Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Zheny@]

*бля, це неймовірний досвід для всіх. Для адмінів взагалі рай інфи і досвіду!

 

Херово набутий за такі шишки і костилі!  - за те дієвий!

 

[dj_design]

Медок "хапнув" вірус під час оновлення .. чому не зловили всі ?

- не всі біжать одразу оновлювати програму як тільки мигнуло автоматичне повідомлення .. деякі навіть прав на це не мають ...

- не всі могли в той день взагалі запускати медок ...

- є такі які користуються мережевим варіантом, або термінальним .. а там оновлення не просто натиснув кнопочку, а потрібно окремо запускати "іншу прогу" .. не всі мають доступ або знають як ...

 

поділюсь що зробив в себе на одній фірмі, після першої атаки ...

- створив віртуалку на сервері з серверною ОС і службою терміналів ... 

- поставив туди мережевий варіант медка

- користувачам зробив ярлик на мережеву версію в терміналі, яка тільки інформує що є оновлення але не качає його і не ставить

- оновлення запускаю сам і не одразу а через день ... як варіант, якщо потрібно вже - качаю оновлення з сайту .. рубаю мережу на віртуалці .. ставлю вручну .. перегружа ... все ОК - включаю мережу ...

от якось так .. трошки геморно може, але хоч щось .. цю "атаку" система вижила ... 

 

 

[natalka)]

3 минуты назад, dj_design сказал:

Медок "хапнув" вірус під час оновлення .. чому не зловили всі ?

- не всі біжать одразу оновлювати програму як тільки мишнуло автоматичне повідомлення .. деякі навіть прав на це не мають ...

- не всі могли в той день взагалі запускати медок ...

- є такі які користуються мережевим варіантом, або термінальним .. а там оновлення не просто натиснув кнопочку, а потрібно окремо запускати "іншу прогу" .. не всі мають доступ або знають як ...

...

Ви упустили тих хто встановлював оновлення )

Ось цитата:

Цитата

Ну не знаю, вчера Медок обновляла, налоговые регистрировала, кстати квитанции на НН пришли раньше обычного, где-то через 3 часа. Все работает. Сегодня пришлось обновлять Медок на ноуте, т.к. резервная копия не восстанавливается на предыдущую версию. Тоже все обновилось и работает. ...Может вирус только крупных выбирает?

 

[jack74]

2 хвилин тому, natalka) сказано:

Версія з M.E.Doc цікава, ... чому інші підприємства які користуються даним ПЗ зі всіма останніми оновленнями не піддались атаці?

...А хто знає чий він? ..

на Хабрі хтось таке написав:

Цитувати

По всей видимости распространяла программу некая фирма «ТВИЙ ЧАС».
Отныне «M.E.Doc» можно приобрести в сети магазинов электронных услуг «Твій час». Но перечень услуг не ограничивается покупкой любимой ...
Информация недавно и скоропостижно удалена с медка. Кеш.
Тут что то есть.
https://vk.com/tviychas

Уполномоченные лица
БИЛОУСОВА ОЛЕСЯ ВАЛЕРИИВНА — руководитель
учредители
БИЛОУСОВА ОЛЕСЯ ВАЛЕРИИВНА
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВИДПОВИДАЛЬНИСТЮ «ТВИЙ ЧАС»
— КРИЖЕВИЧ СВЯТОСЛАВ ОЛЕГОВИЧ
— ЛИННИК НЕОНИЛА ГРИГОРИВНА

 

[vaz75]

2 минуты назад, dj_design сказал:

поділюсь що зробив в себе на одній фірмі, після першої атаки ...

- створив віртуалку на сервері з серверною ОС і службою терміналів ... 

- поставив туди мережевий варіант медка

- користувачам зробив ярлик на мережеву версію, яка тільки інформує що є оновлення але не качає його і не ставить

- оновлення запускаю сам і не одразу а через день ... як варіант, якщо потрібно вже - качаю оновлення з сайту .. рубаю мережу на віртуалці .. ставлю вручну .. перегружа ... все ОК - включаю мережу ...

от якось так .. трошки геморно може, але хоч щось .. цю "атаку" система вижила ... 

 

 

"Береженого Бог береже"  - сказала монашка, натягуючи презерватив на свічку".

Але в наш час це дійсно найдієвіший алгоритм.

[dj_design]

1 минуту назад, natalka) сказал:

Ви упустили тих хто встановлював оновлення )

 

так "фейкове" оновлення було не довго часу на сайті .. і займало малий обьєм .. офіційного оновлення в той день не було .. а якщо і оновлював хтось, то качав попередній оновлення ...

так що хто встиг, той встиг

[natalka)]

1 минуту назад, dj_design сказал:

так "фейкове" оновлення було не довго часу на сайті .. і займало малий обьєм .. офіційного оновлення в той день не було .. а якщо і оновлював хтось, то качав попередній оновлення ...

так що хто встиг, той встиг

ну ОК, погоджуюсь, може бути. А що з заграницей і медком?

[dj_design]

Только что, natalka) сказал:

ну ОК, погоджуюсь, може бути. А що з заграницей і медком?

а от тут тільки один варіант - ВПН мережа в корпоративних клієнтів .. хапнув комп в нас а далі поклав все до чого дотягнувся в "локальній мережі"

[jack74]

8 хвилин тому, Zheny@ сказано:

1) скільк домашніх машин лягло?

з "моїх" - ні одного домашнього. 7 штук бачив сьогодні сам, а весь "парк" підопічних налічує ше штук 15, якби там щось сталося - мене вже б повідомили, тому роблю висновок, що і з ними все ок.

