Вирус просит биткоины. Хелп

Dozor · 27.06.2017

JAZZ-Clone сказав(ла):
привет вашему админу,
что я могу сказать?

Да неплохой парень, но если был большой промежуток между первоначальным инфицированием и тем, когда легло большинство компов- то могут и вздрючить. Это уже позже видел, как он бегал по корпусам и вырубал локалку.
Тут хрен успеешь, когда синхрон. И вопрос руководству- надо таки раскошеливаться на серьезные системы защиты- ну хотя б для минимизации ущерба (ясно , что от всего - нет защиты в принципе, разве что отрубить свет на все время работы....)

_SOm · 27.06.2017

Alekss II сказав(ла):
заходишь сюда

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

а потому сюда перенаправляет сам сайт мелких (это хранилище)

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

для винды 10

вопрос снят, но в контексте событий лучше таки ссылку на https было кидать, а дальше пущай юзверь сам переходит...

Внук Линча · 27.06.2017

DiGiTaL сказав(ла):
Это пиздец, уже компов 20 вырубило нахуй в разных точках города

знаю про 2 на ХТЗ.
часа в 4 сказали выключить комп нахуй и идти домой.

Alekss II · 27.06.2017

9life сказав(ла):
это ниочем не говорит
я читал

сбу пишет C:\Windows\perfc.dat
журналисты пишут -создание файла: perfc.bat;

как походу информация меняется )) еще пару статей и окажется что и не perfc.

surviver · 27.06.2017

9life сказав(ла):
я знаю все...........

но более всего люблю то с чем столкнулись сегодня...

Таки приятно встретить умного человека, хоть и в разных областях деятельности

Dozor · 27.06.2017

Wowa сказав(ла):
Нашли уже в чем причина. Компы заразило разгильдяйское правительство через обновления налоговой программы "Медок".

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Отмазы разработчиков:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Объясняют "совпадением". Хотя обновлялки "медка" распространяются даже без цифровой подписи, и никак не защищены!!!

ідуть, млять, бухгалтері

9life · 27.06.2017

Alekss II сказав(ла):
как походу информация меняется ))

ща уточню

surviver сказав(ла):
Таки приятно встретить умного человека, хоть и в разных областях деятельности

люблю знать где сидит фазан

9life · 27.06.2017

dat

bat ..таки не то
хотя может бы все что угодно

[KILL-SWITCH] It is not yet 100% confirmed what the original file name is, therefore create C:\windows\perfc.dat & perfc.dll and perfc!

Ctrl+Shift+Esc

под админом

New-Item C:\Windows\perfc -type file -force

_SOm · 27.06.2017

Wowa сказав(ла):
Киберполиция уже определила причину. Это "Медок".

вот не знаю почему, но как-то не чувствую особой веры в профессионализм нашей доблестной киберполиции...

Кликнуть на файлике для распространения данного вируса недостаточно. Он требуют админских прав, которых у бухгалтерши в нормальной конторе просто быть не может.

В "нормальной конторе" что-то важное лежит на компах с виндой? Смеетесь?
Тем более, что не обязательно источник в бухгалтерии. "Умным" HR'ам или тем же "эникейщикам" вполне доступны админские права.

Еще раз: я не обеляю Медок... вполне вероятно, что причина именно в нем... Вот только сомневаюсь, что этим Медком пользуются и в других "зараженных" странах...

А вот автообновлялка Медка - стоит! И все, приплыли.

Ну да... нормальная такая контора с автообновлялками включенными...

<<<KV>>> · 27.06.2017

tolik28rol сказав(ла):
Принимайте меры предосторожности своевременно. Храните важные данные на отчуждаемых носителях. Будьте готовы в любой момент переустановить систему. Без шуток и подъебок.

это понимают только когда грянет гром, и то - не все.

Well-99 · 27.06.2017

9life сказав(ла):
С сегодняшним зловредом, если сравнивать его с WannaCry, бороться несколько сложнее, так как распространение происходит за счет использования легитимных учетных записей.

