Та хто ж йому дасть машину для встановлення Linux'a. Власник на блядів ці гроші витратить.CobianBackup - отличный вариант для бэкапов. тоже уже давненько пользуюсь
но не уверен, что приходящий одмин, работающий за 100$ согласится еще и линух с фтп для бэкапов поднимать
к тому же, скорее всего, все упрется в тех же собственников, когда одмин начнет говорить, что для бэкапов нужен еще один комп. есть у меня такой пример... одно время зажлобились и думали одмин их разводит. а сейчас сидят и ручками все восстанавливают)))
Та хто ж йому дасть машину для встановлення Linux'a. Власник на блядів ці гроші витратить.
Интерестно, а почему украинский анивирус Zillya, который как написано на их сайте
"Zillya! Антивирус для Бизнеса - украинский антивирус, сертифицированный для использования в государственных органах и организациях. Экспертное заключение ГСССЗИ Украины №545 от 20.04.2014, уровень оценки Г-2 "
До сих пор не видит ни Petya ни backdoor в ZvitPublishedObjects.dll ???
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
антивирусники не детектят сами по себе...для антивирусов оказался гораздо более сложным в детектировании чем собственно сам вирус Петя. Антивирусникам на раздупление понадобилось около недели, в то время как петю они вычислили за менее чем сутки.
ибо статья ведущего аналитика ESET и явилась основанием для внесения им сигнатуры этого теледора в базу вирусов антивируса от ESET.Из этого анализа видно что первым кто детектировал вирус "Backdoor.Teledoor" оказался ESET-NOD32. статья [ведущего аналитика ESET] Антона Черепанова с исследованием этого вируса вышлана сайте[в блоге ESET]4 Июля 2017 - 10:00AM.⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
веселый чувакна 15:45 про АТБ и Новую Почту
Дякою за перепост! Дуже цікаво подивитися!веселый чувакна 15:45 про АТБ и Новую Почту
а у тех ноутов не кракозябры?кракозябры
а у тех ноутов не кракозябры?
У меня были другие наблюдения, в некоторых папках есть и зашифрованные, и пропущенные с простыми именами. Независимо от размера файла.До речі. Тут вже писалося, що деякі файли не пошкоджені. Ті що мають або дуже довгий шлях та(або) дуже довге ім'я
Scanning drive E:
...
E:\бланки\!Бланк письмо новый.doc - Ok
E:\бланки\анкета универсальная .doc - Header error
E:\бланки\Протокол изготовления.doc - Ok
E:\бланки\Бланк командировки\Задание на ком..doc - Header error
...
E:\Рапорта\Изготовление мешалок.doc - Header error
E:\Рапорта\Изготовление фланцев.doc - Header error
E:\Рапорта\окись магния.doc - Ok
E:\Рапорта\Подовження відрядження.doc - Ok
E:\Рапорта\Рапорт автовелюр.doc - Ok
...
E:\Вальцы\Вальцы описание\Вальцы.doc - Header error
E:\Вальцы\Вальцы описание\Вальцы описание Сборка 2.doc - Ok
E:\Вальцы\Вальцы описание\Вальцы описание Сборка.doc - Header error
E:\Вальцы\Вальцы описание\Вальцы описание.doc - Header error
E:\Вальцы\Вальцы описание\Силикон резина\1379.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\1391.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\galygin.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\hochl_mischwalzw_rus.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\opisanie.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\polimer.pdf - Header error
E:\Вальцы\Вальцы описание\Силикон резина\rubicon_prospekt_ru .pdf - Header error
...
E:\ЕСКД\100 Основные положения\ГОСТ 2.123-93 ЕСКД. Комплектность конструкторской документации на печатные платы при автоматизированном проектировании.pdf - Header error
End of search. 1552 dir(s) 15315 file(s) have been analyzed.
