ЭФФЕКТИВНОЕ ПОСТРОЕНИЕ ОТНОШЕНИЙ  →  КОНТАКТЫ ДЛЯ ВОПРОСОВ:  


  Дорогие Гости Форума !  Зарегистрируйтесь, чтобы получить доступ к архивам старого форума, где находится огромное кол-во опыта и полезных советов по отношениям !

A A A A Автор Тема  (Прочитано 6240 раз)

Показать:   

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Alex_OdessaАвтор темы

Будьте аккуратны. Сейчас разгар эпидемии вируса, который распространяется через спам на почту. Письмо обычно маскируется под деловую корреспонденцию, письмо из налоговой, постановление суда, резюме, коммерческое предложение, центр уведомлений и т.п. Как только открываешь письмо с вложением, запускается скрипт, который шифрует абсолютно все пользовательские данные на компе (если к нему присоединен  внешний жесткий диск или флешка, то и там тоже) - после чего открыть ни один файл невозможно. Дешифровать тоже невозможно. Касперский или Др.Вебер и т.п. - не ловят этот скрипт, т.к. версии все время новые, а вирус после своей работы - сам себя удаляет, поэтому его сложно антивирусным лабораториям дешифровать и опознавать. После этого мошенники вымогают от 10 до 100 тыс рублей за дешифровку. Причем на деле, ничего не высылают, просто обман.

Главное по безопасности не открывать из почты никаких архивов, документов, исполняемых файлов и т.п. находящихся во вложении. От незнакомых адресов точно. И от знакомых на всякий случай тоже, т.к. спамеры иногда уводят ящики реальных людей и оттуда спамят. Если открыть письмо надо позарез, то хотя бы открывайте со смартфона, через почтовое приложение.

После такой атаки, данные вам скорее всего не восстановят. А для рабочих машин это пипец. Приятель рассказал, что у его знакомых так одна бухгалтерская фирма закрылась, т.к. вирус уничтожил все отчеты и финансовые документы, базу и пр.

Вот тут видно по комментариям, что очередное обострение заражения этим вирусом буквально последние несколько дней:
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

Там же отчет одного пострадавшего, что никто никаких паролей для дешифровки не высылает, т.е. данные пропадают навсегда. Одна надежда, переписать их на отдельный носитель, и ждать пока лаборатории Антивирусов, расшифруют вашу версию вируса, что не всегда возможно, т.к. методы шифрования могут быть очень сложными.


 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 


Цитата:
Старший антивирусный эксперт компании KasperskyLab Сергей Ложкин рассказал, что в 2016 году главной угрозой для простых пользователей Интернета станут вирусы-шифровальщики. "Будет большой рост вирусов-шифровальщиков, так как сейчас это один из самых выгодных способов заработка денежных средств для кибер-преступников", — отметил он.


Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Sharp


Цитата:
Эксперты прогнозируют «разгул» вирусов-шифровальщиков в 2016 году

Раньше эти вирусы продавали единицам за немалые деньги, чтобы шантажироваит владельцев компаний для выманивания денег, а сейчас спонсируется огромное количество школ для киберпреступников, поэтому да, 2016 обещает быть жарким.

Выход есть, это переход на операционную систему Linux, количество пользователей которой растет достаточно быстро.
Есть много мнений в интернете, что на неё нет вирусов, на самом деле есть, но процесс заражения кратно меньше.
Сообщение оценили mobilesfinks (+1)

"Как вам кажется, хорошо ли я сыграл комедию своей жизни?"
                      (Октавиан Август)

Оффлайн Alex_OdessaАвтор темы

сейчас спонсируется огромное количество школ для киберпреступников


В связи с чем?

Выход есть, это переход на операционную систему Linux, количество пользователей которой растет достаточно быстро.


Или на макбук

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Мишаня

Я правильно понял, что нельзя открывать прикрепленный файл к письму? А если само письмо открыть, то ничего не будет?

Оффлайн Alex_OdessaАвтор темы

Я правильно понял, что нельзя открывать прикрепленный файл к письму? А если само письмо открыть, то ничего не будет?


