня, 2017 в 15:36 з власних випадків і звернень: - лягла і ліцензія і не ліцензія ... відповідно оновлені і не дуже ... - на фірмі "вижило" декілька ХП, декілька лягло ... - 7 і 10 - теж зловили .. тому інфіа про надійність 10-и не правдива ... - атака була по портах, тому про "Ме док" або "чарівний лист" - не підтверджено ... комп сам перегружається, потім запускається вікно "ніби чекдиску", але насправді починає шифрувати .. якщо процес дойшов до кінця - опа .. якщо перервали одразу - тоді точно злетів бут і далі дивитись ... ще момент - зняв вінта з пошифрованого компа (не до кінця), доступу до дисків немає ... ні з вінди ні з лайф сіді ... потрібно спочатку прогнати нормальним чекдіском, знаходить купу втрачених індексів .. виправляє ... тоді є доступ до розділів .. ну а далі залежно де "перервали шифрування", такі файли залишились цілі ... p/s нічка і завтрашній вихідний буде веселий .... Посилання на коментар Поділитись на інші сайти Поділитися
vetalforever Опубліковано 27 Червня, 2017 в 15:36 Поділитися #79 Опубліковано 27 Червня, 2017 в 15:36 імхо, хто повний "чекдіск" не пройшов має шанси на повне одужання. Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:37 Поділитися #80 Опубліковано 27 Червня, 2017 в 15:37 вигнав усіх і погасив серваки. Попередньо передивившись в диспетчері завдань на предмет "лівого" файла. Посилання на коментар Поділитись на інші сайти Поділитися
Rock Опубліковано 27 Червня, 2017 в 15:38 Поділитися #81 Опубліковано 27 Червня, 2017 в 15:38 наскільки я зрозумів атаковані вінти з NTSF, в кого GPT, не шифрує , ну і юніксоподібні системи не попали під роздачу , висновки самі напрошуються Посилання на коментар Поділитись на інші сайти Поділитися
Абдул-Хамид Опубліковано 27 Червня, 2017 в 15:39 Поділитися #82 Опубліковано 27 Червня, 2017 в 15:39 Рекомендації по захисту від вірусної атаки: У зв'язку з вірусною атакою на комп'ютери з ОС Windows, пропонуємо слідуючий алгоритм дій: 1. В залежності від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме: • для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe • для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu • для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu • для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu • для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu • для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu • для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu • для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu • для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx 2. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. 3. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 4. Зробити резервні копії усіх критично важливих даних. Посилання на коментар Поділитись на інші сайти Поділитися
alexvvv Опубліковано 27 Червня, 2017 в 15:41 Поділитися #83 Опубліковано 27 Червня, 2017 в 15:41 9 хвилин тому, Zheny@ сказано: пропонуєш Бур'ян? Зілля? Zilya ? треба црушним лікувати Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:42 Поділитися #84 Опубліковано 27 Червня, 2017 в 15:42 Щойно, alexvvv сказано: треба црушним лікувати дотепності немає меж. Посилання на коментар Поділитись на інші сайти Поділитися
alexvvv Опубліковано 27 Червня, 2017 в 15:43 Поділитися #85 Опубліковано 27 Червня, 2017 в 15:43 5 хвилин тому, Rock сказано: наскільки я зрозумів атаковані вінти з NTSF, в кого GPT не шифрує , ну і юніксоподібні системи не попали під роздачу , висновки самі напрошуються gpt також з ntfs як і mbr, лінукс не чіпляє, бо вірус під вінду написаний, а не під файлову систему. Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:44 Поділитися #86 Опубліковано 27 Червня, 2017 в 15:44 сидять більшість під логіном Адмін, з парольом 1 Посилання на коментар Поділитись на інші сайти Поділитися
IropS Опубліковано 27 Червня, 2017 в 15:44 Поділитися #87 Опубліковано 27 Червня, 2017 в 15:44 Лпе Пощастило, або професіоналізм, якщо лише щойно все гасили і ще не заражені були. В нас на фірмі і антивірус (есет) є і не допомогло. Спочатку хтось запустив щось не те, а тоді вже пилізлоімхо по мережі, імхо Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:45 Поділитися #88 Опубліковано 27 Червня, 2017 в 15:45 1 хвилина тому, IropS сказано: Лпе Пощастило швидше за все. В самій першій хвилі шифрувальника (до Ванакрай) я прводив лікбези і "бив лінійкою по рукам", щоб не качали шопопало з пошти. 1 хвилина тому, IropS сказано: або професіоналізм Не без того. Я сервака вибив для бекапів. І там не Віндовс-подібна ОС. Посилання на коментар Поділитись на інші сайти Поділитися
alexvvv Опубліковано 27 Червня, 2017 в 15:47 Поділитися #89 Опубліковано 27 Червня, 2017 в 15:47 2 хвилин тому, IropS сказано: В нас на фірмі і антивірус (есет) є і не допомогло. Спочатку хтось запустив щось не те, а тоді вже пилізлоімхо по мережі, імхо а оновлення стояли на вінді https://technet.microsoft.com/library/security/ms17-010.aspx Посилання на коментар Поділитись на інші сайти Поділитися
