Вирус просит биткоины. Хелп

[Analyst]

мне сегодня уже предложили свои услуги

Так вони ж зрадники, Касперського продають!

Последний пункт был "а лучше дайте нам денех, и мы вас сами обезопасим"?

 

[alex444]

BTW, интересно, что по результатам восстановления офисных доков на разных компах (и даже дисках одного компа) процент незашифрованных файлов - от 2 до 15%.

у меня цело всё, что было создано админом домена, без W прав остальным. Ну не добралась херь, запущенная юзером в терм.сессии, до прав "администратор домена".

И медок тут явно не при чём. А вот всякие JS из почты в ифреймах html-писем... ну низкий поклон outlook из ms.office за их запуск :/

 

[alex444]

ненаркамань

hkeyCURRENTUSER .

вопросы? у тебя узеры админами компов и доменного сервера вышивают? ну так тут претензия к админу, не к юзерам...


в упор не наблюдаю в HKCU\Software у себя раздела WC - как на восстановленном сервере с медоком, так и на дампе кустов реестра в момент после "черного экрана с красным текстом". Что не помешало шифрации файлов по списку расширений... которая делалась минимум сутки ДО ребута.

 

[ATmega88]

И медок тут явно не при чём. А вот всякие JS из почты в ифреймах html-писем... ну низкий поклон outlook из ms.office за их запуск :/

За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ "Інтелект-Сервіс".

Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».
Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.
Департамент кіберполіції України

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

 

[alex444]

За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ "Інтелект-Сервіс".

Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».
Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.
Департамент кіберполіції України

Вы верите всему, что ОНИ пишут "в поисках крайнего" ? Два абзаца первые - бред и ложь. Мягко говоря. Словацкая компания "ESET" (которая и выпустила "отчет с анализом") заинтересована в украинском рынке и способна на любые действия после дезавуирования в мае в Украине "нормальных" антивирусов российского производства.

Как считают "международные аналитики", действия в отношении запрета антивирусов российского производства в Украине - просто спонсировались компанией ESET.


Отсюда напрашивается очень интересный вывод - кому вообще была нужна атака 27 июня.....


p.s. який "віддалений доступ", якщо "заборонено все" у "брандмауері Віндовс" ? Скан открытых портов подтверждает. Однако данный PC был успешно повреждён тем самым вирусом.

p.s. Тролли, включите думалку, наконец....

 

[Analyst]

Ну не добралась херь, запущенная юзером в терм.сессии, до прав "администратор домена".
И медок тут явно не при чём. А вот всякие JS из почты в ифреймах html-писем... ну низкий поклон outlook из ms.office за их запуск :/

С доменом понятно, но с групповыми политиками мало кто хочет заморачиваться, особенно в средне-мелких конторах. К сожалению. Да и медок был очень привередлив к ограничениям. С "явно не при чем" и письмами не могу согласиться - по статистике атака чаще всего началась именно с "медовых" компов. Сама статистика заражения по странам косвенно подтверждает использование какого-то софта для заражения. А тут одно дело, когда комп висит за NAT-ом, другое - когда его атакует сосед по комнате. И при этом патчи к винде "спят".
Низкий поклон можно расширить до всей продукции Microsoft. Не дают программистам, админам и их работодателям сильно расслабляться.

 

[Analyst]

Кстати, есть ли у кого-то информация по заражению этим вирусом обычных домашних компов?

 

[alex444]

Кстати, есть ли у кого-то информация по заражению этим вирусом обычных домашних компов?

есть данные о срабатывании вируса на компе (за глухим NAT-ом) 23 июня. Одиночный случай среди известных лично мне. Дата на компе была правильная. Медок-а там не было. Сети локальной тоже не было. Зашифрованы файлы "по списку расширений"+ readme.txt в корне всех лог. дисков. До перезаписи MBR дело не дошло. Записей в шедулере тоже не нашел.

 

[alex444]

И при этом патчи к винде "спят".

который *-010 ? я уже писал ранее, что патч в моей конторе стоял на всех "виндах".. Но легли, тем не менее, все раб. станции, а через полчаса лег и сервер с медком. На котором НЕ БЫЛО активных юзеров вообще, только "шара" файловая, и все патчи от MS стояли. Так что дело ясное, что MS тоже обманывает в пресс-релизе от 28 июня, о механизме RemoteExecution, который использовался вирусом.

