Перейти до публікації
Пошук в
  • Додатково...
Шукати результати, які містять...
Шукати результати в...

Украину частично парализована вирусной атакой.

БеLка

Рекомендовані повідомлення

internetua.com/uanet-csasticsno-paralizovan-virusnoi-atakoi-1

 

"География вирусной атаки на украинские ресурсы расширяется.

Фейсбук сообщил, что проблемы у таких компаний: «Укрпочта», «Новая почта», ДТЭК, Центрэнерго, Киевэнерго, «Новус», «Фоззи», «Датагрупп», «Астелит», «Укрзализныця», Аэропорт "Борисполь», «Укртелеком» «Эпицентр», Киевский метрополитен, ТРК "Люкс" (24 канал, радио "Люкс" и др.), «Антонов», Киевводоканал, сайт «Корреспондент», сайт Кабмина.

Из-за проблем у Киевэнерго отключаются некоторые районы Киева от энергоснабжения.

Почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы заблокированы вирусной атакой."

 

Новая почта не принимает посылок.

  • Лайк 2
Посилання на коментар
Поділитися на інших сайтах

Мелкософт еще в марте прошлого года выпустил патч, устраняющий уязвимость, которой и пользуется вирус.

Насколько нужно быт идиотом, чтобы не поставить его хотя бы после прошлой волны заражений?

Посилання на коментар
Поділитися на інших сайтах

internetua.com/uanet-csasticsno-paralizovan-virusnoi-atakoi-1

 

"География вирусной атаки на украинские ресурсы расширяется.

Фейсбук сообщил, что проблемы у таких компаний: «Укрпочта», «Новая почта», ДТЭК, Центрэнерго, Киевэнерго, «Новус», «Фоззи», «Датагрупп», «Астелит», «Укрзализныця», Аэропорт "Борисполь», «Укртелеком» «Эпицентр», Киевский метрополитен, ТРК "Люкс" (24 канал, радио "Люкс" и др.), «Антонов», Киевводоканал, сайт «Корреспондент», сайт Кабмина.

Из-за проблем у Киевэнерго отключаются некоторые районы Киева от энергоснабжения.

Почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы заблокированы вирусной атакой."

 

Новая почта не принимает посылок.

жестоко:) и мощно. зачем правда антонова , фору и тп лупить непонятно))

Посилання на коментар
Поділитися на інших сайтах

жестоко:) и мощно. зачем правда антонова , фору и тп лупить непонятно))

 

Ну и Росснефть за компанию. Чтобы не скучно было.

 

www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024

Вобще-то первая публикация, да в марте, но 2016 года. Я своим глазам не поверил.

Посилання на коментар
Поділитися на інших сайтах

Может его пропатчили? с учетом последних обнов? А то не стыкуется: уязвимость выявлена больше года назад, неужели никто не обновлялся?
Посилання на коментар
Поділитися на інших сайтах

Да, немого пропатчили: первоначальное заражение сетки - через "обновление" по почте, после чего этот комп через вышеуказанную дыру заражал остальные компы в сетке.
Посилання на коментар
Поділитися на інших сайтах

Объясните, пожалуйста, дилетанту -- если ты:

 

не скачиваешь/не запускаешь "левых" файлов/

не кликаешь по подозрительным ссылкам в письмах

не вводишь логин/пароль когда пишут "срочно

залогиньтесь иначе айяйяй"

 

Ты в безопасности?

 

Или самого факта, что компьютер подключен к WiFi уже достаточно?

 

Спасибо.

Змінено користувачем v.ard
Посилання на коментар
Поділитися на інших сайтах

самого факта, что компьютер подключен к WiFi уже достаточно?

Достаточно, если сеть, в которую входит комп, не защищена.

  • Лайк 1
Посилання на коментар
Поділитися на інших сайтах

Объясните, пожалуйста, дилетанту -- если ты:

 

не скачиваешь/не запускаешь "левых" файлов/

не кликаешь по подозрительным в письмах

не вводишь логин/пароль когда пишут "срочно

залогиньтесь иначе айяйяй

 

Ты в безопасности?

 

Или самого факта, что компьютер подключен к WiFi уже достаточно?

 

Спасибо.

 

Нет, не в безопасности... Если на соседнем компьютере, подключенном к этой же точке доступа теща запустит левый файл (а он окажется вирусом) то с использованием уязвимости в винде Ваш компьютер тоже может оказаться зараженным. т.е достаточно одного слабого звена в локальной сети для получения проблем..

 

Добавлено через 5 минут

Мелкософт еще в марте прошлого года выпустил патч, устраняющий уязвимость, которой и пользуется вирус.

Насколько нужно быт идиотом, чтобы не поставить его хотя бы после прошлой волны заражений?

