Новини
Останні статті і огляди
Petya.A атакує Кароч, на фірмі лягли всі компи. Шо дєлать?
-
anatolikostis
Member
- Звідки: EAST
просьба к модераторам свалить несколько веток с темами о Wannacry+Petya.A+Misha в одну 
-
gehka3
Катярко
- Звідки: Днепр
anatolikostis
Зачем?
Тут тема для потрындеть, там - возможно для реальных рецептов
Ту почистить - другое дело, закинул сюда оттудова "вумных" мыслей
Зачем?
Тут тема для потрындеть, там - возможно для реальных рецептов
Ту почистить - другое дело, закинул сюда оттудова "вумных" мыслей
-
fhntv_smart
Member
- Звідки: Харьков
Из новостей я понял что реально никто ничего не знает, все только копипастят друг у друга и более старые новости.
-
anatolikostis
Member
- Звідки: EAST
fhntv_smart
никто тебе сейчас ничего и не скажет: на 99% методика wannacry + свой блек-джек с путанами для шифрования в виде Petya.A+Misha
я очень сомневаюсь, что кто-то вообще получит от дельцов коды разблокировки.
- обновлять систему - регулярно
- выбросить мусор в виде WinXP или Win7 без последних апдейтов - навсегда и больше не вспоминать о нем
- пользоваться файерволом - и на роутере и на локальной машине
- пользоваться ав-решением класса InterenetSecurity - есть много бесплатных или с вариантами получения длинных ключей
- пользоваться anti-spam - в гугле даже по-умолчанию много писем и так улетает в мусор
Что касается госструктур, то пока откаты за покупку WinServer платятся, ничего кардинально не изменится, весь мир сидит на GNU, но им же виднее в КМУ и т.д. по списку упавших серверов.
В сервисе, где пользуюсь VPS, winserver вообще на последнем месте по списку предлагаемых машин к развертыванию и к тому же самая дорогая, при этом CentOS/Debian/Ubuntu/Fedora дешевле в несколько раз и начинка мощнее
никто тебе сейчас ничего и не скажет: на 99% методика wannacry + свой блек-джек с путанами для шифрования в виде Petya.A+Misha
я очень сомневаюсь, что кто-то вообще получит от дельцов коды разблокировки.
- обновлять систему - регулярно
- выбросить мусор в виде WinXP или Win7 без последних апдейтов - навсегда и больше не вспоминать о нем
- пользоваться файерволом - и на роутере и на локальной машине
- пользоваться ав-решением класса InterenetSecurity - есть много бесплатных или с вариантами получения длинных ключей
- пользоваться anti-spam - в гугле даже по-умолчанию много писем и так улетает в мусор
Что касается госструктур, то пока откаты за покупку WinServer платятся, ничего кардинально не изменится, весь мир сидит на GNU, но им же виднее в КМУ и т.д. по списку упавших серверов.
В сервисе, где пользуюсь VPS, winserver вообще на последнем месте по списку предлагаемых машин к развертыванию и к тому же самая дорогая, при этом CentOS/Debian/Ubuntu/Fedora дешевле в несколько раз и начинка мощнее
Востаннє редагувалось 27.06.2017 19:11 користувачем anatolikostis, всього редагувалось 1 раз.
-
alexvvv
Member
- Звідки: Луцьк
краще лінукс поставити, ніж такі тормоза вмикатиanatolikostis: - пользоваться файерволом - и на роутере и на локальной машине
- пользоваться ав-решением класса InterenetSecurity - есть много бесплатных или с вариантами получения длинных ключей
- пользоваться anti-spam - в гугле даже по-умолчанию много писем и так улетает в мусор
-
anatolikostis
Member
- Звідки: EAST
alexvvv
вы сейчас на какой оси находитесь?
mint с окружением xfce/lxde?
вот ваш роутер (если он у вас есть) крутится на GNU - за его тормоза не стоит переживать.
вы сейчас на какой оси находитесь?
mint с окружением xfce/lxde?
вот ваш роутер (если он у вас есть) крутится на GNU - за его тормоза не стоит переживать.
-
mumu
Member
- Звідки: Житомир
СБУ рекомендує:
- спойлер
- Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача
18:41, 27-06-2017
За даними СБУ, переважна більшість інфікувань операційних систем відбувалася через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів.
Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.
Рекомендації:
Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
В залежності від версії ОС Windows встановити патч з ресурсу...
Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/s ... 7-010.aspx
5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
7. Зробити резервні копії усіх критично важливих даних.
Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.
Додатково до зазначених рекомендацій можливо скористатися рекомендаціями антивірусних компаній.
https://eset.ua/ua/news/view/507/-Eset-Guidelines
a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".
c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Збирати (Собрать).
e). Надішліть архів з журналами.
Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання
п. 3 для збору інформації, яка допоможе написати декодер,
п. 4 для лікування системи.
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть <enter>
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть <enter> (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.
©The Security Service of Ukraine
https://www.facebook.com/SecurSerUkrain ... 7667671562
-
jimbo
Member
alexvvv:краще лінукс поставити, ніж такі тормоза вмикати
-
Scoffer
Member
Я всіма руками і ногами за нікси, але якщо їх бездумно використовувати як це зазвичай роблять з віндами - абсолютно не допоможе.alexvvv:краще лінукс поставити, ніж такі тормоза вмикати
Отправлено спустя 1 минуту 2 секунды:
jimbo
Лінукс вдома - прекрасна штука, вже років 6 основна система, в вінду заходжу рідко і лише за деякими іграшками, причому не всіми.
