БеLка Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 internetua.com/uanet-csasticsno-paralizovan-virusnoi-atakoi-1 "География вирусной атаки на украинские ресурсы расширяется. Фейсбук сообщил, что проблемы у таких компаний: «Укрпочта», «Новая почта», ДТЭК, Центрэнерго, Киевэнерго, «Новус», «Фоззи», «Датагрупп», «Астелит», «Укрзализныця», Аэропорт "Борисполь», «Укртелеком» «Эпицентр», Киевский метрополитен, ТРК "Люкс" (24 канал, радио "Люкс" и др.), «Антонов», Киевводоканал, сайт «Корреспондент», сайт Кабмина. Из-за проблем у Киевэнерго отключаются некоторые районы Киева от энергоснабжения. Почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы заблокированы вирусной атакой." Новая почта не принимает посылок. 2 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Мелкософт еще в марте прошлого года выпустил патч, устраняющий уязвимость, которой и пользуется вирус. Насколько нужно быт идиотом, чтобы не поставить его хотя бы после прошлой волны заражений? Посилання на коментар Поділитися на інших сайтах More sharing options...
БеLка Опубліковано: 27 червня 2017 Автор Поділитись Опубліковано: 27 червня 2017 В "Эпицентре" не дозвониться, база "лежит". Посилання на коментар Поділитися на інших сайтах More sharing options...
МаТраС Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 internetua.com/uanet-csasticsno-paralizovan-virusnoi-atakoi-1 "География вирусной атаки на украинские ресурсы расширяется. Фейсбук сообщил, что проблемы у таких компаний: «Укрпочта», «Новая почта», ДТЭК, Центрэнерго, Киевэнерго, «Новус», «Фоззи», «Датагрупп», «Астелит», «Укрзализныця», Аэропорт "Борисполь», «Укртелеком» «Эпицентр», Киевский метрополитен, ТРК "Люкс" (24 канал, радио "Люкс" и др.), «Антонов», Киевводоканал, сайт «Корреспондент», сайт Кабмина. Из-за проблем у Киевэнерго отключаются некоторые районы Киева от энергоснабжения. Почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы заблокированы вирусной атакой." Новая почта не принимает посылок. жестоко и мощно. зачем правда антонова , фору и тп лупить непонятно)) Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Думаю поздравить с праздничком Посилання на коментар Поділитися на інших сайтах More sharing options...
AOZ1 Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 жестоко и мощно. зачем правда антонова , фору и тп лупить непонятно)) Ну и Росснефть за компанию. Чтобы не скучно было. www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024 Вобще-то первая публикация, да в марте, но 2016 года. Я своим глазам не поверил. Посилання на коментар Поділитися на інших сайтах More sharing options...
Evgenich Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Может его пропатчили? с учетом последних обнов? А то не стыкуется: уязвимость выявлена больше года назад, неужели никто не обновлялся? Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Да, немого пропатчили: первоначальное заражение сетки - через "обновление" по почте, после чего этот комп через вышеуказанную дыру заражал остальные компы в сетке. Посилання на коментар Поділитися на інших сайтах More sharing options...