Total file(s) with header error:
doc: 1491,67 from 1764,18 Mb (84,6%), 1202 from 1509 file(s) (79,7%)
docx: 78,99 from 78,99 Mb (100%), 195 from 195 file(s) (100%)
xls: 35,76 from 58,57 Mb (61,1%), 87 from 161 file(s) (54%)
xlsx: 0,15 from 0,15 Mb (100%), 5 from 5 file(s) (100%)
pptx: 82,28 from 82,28 Mb (100%), 9 from 9 file(s) (100%)
ppt: 1058,19 from 1229,08 Mb (86,1%), 69 from 76 file(s) (90,8%)
pdf: 500,5 from 593,51 Mb (84,3%), 221 from 248 file(s) (89,1%)
zip: 1,28 from 1,28 Mb (100%), 2 from 2 file(s) (100%)интереснонет, полностью рабочие, и с ее слов даже не выключались не разу. Никто и не заметил эпидемии если бы по телевизору не рассказали
У меня были другие наблюдения, в некоторых папках есть и зашифрованные, и пропущенные с простыми именами. Независимо от размера файла.
Пример одной из жертв:
Код:Scanning drive E: ... E:\бланки\!Бланк письмо новый.doc - Ok E:\бланки\анкета универсальная .doc - Header error E:\бланки\Протокол изготовления.doc - Ok E:\бланки\Бланк командировки\Задание на ком..doc - Header error ... E:\Рапорта\Изготовление мешалок.doc - Header error E:\Рапорта\Изготовление фланцев.doc - Header error E:\Рапорта\окись магния.doc - Ok E:\Рапорта\Подовження відрядження.doc - Ok E:\Рапорта\Рапорт автовелюр.doc - Ok ... E:\Вальцы\Вальцы описание\Вальцы.doc - Header error E:\Вальцы\Вальцы описание\Вальцы описание Сборка 2.doc - Ok E:\Вальцы\Вальцы описание\Вальцы описание Сборка.doc - Header error E:\Вальцы\Вальцы описание\Вальцы описание.doc - Header error E:\Вальцы\Вальцы описание\Силикон резина\1379.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\1391.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\galygin.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\hochl_mischwalzw_rus.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\opisanie.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\polimer.pdf - Header error E:\Вальцы\Вальцы описание\Силикон резина\rubicon_prospekt_ru .pdf - Header error ... E:\ЕСКД\100 Основные положения\ГОСТ 2.123-93 ЕСКД. Комплектность конструкторской документации на печатные платы при автоматизированном проектировании.pdf - Header error End of search. 1552 dir(s) 15315 file(s) have been analyzed. Total file(s) with header error: doc: 1491,67 from 1764,18 Mb (84,6%), 1202 from 1509 file(s) (79,7%) docx: 78,99 from 78,99 Mb (100%), 195 from 195 file(s) (100%) xls: 35,76 from 58,57 Mb (61,1%), 87 from 161 file(s) (54%) xlsx: 0,15 from 0,15 Mb (100%), 5 from 5 file(s) (100%) pptx: 82,28 from 82,28 Mb (100%), 9 from 9 file(s) (100%) ppt: 1058,19 from 1229,08 Mb (86,1%), 69 from 76 file(s) (90,8%) pdf: 500,5 from 593,51 Mb (84,3%), 221 from 248 file(s) (89,1%) zip: 1,28 from 1,28 Mb (100%), 2 from 2 file(s) (100%)
Быстро склёпанный самопал для внутреннего использования. Не перебирать же десятки тысяч файлов вручную.а что за прога ?
это вы хорошо придумалиБыстро склёпанный самопал для внутреннего использования. Не перебирать же десятки тысяч файлов вручную.
до повного щастя... одна година, як мінімум. Там двофазно......на 15:45 про АТБ и Новую Почту
.MEDOC - это компания в Украине, которая занимается бухгалтерским программным обеспечением. У них много клиентов, и они распространяют свое программное обеспечение непосредственно своим клиентам. Примерно в апреле этого года их сеть была скомпрометирована, потому что злоумышленнику удалось получить украденные учетные данные, принадлежащие администратору. Используя эти учетные данные, злоумышленник смог войти в систему и начать изменять конфигурации и программное обеспечение сервера.
Злоумышленник изменил конфигурационный файл nginx.conf на сервере обновлений MEDoc, чтобы отменить запросы прокси на сервер, размещенный в OVH. Сервер использовался реселлером хостинга под названием THCServers.com. Этот сервер был взломан злоумышленником перед запуском атаки на MEDOC.
