Вирус Petya
Автор Сообщение
Black_Jack Не на форуме
Ветеран
*****

Откуда: Хмельницький
Сообщений: 4 690
Репутация: 306
RE: Вирус Petya / 29-06-2017 16:22
Да пжалуста Wink

_http://www.me-doc.com.ua/pages/obnovlenie.php
Найти все сообщения
 
Цитировать
norrest Не на форуме
Ветеран
*****

Откуда: KIEV
Сообщений: 4 794
Репутация: 601
RE: Вирус Petya / 29-06-2017 16:32
Та не, правильные обновления приходят только через 445 порт! Love0030Love0030

Stop war!!
Найти все сообщения
 
Цитировать
 Выразили согласие: Black_Jack
UncleStas123 Не на форуме
Ветеран
*****

Откуда: Київ
Сообщений: 2 697
Репутация: 180
RE: Вирус Petya / 29-06-2017 16:40
(29-06-2017 12:56)adsh писал(а):  MS опубликовал детальный анализ заражения:

_https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
Оттуда:
We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.

The execution chain leading to the ransomware installation is represented in the diagram below and essentially confirms that EzVit.exe process from MEDoc, for unknown reasons, at some moment executed the following command-line:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30


По телеметрии видно процесс апдейтера Медока (EzVit.exe) выполняющий вредоносную командную строку, совпадающую с паттерном атаки.

Цепочка ввыполнения представлена на рисунке и подтверждает, что по неизвестным причинам процесс EzVit.exe в какой-то момент выполняет команду

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

====
Найти все сообщения
 
Цитировать
Black_Jack Не на форуме
Ветеран
*****

Откуда: Хмельницький
Сообщений: 4 690
Репутация: 306
RE: Вирус Petya / 29-06-2017 17:16
Тут без ректального криптоанализа не обойтись
Счас начнут медок использовать Biggrin
Найти все сообщения
 
Цитировать
KAKAO Не на форуме
Ветеран
*****

Откуда: Киев
Сообщений: 1 657
Репутация: 51
RE: Вирус Petya / 29-06-2017 17:19
(29-06-2017 16:14)Black_Jack писал(а):  Так переводите, а не додумывайте Party0012
От нашего стола – вашему:
Первоначальное заражение, как представляется, было связано с угрозой поставки программного обеспечения с участием украинской компании M.E.Doc, которая разрабатывает программное обеспечение налогового учета, MEDoc.
Несмотря на то, что этот предполагаемый вектор подробно рассмотрен новостными СМИ и исследователями в области безопасности — включая собственную Киберполицию Украины — имелись только косвенные доказательства для этого вектора.
Теперь Microsoft имеет доказательства, что несколько активных заражений программой — вымогателем первоначально запущенны легальным процессом MEDoc обновления.


(29-06-2017 16:14)Black_Jack писал(а):  Смущает слово "несколько"... т.е. есть еще "другие"?... х.з.
Подразумевается заражение по нескольким направлениям.
(29-06-2017 16:14)Black_Jack писал(а):  Это фсё козни 1С.... Улыбка
Та не, «правдоподобней» выглядит как заговор рептилоидов.

P.S. Так все-таки уже имеются в наличии доказательства причастности к первоначальному распространению вируса-вымогателя, и это не косвенные доказательства и предположения?
Лохматость «бабушки» неактуальна?

Из всех меломанов, хороший транзисторный звук от хорошего лампового отличить смог только осциллограф.
Найти все сообщения
 
Цитировать
Black_Jack Не на форуме
Ветеран
*****

Откуда: Хмельницький
Сообщений: 4 690
Репутация: 306
RE: Вирус Petya / 29-06-2017 17:27
Теперь неактуальна.
Найти все сообщения
 
