Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[case_l]

7 хвилин тому, SΩLΩMΩN сказано:

 

в нас на 1 фірму зайняло 1 годину.

скільки тисяч документів для податкової вона відправляє на місяць?

[Єретик]

Щойно, case_l сказано:

скільки тисяч документів для податкової вона відправляє на місяць?

 а  скільки ваша?

[case_l]

1 хвилина тому, SΩLΩMΩN сказано:

 а  скільки ваша?

10к

[Єретик]

Щойно, case_l сказано:

10к

і що ви хочете цим сказати?

[case_l]

Щойно, SΩLΩMΩN сказано:

і що ви хочете цим сказати?

 

3 хвилин тому, case_l сказано:

скільки тисяч документів для податкової вона відправляє на місяць?

 

[case_l]

@SΩLΩMΩN яка кількість документів?

[Єретик]

5 хвилин тому, case_l сказано:

@SΩLΩMΩN яка кількість документів?

 

напишу в кінці місяця.

[case_l]

Щойно, SΩLΩMΩN сказано:

 

напишу в кінці місяця.

За минулий місяць? За позаминулий ? Приблизно яка кількість?

[Єретик]

2 хвилин тому, case_l сказано:

За минулий місяць? За позаминулий ? Приблизно яка кількість?

 

не набагато меньша ніж у вас.

[dj_design]

1 час назад, SΩLΩMΩN сказал:

 

Щось після травневої атаки чере Медок вірусу Xdata наступні його оновлення не допомогли. Файли розшифруванню не підлягають, навіть якщо медок випустить оновлення, яке забере 1 з його бекдорів.

так Xdata розшифровується .. Нод зробив утилітку яка відновила дані, що постраждали від "першої" атаки ...ми в себе відновили такі зашифровані файли ...

[Єретик]

1 хвилина тому, dj_design сказано:

так Xdata розшифровується .. Нод зробив утилітку яка відновила дані, що постраждали від "першої" атаки ...ми в себе відновили такі зашифровані файли ...

 

я так зрозумів, що Xdata  який поиширили з допомогою Медка була лише проба пера. А потім вони влупили петю, массово. 

[dj_design]

2 часа назад, Zheny@ сказал:

Я поставив новий медок 10,01,188. Відкотився в базі з 189 на 188 (скриптом, яким вони ж самі й надали) і бух-и юзають медок далі.

Тепер на черзі оновлення (уже к-поліція його перевіряє).

Жень, можна скрипт в приват .. або ссилку .. хоча в мене ніби на 189 працює, але ризикувати не буду ... 

[Єретик]

32 хвилин тому, dj_design сказано:

Жень, можна скрипт в приват .. або ссилку .. хоча в мене ніби на 189 працює, але ризикувати не буду ... 

 

Тут інструкція, але навіть сам автор інструкції пише, що не радить поки що використовувати МЕдок.

 

Цитувати

!!!ВАЖНО!!! На данный момент (08.07.2017 14:39) Я НЕ РЕКОМЕНДУЮ ПОЛЬЗОВАТЬСЯ МЕДКОМ И ПЫТАТЬСЯ ЕГО ВОССТАНАВЛИВАТЬ ДО 188 ВЕРСИИ. Сейчас все больше антивирусов определяют файл "ZvitPublishedObjects.dll" медка версии 188 как ЗАВИРУСОВАННЫЙ! Инструкцию оставляю только для истории. Пока ситуация не прояснится - скопируйте резервные копии медка и саму базу на флешку и отключите ее от компьютера! Сам медок рекомендую удалить до прояснения ситуации.

 

Що я власне і зробив.

[Zheny@]

36 хвилин тому, dj_design сказано:

хоча в мене ніби на 189 працює, але ризикувати не буду ... 

в мене також працювало, але "Софтверна" (купили у неї медок) наполягла на перевстановленні. Бо ця "нова" 188, уже типу без "дір".

37 хвилин тому, dj_design сказано:

можна скрипт в приват

ок.

 

[Zheny@]

3 хвилин тому, SΩLΩMΩN сказано:

Тут інструкція, але навіть сам автор

Цитувати

Лайкаем чтобы все увидели.

далі навіть читати не став.

 

[Zheny@]

З Інструкції:

 

Цитувати

1) Установите медок 188 версии в ДРУГУЮ папку, не удаляя испорченный медок (например в папку c:\ProgramData\Medoc\Medoc-NEW\)

Справа в тому, що він сам встановиться ЗОВСІМ в Іншу папку. Тому як зватиметься - medoc3.

перед тим рекомендують вимкнути службу zvitgrp.

 

[Єретик]

5 хвилин тому, Zheny@ сказано:

далі навіть читати не став.

 

 

2 хвилин тому, Zheny@ сказано:

З Інструкції:

 

Справа в тому, що він сам встановиться ЗОВСІМ в Іншу папку. Тому як зватиметься - medoc3.

перед тим рекомендують вимкнути службу zvitgrp.

 

 

таки прочитав?

[Zheny@]

1 хвилина тому, SΩLΩMΩN сказано:

таки прочитав?

Кинулося в очі.

Я не читав.

[Саня]

Я правильно розумію, що спочатку (ще 15.05.2017) було оновлення «M.E.Doc» з бекдором, через який збиралась купа інформації, зокрема коди ЄДРПОУ. Подальші дії були спрямовані на те, щоб приховати сліди втручання. Оці так званні Petya та похідні були лише прикриттям та спробою знищити сліди. WannaCry - лише проба пера.

Вважаю, що необхідно терміново вжити заходів, щоб зібрана інформація стала неактуальною. Змінити тисячі кодів реєстру, який існує майже 15 років, непросто, але треба вживати заходів. Поки інформація актуальна - ворог має важелі впливу.

[laser]

А хіба той єдрпоу не є піблічним і відкритим?

[Єретик]

15 хвилин тому, laser сказано:

А хіба той єдрпоу не є піблічним і відкритим?

 

Каждая зарегистрированная организация в Украине имеет уникальный код ЄДРПОУ. И, как подчеркивают эксперты ESET, это очень важно, так как используя ЄДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЄДРПОУ на этой машине для отправки их злоумышленникам.

Кроме ЄДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

[laser]

Я цей текст від есет читав ще тиждень тому.

Я задав питання про код. В інеті є реєстр з безплатним відкритим доступом до нього. Також нерідко цей код можна побачити елементарно загугливши якусь організацію.

То в чому таємниця власне?

[Єретик]

таємниця не в коді, а в інших даних, які передавались разом з кодом. Збір кодів ЄДРПОУ свідчить про те, що метою хакерів була Україна.

[laser]

Ну то може варто змінити логіни і паролі а не коди, як пише саня.

Хоча загалом хід думок вірний.

У них велика таблиця де в рядку на кожну юр особу йдуть код, ір, мило, паролі... треба ''розбивати'' цю таблицю якомога швидше

[Lisovic]

Так ІР і мило організацій і так взнати можна при бажанні. Моя думка що ЄДРПОУ  використовувався для індетифікації всередині, щоб розуміти куди попали, і відповідно від цього які дії виконувати далі. З цього всього саме небезпечне це збір паролів адміністратора, і встановлення це десь бекдора, ну і ще паролів користувачів якщо є ексченж який торчить назовні, тоді зможуть отримати доступ до почти і розсилати спам.

Ну і в потрібних організаціях могли позливати конфіденційну інформацію, але знов таки тут не все так просто.