Обрати внимание что в спаме когда заходишь например в яндекс почту, они блокируют присоединенные файлы: картинки, документы и т.п. И спрашивают, если ты доверяешь, то могут раскрыть эту картинку или файл прямо в браузерном почтовом клиенте. Поэтому если письмо не в спаме от неизвестного адреса, и к нему что-то присоединено, то на мой взгляд его даже открывать стремно в компе. Открой его лучше на планшете, или смарте, целее будешь.

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Sharp

В связи с чем?

В кризисное время преступность значительно возрастает + море айтишников с маленькими зарплатами + развитие киберпреступности естественным путем в связи с слишком маленьким процентом раскрываемости дел(+появление множества возможностей отмывания денег и их обращения), ну и возможность быстро и много заработать.

А мотивы профессионалов мне не ясны. Денег у них наворовано больше, чем можно потратить, но они раз за разом придумывают новые, более крупные проекты.

Может это и есть их призвание. Кто-то пикапом занимается, а кто-то ворует. И те, и другие развивают дело своей жизни. :)

"Как вам кажется, хорошо ли я сыграл комедию своей жизни?"
                      (Октавиан Август)

Оффлайн Alex_OdessaАвтор темы

море айтишников с маленькими зарплатами


Айтишники с нормальной квалификацией с отличными зарплатами. Остальное х.з., может и так  :)

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Sharp

море айтишников с маленькими зарплатами


Айтишники с нормальной квалификацией с отличными зарплатами. Остальное х.з., может и так  :)

Ну я просто много тем видел с чистосердечным признанием, мол "зарплаты низкие, поэтому ударился во все тяжкие" =))
А вообще, и неайтишников много. Зарплаты норм у тех, кто в больших городах живет. Большинство преступности растет на периферии.

"Как вам кажется, хорошо ли я сыграл комедию своей жизни?"
                      (Октавиан Август)

Оффлайн mobilesfinks

Выход есть, это переход на операционную систему Linux, количество пользователей которой растет достаточно быстро.

Поддержу. Уже больше 2-х лет на Линуксе. Работа в винде вызывает раздражение - нет многих удобных фишек, нужны антивирусы и многое другое.
Или на макбук

Мак тоже из мира Юникса с ядром от FreeBSD, поэтому однозначно ДА можно использовать. Только нужно учесть, что чем больше пользователей, тем больше внимание хакеров, к этой системе.
Линукс ещё, пока что, защищает достаточно небольшое количество используемых инсталляций (относительно винды и мака). Конечно большая часть серверов на *nix системах, но там чуть другие подходы в настройке системы чем у десктопов.

Жизнь это то, что случается с нами, пока мы строи планы на будущее.

Оффлайн Alex_OdessaАвтор темы

Очередная массовая атака вируса шифровальщика. На этот раз массово поразила компьютерные сети украинских компаний и организаций 27 июня:


Цитата:


Хакерская атака поразила компьютерные сети украинских компаний и организаций 27 июня. Среди жертв вируса Petya.A – банковская система, предприятия инфраструктуры, известные СМИ, автозаправки и тому подобное.

27 июня в Украине начались массовые хакерские атаки. Около 12-ти часов вирус-вымогатель неизвестного происхождения, похожий на WannaCry, атаковал компьютерные системы сотен госучреждений и компаний. Этот вирус называется Petya.A или mbr locker 256.

В Украине массовой хакерской атаке подверглись: банковская система (около 30 банков), система инфраструктуры (80% предприятий, подчиненных Министерству инфраструктуры), Кабмин, мобильные операторы, СМИ, предприятия энергетической сферы.

Кто попал под хакерскую атаку в Украине:

СМИ: медиахолдинг ТРК "Люкс" (24 Канал, радио "Люкс", Радио Максимум, Zaxid.net Без Табу); Укрїнський медиа холдинг ("Комсомольская правда в Украине", "Корреспондент", Football.ua); Черноморская ТРК; Телеканал AT; по некоторым данным – "Интер" и UA:Первый.

Банки: Ощадбанк, ПриватБанк, Восточный, ОТП, ПУМБ, ТАСКомерцбанк, Укргазбанк, Расчетный центр, Мега банк, Кристалл банк, Укрсоцбанк, Радабанк, Кредо банк, Idea банк, Юнисон, Первый инвестиционный банк, Кредит оптима, Траст капитал, Проминвестбанк, Реконструкции и развитие, Вернум, Глобус.