Цитировать
Kozak Не на форуме
Ветеран
*****

Откуда: Олександрiя
Сообщений: 1 999
Репутация: 285
RE: Вирус Petya / 29-06-2017 20:04
На предприятии слетели практически все сервера с огромной кучей информации. Love0030
Не пострадали лишь "серваки" на совсем уж "допотопных" (древних) ОС-ях.
"Говорили-же умные люди, нужно Линукс на серверах ставить." Fighting0093
Поэтому вопрос: на Линуксах есть такие "сюрпризы", которые способны в один миг уничтожить всю конструкторскую документацию и пр. за последние лет 15 работы?
Конечно остались ещё "копии" на бумажных носителях(не все), но от этого совершенно не легче. Ибо многие документы (трассировки печатных плат, хекс-файлы прошивок, исходные коды программ, 3Д-модели и пр.), которые восстановить будет затруднительно.
Найти все сообщения
 
Цитировать
norrest Не на форуме
Ветеран
*****

Откуда: KIEV
Сообщений: 4 794
Репутация: 601
RE: Вирус Petya / 29-06-2017 20:37
Цитата:Не пострадали лишь "серваки" на совсем уж "допотопных" (древних) ОС-ях.
"Говорили-же умные люди, нужно Линукс на серверах ставить."
Линукс не такой уж и древний, Biggrin
https://www.kernel.org/ Ядра обновляются каждый день! Happy0144
А сервер чего?

Stop war!!
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak
UncleStas123 Не на форуме
Ветеран
*****

Откуда: Київ
Сообщений: 2 697
Репутация: 180
RE: Вирус Petya / 29-06-2017 20:51
(29-06-2017 20:04)Kozak писал(а):  "Говорили-же умные люди, нужно Линукс на серверах ставить."
Умные люди говорят, что важную инфу нужно бекапить. Регулярно. Как часто? Зависит от того, сколько дней работы вы готовы потерять.

Умникам без бекапов и хорошего айтишника никакой Линукс не поможет.
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak , Vov@n
norrest Не на форуме
Ветеран
*****

Откуда: KIEV
Сообщений: 4 794
Репутация: 601
RE: Вирус Petya / 29-06-2017 20:52
Дело тут не совсем в линухе!
Все 1С, бух.софт и тп должны работать не с файловой системой, а с СУБД потипа MS SQL сервер , в котором есть отличный сервис по сохраниению бекапов полных/снапшотов!
Что-то типа так я настраивал, когда у меня на серваке крутился 1С с несколькими 1С
   
В конце важная документация должна периодически копироваться на закрытый под паролем ftp сервер специализированным софтом по расписанию.
Даже если сервер сгорит с потрохами, то с фтп можно спокойно будет скачать данные! И да, этот фтп конечно не на винде - есть множество сборок, на том же debian/openmediavault которые спокойно это позволяют сделать за очень короткое время.

Stop war!!
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak
Kozak Не на форуме
Ветеран
*****

Откуда: Олександрiя
Сообщений: 1 999
Репутация: 285
RE: Вирус Petya / 29-06-2017 20:53
Древние оси - имелось ввиду Виндовс-совместимые, линуксовых систем небыло.
Серверов было несколько все взаимосвязанны, 1С-бугалтерия, почтовый, MEDoc-отчетность, видеонаблюдение, файлохранилище и пр. прикладные програмы. Я имею отношение к контрукторской работе, системным администратированием занимается другое подразделение. Но когда сегодня узнал что легли все сервера, и востановление файлов под огромным вопросом. То конечно "обрадовался этому сюрпризу" ибо практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.
Слетели все сервера около десятка(за исключением уж совсем допотопных), и несколько отдельных машин.
Почему спросил про серверные машины на Линуксах, бо по информации на них не пострадала ни одна система. Вернее были поврежденны только те файлы, которые были открыты на общий доступ.
Найти все сообщения
 
Цитировать
 Выразили согласие: Vov@n
norrest Не на форуме
Ветеран
*****

Откуда: KIEV
Сообщений: 4 794
Репутация: 601
RE: Вирус Petya / 29-06-2017 20:55
(29-06-2017 20:51)UncleStas123 писал(а):  Умникам без бекапов и хорошего айтишника никакой Линукс не поможет.
Смотришь на наши канторы с нашими зарплатами, понимаешь какие там сис админы сидят.
Раз предлагали работу за 6000.. админить (с 9,00 - 18,00) небольшое предприятие Happy0196

