Вирусы-вымогатели

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
Прапорщик, у тебя, насколько я помню, гос.организация, правильно? Тоже паленые винды или не следите за обновлениями у юзеров?
 

GAS

Бесарабський бандерівець
Команда форуму
Реєстрація
11.09.14
Місто
Рені
Телефон
Xiaomi 14T
plebis, правильно. Половина палёных, половина лицух. Лицензионный 5-й НОД с обновлением внутри сети из Одессы, сеть корпоративная, выхода в инет нет. Ну здесь тот случай, когда лучше перебдеть.
 

plebis

why so serious?
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
OnePlus 10 pro
Аа, т.е. у вас проблемы еще нет. Про перебдеть отдельный +1. А есть какие-то политики\правила про обновления паленых? Уже второй раз бьют по голове.
 

Кочевник

Ховрах-Терорист
Команда форуму
Реєстрація
30.01.08
Місто
Київ, Львів
Телефон
Sams Note 20 Ultra + S8
Реєстрація
12.12.10
Місто
Київ
Телефон
MI MAX3 КС Все разом лайт
Re: Вирус-вымогатель @WanaDecriptor атаковал ПК. А как вы защищаете свои данные?

Stiv, У быкотека специалисты, ну-ну.
 

Кочевник

Ховрах-Терорист
Команда форуму
Реєстрація
30.01.08
Місто
Київ, Львів
Телефон
Sams Note 20 Ultra + S8
Ну то тепер мо почнуть..
Як він туди потрапить? Хіба що на флешці, в обхід Відділу інформаційної безпеки. А це такий зальот, ще гірший, ніж ядрьона бомба. Це як мінімум стаття за несанкціонований доступ.
 

Disabled

FCDK
Команда форуму
Реєстрація
26.10.07
Місто
Київ
Телефон
SM-A525FZKI
https://geektimes.ru/post/290525/#comment_10157391
a520 27 июня 2017 в 21:03 0


нет, боятся всегда есть чего. У нас «МЕДОК» несколько недель назад отказался запускаться после обновления, как вариант решения проблемы в их поддержке рекомендовали запустить службу от имени администратора домена. И вот сегодня все доменные компьютеры зашифрованы, а несколько не доменных в порядке. Все доступные обновления были установлены.
Похоже вот основная причина заражения даже там, где вроде как следят.
 

GAS

Бесарабський бандерівець
Команда форуму
Реєстрація
11.09.14
Місто
Рені
Телефон
Xiaomi 14T
Своим юзершам я флешки давно строго-настрого запретил. Медком у нас в районе перестали пользоваться с 1 апреля. Теоретически мог бы по корпоративной сети из другого района или из Одессы перейти, но вроде везде всё чисто - думаю, проявился бы вирь, если бы была зараза.
 
Реєстрація
08.01.13
Місто
Костопіль
Телефон
Samsung j7 2017
Re: Вирус-вымогатель @WanaDecriptor атаковал ПК. А как вы защищаете свои данные?

ну если скада под виндой, то да
p.s. у нас зараза приползла из корпоративной локалки с инетом (там где служба ит-безопасности, групповые полиси итд итп) в нашу сеть асутп через веб-сервер винсиси, который смотрит в обе сети ((

Сименс.Я сижу на вандервар , вчера только на внутреннюю сеть для plc оптику провели . Стремно - вдруг прокралось и ждет своего времени . И вопрос не по теме - Вы асутпшник?)
 
Реєстрація
28.07.13
Місто
Харків
Харьков, Рост

 

Maxxx

420244
Реєстрація
01.12.08
Місто
Київ
Телефон
iPhone 12 Pro Max
Вот и подтверждения насчет M.E.Doc... это просто пипа..

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Источник
 

vlad_g

Старший ухилянт
Реєстрація
06.11.09
Місто
(Маріуполь) -> Кривий ріг
Телефон
POCO M5
Re: Вирус-вымогатель @WanaDecriptor атаковал ПК. А как вы защищаете свои данные?

Сименс.Я сижу на вандервар , вчера только на внутреннюю сеть для plc оптику провели . Стремно - вдруг прокралось и ждет своего времени . И вопрос не по теме - Вы асутпшник?)

ну да, а что?
зы.мож в личку?
 

wolf2606

Познающий
Реєстрація
01.04.10
Місто
Днепр
Телефон
Samsung Galaxy S7 EDGE, Motorola Droid Turbo
Вот и подтверждения насчет M.E.Doc... это просто пипа..

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Источник

Это серьезный залет
 

FlashUA

---
Реєстрація
13.04.10
Місто
Запоріжжя
Телефон
Pixel 7 Pro
Вот и подтверждения насчет M.E.Doc... это просто пипа..

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Источник

Офигеть, а МЕдком ой как много организаций пользуется...
Выходит, что сетевые компы обновления Вин7 все же спасли. Вирус попал только на комп бухгалтерши. Значит не врала, что сегодня ничего не открывала))
Так что выходит, даже вручную заблоченные порты тоже не спасли бы, ведь сам МЕдок все и сделал. Пипец репутации программы.

А кто-то лечился от WannaCry v2? Комп выключил, на стадии, пока видимых шифрованых файлов не было. Что теперь дальше? Вытягивать через безопасный режим или загрузочную флеху данные + чистить анти-вирусами? Зашифрованные файлы можно забыть?
 

GAlexV

Добрый тролль, бєндєровєц
Реєстрація
31.08.09
Місто
Луцьк
Телефон
Redmi Note 8 Pro
Подтверждаю, что "М.Е.Док" стал виновником заражения (возможно, главным из многих).

Все последние обновления безопасности не спасли.

Из ~150 компов в АД пока зараза обнаружена только на серваке с М.Е.Док
На нём никто "вживую" не работает, почту не открывает и файлы тоже.

Так что гонят по поводу распространения через электропочту.
 

GAS

Бесарабський бандерівець
Команда форуму
Реєстрація
11.09.14
Місто
Рені
Телефон
Xiaomi 14T
А что, за границей тоже медком пользуются?
 
  • Like
Реакції: al-m
Зверху