Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.
Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.
Тема для поговорить: viewtopic.php?f=16&t=177410
Останні статті і огляди
Новини
Вирус-шифровальщик на винде - поиск решения
-
andrey.nk
Member
- Звідки: Николаев
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
andrey.nk
Капец, потушили виртуалки с ним к чертовой матери, пусть руками отчеты носят.
Капец, потушили виртуалки с ним к чертовой матери, пусть руками отчеты носят.
-
libero
Member
- Звідки: Дніпро
видел новость где эти мидоковцы отрицали, что вирус от них. Идиоты.
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
Офсайт лежит, кстати, с утра - http://downforeveryoneorjustme.com/http ... oc.com.ua/
И еще о безопасности M.E.Doc:
И еще о безопасности M.E.Doc:
https://wvusoldier.wordpress.com/2017/0 ... uld-do-it/In the course of this investigation, it was discovered that simply sending an HTTP get request to 92.60.184.55 on port 80 with the User Agent “medoc1001189” will result in the server sending a “download” file. This strongly suggests that no authentication was/is required by M.E.Doc software to receive updates. It is probable that any file downloaded in this manner will be executed by the M.E.Doc auto-updater. In this manner, simply writing a virus to the download file may result in the execution of the virus on any M.E.Doc client machine.
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
andrey.nk
А что говорит virustotal?
А что говорит virustotal?
-
Klon
CG graphikos fan
- Звідки: Украина
andrey.nk
По ходу сайт у них ломанули, мониторь их сайт:
Такое ощущение, что наши парни нашли огроменную дыру в Медоке и решили на ней наварится, от сюда и вирусня и тд. А чему наши? Да просто этот медок у нас локальный из-за запрета 1с, другим он нафиг не нужен (ИМХО)
По ходу сайт у них ломанули, мониторь их сайт:
- спойлер
Такое ощущение, что наши парни нашли огроменную дыру в Медоке и решили на ней наварится, от сюда и вирусня и тд. А чему наши? Да просто этот медок у нас локальный из-за запрета 1с, другим он нафиг не нужен (ИМХО)
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Не пишите ерунду. 1С и Медок это как антивирус и брандмауэр. Вроде как похоже, но вовсе не одно и то же. Одно другое не заменит.
И если уже про дыру, то вроде как версия была стиля "агенты-злобные хакеры" заменили обновление на сервере.
У Медка не свой сервер личный, а хост-площадка, причём не какая-то нормальная цивилизованная, а, о ужас, вражеско-российская. Вот и имеем. Я за что купил, за то и продал, всё равно доказательств нет и не будет. Неужели они там хэш-суммы при обновлении не сверяли?
И если уже про дыру, то вроде как версия была стиля "агенты-злобные хакеры" заменили обновление на сервере.
У Медка не свой сервер личный, а хост-площадка, причём не какая-то нормальная цивилизованная, а, о ужас, вражеско-российская. Вот и имеем. Я за что купил, за то и продал, всё равно доказательств нет и не будет. Неужели они там хэш-суммы при обновлении не сверяли?
-
andrey.nk
Member
- Звідки: Николаев
на вирустотал не заливал, так как заходил по удаленке и связь не особо хорошая была чтоб ковырятся.acm_fan:andrey.nk
А что говорит virustotal?
-
acm_fan
HWBOT OC Team
- Звідки: Днепр
Тут немного показали с чего всё начинается:
(NotPetya vs Comodo Firewall)
(NotPetya vs Comodo Firewall)
-
andrey.nk
Member
- Звідки: Николаев
-
nukeproof
Member
- Звідки: Киев
Klon
1С это бухучет Медок это отчетность. Правда есть совместный продукт 1С+Медок = 1С Звіт.acm_fan:Не пишите ерунду. 1С и Медок это как антивирус и брандмауэр. Вроде как похоже, но вовсе не одно и то же. Одно другое не заменит.
это весьма распространенный сценарий распространения через популярные продуктыacm_fan:И если уже про дыру, то вроде как версия была стиля "агенты-злобные хакеры" заменили обновление на сервере.
как г бе правильно что бы обновление имело цифровую подпись как все нормальные приложения, а у них этого не былоacm_fan:У Медка не свой сервер личный, а хост-площадка, причём не какая-то нормальная цивилизованная, а, о ужас, вражеско-российская. Вот и имеем. Я за что купил, за то и продал, всё равно доказательств нет и не будет. Неужели они там хэш-суммы при обновлении не сверяли?