(29-06-2017 20:53)Kozak писал(а):  Древние оси - имелось ввиду Виндовс-совместимые, линуксовых систем небыло.
Серверов было несколько все взаимосвязанны, 1С-бугалтерия, почтовый, MEDoc-отчетность, видеонаблюдение, файлохранилище и пр. прикладные програмы. Я имею отношение к контрукторской работе, системным администратированием занимается другое подразделение. Но когда сегодня узнал что легли все сервера, и востановление файлов под огромным вопросом. То конечно "обрадовался этому сюрпризу" ибо практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.
Слетели все сервера около десятка(за исключением уж совсем допотопных), и несколько отдельных машин.
Почему спросил про серверные машины на Линуксах, бо по информации на них не пострадала ни одна система. Вернее были поврежденны только те файлы, которые были открыты на общий доступ.
Эта самбадыра касалась только винды. По опыту работы в банке, с редхатом никогда такого не случалось... Крыворукие приложения вылетали, это да, но чтобы что-то пролезло на сервер.... никогда.
(Отредактировал 29-06-2017 в 20:57 norrest.)

Stop war!!
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak
Bayer007 Не на форуме
Ветеран
*****

Откуда: Kiev
Сообщений: 462
Репутация: 294
RE: Вирус Petya / 29-06-2017 20:59
(29-06-2017 20:52)norrest писал(а):  Дело тут не совсем в линухе!
Все 1С, бух.софт и тп должны работать не с файловой системой, а с СУБД потипа MS SQL сервер , в котором есть отличный сервис по сохраниению бекапов полных/снапшотов!
Что-то типа так я настраивал, когда у меня на серваке крутился 1С с несколькими 1С

В конце важная документация должна периодически копироваться на закрытый под паролем ftp сервер специализированным софтом по расписанию.
Даже если сервер сгорит с потрохами, то с фтп можно спокойно будет скачать данные! И да, этот фтп конечно не на винде - есть множество сборок, на том же debian/openmediavault которые спокойно это позволяют сделать за очень короткое время.
Это все мертвому припарки.
Вирус перехватывает админские права, заранее ловит все пароли и трендец.
Выход - копия на ленточку, ленточку снял и в шкафчики Tongue0011
Найти все сообщения
 
Цитировать
KAKAO Не на форуме
Ветеран
*****

Откуда: Киев
Сообщений: 1 657
Репутация: 51
RE: Вирус Petya / 29-06-2017 21:20
(29-06-2017 20:55)norrest писал(а):  Смотришь на наши канторы с нашими зарплатами, понимаешь какие там сис админы сидят.
Раз предлагали работу за 6000.. админить (с 9,00 - 18,00) небольшое предприятие Happy0196
Все это мудачье – «директора» предприятий, ищущее «специалистов» соглашающихся работать за копейки, в итоге получают соответствующий квалификационный уровень работников, с вытекающими из этого последствиями. И это касается не только сферы - АйТи технологий.

Из всех меломанов, хороший транзисторный звук от хорошего лампового отличить смог только осциллограф.
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak , norrest , Comandante , serg6677
vaddon62 Не на форуме
Ветеран
*****

Откуда: Украина - Харьков
Сообщений: 60
Репутация: 142
RE: Вирус Petya / 29-06-2017 21:28
(29-06-2017 21:20)KAKAO писал(а):  Все это мудачье – «директора» предприятий, ищущее «специалистов» соглашающихся работать за копейки, в итоге получают соответствующий квалификационный уровень работников, с вытекающими из этого последствиями. И это касается не только сферы - АйТи технологий.
Проблема не в директорах - а в мудачье, которое идет даром работать... Пока украинцы это не поймут - будут жить в загоне.
Найти все сообщения
 
Цитировать
O V K Не на форуме
Ветеран
*****

Откуда: Запорожье
Сообщений: 4 021
Репутация: 341
RE: Вирус Petya / 29-06-2017 21:40
"Мудачью" надо кормить семьи. Здесь со смехом говорят о зп в 6000грн, а знают-ли
столичные жители о региональном различии в зарплатах о молчаливом сговоре работодателей в оплате труда по регионам? В Запорожье это не смешная сумма, мда.

