Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

В 03.07.2017 at 14:38, Zheny@ сказал:

здається, чи точно ?

Бо це має значення.

 

можна було просто підключити готовий НТФС вінт із файлом і все.

А можна було форматнути в ztf.

В мене є FreeNAS і openmediavault, фс - ехt3 і btrfs, коли ще раніше  пусканули шифрувальника, не Петю, то шифрануло мені тільки одну папку на фрпінасі з доступом для всіх, і одну там же, доступну для одного з ПК, якого зачепив вірус Gen.Imposter2 (все було забекаплено + снапшоти). Решта все вціліло, на вінді (7) шари покоцало деякі, але незначні, типу папки з відео з ІР-камери. І два ПК в той же день ця зараза взагалі незрозуміло як завалила - 1) читали в той момент вордівський док локальний, з робочої папки да диску Д, навіть поштовий клієнт закритий був, ребут, щастя є; 2) Вранці  подзвонили, що "файли білі стали" (варіант запуску юзером нереальний - робочий день в 8 починається, шифрануло біля 7і там і ту мережеву вищезгадану папку, коли фізично нікого в кабінеті не було), комп був включений вночі - добре, бекап робочих даних встиг ще ввечері зробитися..

Першопочаткова причина - запустили на одному компі js з пошти.

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь
1 година тому, SΩLΩMΩN сказано:

Доречі, якщо у вас медок 10.01.188 вірус петя вас оминув?

Так. Ми медок оновлюєм лише по пінку бугалтерії, якщо вони просять то оновлюємо, не просять не оновлюємо, автоматом він не оновлюється.

Посилання на коментар
Поділитись на інші сайти

Теж відключив автооновлення Медка (Петя оминув).

Посилання на коментар
Поділитись на інші сайти

В киберполиции заявили, что M.E.Doc могут предъявить уголовные обвинения в связи с вирусом Petyа

http://gordonua.com/news/localnews/v-kiberpolicii-zayavili-chto-medoc-mogut-predyavit-ugolovnye-obvineniya-v-svyazi-s-virusom-petya-195959.html

Посилання на коментар
Поділитись на інші сайти

Ой чим далі тим цікавіше стає, тут вже і із за поребрика специ підсуєтились і дали аналітику по медку https://habrahabr.ru/company/drweb/blog/332444/.e.doc-soderzhit-bekdor--d

Тут вже стає цікавіше, звід ноги?

Посилання на коментар
Поділитись на інші сайти

я так зрозумів, що сьогодні (вчора) було офіційне оновлення до Медка ... після якого Нод заблокував декілька файлів і фактично зупинив роботу програми ... телефонував сьогодні на підтримку по питанню відновлення бази і тому цього фактично не бачив...  таку інфу отримав від підтримки .. що вони мали сьогодні багато роботи по відновленню програми, перевстановку і т.д. .... я звичайно все розумію .. не буду звинувачувати що це був черговий вірус чи атака ... але ... !!!!!!!!!!!!!!!!!!!!!!!! (цензура) .... рекомендація сапорта закинути папку з програмою в "исключение" роботи антивіруса !!!!! .. після того що він наробив минулого тижня !!!!!! .... був би це сапорт біля мене - я б ого там і прикопав би ..... 

 

p/s  і саме головне, з його ж слів .. він саме так і робив сьогодні на багатьох фірмах,  які обслуговує .... "пі.....аси" !!!!

Посилання на коментар
Поділитись на інші сайти

З Медком все зрозуміло. Які аналоги Медка і 1С звіт використовуються у вас? іФін, Соната ?

Посилання на коментар
Поділитись на інші сайти

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

Посилання на коментар
Поділитись на інші сайти

19 хвилин тому, case_l сказано:

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

А чому так швидко забрали? Могли ж не встигнути все видалити. 

Посилання на коментар
Поділитись на інші сайти

Посилання на коментар
Поділитись на інші сайти

1С звіт в фейсбуці написав таке:

 

Сьогодні останнє оновлення одного з антивірусів почало вказувати на наявність віруса в бібліотеці ZvitPublishedObjects.dll
Після видалення антивірусом цього файлу, програма, звичайно, не запускається.
Розробники проводять перевірку, готують оновлення. По можливості, не запускайте поки програму на виконання.
Сайт і пошта поки не доступні. Слідкуйте за новинами.

Посилання на коментар
Поділитись на інші сайти

1 година тому, case_l сказано:

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

 

1 година тому, SΩLΩMΩN сказано:

ESET вже офіційно назвав винним 1С Звіт і Медок

Знайшли цапа-відбувайла. Щоб людей заспокоїти. І зараз різко чийсь стартап вистрелить. Типу альтернатива.

