Вирусы-вымогатели

Реєстрація
29.05.09
Місто
Kyiv
Телефон
Samsung A72
ПотапаПапа, такие чуваки познаются в беде :D
офф:
А налоговую отчетность ты как ведешь? Полностью аутсорсный бухгалтер?
 

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
Maxxx, да вот не мог. Есть какие то предложения? Я выслушаю.

Добавлено через 1 минуту
ПотапаПапа, такие чуваки познаются в беде :D
офф:
А налоговую отчетность ты как ведешь? Полностью аутсорсный бухгалтер?

Да. Есть второй чел. Он полностью всё ведёт, я только успеваю отлистывать бабосы.
 
Останнє редагування:

Qwertивый

Заблокирован
Реєстрація
04.10.08
Місто
Київ
Телефон
SL45i :)
Вірус Nyetya, він же Petya, зачепив чимало компаній. Cisco виявила, як він отримав доступ до даних і що вкрав з комп'ютерів. Компанія встановила: вірус лише маскувався під здирника грошей, насправді він був руйнівником.

День 27 червня 2017 року почався для команди Talos, підрозділу Cisco, що аналізує загрози інформаційній безпеці, з повідомлення від співробітників в Україні. Вони просили про допомогу: відбулася масована атака з використанням програм для вимагання викупу — ransomware.
Зловмисники поширили свій код серед комп'ютерних систем користувачів найпопулярнішого в Україні програмного забезпечення для бухгалтерської звітності. Вони вирішили використати цю вразливість для шифрування критичних файлів та жорстких дисків без можливості дешифрування.

З моменту атак Black Energy наприкінці 2015 року Talos співпрацює з публічними та приватними організаціями в Україні в рамках протидії кібернетичним нападам.

Раніше Talos уже доводилося допомагати організаціям, проти яких були вжиті деструктивні заходи. Тоді до системи внесли шкідливий код для знищення даних, схожий на Black Energy. Однак після його блокування зловмисники повернулися до варіанту ransomware, намагаючись перешкодити діяльності організацій.

Пам'ятаючи про останній випадок, фахівці майже одразу зрозуміли: події, які відбуваються цього разу, є чимось більшим, ніж звичайна ransomware-атака.

Із самого початку стало зрозуміло: хоча більшість попередніх випадків були в Україні, під вплив шкідливого ПЗ потрапили організації, які не мали прямого зв'язку з цією країною. Через вочевидь великий масштаб події дослідники й інженери Talos з усього світу об'єдналися для боротьби з новою загрозою.

Атака
Було з'ясовано, що центром активності стало українське бухгалтерське програмне забезпечення M.E.Doc. Як і у випадку з WannaCry, були повідомлення про поштовий вектор атаки. Talos зробив висновок, що при поширенні шкідливого коду Nyetya всі інсталяції були отримані через систему апдейтів M.E.Doc.

M.E.Doc — популярне програмне забезпечення, створене українською компанією "Інтелект-сервіс". Програма використовується для взаємодії з українськими податковими системами. На момент виявлення джерела загрози фахівці мали змогу зв'язатися з розробниками M.E.Doc та запропонувати їм допомогу.

У M.E.Doc пристали на цю пропозицію. В рамках глобальної реакції Cisco на подію ввечері 29 червня до України прибули два фахівці Cisco з реагування на інциденти. Ще один фахівець підтримував розслідування з Великої Британії.

Співробітники M.E.Doc надали доступ до своїх інженерів та адміністраторів, які ознайомили команду з системою та надали доступ до лог-файлів і коду. Вони також погодилися поділитися результатами дослідження.

У кожному дослідженні Cisco в будь-якій точці світу команді реагування надається спеціальний ресурс Talos для координування аналізу даних, залучення реверсивної інженерії та аналізу телеметрії. При цьому дві команди працюють одночасно. Такий досвід був повною мірою використаний і в цьому випадку.

На ранньому етапі дослідження було виявлено шкідливий скрипт за адресою http://www.me-doc[.]com[.]ua/TESTUpdate/medoc_online.php. Часова позначка файлу — 31 травня 2017 року, 14:45. Як тільки команда з реагування отримала доступ до логів і додаткових даних, їх завантажили до Talos.

Це відкрило 24-годинний цикл, і коли в Україні настав вечір, команда реагування Cisco розповіла Talos про результати. Коли українці збиралися на роботу, Talos уже брифував команду реагування Cisco, звітуючи про свої нічні знахідки.

Майже одразу були визначені індикатори проблеми. Під час брифінгу о третій ранку 1 липня команда Talos проаналізувала ключові докази, знайдених у логах.

Фахівці виявили, що невідомі зловмисники викрали облікові дані адміністратора M.E.Doc. Вони увійшли на сервер, отримали root-привілеї та переконфігурували сервер NGINX так, що будь-який трафік до upd.me-doc.com.ua перенаправлявся у режимі проксі через апдейт-сервер до хоста з IP-адресою 176.31.182.167.

