Вирус-шифровальщик на винде - поиск решения

andrey.nk · Повідомлення 27.06.2017 15:59

Ребята, кто найдет безболезненное решение по вирусу, который положил всю Винду по стране - поделитесь.

Сейчас ковыряюсь, похоже что МБР заменена, признаков шифрованых файлов не вижу пока что.

Тема для поговорить: viewtopic.php?f=16&t=177410

LostBoy · Повідомлення 04.07.2017 12:44

andrey.nk
Капец, потушили виртуалки с ним к чертовой матери, пусть руками отчеты носят.

libero · Повідомлення 04.07.2017 12:48

видел новость где эти мидоковцы отрицали, что вирус от них. Идиоты.

LostBoy · Повідомлення 04.07.2017 12:54

Офсайт лежит, кстати, с утра - http://downforeveryoneorjustme.com/http ... oc.com.ua/

И еще о безопасности M.E.Doc:

In the course of this investigation, it was discovered that simply sending an HTTP get request to 92.60.184.55 on port 80 with the User Agent “medoc1001189” will result in the server sending a “download” file. This strongly suggests that no authentication was/is required by M.E.Doc software to receive updates. It is probable that any file downloaded in this manner will be executed by the M.E.Doc auto-updater. In this manner, simply writing a virus to the download file may result in the execution of the virus on any M.E.Doc client machine.

https://wvusoldier.wordpress.com/2017/0 ... uld-do-it/

acm_fan · Повідомлення 04.07.2017 13:30

andrey.nk
А что говорит virustotal?

Klon · Повідомлення 04.07.2017 15:18

andrey.nk
По ходу сайт у них ломанули, мониторь их сайт:

спойлер

Такое ощущение, что наши парни нашли огроменную дыру в Медоке и решили на ней наварится, от сюда и вирусня и тд. А чему наши? Да просто этот медок у нас локальный из-за запрета 1с, другим он нафиг не нужен (ИМХО)

acm_fan · Повідомлення 04.07.2017 15:35

Не пишите ерунду. 1С и Медок это как антивирус и брандмауэр. Вроде как похоже, но вовсе не одно и то же. Одно другое не заменит.
И если уже про дыру, то вроде как версия была стиля "агенты-злобные хакеры" заменили обновление на сервере.
У Медка не свой сервер личный, а хост-площадка, причём не какая-то нормальная цивилизованная, а, о ужас, вражеско-российская. Вот и имеем. Я за что купил, за то и продал, всё равно доказательств нет и не будет. Неужели они там хэш-суммы при обновлении не сверяли?

andrey.nk · Повідомлення 04.07.2017 21:38

acm_fan:andrey.nk
А что говорит virustotal?

на вирустотал не заливал, так как заходил по удаленке и связь не особо хорошая была чтоб ковырятся.

acm_fan · Повідомлення 07.07.2017 00:18

Тут немного показали с чего всё начинается:

(NotPetya vs Comodo Firewall)

andrey.nk · Повідомлення 07.07.2017 01:15

Занятно. 05.07.2017 Украинские правоохранители предотвратили вторую волну кибератаки вирусом Petya.A
первоисточник: https://www.facebook.com/arsen.avakov.1 ... 6371907131

nukeproof · Повідомлення 07.07.2017 01:32

Klon

acm_fan:Не пишите ерунду. 1С и Медок это как антивирус и брандмауэр. Вроде как похоже, но вовсе не одно и то же. Одно другое не заменит.

1С это бухучет Медок это отчетность. Правда есть совместный продукт 1С+Медок = 1С Звіт.

acm_fan:И если уже про дыру, то вроде как версия была стиля "агенты-злобные хакеры" заменили обновление на сервере.

это весьма распространенный сценарий распространения через популярные продукты

acm_fan:У Медка не свой сервер личный, а хост-площадка, причём не какая-то нормальная цивилизованная, а, о ужас, вражеско-российская. Вот и имеем. Я за что купил, за то и продал, всё равно доказательств нет и не будет. Неужели они там хэш-суммы при обновлении не сверяли?

как г бе правильно что бы обновление имело цифровую подпись как все нормальные приложения, а у них этого не было