 

Посилання на коментар
Поділитись на інші сайти

2 годин тому, Lisovic сказано:

Ой чим далі тим цікавіше стає, тут вже і із за поребрика специ підсуєтились і дали аналітику по медку https://habrahabr.ru/company/drweb/blog/332444/.e.doc-soderzhit-bekdor--d

Тут вже стає цікавіше, звід ноги?

За кибератакой Petya.A стоит российская компания Lucky Labs

стаття  
Организатором масштабной хакерской атаки, которая началась в Украине, а затем произошла в 64 странах, оказалась российская компания Lucky Labs (Лаки Лабс), тесно сотрудничающая со спецслужбами Российской Федерации.
Как стало известно из достоверных источников в органах национальной безопасности и борьбы с киберпреступностью в деле, внесенном в ЕРДР под номером 12017100010005710, фигурируют акционеры Lucky Labs, Сергей Токарев и Рустам Гильфанов.
Эксперты из отдела по кибербезопасности склоняются к тому, что указанные лица предоставили ресурсы для развёртывания вируса и доставки его носителям для поражения сетей Укрпочты. Установлено, что ранее сотрудники Lucky Labs получили доступ к сетям стратегических служб, в частности Укрпочты, и используя свои технические ресурсы и полученные данные, специалисты компании произвели заражение сетей и обеспечили распространение вируса.
Предполагаемая цель данной атаки - дискредитация Президента Украины Петра Порошенко, нивелирование его достижений в сфере государственной политики и реформирования, а также имиджевый удар всей правоохранительной системе накануне государственного праздника – Дня конституции Украины. Стоит отметить, что, как сообщают источники в органах национальной безопасности, подобный символизм нравится Владимиру Путину. В то же время, правоохранители не исключают наличие и других мотивов у киберпреступников.
Ранее Lucky Labs обрела известность в результате скандала связанного с организацией нелегального игорного онлайн-бизнеса. Данный факт был установлен правоохранительными органами Украины еще в апреле 2016 года. Помимо этого, Служба безопасности Украины подозревает компанию и ее акционеров в спонсировании террористических организаций ДНР/ЛНР.
В связи с этими обвинениями, а также потенциальной угрозой национальной безопасности Украины, решением Совета национальной безопасности и обороны, а также соответствующим Указом Президента Украины, в октябре 2016 года компания Lucky Labs была включена в санкционный список под номером 666. Фактические акционеры Lucky Labs, которыми являются Сергей Токарев, а также братья Роман и Рустам Гильфановы, граждане РФ, также попали под санкции.
В настоящее время уже начато 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций и предприятий. Еще по 47 фактам решается вопрос о внесении сведений в ЕРДР. В том числе правоохранительные органы активно работают над установлением причастности Lucky Labs к каждому из указанных эпизодов, чтобы в будущем привлечь к ответственности представителей компании.
Hide  
Посилання на коментар
Поділитись на інші сайти

Нічого нового...

то як вберегтися в майбутньому?

Посилання на коментар
Поділитись на інші сайти

3 хвилин тому, Zheny@ сказано:

то як вберегтися в майбутньому?

Тут більш правильно буде: як вберегтися при обмеженому бюджеті. Сам задаюсь цим питанням.

Посилання на коментар
Поділитись на інші сайти

16 минут назад, Zheny@ сказал:

...Знайшли цапа-відбувайла. Щоб людей заспокоїти. І зараз різко чийсь стартап вистрелить. Типу альтернатива...

а я не згідна :) Всі заспокоїлись? Навпаки паніка, так як медок фактично монополіст. Народ не знає чи заходити, чи оновлюватись, як працювати і що робити взагалі далі. І що ще може вилізти...Я все таки прихильник версії про співучасть...

Доречі  багато експертів вважать що вірус "закинутий" давно...  

Ще оця інформація з ESET насторожує: "программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв."

Для чого їх ідентифікувати?

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, natalka) сказано:

Для чого їх ідентифікувати?

ІР сервера. і цілеспрямована ддос атака.

 

Посилання на коментар
Поділитись на інші сайти

Нашу бухгалтерію оминула біда. Але не знаю що головніше:

а) ми користуємось якоюсь старенькою windows xp.

б) ми оновлюємо медок лише тоді, коли вийде два поспіль оновлення.

по пункту Б. Десь читав таку пораду, не оновлювати медок свіжими оновленнями, а почекати кілька днів або ще одне оновлення. Так як медок часто випускає одне за одним оновлення (з проміжком до дня). Причиною є те, що перше оновлення буває кривим, а в другому вже виправляли помилки попереднього. 

Відповідно, вірусне останнє оновлення ми ще не планували оновляти, що нас і спасло.

Але з відпустки все одно прибіг на годину, щоб перевірити наочно що все чисто і скопіювати базу ще й собі на флешку.