Затем злоумышленник модифицировал программное обеспечение учета MEDoc, чтобы включить свой собственный вредоносный код. Не зная об инфекции, MEDoc затем распространял скомпрометированное программное обеспечение для своих клиентов, как обычно. После установки на рабочую станцию модифицированное программное обеспечение каждые два минуты связывалось с зараженным сервером MEDOC NGINX, чтобы получить команды, которые злоумышленник хотел запустить.
Этот запрос к серверу MEDOC NGINX для команд был обращен проксимизированному на скомпрометированную команду и сервер управления OVH, контролируемый злоумышленником. Когда злоумышленник хотел отправить команды на зараженные рабочие станции, они просто установили новую команду на скомпрометированном OVH-сервере, после чего рабочие станции были послушно доставлены через скомпрометированный сервер NGINX.
Обобщить:
Злоумышленник модифицировал программное обеспечение учета MEDoc для извлечения команд с взломанного сервера обновлений MEDOC.
Это программное обеспечение было распространено среди клиентов.
Взломанный сервер MEDOC NGINX проксировал эти запросы на команды на взломанный сервер OVH.
Атакующий отправил команды обратно на взломанный сервер NGINX, которые были отправлены на взломанные рабочие станции, на которых запущен пакет учета MEDoc.
На следующей диаграмме показана конфигурация, созданная злоумышленником.
Это разумно, потому что оно уклончиво
Многие сетевые администраторы имеют системы обнаружения вторжений в своих сетях. Одним из методов вторжения, которые ищут системы IDS, является сообщение от вредоносного ПО на сервер управления и управления (C & C). В системах IDS имеется база данных показателей компромисса или МОК. Эти IOC включают IP-адреса известных серверов C & C.
Если злоумышленник в этом случае напрямую связался с взломанным программным обеспечением MEDoc на своем сервере C & C, сетевой IDS обнаружит его, а затем заблокировал запрос и предупредил сетевого администратора. Вместо этого сетевые администраторы увидели, что программное обеспечение MEDOC взаимодействует с сервером обновлений MEDOC, как и ожидалось, и предположил, что все в порядке.
Как распределенный Ransomware Attacker
После того, как злоумышленник контролировал достаточно большое количество машин, используя вышеупомянутую технику, они просто выполнили команду, которая заставила контролируемые машины извлекать ransomware и устанавливать ее. Это было так просто. Остальное - рассказ о заражении Retsomeware Petya / Nyetya / NotPetya, о котором вы недавно узнали в новостях.
Вредоносная программа PHP, используемая в этой атаке, имеет красочную историю
Команда Cisco Talos также обнаружила вредоносное ПО PHP на скомпрометированной машине NGINX со следующим путем: http: //www.me-doc [.] Com [.] Ua / TESTUpdate / medoc_online.php [Квадратные скобки включены для безопасности.]
Нам удалось получить образец вредоносного ПО от партнеров по обмену информацией, а также пароль для его расшифровки. Сюрприз, удивление: вредоносное ПО - наш старый друг «ПАС». В прошлом году в декабре мы написали подробный анализ вредоносной программы PHP, используемой в взломе выборов в США . Вредоносное ПО было выпущено Департаментом внутренней безопасности США в рамках набора показателей компромисса, связанного с взломом выборов. Затем мы проанализировали вредоносное ПО и обнаружили, что он широко известен, широко используется, свободно доступен и известен как PAS.
Мы отслеживали сайт, который предоставляет вредоносное ПО. В то время он был доступен из: http: // profexer. [Name] /pas/download.php
Этот сайт теперь отключен, и не зря. Кто-то разместил ссылку на отчет DHS и наше сообщение в блоге на форумах на rdot.org, где зависает автор, который идет от profexer . Когда он обнаружил, что его веб-оболочка и веб-сайт были связаны с взломом выборов, он, по-видимому, нервничал и забрал свой сайт в автономном режиме. С тех пор он не работает.
Вредоносная программа, которую команда Cisco Talos обнаружила в атаке Ryomware Nyetya, представляет собой версию PAS. После доступа к вредоносному ПО с помощью веб-интерфейса и ввода пароля для его расшифровки это выглядит так: