Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

@charlie До чого мається 1С? Список постраждалих - внаявності, там банки, і такі серйозні дяді, що точно 1С не юзають, їм цей москальський "кіт в мішку" нафіг не потрібен.

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь
2 годин тому, alexvvv сказано:

Кацапським антивірусом лікувати? Гарна порада :)

пропонуєш Бур'ян?  Зілля? Zilya ?

 

Посилання на коментар
Поділитись на інші сайти

з власних випадків і звернень:

 

- лягла і ліцензія і не ліцензія ... відповідно оновлені і не дуже ...

- на фірмі "вижило" декілька ХП, декілька лягло ...

- 7 і 10 - теж зловили .. тому інфіа про надійність 10-и не правдива ...

- атака була по портах, тому про "Ме док" або "чарівний лист" - не підтверджено ...

 

комп сам перегружається, потім запускається вікно "ніби чекдиску", але насправді починає шифрувати .. якщо процес дойшов до кінця - опа .. якщо перервали одразу - тоді точно злетів бут і далі дивитись ...

ще момент - зняв вінта з пошифрованого компа (не до кінця), доступу до дисків немає ... ні з вінди ні з лайф сіді ... потрібно спочатку прогнати нормальним чекдіском, знаходить купу втрачених індексів .. виправляє ... тоді є доступ до розділів .. ну а далі залежно де "перервали шифрування", такі файли залишились цілі ...

 

p/s нічка і завтрашній вихідний буде веселий ....

 

 

Посилання на коментар
Поділитись на інші сайти

імхо, хто повний "чекдіск" не пройшов має шанси на повне одужання.

Посилання на коментар
Поділитись на інші сайти

 вигнав усіх і погасив серваки.

Попередньо передивившись в диспетчері завдань на предмет "лівого" файла.

 

Посилання на коментар
Поділитись на інші сайти

наскільки я зрозумів атаковані вінти з NTSF, в кого  GPT, не шифрує , ну і юніксоподібні системи не попали під роздачу ,

висновки самі напрошуються

Посилання на коментар
Поділитись на інші сайти

Рекомендації по захисту від вірусної атаки:

У зв'язку з вірусною атакою на комп'ютери з ОС Windows, пропонуємо слідуючий алгоритм дій:
1. В залежності від версії ОС Windows встановити патч з ресурсу:
    https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:
• для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

• для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

• для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

• для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

• для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
 
• для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

• для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

• для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

• для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
 
2. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур.
3. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 
4. Зробити резервні копії усіх критично важливих даних.
Посилання на коментар
Поділитись на інші сайти

9 хвилин тому, Zheny@ сказано:

пропонуєш Бур'ян?  Зілля? Zilya ?

 

треба црушним лікувати

Посилання на коментар
Поділитись на інші сайти

Щойно, alexvvv сказано:

треба црушним лікувати

дотепності немає меж.

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, Rock сказано:

наскільки я зрозумів атаковані вінти з NTSF, в кого  GPT не шифрує , ну і юніксоподібні системи не попали під роздачу ,

висновки самі напрошуються

gpt також з ntfs як і mbr, лінукс не чіпляє, бо вірус під вінду написаний, а не під файлову систему.

Посилання на коментар
Поділитись на інші сайти

сидять більшість під логіном Адмін, з парольом 1

 

Посилання на коментар
Поділитись на інші сайти

Лпе Пощастило,  або професіоналізм,  якщо лише щойно все гасили і ще не заражені були.

В нас на фірмі і антивірус (есет) є і не допомогло. Спочатку хтось запустив щось не те,  а тоді вже пилізлоімхо по мережі,  імхо

 

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, IropS сказано:

Лпе Пощастило

швидше за все. В самій першій хвилі шифрувальника (до Ванакрай) я прводив лікбези і "бив лінійкою по рукам", щоб не качали шопопало з пошти.

1 хвилина тому, IropS сказано:

або професіоналізм

Не без того. Я сервака вибив для бекапів.

І там не Віндовс-подібна ОС.

Посилання на коментар
Поділитись на інші сайти

2 хвилин тому, IropS сказано:

В нас на фірмі і антивірус (есет) є і не допомогло. Спочатку хтось запустив щось не те,  а тоді вже пилізлоімхо по мережі,  імхо

а оновлення стояли на вінді  https://technet.microsoft.com/library/security/ms17-010.aspx

Посилання на коментар
Поділитись на інші сайти

8 хвилин тому, Абдул-Хамид сказано:

Рекомендації по захисту від вірусної атаки:

У зв'язку з вірусною атакою на комп'ютери з ОС Windows, пропонуємо слідуючий алгоритм дій:
1. В залежності від версії ОС Windows встановити патч з ресурсу:
    https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:
• для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

• для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

• для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

• для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

• для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
 
• для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

• для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

• для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

• для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
 
2. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур.
3. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 
4. Зробити резервні копії усіх критично важливих даних.

я так розумію це старі фікси... ще за березень.... 

Посилання на коментар
Поділитись на інші сайти

@Абдул-Хамид - патч тойсамий, що і для минулого шифрувальника. Так що імовірно блокнути порти  139 і 445, і йти спати :) (не забувши забекапити систему, хе-хе :))

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, Harddriver сказано:

@Абдул-Хамид - патч тойсамий, що і для минулого шифрувальника. Так що імовірно блокути порти  139 і 445, і йти спати :) (не забувши забекапити систему, хе-хе :))

а 135 ?

Посилання на коментар
Поділитись на інші сайти

@charlieНема про 135 нічо в пропісях

Посилання на коментар
Поділитись на інші сайти

Пишуть шо зараження імовірно відбувалось через дирку в офісі, приходив лист з вкладеним .rtf документом, після запуску якого і скачувався вірус.

Про цю дирку почитать мона тут

https://www.fireeye.com/blog/threat-research/2017/04/cve-2017-0199-hta-handler.html

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, Pavelix сказано:

я так розумію це старі фікси... ще за березень.... 

Ну не знаю як на рахунок свіжих патчів, але це повідомлення розіслали нам наші спеціалісти з Києва

Посилання на коментар
Поділитись на інші сайти

ого, ще в далекому 2006 шуміли про дірки в портах 135 і 445, і за десятиліття в нових версіях віндовс так і нічого не виправили

https://virusinfo.info/showthread.php?t=6734

 

Посилання на коментар
Поділитись на інші сайти

ще одна причина вчити *nix-и і максимально відмовлятися від вінди.

в ідеалі схема така. Сервак віндовий - клієнти Убунта.

Єдина трабла- принтери.

 

 

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, Zheny@ сказано:

Сервак віндовий -

для якого софту?

Посилання на коментар
Поділитись на інші сайти

4 хвилин тому, Lisovic сказано:

Пишуть шо зараження імовірно відбувалось через дирку в офісі, приходив лист з вкладеним .rtf документом, після запуску якого і скачувався вірус.

 

 

компи були включені, навіть деякі перейшли в сон...   і почали вискакувати червоні вікна навіть в тих які "спали"

деякі компютери працювали без "ресета" 5-7днів

 

 

ця штука накопичувалась, і лише сьогодні активувалась.

Посилання на коментар
Поділитись на інші сайти

26 минут назад, dj_design сказал:

...

- атака була по портах, тому про "Ме док" або "чарівний лист" - не підтверджено ...

медка не маю, листи мені не шле ) . Сиділа сьогодні цілий день в екселівському файлі з флешки. Пошту не відкривала, в інтернет навіть не заходила. В результаті - на секунду з'явився синій екран (подумала що подихає комп), далі типу почав перегружатись. Позвонила в ІТ - сказали що я не одна...

Не знаю чи правда, але чула що сьогодні заразився комп відключений від мережі і інтернету декілька днів тому... Це може означати що ця масштабна акція готувалась давно і все заплановано відбулося в визначений час і дату...

 

Тепер підкажіть мені що з флешкою зробити?  Працювала на ній на момент зараження. Видьоргнула її - не помню коли (можливо коли вже з'явилось повідомлення по 300 баксів, а може і нє :)).

 

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.




×
×
  • Створити...