Предприятия энергетики: ДТЭК, Укрэнерго, Киевэнерго и другие.

Предприятия инфраструктуры: аэропорт "Борисполь", "Укрзализныця", Киевский метрополитен и другие.

Сети заправок: ОККО, ТНК, WOG, KLO

Мобильные операторы: Киевстар, Vodafone, Lifecell.

Медицина: компания "Фармак", клиника "Борис", по неподтвержденным данным, больница "Феофания".

Укрпочта, "Новая почта", Укртелеком, Сеть гипермаркетов "Эпицентр", ГП "Антонов", Киевводоканал, Укргаздобыча, Кабинет Министров Украины



Супермаркет в Харькове во время атаки вируса Petya.A 27 июня

Это далеко не весь список зараженных учреждений и компаний. Вирус распространяется очень быстро. Президентские компьютерные сети не попали под атаку. Несколько месяцев назад ИТ-команда АПУ отбила подобные атаки и провела соответствующие технологические мероприятия для закрытия потенциальных зон атаки.

После Украины вирус Petya.A начал заражать компьютерные сети в России (в частности "Роснефть" и некоторые банки), Франции, Великобритании, Испании, Индии, США. Таким образом, программа-вымогатель очень быстро распространяется по всему миру.

Как распространяется вирус?

Сотрудники атакованных учреждений рассказали, что им на почту примерно за час до массового отказа компьютеров приходили письма от неизвестного адресата с "левыми" ссылками. Заражение происходит, когда адресаты переходили по этой ссылке или скачивали неизвестные файлы.

(с)  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 


В результате вчера было нереально получить на Новой почте посылки отправленные наложенным платежом, также были проблемы с оплатой карточкой проезда в Киевском Метрополитене и т.п. платежи в других госучреждениях, веб-магазинах и т.п. Также были вынуждены выключить компьютеры на Чернобыльской АЭС и регулировать уровень радиации вручную. И все это в канун празднования Дня Конституции в Украине. И еще много пиздецов, про которые можно прочитать в инете.

Естественно, первым делом официальные власти Украины, обвинили в этой "атаке" - РФ. Теперь давайте разберемся, как предохранить себя от этого вируса, и кому сказать спасибо за эту "атаку".

Итак, что говорят специалисты про этот вирус:





НЕ МОЖЕТ БЫТЬ?  :o :o :o

Неужели речь идет об уязвимости MS17-010, которую нормальные пользователи давно должны были прикрыть, еще во время первых атак WannaCry? Даже я, еще 13 мая предупредил своих френдов вконтакте, чтобы устранили эту дыру в безопасности:



см.  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
см.  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

Вероятно именно эту весьма простую операцию имеют в виду украинские власти, когда пишут в СМИ:


Цитата:
Президентские компьютерные сети не попали под атаку. Несколько месяцев назад ИТ-команда АПУ отбила подобные атаки и провела соответствующие технологические мероприятия для закрытия потенциальных зон атаки.


Ну тогда Я ТОЖЕ ОТБИЛ АТАКУ!!! Я ТОЖЕ ГЕРОЙ! ГДЕ МОЯ МЕДАЛЬ?  ;D ;D ;D

Я тоже наравне с ИТ-командой АПУ отбил атаку и провел соответствующие технологические мероприятия для закрытия потенциальных зон атаки!!!  ;D ;D ;D И все мои подписчики такие же герои!!!

Однако вернемся к не-героям. Как так получилось, что вирусное заражение вирусом шифровальщиком произошло с сотней украинских госучреждений и коммерческих компаний? И правомерно ли обвинять в атаке РФ вместо собственной криворукости, жадности, воровитости и тупости?

Итак, каким образом и по какой причине произошло столь массовое заражение вирусом ключевых украинских предприятий, что местным радикалам-популистам захотелось назвать это громким словом АТАКОЙ на Украину?

1. Это значит, что на подвергшихся атаках компьютерах стоял НЕЛИЦЕНЗИОННЫЙ Windows с заблокированным автоматическим обновлением (что как бы очень говорит вообще об Украине как стране, где банки, метро, авиа-кассы и даже АЭС пользуются ворованным софтом)
2. Это значит, что данные самые богатые украинские предприятия привыкшие воровать и деребанить денежные средства населения (банки, транспортные и энергетические компании - см. списки выше) - экономят не просто на лицензионной винде, не только на сетевой безопасности, а на элементарном сисадмине, который должен минимально обеспечивать безопасность и ставить подобные заплатки вручную, когда винда ворованная.