Pavelix Опубліковано 27 Червня, 2017 в 15:48 Поділитися #90 Опубліковано 27 Червня, 2017 в 15:48 8 хвилин тому, Абдул-Хамид сказано: Рекомендації по захисту від вірусної атаки: У зв'язку з вірусною атакою на комп'ютери з ОС Windows, пропонуємо слідуючий алгоритм дій: 1. В залежності від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме: • для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe • для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu • для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu • для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu • для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu • для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu • для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu • для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu • для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx 2. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. 3. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 4. Зробити резервні копії усіх критично важливих даних. я так розумію це старі фікси... ще за березень.... Посилання на коментар Поділитись на інші сайти Поділитися
Harddriver Опубліковано 27 Червня, 2017 в 15:48 Поділитися #91 Опубліковано 27 Червня, 2017 в 15:48 @Абдул-Хамид - патч тойсамий, що і для минулого шифрувальника. Так що імовірно блокнути порти 139 і 445, і йти спати (не забувши забекапити систему, хе-хе ) Посилання на коментар Поділитись на інші сайти Поділитися
charlie Опубліковано 27 Червня, 2017 в 15:50 Поділитися #92 Опубліковано 27 Червня, 2017 в 15:50 1 хвилина тому, Harddriver сказано: @Абдул-Хамид - патч тойсамий, що і для минулого шифрувальника. Так що імовірно блокути порти 139 і 445, і йти спати (не забувши забекапити систему, хе-хе ) а 135 ? Посилання на коментар Поділитись на інші сайти Поділитися
Harddriver Опубліковано 27 Червня, 2017 в 15:51 Поділитися #93 Опубліковано 27 Червня, 2017 в 15:51 @charlieНема про 135 нічо в пропісях Посилання на коментар Поділитись на інші сайти Поділитися
Lisovic Опубліковано 27 Червня, 2017 в 15:52 Поділитися #94 Опубліковано 27 Червня, 2017 в 15:52 Пишуть шо зараження імовірно відбувалось через дирку в офісі, приходив лист з вкладеним .rtf документом, після запуску якого і скачувався вірус. Про цю дирку почитать мона тут https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html Посилання на коментар Поділитись на інші сайти Поділитися
Абдул-Хамид Опубліковано 27 Червня, 2017 в 15:54 Поділитися #95 Опубліковано 27 Червня, 2017 в 15:54 5 хвилин тому, Pavelix сказано: я так розумію це старі фікси... ще за березень.... Ну не знаю як на рахунок свіжих патчів, але це повідомлення розіслали нам наші спеціалісти з Києва Посилання на коментар Поділитись на інші сайти Поділитися
charlie Опубліковано 27 Червня, 2017 в 15:55 Поділитися #96 Опубліковано 27 Червня, 2017 в 15:55 ого, ще в далекому 2006 шуміли про дірки в портах 135 і 445, і за десятиліття в нових версіях віндовс так і нічого не виправили https://virusinfo.info/showthread.php?t=6734 Посилання на коментар Поділитись на інші сайти Поділитися
Zheny@ Опубліковано 27 Червня, 2017 в 15:58 Поділитися #97 Опубліковано 27 Червня, 2017 в 15:58 ще одна причина вчити *nix-и і максимально відмовлятися від вінди. в ідеалі схема така. Сервак віндовий - клієнти Убунта. Єдина трабла- принтери. Посилання на коментар Поділитись на інші сайти Поділитися
alexvvv Опубліковано 27 Червня, 2017 в 16:00 Поділитися #98 Опубліковано 27 Червня, 2017 в 16:00 1 хвилина тому, Zheny@ сказано: Сервак віндовий - для якого софту? Посилання на коментар Поділитись на інші сайти Поділитися
Oli Опубліковано 27 Червня, 2017 в 16:00 Поділитися #99 Опубліковано 27 Червня, 2017 в 16:00 4 хвилин тому, Lisovic сказано: Пишуть шо зараження імовірно відбувалось через дирку в офісі, приходив лист з вкладеним .rtf документом, після запуску якого і скачувався вірус. компи були включені, навіть деякі перейшли в сон... і почали вискакувати червоні вікна навіть в тих які "спали" деякі компютери працювали без "ресета" 5-7днів ця штука накопичувалась, і лише сьогодні активувалась. Посилання на коментар Поділитись на інші сайти Поділитися
natalka) Опубліковано 27 Червня, 2017 в 16:05 Поділитися #100 Опубліковано 27 Червня, 2017 в 16:05 26 минут назад, dj_design сказал: ... - атака була по портах, тому про "Ме док" або "чарівний лист" - не підтверджено ... медка не маю, листи мені не шле ) . Сиділа сьогодні цілий день в екселівському файлі з флешки. Пошту не відкривала, в інтернет навіть не заходила. В результаті - на секунду з'явився синій екран (подумала що подихає комп), далі типу почав перегружатись. Позвонила в ІТ - сказали що я не одна... Не знаю чи правда, але чула що сьогодні заразився комп відключений від мережі і інтернету декілька днів тому... Це може означати що ця масштабна акція готувалась давно і все заплановано відбулося в визначений час і дату... Тепер підкажіть мені що з флешкою зробити? Працювала на ній на момент зараження. Видьоргнула її - не помню коли (можливо коли вже з'явилось повідомлення по 300 баксів, а може і нє :)). Посилання на коментар Поділитись на інші сайти Поділитися
Рекомендовані повідомлення
Заархівовано
Ця тема знаходиться в архіві та закрита для подальших відповідей.