Якщо немає доступу в інет, то цим ніхто не переймається.А есть какие-то политики\правила про обновления паленых?
Ну то тепер мо почнуть..то цим ніхто не переймається.
Як він туди потрапить? Хіба що на флешці, в обхід Відділу інформаційної безпеки. А це такий зальот, ще гірший, ніж ядрьона бомба. Це як мінімум стаття за несанкціонований доступ.Ну то тепер мо почнуть..
Похоже вот основная причина заражения даже там, где вроде как следят.a520 27 июня 2017 в 21:03 0
нет, боятся всегда есть чего. У нас «МЕДОК» несколько недель назад отказался запускаться после обновления, как вариант решения проблемы в их поддержке рекомендовали запустить службу от имени администратора домена. И вот сегодня все доменные компьютеры зашифрованы, а несколько не доменных в порядке. Все доступные обновления были установлены.
ну если скада под виндой, то да
p.s. у нас зараза приползла из корпоративной локалки с инетом (там где служба ит-безопасности, групповые полиси итд итп) в нашу сеть асутп через веб-сервер винсиси, который смотрит в обе сети ((
Сименс.Я сижу на вандервар , вчера только на внутреннюю сеть для plc оптику провели . Стремно - вдруг прокралось и ждет своего времени . И вопрос не по теме - Вы асутпшник?)
Вот и подтверждения насчет M.E.Doc... это просто пипа..
UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)
ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.
После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat
Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST
После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
Далее создание файла: dllhost.dat
Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
Источник
Вот и подтверждения насчет M.E.Doc... это просто пипа..
UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)
ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.
После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat
Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST
После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
Далее создание файла: dllhost.dat
Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
Источник