Однако ко всем этим бедам, можно добавить еще парочку. Один из вероятных путей, которым произошло заражение, это еще один непрофессиональный пиздец..


Цитата:
Вирусная атака на украинские компании возникла из-за программы "M.E.doc." (программное обеспечение для отчетности и документооборота), которая начала использоваться вместо "1С" (экономические санкции, введенные президентом Петром Порошенко, распространяются на известную компанию-поставщика ERP-систем "1С"). Об этом сообщает Киберполиция на своей страничке в фейсбуке. В "народе" говорят, что проблемы с хакерскими атаками на украинские сайты начались в конце мая, когда все перешли с 1С на национального производителя. Именно тогда программисты и забили тревогу. На профильных сайтах они писали, что вирус проникал через эту программу. В Киберполиции порекомендовали временно не применять обновления, которые предлагает программное обеспечение "M.E.doc." при запуске.

(с)  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 


В общем спасибо украинским санкциям против нормального ПО, типа 1С, Касперского, Др.Веба, сервисов Яндекса, вконтакте и т.п.

Второй из известных путей заражения это открытие из почты документов такого вида:



(с)  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

В общем, как и раньше, могу посоветовать пользуясь айфоном или айпадом, открывать документы от неизвестного адресата почты - там.

КАК ПРЕДОХРАНИТЬСЯ ОТ ЭТОГО ВИРУСА

И понять, нет ли у вас заражения компьютера этой дрянью.
Наверное это самые важные вопросы.

Итак, если у вас нелецензионная винда и вы не помните ставили ли вы заплатку от уязвимости  Ссылка только для зарегистрированных пользователей   Регистрация   Вход , которую я рекомендовал ставить еще 13 мая, все нижеследующее особенно актуально:

1. Проверьте свои TCP-порты 1024–1035, 135, 139 и 445 по ссылке  Ссылка только для зарегистрированных пользователей   Регистрация   Вход , они должны быть закрыты:

 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

Если нет, в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445 и остальные.

2. Пока не схлынет паника от этого заражения, и не найдут средство лечения, постарайтесь не перегружать свой комп, а лучше ставьте его на гибернацию (режим сна) - так надежней, т.к. вирус активируется перезагрузкой.

3. Создать в папке C:\Windows три текстовых документа. И потом их переименовать так:

perfc.dll
perfc.dat
perfc

После чего сделать их доступным только для чтения (кликнуть на файл правой кнопкой мыши "Свойства", и выбрать "Атрибуты: Только чтение")

(с) простой рецепт от:  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

4. Потом когда средство лечения будет найдено (и можно будет без опасений перегружать комп) обновите антивирусы и их базы и поставьте заплатки на свою нелицензионную винду, которые рекомендуются например здесь:  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

(К последней ссылке почитайте комменты - жгут!)

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн gbvgtw

Я не особо разбираюсь, поэтому я правильно понимаю - если не открывать незнакомые мейлы, ничего не скачивать - то не будет заражения?

З,Ы. С удивлением узнала, что у меня, вероятно, лицензионная винда. Обновления приходят на неё. Причем неск дней назад появилось новое обновление, но мне было некогда перегружать комп - я не обновляла. А вчера обновление не происходило - висел красный фонарь, когда пыталась начать. Сегодня обновление прошло, но пока не перегружала комп.

Оффлайн Bennedikt

Я не особо разбираюсь, поэтому я правильно понимаю - если не открывать незнакомые мейлы, ничего не скачивать - то не будет заражения?

Нет, не правильно. Заражение возможно без участия пользователя.


Sapere aude

Оффлайн Alex_OdessaАвтор темы

Нет, не правильно. Заражение возможно без участия пользователя.

Это как?

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Bennedikt

Это как?

Если не влазить в технические детали, то у операционной системы, которую никто специально, со знанием дела, не настраивал, из коробки работает много разного функционала, служб и сервисов. Например, сервисы и службы отвечающие на запросы других ПК сети. Запросы вида - "привет, чё как? Какие папки у тебя открыты, а операционка какая, а заходить удаленно на тебя можно?" И более специфические службы/сервисы/протоколы.

Они являются кодом, позволяющими удаленно писать/читать файлы, запускать процессы, а значит - являются заманчивым вектором атаки.

Например, Petya, как и WannaCry, использует уязвимость протокола Server Message Block,  протокола реализации "пользовательского" функционала сетей на Винде, вроде совместного использования файлов и принтеров. Это делает возможным инфицирование ПК без участия пользователя.  Потому так много жертв.

От сети провайдера ты защищен лишь роутером. В зависимости от осознанности администратора/владельца компьютера, набор базово открытых портов, а значит, степень выставленности собственной задницы в интернет - варьируется.

Атака WannaCry производилась на 445 порт. По идее, при нормальной игре, роутер не пускает на ПК всякую
такую активность из внешних сетей. Но... некоторые любят всякое открывать. А вот во внутренней сети он, по-умолчанию, все и всем отправит без фильтрации. На винде же 445 порт открыт по-умолчанию. Потому в сети большой компании, достаточного одного дяди, который нарушит правила и занесет заразу на свой ПК, заражение пойдет по остальным узлам сети, когда вредоносный код начнет стучаться по всем братишкам, каких найдет.


Разумеется, это не единственный вектор атаки, какой можно придумать. Есть много возможностей.

А так - пришел в кафешку, набитую хипстерами, у них у всех все открыто. А у кого-то  в руках зараженный ноут. И по файфай разнес заразу. В общем, тут все, как в анекдоте.

Юный и опытный админы обслуживают сетку:
Юный: Шеф! У нас дыра в безопасности!
Опытный: ... хоть что-то у нас в безопасности ...

Посты склеены: 28 Июня 2017, 17:46

В гос учреждениях же, особенно важно-режимных и т.п. имеет место быть следующий прикол. Доступ в интернет закрыт полностью. Так сказать, ради безопасности.

А сотрудники таскают флешки из дома на работу, между собой и т.п. Таким образом, занося в сетку с заведомо более низким качеством безопасности (а что может случиться, интернетов то нету!) - всякая сифозина попадает.

Все эти заражения - чья-то халатность.
Сообщение оценили Alex_Odessa (+1), UKS (+1), Бумеранг (+1)

Sapere aude

Оффлайн Alex_OdessaАвтор темы

Bennedikt

Ого! Спасибо за подробности.

Ну вот у меня все равно упомянутые порты закрытые включая 445. Это из-за заплатки MS17-010? Или нет? Эта заплатка по автоматическому обновлению раздавалась лицензионным пользователям? Я прав что у того, кто заразился стоит нелиценизонная винда? Или во внутренней сетки предприятия этот порт (и другие)  намеренно открыт?

То, что достаточно во внутренней сетке предприятия (или в общем вай-фай с компа на комп) иметь одну паршивую овцу чтобы всем поймать заразу, я это понимал, но в полной мере технически не совсем представляю.

Анекдот - норм )))

Так что, ты все таки считаешь что атака могла быть спланирована на конкретную страну и предприятия? Ну судя по письмам с вирусом похоже конечно на конкретную нацеленность на коммерческий сектор.

Вообще я думал что такие вирусы рассылаются тупо везде где угодно, но учитывая то, что большие внутренние сетки предприятий более уязвимы (ты описал причины) то легче и удобней для заработка рассылку делать по коммерческому сектору. И неужели реально специально ломанули и заразили ME.doc и через его обновления разослали вирусы его пользователям?

Вообще конечно больше похоже на политическую атаку чем коммерческую. Дата к Украинскому Дню Конституции. На Украинском языке деловое письмо с вирусом. И ломаный ME.doc. Плюс очень быстро заблокировали в Германии почту злоумышленников, получается что способ связи с теми кто берет бабки за дешифровку - потерян, и нет смысла бабки слать злоумышленникам. Все что они успели заработать (по блогчейну определили) это 2,5 тыс долларов. Негусто для такой обширной атаки.

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Bennedikt

Ну вот у меня все равно упомянутые порты закрытые включая 445. Это из-за заплатки MS17-010? Или нет? Эта заплатка по автоматическому обновлению раздавалась лицензионным пользователям? Я прав что у того, кто заразился стоит нелиценизонная винда? Или во внутренней сетки предприятия этот порт (и другие)  намеренно открыт?

