ТавроФорум
Страница 4 из 9 123 4 5678 Последняя »
Показывать 100 сообщений этой темы на одной странице

ТавроФорум (https://forum.tavria.org.ua/index.php)
-   Курилка (https://forum.tavria.org.ua/forumdisplay.php?f=19)
-   -   вирус вымогатель. (https://forum.tavria.org.ua/showthread.php?t=94049)

Turok 27.06.2017 22:16
это путин обиделся за ВК и Однокакашников

billiard 27.06.2017 22:52
так вот вы где все. ;-) так а что это за хрень такая , здесь все подписи пропали :wall:

GAS 27.06.2017 22:52
Харьков, Рост
 
http://screenshots.client-demo-site....27_6f7efc1.png

billiard 27.06.2017 22:54
а откуда атака , что вещают

GAS 27.06.2017 22:55
Цитата:
Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f787 34761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
Источник

billiard 27.06.2017 23:03
а некоторые с российских компов орали и флешек.
походу не многие доживут до рассвета:wall:.

GAS 27.06.2017 23:04
Хорошо, если причину таки установили и она в медке. У меня им с 1 апреля не пользуются)

Хотя, за границей вряд ли медком пользуются...

rexfex 27.06.2017 23:07
Понабирают админов по обьявлению, а потом , -" путин виноват".


виндовс маст дай!!!

Petro 27.06.2017 23:21
Цитата:
Сообщение от GAS (Сообщение 3549252)
Хорошо, если причину таки установили и она в медке. У меня им с 1 апреля не пользуются)

Хотя, за границей вряд ли медком пользуются...
В мене 2 питання: а сервер податкової в такому випадку як себе повів?

І ... дивіться, підсанкційна 1С обновляється самі знаєте звідки. Експортує файли в той самий МЕДок, який в свою чергу розсилає файли по всій країні. Чи я перемудрив?

Petro 27.06.2017 23:22
Цитата:
Сообщение от billiard (Сообщение 3549251)
а некоторые с российских компов орали и флешек.
походу не многие доживут до рассвета:wall:.
Огаспаде, а 25 кг флешка тут до чого? Давайте на перфокарти відкотимось, там ніякі віруси не страшні:D

GAS 27.06.2017 23:36
Цитата:
Сообщение от Petro (Сообщение 3549259)
В мене 2 питання: а сервер податкової в такому випадку як себе повів?

І ... дивіться, підсанкційна 1С обновляється самі знаєте звідки. Експортує файли в той самий МЕДок, який в свою чергу розсилає файли по всій країні. Чи я перемудрив?
1. Атак на налоговую, как и на ПФУ (тьфу-тьфу :D), УСЗН, казначейство, земресурсы, юстицию и т. п. госструктуры не было - как и на таможню, МЧС, СБУ, минобороны (что кстати странновато).

2. У нас своя корпоративная сеть, с инетом она не связана. Обновления из инета скачивает область, после чего закидывает их во внутреннюю сеть на FTP-сервер (естественно, проверив на вирусы), откуда районы уже качают и устанавливают. Подозреваю (но не утверждаю), что и в других госорганизациях подобная схема.

Petro 27.06.2017 23:40
Цитата:
Сообщение от GAS (Сообщение 3549263)
1. Атак на налоговую, как и на ПФУ (тьфу-тьфу :D), УСЗН, казначейство, земресурсы, юстицию и т. п. госструктуры не было - как и на таможню, МЧС, СБУ, минобороны (что кстати странновато).
.
Якщо вірус ширився через МЕДок, то чому податкова не постраждала?

GAS 27.06.2017 23:45
Цитата:
Сообщение от Petro (Сообщение 3549265)
Якщо вірус ширився через МЕДок, то чому податкова не постраждала?
Возможно, потому, что обновляются по описанной мною схеме. Или не в медке дело. Жена моего брата (невестка? золовка? хз :D) работает бухом на частника, у неё на домашнем ноуте стоит медок - и нифига не пострадала. Либо дело не в медке, либо атака очень избирательна.