Подальше дослідження виявило, що цей сервер був стертий того ж дня о 19:46 UTC (всесвітній координований час). Також спеціалісти побачили маркери періоду активної фази інфікування: з 9:11:59 UTC до 12:31:12 UTC. Поза межами цього часового проміжку нові випадки інфікування організацій не були помічені.

27 червня о 12:33 UTC зловмисники повернули конфігурацію NGINX до її оригінального стану. Крім цього, залишився лише один вартий уваги індикатор — латвійська IP-адреса, яка від'єдналася від системи о 2:11:07 UTC.

У M.E.Doc підтверджують, що ні використаний зловмисниками сервер, ні ця IP-адреса не мають жодного стосунку до їхньої компанії.

На цьому етапі фахівці зрозуміли, що зловмисники отримали доступ до більшої частини мережі та систем M.E.Doc за допомогою компрометованих облікових даних. Нез'ясованими залишалися питання, що вони робили під час контролю сервера оновлень і як було надіслано шкідливе програмне забезпечення.


"Діра" для витоку даних
Зараз фахівці Cisco уже можуть підтвердити висновок розробника антивірусів ESET: до програмного забезпечення M.E.Doc було внесено бекдор — дефект алгоритму, який дозволяє отримати несанкціонований доступ до даних. Він дозволив зловмисникам збирати дані, завантажувати і виконувати довільний код.

Завдяки бекдору код "витягує" з інфікованих комп'ютерів назву та ЄДРПОУ кожної організації, а також пароль проксі-сервера, SMTP-хост, ім'я користувача, паролі та email-адреси. Для надсилання цієї інформації він кожні дві хвилини зв'язується з адресою http://upd.me-doc.com.ua/last.ver?rnd=<GUID>.

Що далі
Для початку слід зібрати всю інформацію. Раніше Talos спостерігав зловмисників, які націлювалися на українські установи, намагаючись використати вайпер Black Energy для знищення даних, а у випадку невдалої спроби переходили на варіант з вірусом-здирником.

Фахівці також з високою імовірністю встановили, що наміри зловмисників, які стоять за Nyetya, руйнівні, а не економічно вмотивовані. Тобто напад був виконаний не заради вимагання грошей, а з руйнівними цілями.

Коли спеціалісти підтвердили, що вектором інсталяції був M.E.Doc, стало зрозуміло, що цілями атаки були Україна й організації, які ведуть тут бізнес. Напад був великим: кіберполіція підтверджує понад 2 тис компаній, що постраждали.

Команда Cisco з дослідження та ліквідації загроз занепокоєна тим, що зловмисники під час атаки "спалили" значний ресурс. Вони скомпрометували як свій бекдор у програмному забезпеченні M.E.Doc, так і здатність маніпулювати конфігурацією сервера оновлень.

Це означає, що вони відмовилися від можливості доставляти довільний код у 80% українських компаній, які використовують M.E.Doc як бухгалтерське ПЗ. Це істотна втрата оперативного потенціалу. З цього можна зробити висновок: скоріш за все, зловмисники мають або можуть легко отримати аналогічні можливості.

Виходячи з цього, Talos радить обережно ставитися до програмного забезпечення, подібного до M.E.Doc, та інших систем в Україні, оскільки вони є пріоритетними цілями для осіб, які реалізують загрози високого рівня виконання.

Для захисту фахівці рекомендують надавати таким системам окрему мережеву архітектуру, постійно моніторити ці системи на предмет загроз, надавати їм такий рівень доступу, який абсолютно необхідний для ведення бізнесу.

Патчі та оновлення повинні бути пріоритетними для цих систем. Клієнтам рекомендовано перейти на Windows 10 відповідно до інструкцій від Microsoft. Додаткові вказівки щодо базової лінії безпеки мережі також доступні на сайті Cisco.

Метт Олні, менеджер відділу аналітики і розробки Talos Threat Intelligence
Ів Йонан, старший інженер-дослідник в Talos Security Intelligence and Research Group в Cisco
Девід Мейнор, технічний директор Cisco Talos
Олександр Ніколіч, учасник команди Cisco
(c)
 

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e

Вкладення

  • заказ2.jpg
    заказ2.jpg
    93.6 КБ · Перегляди: 126
Реєстрація
19.03.16
Місто
Одесса
Ну вот, скоро вирусы будут не страшны ;)

В среду компания Microsoft объявила, что облачное хранилище OneDrive получит полную поддержку функции под названием «История версий». Раньше эта возможность относилась исключительно к файлам приложений Office, но теперь станет доступной для всех форматов. Это означает возможность отменить изменения при редактировании изображений, видео, файлов формата PDF и других типов.

Оригинал новости iGeek.ru:
http://igeek.ru/novosti/internet/47...rive-vyjdet-letom-dlya-vsex-tipov-fajlov.html
 
Реєстрація
03.06.14
Місто
Киев
вот что-то мне подсказывает, что между вирусом и новостью от мелкософта (а так же их заявления во время ванкрая) есть некая связь....
 
Реєстрація
09.12.13
Місто
Хмельницкий
Телефон
redmi note 13
А противоядие от этого дела уже есть (кроме создания пустого файла)? С другими сервисами сдачи отчетности (кроме медка) все в порядке? Иначе подхватить это дело, только через собственноручно закаченный файл?
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Если коротко: резервные копии важных файлов.

Только забыл добавить - на физически (логически) отключенных (разделенных) носителях. Кто имел копии на разных физических носителях, но одновременно подключенных к системе - тоже их потеряли.
 
Реєстрація
09.12.13
Місто
Хмельницкий
Телефон
redmi note 13
Только забыл добавить - на физически (логически) отключенных (разделенных) носителях. Кто имел копии на разных физических носителях, но одновременно подключенных к системе - тоже их потеряли.
Т.е если я перетяну файл из виндовс в линукс находящемся на одном и том же физическом диске, так же есть шанс потерять этот файл?
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Вик Влад, если Виндовс имеет доступ к файловой системе Линукса (например, через ext2fsd) - конечно потеряешь. Если нет, то можешь быть спокоен. Только вот крайне неудобно будет каждый раз грузиться в Линукс, чтобы скопировать файлы, все вручную и, как показывает практика - это очень быстро надоедает пользователю, со временем никто уже бекапы не делает. Должно быть автоматом.
 

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
А чё люди так усложняют? почему бы просто не заливать в облако, в тот же гуглдиск, например?
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
ПотапаПапа, Гуглдиск тут же подметет "шифрованные" версии файлов к себе на облако, и останешься с тем же болтом, но только в облаке.. :) Ну и еще объемы облаков не всех устраивают, а платить за доп место мало кто хочет. Да и если посчитать, за год-два купленного места на облаках, окупится локальный бекап-сервер (не говоря уже про тупо внешний диск).
 

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
Гуглдиск тут же подметет "шифрованные" версии файлов к себе на облако, и останешься с тем же болтом, но только в облаке..
стояночка. Ну подметёт. Ну хрен с ним. А предыдущий бекап чего не взять и не заюзать?
И второе - а шо это за бекапы такие, шо 15гигов гуглдрайва не хватит??? :eek: Это шо - люди порноархивы бекапят шоле???
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
А предыдущий бекап чего не взять и не заюзать?

Откуда он там возьмется? Ну только не берем во внимание ручное копирование, тут уже ничем не отличается от флешки, разве что вынимать не нужно.

И второе - а шо это за бекапы такие, шо 15гигов гуглдрайва не хватит??? :eek: Это шо - люди порноархивы бекапят шоле???

У средней и даже мелкой фирмы - документация, базы, скан-копии и т.д. часто и куда поболее будет.
 

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
Откуда он там возьмется?
поясни вот это вот. Я чёто не догоняю...
Насколько мне известно (ну некоторое время бекапы моей базы 1С делались у меня на серваке и я их вижу) - это несколько файлов (примерно одинаковых) с названиями типа "21.06.2017ххх", "22.06.2017ххх", "23.06.2017ххх". Я так понимаю заливаются каждый день файлы, а когда места мало - то старые удаляются. Где тут западло то?
 
Реєстрація
09.12.13
Місто
Хмельницкий
Телефон
redmi note 13
Вик Влад, если Виндовс имеет доступ к файловой системе Линукса (например, через ext2fsd) - конечно потеряешь. Если нет, то можешь быть спокоен. Только вот крайне неудобно будет каждый раз грузиться в Линукс, чтобы скопировать файлы, все вручную и, как показывает практика - это очень быстро надоедает пользователю, со временем никто уже бекапы не делает. Должно быть автоматом.
Т.е если сам не поставил ext2fsd то можно быть спокойным?
Только вот крайне неудобно будет каждый раз грузиться в Линукс, чтобы скопировать файлы, все вручную и, как показывает практика - это очень быстро надоедает пользователю, со временем никто уже бекапы не делает. Должно быть автоматом.
Согласен неудобно. Но как показывает практика иногда полезнее потерпеть неудобства чем потом чесать затылок. Тем более когда пользователь сам.
 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
ПотапаПапа, возможно, это сервак делал копии, и это правильно, это спасет от глюка самой базы, от физического повреждения диска - но если вирь уже попал на сервак - он грохнет (зашифрует) одним скопом и оригиналы, и эти копии. Сами угрозы поменялись (точнее - добавились новые), а методы резервирования оказались для этого не готовы (не достаточны).

Добавлено через 1 минуту
Т.е если сам не поставил ext2fsd то можно быть спокойным?

Да, можешь спать спокойно.

Тем более когда пользователь сам.

Иной прилежный пользователь может и от руки в блокнот переписывать содержимое файлов, тут железно вирус не пройдет.. :D Если ты сам будешь ручками копировать на Линух - ок, это очень надежно, но твой пример не подходит для 99% рабочих мест.
 
Останнє редагування:

ПотапаПапа

ОстапаПапа
Реєстрація
07.05.11
Місто
Черновцы
Телефон
Samsung Galaxy S10e
ПотапаПапа, возможно, это сервак делал копии, и это правильно
ну вот если лить такие копии на гугл диск - то потом можно взять предпоследнюю (перед упоротой петей) и использовать её. не?
 
Зверху