Закрытый порт, посредством настроек брендмауэра - это просто закрытая дверь для входа. Заплатка, насколько мне известно, не трогает порт, т.к. он нужен для нормальной работы сетей, сервис просто патчит. Чтобы снаружи нельзя было, благодаря уязвимости, запустить какой-то код на машине.

Лицензионность винды бессмысленна сама по себе. Важна оперативная установка обновлений безопасности. Вручную ли, автоматически ли. Если пользователь месяцами не перезагружает ось, то обновления уровня ядра не могут быть установлены даже не самой лицензионной Винде.

Атака могла быть направлена и на конкретную страну и на конкретную инфраструктуру. Цель не всегда выкуп.

Например, атака wannacry существенно вздернула цену на биткоин. Ну и не все всегда очевидно.

К сожалению, при правильной игре отследить атакующего крайне сложно. Потому о точных его замыслах сказать трудно.

Sapere aude

Оффлайн Alex_OdessaАвтор темы

Цитата Хабра:


Цитата:
Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.

Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5).

(с)  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 


Признаю, я был не прав, выше.. Атака реально была самой масштабной в истории. И не смотря на лицензионный виндоус и норм. техподдержку, и все принятые меры безопасности, все равно уберечься от нее не удалось. Позже закину еще версий про ее происхождение.

Еще цитата:


Цитата:
Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

(с)  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 


UPD1 Дополню рекомендациями по безопасности:

1. В зависимости от версии ОС Windows  Ссылка только для зарегистрированных пользователей   Регистрация   Вход  (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 
 — для  Ссылка только для зарегистрированных пользователей   Регистрация   Вход 

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно  Ссылка только для зарегистрированных пользователей   Регистрация   Вход .

2. Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)

Вы можете скачать  Ссылка только для зарегистрированных пользователей   Регистрация   Вход  и  Ссылка только для зарегистрированных пользователей   Регистрация   Вход .

3. Отредактировать блокнотом файл hosts, чтобы заблокировать ряд вирусных запросов к ресурсам в сети Интернет

Добавив:

127.0.0.1 84.200.16.242
127.0.0.1 84.200.16.242/myguy.xls
127.0.0.1 french-cooking.com/myguy.exe
127.0.0.1 111.90.139.247
127.0.0.1 COFFEINOFFICE.XYZ

В OS Windows 95/98/ME вы найдете hosts-file в : C:\WINDOWS\hosts
В OS Windows NT/2000 вы найдете hosts-file в: C:\WINNT\system32\drivers\etc\hosts
В OS Windows XP/2003/Vista/7/8 вы найдете hosts-file в : C:\WINDOWS\system32\drivers\etc\hosts



Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Оффлайн Bennedikt

Мои спецы утверждают, Petya уничтожает данные, платить бессмысленно. В коде генерации ID для расшифровки есть ошибка)))

Sapere aude

Оффлайн UKS


1. Это значит, что на подвергшихся атаках компьютерах стоял НЕЛИЦЕНЗИОННЫЙ Windows с заблокированным автоматическим обновлением (что как бы очень говорит вообще об Украине как стране, где банки, метро, авиа-кассы и даже АЭС пользуются ворованным софтом)
2. Это значит, что данные самые богатые украинские предприятия привыкшие воровать и деребанить денежные средства населения (банки, транспортные и энергетические компании - см. списки выше) - экономят не просто на лицензионной винде, не только на сетевой безопасности, а на элементарном сисадмине, который должен минимально обеспечивать безопасность и ставить подобные заплатки вручную, когда винда ворованная.

не так. В учреждениях стоят часто лицушные винды, но там отключаются авто-обновления т.к. обновления не редко могут на пустом месте ламать винду или делать неработоспособными старые приложения.

Админам проще отключать обновляшки чем потом бегать после очередного обновления и делать откат на каждой машине.

В подобных учреждениях, ведь, в основном десктопные версии винды стоят. Вот, например, стояла бы что-то вроде win10 LTSB -- тогда проблем бы было значительно меньше. Т.к. эта редакция винды собирает только критические обновления а так же обновления которые прошли тестирование на других редакциях винды.

