Да пжалуста

_http://www.me-doc.com.ua/pages/obnovlenie.php

Та не, правильные обновления приходят только через 445 порт!

(29-06-2017 12:56)adsh писал(а):  MS опубликовал детальный анализ заражения:

_https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Оттуда:
We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.

The execution chain leading to the ransomware installation is represented in the diagram below and essentially confirms that EzVit.exe process from MEDoc, for unknown reasons, at some moment executed the following command-line:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30


По телеметрии видно процесс апдейтера Медока (EzVit.exe) выполняющий вредоносную командную строку, совпадающую с паттерном атаки.

Цепочка ввыполнения представлена на рисунке и подтверждает, что по неизвестным причинам процесс EzVit.exe в какой-то момент выполняет команду

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

====

Тут без ректального криптоанализа не обойтись
Счас начнут медок использовать

(29-06-2017 16:14)Black_Jack писал(а):  Так переводите, а не додумывайте

От нашего стола – вашему:
Первоначальное заражение, как представляется, было связано с угрозой поставки программного обеспечения с участием украинской компании M.E.Doc, которая разрабатывает программное обеспечение налогового учета, MEDoc.
Несмотря на то, что этот предполагаемый вектор подробно рассмотрен новостными СМИ и исследователями в области безопасности — включая собственную Киберполицию Украины — имелись только косвенные доказательства для этого вектора.
Теперь Microsoft имеет доказательства, что несколько активных заражений программой — вымогателем первоначально запущенны легальным процессом MEDoc обновления.

(29-06-2017 16:14)Black_Jack писал(а):  Смущает слово "несколько"... т.е. есть еще "другие"?... х.з.

Подразумевается заражение по нескольким направлениям.

(29-06-2017 16:14)Black_Jack писал(а):  Это фсё козни 1С....

Та не, «правдоподобней» выглядит как заговор рептилоидов.

P.S. Так все-таки уже имеются в наличии доказательства причастности к первоначальному распространению вируса-вымогателя, и это не косвенные доказательства и предположения?
Лохматость «бабушки» неактуальна?

Теперь неактуальна.

На предприятии слетели практически все сервера с огромной кучей информации.
Не пострадали лишь "серваки" на совсем уж "допотопных" (древних) ОС-ях.
"Говорили-же умные люди, нужно Линукс на серверах ставить."
Поэтому вопрос: на Линуксах есть такие "сюрпризы", которые способны в один миг уничтожить всю конструкторскую документацию и пр. за последние лет 15 работы?
Конечно остались ещё "копии" на бумажных носителях(не все), но от этого совершенно не легче. Ибо многие документы (трассировки печатных плат, хекс-файлы прошивок, исходные коды программ, 3Д-модели и пр.), которые восстановить будет затруднительно.

Цитата:Не пострадали лишь "серваки" на совсем уж "допотопных" (древних) ОС-ях.
"Говорили-же умные люди, нужно Линукс на серверах ставить."

Линукс не такой уж и древний,
https://www.kernel.org/ Ядра обновляются каждый день!
А сервер чего?

(29-06-2017 20:04)Kozak писал(а):  "Говорили-же умные люди, нужно Линукс на серверах ставить."

Умные люди говорят, что важную инфу нужно бекапить. Регулярно. Как часто? Зависит от того, сколько дней работы вы готовы потерять.

Умникам без бекапов и хорошего айтишника никакой Линукс не поможет.

Дело тут не совсем в линухе!
Все 1С, бух.софт и тп должны работать не с файловой системой, а с СУБД потипа MS SQL сервер , в котором есть отличный сервис по сохраниению бекапов полных/снапшотов!
Что-то типа так я настраивал, когда у меня на серваке крутился 1С с несколькими 1С
   
В конце важная документация должна периодически копироваться на закрытый под паролем ftp сервер специализированным софтом по расписанию.
Даже если сервер сгорит с потрохами, то с фтп можно спокойно будет скачать данные! И да, этот фтп конечно не на винде - есть множество сборок, на том же debian/openmediavault которые спокойно это позволяют сделать за очень короткое время.

Древние оси - имелось ввиду Виндовс-совместимые, линуксовых систем небыло.
Серверов было несколько все взаимосвязанны, 1С-бугалтерия, почтовый, MEDoc-отчетность, видеонаблюдение, файлохранилище и пр. прикладные програмы. Я имею отношение к контрукторской работе, системным администратированием занимается другое подразделение. Но когда сегодня узнал что легли все сервера, и востановление файлов под огромным вопросом. То конечно "обрадовался этому сюрпризу" ибо практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.
Слетели все сервера около десятка(за исключением уж совсем допотопных), и несколько отдельных машин.
Почему спросил про серверные машины на Линуксах, бо по информации на них не пострадала ни одна система. Вернее были поврежденны только те файлы, которые были открыты на общий доступ.

(29-06-2017 20:51)UncleStas123 писал(а):  Умникам без бекапов и хорошего айтишника никакой Линукс не поможет.