-
alexvvv
Member
- Звідки: Луцьк
на 2003anatolikostis:alexvvv
вы сейчас на какой оси находитесь?![]()
Отправлено спустя 2 минуты 41 секунду:
вдома на openwrt, на роботі kerioanatolikostis: вот ваш роутер (если он у вас есть) крутится на GNU - за его тормоза не стоит переживать.
-
jimbo
Member
я эту красноглазую сказку уже больше 10 лет слушаюScoffer:Лінукс вдома - прекрасна штука, вже років 6 основна система, в вінду заходжу рідко і лише за деякими іграшками, причому не всіми.
-
anatolikostis
Member
- Звідки: EAST
alexvvv
проблему, просто убежав на другую ось, чего вы не сделали, не решить.
если авторы Petya.A+Misha оказались людьми из нашего круга, то могли спокойно дополнить код шифрования документов еще кодом на шифрование *tib и тогда
проблему, просто убежав на другую ось, чего вы не сделали, не решить.
если авторы Petya.A+Misha оказались людьми из нашего круга, то могли спокойно дополнить код шифрования документов еще кодом на шифрование *tib и тогда
-
Jumper007
Member
- Звідки: Чернигов
На работе 2 сервера рядом стоят в один свич воткнутые, вин 2003 и 2008, и 8 рипнулся а 3 работает как ни в чем не бывало
еще в локалке десятка под 3 разного хлама, от хп до 10, все живые, пока что ...
*
Уверуйте в бекап животворящий

еще в локалке десятка под 3 разного хлама, от хп до 10, все живые, пока что ...
*
Уверуйте в бекап животворящий
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
Моя контора тоже слегла, разворачиваемся из бэкапов. Сервера были все обновленные, корп. ESET с актуальными базами - не помогло. Распространился по сети мгновенно, судя по всему, через SMB (внутри сети порты самбы не закрыты).
Вроде прилетело через MEDOC.
Вроде прилетело через MEDOC.
-
viperest1
Member
Був на роботі до 17 год. В друг сказав, що таке робиться,- очканув, думаю малі сидять за ноутом і мабуть вже все є " як треба" . Но провайдер красава - відключений інтернет ( якщо сам не ліг
) .
-
anatolikostis
Member
- Звідки: EAST
LostBoy
ЧТД - заброшенные по обновкам машины никакой IS не спасет
тем более, если куча "нужных" портов типа 445, 138, 139 и т.д. открыты
Уязвимость обнаружена в марте, применена массово в мае, но я в танке и в июне рассчитываю проскочить мимо - пожалуй главный лозунг всех потерпевших сегодня и в мае.
ЧТД - заброшенные по обновкам машины никакой IS не спасет
тем более, если куча "нужных" портов типа 445, 138, 139 и т.д. открыты
Уязвимость обнаружена в марте, применена массово в мае, но я в танке и в июне рассчитываю проскочить мимо - пожалуй главный лозунг всех потерпевших сегодня и в мае.
Востаннє редагувалось 27.06.2017 19:52 користувачем anatolikostis, всього редагувалось 1 раз.
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
anatolikostis
WSUS отрабатывает нормально, политика обновляет ПО оперативно. EAV обновляется с сервера управления каждые 3 часа. Звонили в ESET - в 16:00 они не внесли еще сигнатуру Пети в свои базы, а у нас машины начали валиться в 13:15.
WSUS отрабатывает нормально, политика обновляет ПО оперативно. EAV обновляется с сервера управления каждые 3 часа. Звонили в ESET - в 16:00 они не внесли еще сигнатуру Пети в свои базы, а у нас машины начали валиться в 13:15.
https://habrahabr.ru/post/331762/#comment_10286022По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
-
anatolikostis
Member
- Звідки: EAST
LostBoy
если вы надеетесь на сигнатурный анализ от ESET (поставить любого вендора вместо ESET), то ваших админов пороть розгами, пока сознание не потеряют.
напоминаю
https://technet.microsoft.com/en-us/lib ... 7-010.aspx
если вы надеетесь на сигнатурный анализ от ESET (поставить любого вендора вместо ESET), то ваших админов пороть розгами, пока сознание не потеряют.
напоминаю
https://technet.microsoft.com/en-us/lib ... 7-010.aspx
Published: March 14, 2017could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.
-
LostBoy
Member
- Звідки: Оккупированный Донецк - Киев
anatolikostis
Прости, у меня нервы на пределе, но если ты не в курсе дела, то "краще жувати" - это кумулятивный патч от Воннакрая, который к текущему рамсонваре вообще никакого отношения не имеет. И еще раз повторяю - попадали полностью обновленные машины с актуальной базой антивируса.
Прости, у меня нервы на пределе, но если ты не в курсе дела, то "краще жувати" - это кумулятивный патч от Воннакрая, который к текущему рамсонваре вообще никакого отношения не имеет. И еще раз повторяю - попадали полностью обновленные машины с актуальной базой антивируса.
-
anatolikostis
Member
- Звідки: EAST
LostBoy
А ты не подумал, как именно файлы Petya.A+Misha попали на комп?
А ты не подумал, как именно файлы Petya.A+Misha попали на комп?
Прости но не верю тебе я, просто я никогда не поверю, что при известном механизме работы нового wannacry, при том, что сам признался, что порты по сети все пооткрыты, у вас сработала отличная от всех редакция этой дряни.Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів.
Востаннє редагувалось 27.06.2017 20:03 користувачем anatolikostis, всього редагувалось 1 раз.