Окроме того, ты забываешь что в рамках некоего офиса настроенная не редко очень сложная техническая система ПО(связанного между собой), которая будет работать исключительно на связке именно этих конкретных версий ПО. Обновляешь одну програму -- и все перестает нахрен работать. Ставишь винду по-новее -- и все перестает работать.

Не все всегда так просто как кажется :)

Но в целом -- в важных структурах должны быть бекапы. Хотя бы раз на неделю подключатся должен внешний винт или, лучше, NAS (что-то вроде системника с кучей винчестеров на который не ставится винда, а с которым работаешь по сетке) и делатся бекап, а потом отключатся. И должно хранится минимум 2 бекапа за разное время. Эдинственная мера безопасности которая гарантирует сохранность данных.
Ни одно другое действие тебе этого не гарантирует. Ни на одной операционной системе.

Посты склеены: 30 Июня 2017, 08:12


Признаю, я был не прав, выше.. Атака реально была самой масштабной в истории. И не смотря на лицензионный виндоус и норм. техподдержку, и все принятые меры безопасности, все равно уберечься от нее не удалось. Позже закину еще версий про ее происхождение.

Да все просто. Медок и виноват :)

даже были случаи заражения 10тки со всеми современными обновлениями через медок. Так что все логично.

Посты склеены: 30 Июня 2017, 08:19

Все написанное Беном так же поддерживаю.

Я сейчас не в Украине, так что сам подключился к домашнему компу и на всякий случай отключил сетку на нем. Вернусь -- буду уже игратся. Хотя у меня в домашней сетке только я и я уже предостерегался от WannaCry. Но мало ли)
Мне сцикотно что несколько терабайт нужных мне данных могут пойти коту под хвост, а бекапов у меня тупо нет т.к. нету на что делать в таком обьеме)

Если река окрасилась в красный цвет -- иди грязной тропой.

Оффлайн Alex_OdessaАвтор темы

Окроме того, ты забываешь что в рамках некоего офиса настроенная не редко очень сложная техническая система ПО(связанного между собой), которая будет работать исключительно на связке именно этих конкретных версий ПО. Обновляешь одну програму -- и все перестает нахрен работать. Ставишь винду по-новее -- и все перестает работать.

Спасибо! Познавательно. И я уже тоже вчера на хабре начитался сис-админов насколько сложнее обеспечить именно коллективную безопасность, что вопросы безопасности находятся зачастую в оппозиции к вопросам удобства пользователей..

Но в целом -- в важных структурах должны быть бекапы.

Да, по всей вероятности, это самый приемлемый способ защиты данных. С точки зрения удобства использования, чтобы не заблокировать вообще все на компе внутри сети, что вообще воспрепятствует нормальной работе предприятия. А к домашнему компу, можно применять самые драконовские меры, в общем-то..

Да все просто. Медок и виноват

Ну да )) Но они же, суки, все отрицают!

А вообще это пипец конечно.. Типа из опасения атаки из РФ отключили 1С, и прочие рос. сайты и сервисы, а тем самым напротив открыли двери для такой атаки, из-за дырявого дрянного отечественного софта. Хотя как раз софт украинцы вполне могут писать качественный, но все упирается в финансирование.. Но в любом случае эта атака говорит о том какие папуасы сидят у нас наверху, что за дурацкие, недальновидные и непродуманные решения они принимают, и куда нас ведут.

Правда имеется мнение, что атаку могли организовать и местные олигархи, включая "шоколадного батона" (которого уже ловили на попытке ухода от налогов в офшорную зону), чтобы уничтожить бухгалтерию, под предлогом, атаки вируса. И потом списать "черные" прибыли, особенно когда их поставит западное общество в прозрачные условия борьбы с коррупцией, отказаться предоставлять необходимые данные  ;)

Теперь можно нашим депутатам по поводу поданных е-деклараций, на счет источника получения средств, говорить что дескать всю отчетность "откуда бабки взялись" - вирус покосил. Очень удобно узаконить любые ворованные суммы.

Консультации по соблазнению и отношениям, возврат бывших

Мы не потому не осмеливаемся, что трудно. Трудно оттого, что мы не осмеливаемся

Новые СТАТЬИ - из раздела БЛОГИ


 

Поиск