Смотришь на наши канторы с нашими зарплатами, понимаешь какие там сис админы сидят.
Раз предлагали работу за 6000.. админить (с 9,00 - 18,00) небольшое предприятие

---

(29-06-2017 20:53)Kozak писал(а):  Древние оси - имелось ввиду Виндовс-совместимые, линуксовых систем небыло.
Серверов было несколько все взаимосвязанны, 1С-бугалтерия, почтовый, MEDoc-отчетность, видеонаблюдение, файлохранилище и пр. прикладные програмы. Я имею отношение к контрукторской работе, системным администратированием занимается другое подразделение. Но когда сегодня узнал что легли все сервера, и востановление файлов под огромным вопросом. То конечно "обрадовался этому сюрпризу" ибо практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.
Слетели все сервера около десятка(за исключением уж совсем допотопных), и несколько отдельных машин.
Почему спросил про серверные машины на Линуксах, бо по информации на них не пострадала ни одна система. Вернее были поврежденны только те файлы, которые были открыты на общий доступ.

Эта самбадыра касалась только винды. По опыту работы в банке, с редхатом никогда такого не случалось... Крыворукие приложения вылетали, это да, но чтобы что-то пролезло на сервер.... никогда.

(29-06-2017 20:52)norrest писал(а):  Дело тут не совсем в линухе!
Все 1С, бух.софт и тп должны работать не с файловой системой, а с СУБД потипа MS SQL сервер , в котором есть отличный сервис по сохраниению бекапов полных/снапшотов!
Что-то типа так я настраивал, когда у меня на серваке крутился 1С с несколькими 1С

В конце важная документация должна периодически копироваться на закрытый под паролем ftp сервер специализированным софтом по расписанию.
Даже если сервер сгорит с потрохами, то с фтп можно спокойно будет скачать данные! И да, этот фтп конечно не на винде - есть множество сборок, на том же debian/openmediavault которые спокойно это позволяют сделать за очень короткое время.

Это все мертвому припарки.
Вирус перехватывает админские права, заранее ловит все пароли и трендец.
Выход - копия на ленточку, ленточку снял и в шкафчики

(29-06-2017 20:55)norrest писал(а):  Смотришь на наши канторы с нашими зарплатами, понимаешь какие там сис админы сидят.
Раз предлагали работу за 6000.. админить (с 9,00 - 18,00) небольшое предприятие

---

Все это мудачье – «директора» предприятий, ищущее «специалистов» соглашающихся работать за копейки, в итоге получают соответствующий квалификационный уровень работников, с вытекающими из этого последствиями. И это касается не только сферы - АйТи технологий.

(29-06-2017 21:20)KAKAO писал(а):  Все это мудачье – «директора» предприятий, ищущее «специалистов» соглашающихся работать за копейки, в итоге получают соответствующий квалификационный уровень работников, с вытекающими из этого последствиями. И это касается не только сферы - АйТи технологий.

Проблема не в директорах - а в мудачье, которое идет даром работать... Пока украинцы это не поймут - будут жить в загоне.

"Мудачью" надо кормить семьи. Здесь со смехом говорят о зп в 6000грн, а знают-ли
столичные жители о региональном различии в зарплатах о молчаливом сговоре работодателей в оплате труда по регионам? В Запорожье это не смешная сумма, мда.

(29-06-2017 15:00)KAKAO писал(а):  Выражаясь более доступным языком: - «Копания Microsoft подтвердила причастность M.E.Doc к кибератаке «вируса-вымогателя».

На самом деле - там до конца ничего не понятно.

MS могли найти уже зараженную копию этой софтины...

Можно было подменить на некоторое время сервер обновлений на транзитном канале (вроде даже сейчас трусят Wnet). Есть варианты, когда кампания производитель софта будет просто подставлена.

Спрос рождает предложение и никак наоборот.
Спрос только на квалифицированных работников, естественно с достойной оплатой труда - есть стимул для их появления. Иначе, здесь будут оставаться быдлуганы, как работодатели, так и исполнители, а весь высококвалифицированный персонал уезжает забугор. Чуваки знают себе цену и за копейки никому хвосты заносить не будут. И пока не прийдет понимание процесса у здешних "дирехтуров", толку не будет нигде, ни на каком уровне.
Но похоже, никто и не собирается анализировать и делать выводы. Пока всех все устраивает.
По моему, этому не видно конца и края. Все запущено хуже уж некуда.

(29-06-2017 21:40)O V K писал(а):  Здесь со смехом говорят о зп в 6000грн, а знают-ли столичные жители о региональном различии в зарплатах о молчаливом сговоре работодателей в оплате труда по регионам? В Запорожье это не смешная сумма, мда.

Думаю это всем известно, и это различие всегда существовало.
Но проблема как бы другая, и не в самой сумме заработной платы, а соответствия ее размера квалификационному уровню работника.

Если для выполнения, какого либо круга задач, требующих определенного уровня образования и опыта от работника, что в сумме стоило для него самого зачастую долгих лет учебы и практики, а также курсов повышения квалификации, то ни один ответственный специалист не согласится работать «за еду», и такой работник всегда будет требовать достойный его уровень оплаты труда, если не в этой стране, так в другой.

(29-06-2017 20:53)Kozak писал(а):  практически вся докумеентация и тех-наработки, по внутреннему уставу, хранились с многократным дублированием именно на серверах.

А что внутренний устав говорит про пожары, потопы и прочие маски-шоу?

Есть подозрение, что ничего не говорит. И если заплатить обычному сисадмину не 6000, а 60000 - там ничего не появится. Не в сисадминах проблема, сисадмин - исполнитель. Потеря данных - проблема низкой квалификации менеджмента компании, и жадности и близорукости владельцев.