И сразу вопрос. А откуда отцы вируса узнали кому отправлять на имейлы обновления с вирусом? У меня с десяток имейлов, и ни на один ничего подобного не пришло.
Думается что отправили тем, кто поставил медок отказавшись от 1-С, а имейлы не сменил.

<<<KV>>> · 27.06.2017

дел ёпт

Alekss II · 27.06.2017

Wowa сказав(ла):
Киберполиция уже определила причину. Это "Медок".
Кликнуть на файлике для распространения данного вируса недостаточно. Он требуют админских прав, которых у бухгалтерши в нормальной конторе просто быть не может. А вот автообновлялка Медка - стоит! И все, приплыли.

да у некоторых по умолчанию пользователь работает как администратор)))
никто даже не заморачивается созданием профиля пользователь... пох.изм..

DiGiTaL · 27.06.2017

9life сказав(ла):
[KILL-SWITCH] It is not yet 100% confirmed what the original file name is, therefore create C:\windows\perfc.dat & perfc.dll and perfc!

просто создать пустыми эти файлы для предотвращения?

JAZZ-Clone · 27.06.2017

Dozor сказав(ла):
Да неплохой парень, но если был большой промежуток между первоначальным инфицированием и тем, когда легло большинство компов- то могут и вздрючить. Это уже позже видел, как он бегал по корпусам и вырубал локалку.
Тут хрен успеешь, когда синхрон. И вопрос руководству- надо таки раскошеливаться на серьезные системы защиты- ну хотя б для минимизации ущерба (ясно , что от всего - нет защиты в принципе, разве что отрубить свет на все время работы....)

ба.
не знал что среди нас такие большие компании
я всё как-то иначе представлял.

но всё-равно...
1. Если админ таки бегал - то не увольняйте. Старался ведь человек. Мало таких сейчас. Хоть мог и не соображать в предмете.
2. Обсуждаемый вирус - понтовый. Это как "click me for format C". Определенно вопрос к разработчикам антивирусов. Вы то наверняка не оплачиваете антивирусы. Но многие, как и я - оплачиваем. И у меня серьезный вопрос - за что мы платим? Но это отдельная тема.
3. Здравый смысл. Где он? Наверняка, на файл с названием "Format C" нажал простой сотрудник компании. Я думаю, что вы ему не достаточно оцениваете.

_SOm · 27.06.2017

Well-99 сказав(ла):
А откуда отцы вируса узнали кому отправлять на имейлы обновления с вирусом?

Как бы по одной занятной версии, это рассылка в ответ на объявления о вакансиях...

Но вообще не проблема была даже лет 10-15 назад чуть ли не ручками найти контакты интересующих контор... сейчас это еще проще...

Hisp · 27.06.2017

Wowa сказав(ла):
Отмазы разработчиков:

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

Объясняют "совпадением". Хотя обновлялки "медка" распространяются даже без цифровой подписи, и никак не защищены!!!

Примерно месяц назад была похожая хрень. Тоже плотно связывалась с обновлением медка.
Похоже, у них там обновление вообще через жопу сделано и кто угодно туда может что угодно залить.

Надеюсь, после этого случая до одминистраторов дойдет, что время файлов шар давно прошло.

Wowa · 27.06.2017

_SOm сказав(ла):
Еще раз: я не обеляю Медок... вполне вероятно, что причина именно в нем... Вот только сомневаюсь, что этим Медком пользуются и в других "зараженных" странах...

Этим и объясняется, что хотя вирус обнаружили в разных странах, больше всего пострадала, именно, Украина. Ведь у нас за распостранение взялось само провительство, через свою кривописку "Медок"!!! Как можно выпускать не подписанные обновления для такого критичного софта. Это ж уму непостижимо!

surviver · 27.06.2017

⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.

_pasha · 27.06.2017

Hisp сказав(ла):
ПДФ - дырявое говно. Прям как флеш.
Там много способов всунуть малварь.
Другой вопрос, что современные ридеры по умолчанию предупреждают/блокируют это.
Но ПДФ - говно. Скорейшей ему смерти. Аминь.

хм. тогда постскрипт тоже говно?

Вирус просит биткоины. Хелп

9life

9life

_pasha