 

Информация несколько не соответствует действительности... Тот патч не помогает. Заражается вся линейка от ХР до последней 10-ки с обновлениями.

 

Рекомендуют ставить вот эти обновления

technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

 

Но лично у меня есть некоторые сомнения, что они помогают от сегодняшней модификации вируса... Надо бы протестить...

  • Лайк 1
Посилання на коментар
Поділитися на інших сайтах

Объясните, пожалуйста, дилетанту -- если ты
не отключал фаервол и при подключении к WiFi указал, что это общественная сеть, то можно ложить на уязвимости и спать спокойно. Главное, самому вирусы не запускать.
  • Лайк 1
Посилання на коментар
Поділитися на інших сайтах

Или не использовать винду.

Или использовать самую надежную защиту для всех компов :rolleyes:

 

19429698_1868752230111770_821377132069462834_n.jpg?oh=b5e041e272777c7c5d21bc4aef147139&oe=59CC268B

 

  • Лайк 3
Посилання на коментар
Поділитися на інших сайтах

Или использовать самую надежную защиту для всех компов :rolleyes:

 

19429698_1868752230111770_821377132069462834_n.jpg?oh=b5e041e272777c7c5d21bc4aef147139&oe=59CC268B

Теперь понятно, почему это произошло: это все Ваши методички, Крышник...:D

Госорганы именно так и "защищались"...

Посилання на коментар
Поділитися на інших сайтах

Теперь понятно, почему это произошло: это все Ваши методички, Крышник...:D

Госорганы именно так и "защищались"...

 

Та я давно этим методом защищаюсь, даже Сири уже выучила эти молитвы :lol:

Посилання на коментар
Поділитися на інших сайтах

Та я давно этим методом защищаюсь, даже Сири уже выучила эти молитвы :lol:

 

Ну в общем где то так:

blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

 

До фени эти ваши патчи, если усера ходят с админскими правами на сервера. У меня конечно UNIX мышление и тем не менее. Сама идеология AD порочна и позволяет, нет поощряет такие вещи.

 

Update M.E.Doc шел с админского аккаунта. Ну а дальше по полной программе.

  • Лайк 1
Посилання на коментар
Поділитися на інших сайтах

Update M.E.Doc шел с админского аккаунта. Ну а дальше по полной программе.
Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра.

Всё это элементарно перекрывается фаерволом.

 

ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё.

ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг.

  • Лайк 1
Посилання на коментар
Поділитися на інших сайтах

Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра.

Всё это элементарно перекрывается фаерволом.

 

ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё.

ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг.

 

Это если AD не поднято. Я отстал конечно от безопасности в AD последний раз глубоко ковырял на W2K. Там полюбому админские шары оставались. Гонял тогда такого черта по сети после своего дня рождения.

Посилання на коментар
Поділитися на інших сайтах

2InSAn:

Win+R/regedit

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer=0
AutoShareWks=0

 

Это если AD не поднято.
Ну так, там где AD, там будет и фаервол.
Посилання на коментар
Поділитися на інших сайтах

Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра.

Всё это элементарно перекрывается фаерволом.

 

ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё.

ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг.

Удаление шар не поможет, не занимайтесь ерундой. Если уже хотите защититься, то перекрывайте на фаерволле входящие соединения по портам 445, 139. Ну и создайте в папке с:\Windows файл с именем perfc (без расширения).

Удаление шар не закрывает дырку в SMB протоколе! Более того, у данного вируса SMB - не единственный путь распространения, есть еще WMI. Так что либо обращайтесь к специалисту, либо разбирайтесь в инструкциях. В целом домашним компьютерам угрожает мало что, особенно если у вас нет большой локальной сети в доме/районе.

 

Добавлено через 6 минут

2InSAn:

Win+R/regedit

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer=0
AutoShareWks=0

 

Ну так, там где AD, там будет и фаервол.

Там, где AD, там и групповые политики, которые распространяются по 445 порту и WMI. Там и админские учетки домена, и фаерволл, чаще всего настроенный по дефолту и ни от чего практически не прикрывающий.

И принт-сервер, перестающий работать от перекрытия 445 порта.

 

И не лезьте в реестр, вполне достаточно в Панели управления/Администрирование/Брандмауэр Windows на рабочих станциях создать правило на запрет соединений по портам 135, 139, 445.

 

В общем, вот для просветления: gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Посилання на коментар
Поділитися на інших сайтах

Створіть акаунт або увійдіть у нього для коментування

Ви маєте бути користувачем, щоб залишити коментар

Створити акаунт

Зареєструйтеся для отримання акаунта. Це просто!

Зареєструвати акаунт

Увійти

Вже зареєстровані? Увійдіть тут.

Увійти зараз
×
×
  • Створити...