Посилання на коментар
Поділитись на інші сайти

2 хвилин тому, sens сказано:

по пункту Б. Десь читав таку пораду, не оновлювати медок свіжими оновленнями, а почекати кілька днів або ще одне оновлення. Так як медок часто випускає одне за одним оновлення (з проміжком до дня). Причиною є те, що перше оновлення буває кривим, а в другому вже виправляли помилки попереднього. 

ага. +1. Тільки є "але", якщо немає останнього оновлення - ніфіга не відправляється :(

І бухи кіпішують. Бо штрафи такі, що йоманарот.

 

Посилання на коментар
Поділитись на інші сайти

Сьогодні статистика відразу сказала - приносьте наручно. Може тоже підвязана до медка (ще з бестзвіту по старому).

А взагалі, оффтоп, підрив електронного документообігу спостерігається звідусіль, і на кожному кроці. 

Посилання на коментар
Поділитись на інші сайти

Кабмін схвалив скасування відповідальності за порушення термінів подання звітності через кібератаки

Цитувати

Уряд направив на розгляд Ради законопроект про продовження строків подання звітності

Кабінет міністрів схвалив і направив на розгляд Верховної Ради законопроект про скасування відповідальності бізнесу за порушення термінів подання звітності у зв'язку з кібератаками. Відповідне рішення було прийнято в ході сьогоднішнього засідання уряду, повідомляє прес-служба Кабміну.

"Уряд запропонував рішення, яке дозволить врегулювати питання справляння з підприємств штрафів за несвоєчасну подачу звітності через масштабну хакерську атаку на корпоративні і державні мережі, яка відбулася в кінці червня", - йдеться в повідомленні.

Як зазначив прем'єр-міністр України Володимир Гройсман, відповідні рішення оформлено в спеціальний законопроект, прийняття якого дозволить захистити підприємства. "Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності всім тим, хто в результаті хакерської атаки, яка пішла по Україні і всьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому", - сказав він.

Як уточнив міністр фінансів Олександр Данилюк в ході засідання, законопроектом передбачено продовження строків подання звітності, а також реєстрації податкових накладних для суб'єктів господарювання, які піддалися атаці хакерів.

 

 

52 хвилин тому, natalka) сказано:

Ще оця інформація з ESET насторожує: "программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв."

Для чого їх ідентифікувати?

щоб "своїх" не завалити :)

Посилання на коментар
Поділитись на інші сайти

хай би кабмін зробив собі харакірі, спочатку вводять електронне адміністрування пдв, але програмне забезпечення для цього хз де і як робиться.

Посилання на коментар
Поділитись на інші сайти

7 часов назад, case_l сказал:

хай би кабмін зробив собі харакірі, спочатку вводять електронне адміністрування пдв, але програмне забезпечення для цього хз де і як робиться.

Де більше можна "відкатити", там і робиться. Зручність і безпека - вторинне.

Посилання на коментар
Поділитись на інші сайти

9 годин тому, Zheny@ сказано:

ага. +1. Тільки є "але", якщо немає останнього оновлення - ніфіга не відправляється :(

І бухи кіпішують. Бо штрафи такі, що йоманарот.

Не завжди, якщо оновлення не стосується виду діяльності організації, то все відправляється. Якщо оновились бланки і які використовує бухгалтерія чи відділ кадрів тоді так, потрібно оновлюватись, бо відправлятись не буде.

Ми бувало і по три оновлення підряд не оновлювались, поки бухгалтерія або кадровики не попросять.

9 годин тому, natalka) сказано:

Для чого їх ідентифікувати?

Для того щоб знати куди попав бекдор, із наступною фільтрацією по критичності об'єктів і відповідно по методу подальшої дії.

Наприклад якщо ідентифікували що це якийсь маленький підприємець, то його системи цінносіт не мають, а якщо попали у велику енергетичну або фінансову компанію, то відповідно можна і данні звідти викачати і паролі зняти, і ще багато всього, тобто на такі компанії можна і більше сил потратити.

Посилання на коментар
Поділитись на інші сайти

ну ви тут і флейм податковий розвели %)

 

у кого пошкодило архіви, можна пробувати їх частково відновити.

вірус не шифрує файли повністю а затирає перші кілобайти файлу.

відтак наприклад WinRar дозволяє відновлювати пошкоджені архіви.

укажіть в провіднику архіватора потрібний архів і натисніть кнопавку "виправити".

ті файли, які були перші в архіві, не відновляться. всі наступні повинні успішно відновитись.

даний метод не буде працювати, якщо у архіві 1 файл. перший файл, або кілька перших (залежно від їх розміру) завжди невідновні.

цей метод працює з РАР файликами. з іншими не пробував.

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.




×
×
  • Створити...