[sashalu]

3 минуты назад, vaz75 сказал:

"Береженого Бог береже"  - сказала монашка, натягуючи презерватив на свічку".

Але в наш час це дійсно найдієвіший алгоритм.

для чого, повторюсь: не робив оновлень зотри роки, немаю жодного антивірусу (можу зробити скіни), комп робочий і мусить бути в неті, і зараз з нього пишу...

[natalka)]

Только что, jack74 сказал:

з "моїх" - ні одного домашнього. 7 штук бачив сьогодні сам, а весь "парк" підопічних налічує ше штук 15, якби там щось сталося - мене вже б повідомили, тому роблю висновок, що і з ними все ок.

аналогічно, не чула про зараження домашніх. Хоча повірте, майже всі бухгалтера (особливо малих п-в) зараз мають вдома ПЗ по відправлянню звітності в ДФС. 

[dj_design]

1 минуту назад, sashalu сказал:

для чого, повторюсь: не робив оновлень зотри роки, немаю жодного антивірусу (можу зробити скіни), комп робочий і мусить бути в неті, і зараз з нього пишу...

добавте ще - не користуюсь Медком, пошти не відкривав .. сижу дома за роутером .. от вас і не накрило

[vaz75]

2 минуты назад, sashalu сказал:

для чого, повторюсь: не робив оновлень зотри роки,

Пурга. А я постійно оновлююся автоматом. І теж нічого, пишу з нього. Просто медком не користуюся і невідомі мені адресати посилаю в кошик непрочитаними

[natalka)]

А ще в фейсбук медок пише: "Пиком распространения вирусной атаки является дата 27.06.2017, что не приходится на активность скачивания и установки обновления M.E.Doc. "

Ну от не вірю що всі бухи в обід 27.06 (коли дійсно не потрібно подавати ніяких важливих звітів) ломанулися оновлення качати (причому майже одночасно). Причому в основному крупних п-в...

20-го всі все здали і перекур...

[natalka)]

15 минут назад, jack74 сказал:

на Хабрі хтось таке написав:

 

Та хто ж там в офіційниї реєстрах бенефіціарів реальтних власників пише

 

[sashalu]

5 минут назад, dj_design сказал:

добавте ще - не користуюсь Медком, пошти не відкривав .. сижу дома за роутером .. от вас і не накрило

Писав раніше: Медком не користуюсь але пошту відкриваю майже всю особливо JPG і PDF, комп робочий, + дома дітвора 1 комп + 1 ноут всі без антивірусів і всі живі і працюють (діти з мене посміялились і далі сидять хто де) 

[vaz75]

Только что, sashalu сказал:

Писав раніше: Медком не користуюсь але пошту відкриваю майже всю особливо JPG і PDF, комп робочий, + дома дітвора 1 комп + 1 ноут всі без антивірусів і всі живі і працюють (діти з мене посміялились і далі сидять хто де) 

головне, щоб порносайтів не відкривали, а так, на здоров'я

[dj_design]

1 минуту назад, natalka) сказал:

А ще в фейсбук медок пише: "Пиком распространения вирусной атаки является дата 27.06.2017, что не приходится на активность скачивания и установки обновления M.E.Doc. "

Ну от не вірю що всі бухи в обід 27.06 (коли дійсно не потрібно подавати ніяких важливих звітів) ломанулися оновлення качати (причому майже одночасно). Причому в основному крупних п-в...

20-го всі все здали і перекур...

так ніхто ж не каже що тільки Медок ... називають три варіанти - Медок, пошта і пряма атака на порт по білій адресі ... віруса два - один поставив себе в МБР, створив задачу на перезагрузку, докачав другий вірус який зробив атаку по портах ... і дописав себе для шифрування файлів при перезагрузці ...

[sashalu]

Только что, vaz75 сказал:

головне, щоб порносайтів не відкривали, а так, на здоров'я

дітям до 10 років, то клацають ютуби і все що вискакує, а головне що писав раніше що на жодному з компів, який на даний момент живий, небуло жодних антивірусів.

[Юріч]

Дякую всім, що допомогли з питанням. 

[Oli]

2 годин тому, nickel сказано:

Чи хтось таки підхватив Петю без Медка?

 

звичайно.

[Volyniaka]

Щойно загрузились усі компи без проблем, в т.ч. і з МеДком.

Тьху-тьху-тьху!

[nickel]

8 часов назад, Zheny@ сказал:

ще одна ідея проскочила (надихнула чужа)

 

1) скільк домашніх машин лягло?

2) Чому тільки бізнес / держ структури?

 

може атака велася по пулу (білих) ІР адрес, які юзають великі провайдери?

Ще коли WannaCry бушував десь прочитав, що домашні постраждали найменше через звичайні роутери, які фактично завадили зовнішньому вторгненню. Тоді не вникав, а зараз дійсно цікаво чи роутери рятують.

[Volyniaka]

Вже десь проскакувало, але думаю не завадить;

Цитувати

Специалисты компании Symantec опубликовали рекомендации по защите компьютеров от заражения вирусом-вымогателем Petya, который 27 июня атаковал компании в Украине и по всему миру.

В момент атаки вирус Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Поэтому предлагается создать такой файл самостоятельно.

Чтобы создать такой файл для защиты от Petya можно использовать обычное приложение «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

 

[natalka)]

15 минут назад, Volyniaka сказал:

Вже десь проскакувало, але думаю не завадить;

 

Там ще пише:

Цитата

"Вакцина", впрочем, позволяет обезопасить от вируса только индивидуальные компьютеры. При этом они остаются носителем вируса, то есть могут заражать другие машины в своей сети. Как остановить кибератаку в целом, пока не понятно.