Petro 27.06.2017 23:54
Цитата:
Сообщение от GAS (Сообщение 3549267)
Возможно, потому, что обновляются по описанной мною схеме. Или не в медке дело. Жена моего брата (невестка? золовка? хз :D) работает бухом на частника, у неё на домашнем ноуте стоит медок - и нифига не пострадала. Либо дело не в медке, либо атака очень избирательна.
Так в мене на робочому також Медок. Правда від обіду не було з"єднання з сервером документообороту і хотіло дозвіл на якісь зміни, якого я не дав. Може це врятувало?
І ще. Читаю тут поради СБУ
https://www.facebook.com/SecurSerUkr...58917667671562
Цитата:
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій,
Це як?

Hacker 28.06.2017 00:30
Цитата:
Сообщение от GAS (Сообщение 3549252)
Хорошо, если причину таки установили и она в медке.


;-)

GAS 28.06.2017 00:38
Цитата:
Сообщение от Petro (Сообщение 3549268)
Так в мене на робочому також Медок. Правда від обіду не було з"єднання з сервером документообороту і хотіло дозвіл на якісь зміни, якого я не дав. Може це врятувало?
Очень может быть, потому что читал, что у кого-то не захотел запускаться медок, посоветовали запустить от имени администратора, после этого и пошёл 3,14здец

Цитата:
Сообщение от Petro (Сообщение 3549268)
І ще. Читаю тут поради СБУ
https://www.facebook.com/SecurSerUkr...58917667671562

Це як?
Может облако имеют в виду? Хотя тогда почему "носитель"...


Новости с хабра - вроде удалось победить
Цитата:
UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — фал без расширения)

softm 28.06.2017 03:22
http://publikz.com/wp-content/upload...eenshot_65.png
+ фишинг
+ vpn через смб-в1

GAS 28.06.2017 13:44
А меня таки дёрнули на работу, дали образ (походу обнова против Пети) ЕСЕТ, запускать компы с флехи и сканировать. Отличный выходной :(

Hacker 28.06.2017 13:47
Цитата:
Сообщение от GAS (Сообщение 3549347)
А меня таки дёрнули на работу, дали образ (походу обнова против Пети) ЕСЕТ, запускать компы с флехи и сканировать. Отличный выходной :(
ну наверно это все таки лучше, чем восстанавливать данные.

GAS 28.06.2017 14:30
Цитата:
Сообщение от Hacker (Сообщение 3549349)
ну наверно это все таки лучше, чем восстанавливать данные.
Вообще конечно да, но это могло бы и до завтра подождать

lVoroNl 28.06.2017 15:55
Цитата:
Сообщение от GAS (Сообщение 3549347)
А меня таки дёрнули на работу, дали образ (походу обнова против Пети) ЕСЕТ, запускать компы с флехи и сканировать. Отличный выходной :(
Легко отделались

Андрей Олегович 28.06.2017 17:39
Цитата:
Сообщение от volant (Сообщение 3549218)
А что там с эдебо? Работает?
У нас уже две недели не работает - блок питания на компе с едэбо сгорел.

Андрей Олегович 28.06.2017 17:46
Цитата:
Сообщение от Kvarz (Сообщение 3549210)
Трансгаз попал тоже.

Интересен комментарий Ккк.
Его Уже пытают в подвалах СБУ.
Записывайтесь в очередь в новые админы говнофорума.

Zazik-sens 28.06.2017 18:35
Цитата:
Сообщение от GidraM (Сообщение 3549179)
...Вірус стартонув десь після 14-00. І на фіга ті пушки,коли є комп'ютер.
Заходил в 13.45-13.50 на Нов.почту - уже все стояли в неведении, чего происходитьььь

GidraM 28.06.2017 18:45
Цитата:
Сообщение от Zazik-sens (Сообщение 3549399)
Заходил в 13.45-13.50 на Нов.почту - уже все стояли в неведении, чего происходитьььь
Може і раніше,та і не факт що вдарили одночасно. Я перед 14-00 качнув собі паспорт на верстат, трохи подивився і пішов глянути на натуру, а після 14-00 комп почав глюкати, перезавантажив - червоний екран смерті. Все. Що цікаво, сусідський комп (саме там є С1) запускається нормально.


Текущее время: 16:18. Часовой пояс GMT +3.
Страница 4 из 9 123 4 5678 Последняя »
Показывать 100 сообщений этой темы на одной странице

Перевод: zCarot Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.