050 4565363
Найти все сообщения
 
Цитировать
 Выразили согласие: Comandante , serg6677 , yurickk
adsh Не на форуме
Ветеран
*****

Откуда: Киев
Сообщений: 3 465
Репутация: 231
RE: Вирус Petya / 29-06-2017 21:42
(29-06-2017 15:00)KAKAO писал(а):  Выражаясь более доступным языком: - «Копания Microsoft подтвердила причастность M.E.Doc к кибератаке «вируса-вымогателя».
На самом деле - там до конца ничего не понятно.

MS могли найти уже зараженную копию этой софтины...

Можно было подменить на некоторое время сервер обновлений на транзитном канале (вроде даже сейчас трусят Wnet). Есть варианты, когда кампания производитель софта будет просто подставлена.

:wq
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak
Comandante Не на форуме
Ветеран
*****

Откуда: ЧЕРНIГIВ
Сообщений: 6 664
Репутация: 741
RE: Вирус Petya / 29-06-2017 21:48
Спрос рождает предложение и никак наоборот.
Спрос только на квалифицированных работников, естественно с достойной оплатой труда - есть стимул для их появления. Иначе, здесь будут оставаться быдлуганы, как работодатели, так и исполнители, а весь высококвалифицированный персонал уезжает забугор. Чуваки знают себе цену и за копейки никому хвосты заносить не будут. И пока не прийдет понимание процесса у здешних "дирехтуров", толку не будет нигде, ни на каком уровне.
Но похоже, никто и не собирается анализировать и делать выводы. Пока всех все устраивает.
По моему, этому не видно конца и края. Все запущено хуже уж некуда.
(Отредактировал 29-06-2017 в 21:50 Comandante.)
Найти все сообщения
 
Цитировать
 Выразили согласие: KAKAO , norrest , arcam , MetalMan , O V K
KAKAO Не на форуме
Ветеран
*****

Откуда: Киев
Сообщений: 1 657
Репутация: 51
RE: Вирус Petya / 29-06-2017 22:22
(29-06-2017 21:40)O V K писал(а):  Здесь со смехом говорят о зп в 6000грн, а знают-ли столичные жители о региональном различии в зарплатах о молчаливом сговоре работодателей в оплате труда по регионам? В Запорожье это не смешная сумма, мда.
Думаю это всем известно, и это различие всегда существовало.
Но проблема как бы другая, и не в самой сумме заработной платы, а соответствия ее размера квалификационному уровню работника.

Если для выполнения, какого либо круга задач, требующих определенного уровня образования и опыта от работника, что в сумме стоило для него самого зачастую долгих лет учебы и практики, а также курсов повышения квалификации, то ни один ответственный специалист не согласится работать «за еду», и такой работник всегда будет требовать достойный его уровень оплаты труда, если не в этой стране, так в другой.
(Отредактировал 29-06-2017 в 22:27 KAKAO.)

Из всех меломанов, хороший транзисторный звук от хорошего лампового отличить смог только осциллограф.
Найти все сообщения
 
Цитировать
UncleStas123 Не на форуме
Ветеран
*****

Откуда: Київ
Сообщений: 2 697
Репутация: 180
RE: Вирус Petya / 29-06-2017 22:49
(29-06-2017 20:53)Kozak писал(а):  практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.
А что внутренний устав говорит про пожары, потопы и прочие маски-шоу?

Есть подозрение, что ничего не говорит. И если заплатить обычному сисадмину не 6000, а 60000 - там ничего не появится. Не в сисадминах проблема, сисадмин - исполнитель. Потеря данных - проблема низкой квалификации менеджмента компании, и жадности и близорукости владельцев.
(Отредактировал 29-06-2017 в 22:49 UncleStas123.)
Найти все сообщения
 
Цитировать
 Выразили согласие: Kozak


Переход:


Пользователи просматривают эту тему: 3 Гость(ей)

Orion

Администрация форума | Статистика форума | Обратная связь | Вернуться к содержимому | Справка | Лёгкий режим | Список RSS