 

[Analyst]

Благодарю за инфу. У меня из многих знакомых никто о "домашних" заражениях не знает. Я подхожу с той точки зрения, что для фишинга в таком масштабе нужно было собрать базу email работников организаций и на них направить "письма счастья". Реально, но слишком трудоёмко. Проще использовать носитель, который и так у всех есть.

Программа для финансовой отчетности с дырами - идеальный вариант. И по результатам уже не особо важно, пустили они трояна сами или кто-то воспользовался давно известной проблемой с безопасностью их основной проги. Тут уже - либо террорист, либо пособник. Опять же, ИМХО в рамках доступных сведений.

Тёмное дело, короче... Еще раз спасибо, alex444

 

[9life]

На котором НЕ БЫЛО активных юзеров вообще, только "шара" файловая

ты вообще читал ссыли? походу нет

 

[9life]

 

[Wowa]

p.s. який "віддалений доступ", якщо "заборонено все" у "брандмауері Віндовс" ? Скан открытых портов подтверждает.

Порты, конечно, надо закрывать. Но, это защита не от бэкдоров, а от уязвимостей типа ЭзерБлю. Но, если "Медок", или другая программа, предназначенная для контроля или взлома сети, уже проникла на компьютер, это не поможет. Она сама соединится с командным центром своих создателей, и, поскольку это уже исходящее соединение, закрытые порты никак не помогут. Причем, для соединения может использоваться не только TCP/UDP, а и Tor, VPN, или, даже ICMP. В последнем протоколе даже такого понятия как "порт" нету.

 

[Hisp]

alex444 защищает Медок?
Внезапно
К чему бы это?

 

[alex444]

alex444 защищает Медок?
Внезапно
К чему бы это?

да не медок я защищаю. А пытаюсь понять - сколько лжи содержит информация, которой нас кормят СМИ.

Вот, к примеру

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

У вівторок, 4 липня, спеціальні агенти департаменту кіберполіції спільно з фахівцями СБУ та міської прокуратури припинили другий етап кібератаки Petya.
Про це повідомив глава МВС Арсен Аваков на сторінці в Facebook.
"Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc. Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації", - йдеться в повідомленні.

Что означает, на самом деле, "во вторник, 4 июля, мы совместно с заинтересованной компанией ESET - полностью превратили работоспособные экземпляры ПО "m.e.d.o.c" на компьютерах бухгалтеров организаций в нерабтоспособные путем удаления некоей библиотеки антивирусом". таким образом, проведя ДЕСТРУКТИВНУЮ атаку на ПО "общения с ДФС".

Обновление баз есетовского продукта, после которых есетовский продукт "сломал" серверные медоки - как раз в описанное в бреде Авакова время происходило.

Ждем теперь пояснений от ДФС для бухгалтеров.... - как жить и куда бежать с отчетами, налоговыми накладными и т.п.

 

[juriks]

Ща тебе Антоша расскажет

 

[Wowa]

Ща тебе Антоша расскажет

А я зауважал нашу (кибер)полицию. Еще раньше всяких Микрософтов и Есетов вычислили источник заразы. Правительственная прога для налоговой отчетности. Кто бы мог подумать!

 

[Mr_fix]

Про eset уже писали. Теперь Microsoft Security Essentials - слопал файл медка. Медок Повисел с ошибкой и вызвал аварийную перезагрузку Win7.
В карантине сидит файл медка бекдор Telebot.

Так шо передел рынка или все таки дырявый медок?

 

[alex444]

Так шо передел рынка или все таки дырявый медок?

да не дырявый медок, а с "бэкдором" от авторов медка, если уж на то пошло.
повторно даю ссылку

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

я склоняюсь к версии "передел рынка", под шумок. Если не с самого начала всё было спланировано.

 

[Wowa]

Про eset уже писали. Теперь Microsoft Security Essentials - слопал файл медка. Медок Повисел с ошибкой и вызвал аварийную перезагрузку Win7.
В карантине сидит файл медка бекдор Telebot.

Так шо передел рынка или все таки дырявый медок?

Дырявый он был с самого начала, когда распространители напрочь отказались подписывать проги и использовать https. Но, даже я не думал, что они могли встроить туда бэкдор. Вот, сволочи!