v.ard Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 (змінено) Объясните, пожалуйста, дилетанту -- если ты: не скачиваешь/не запускаешь "левых" файлов/ не кликаешь по подозрительным ссылкам в письмах не вводишь логин/пароль когда пишут "срочно залогиньтесь иначе айяйяй" Ты в безопасности? Или самого факта, что компьютер подключен к WiFi уже достаточно? Спасибо. Змінено 27 червня 2017 користувачем v.ard Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 самого факта, что компьютер подключен к WiFi уже достаточно? Достаточно, если сеть, в которую входит комп, не защищена. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
akterra Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Объясните, пожалуйста, дилетанту -- если ты: не скачиваешь/не запускаешь "левых" файлов/ не кликаешь по подозрительным в письмах не вводишь логин/пароль когда пишут "срочно залогиньтесь иначе айяйяй Ты в безопасности? Или самого факта, что компьютер подключен к WiFi уже достаточно? Спасибо. Нет, не в безопасности... Если на соседнем компьютере, подключенном к этой же точке доступа теща запустит левый файл (а он окажется вирусом) то с использованием уязвимости в винде Ваш компьютер тоже может оказаться зараженным. т.е достаточно одного слабого звена в локальной сети для получения проблем.. Добавлено через 5 минут Мелкософт еще в марте прошлого года выпустил патч, устраняющий уязвимость, которой и пользуется вирус. Насколько нужно быт идиотом, чтобы не поставить его хотя бы после прошлой волны заражений? Информация несколько не соответствует действительности... Тот патч не помогает. Заражается вся линейка от ХР до последней 10-ки с обновлениями. Рекомендуют ставить вот эти обновления technet.microsoft.com/ru-ru/library/security/ms17-010.aspx Но лично у меня есть некоторые сомнения, что они помогают от сегодняшней модификации вируса... Надо бы протестить... 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Объясните, пожалуйста, дилетанту -- если тыне отключал фаервол и при подключении к WiFi указал, что это общественная сеть, то можно ложить на уязвимости и спать спокойно. Главное, самому вирусы не запускать. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
LM Опубліковано: 27 червня 2017 Поділитись Опубліковано: 27 червня 2017 Или не использовать винду. iОS - на сегодня пока гораздо менее подвержена вирусам. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
Крышник Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Или не использовать винду. Или использовать самую надежную защиту для всех компов 3 Посилання на коментар Поділитися на інших сайтах More sharing options...
LM Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Или использовать самую надежную защиту для всех компов Теперь понятно, почему это произошло: это все Ваши методички, Крышник...:D Госорганы именно так и "защищались"... Посилання на коментар Поділитися на інших сайтах More sharing options...
Крышник Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Теперь понятно, почему это произошло: это все Ваши методички, Крышник...:D Госорганы именно так и "защищались"... Та я давно этим методом защищаюсь, даже Сири уже выучила эти молитвы Посилання на коментар Поділитися на інших сайтах More sharing options...
kruchenik Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Новая почта не принимает посылок. вчера получил/отправил без проблем Посилання на коментар Поділитися на інших сайтах More sharing options...
AOZ1 Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Та я давно этим методом защищаюсь, даже Сири уже выучила эти молитвы Ну в общем где то так: blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ До фени эти ваши патчи, если усера ходят с админскими правами на сервера. У меня конечно UNIX мышление и тем не менее. Сама идеология AD порочна и позволяет, нет поощряет такие вещи. Update M.E.Doc шел с админского аккаунта. Ну а дальше по полной программе. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Update M.E.Doc шел с админского аккаунта. Ну а дальше по полной программе.Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра. Всё это элементарно перекрывается фаерволом. ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё. ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг. Посилання на коментар Поділитися на інших сайтах More sharing options...
AOZ1 Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра. Всё это элементарно перекрывается фаерволом. ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё. ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг. Это если AD не поднято. Я отстал конечно от безопасности в AD последний раз глубоко ковырял на W2K. Там полюбому админские шары оставались. Гонял тогда такого черта по сети после своего дня рождения. Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 2InSAn: Win+R/regedit HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer=0 AutoShareWks=0 Это если AD не поднято.Ну так, там где AD, там будет и фаервол. Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 AutoShareServer=0 AutoShareWks=0 Тип параметров DWORD? У меня таких нет. Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 У меня таких нет.И ADMIN$ при этом сам воскресает? DWORD. Посилання на коментар Поділитися на інших сайтах More sharing options...
Breakneck Опубліковано: 28 червня 2017 Поділитись Опубліковано: 28 червня 2017 Не совсем так, он закидывает себя на машину в расшаренную папку, а затем через SMB соединение выполняет закинутый код на уровне ядра. Всё это элементарно перекрывается фаерволом. ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё. ППС. Может кто не знает: Win+R/compmgmt.msc/Shared Folders/Shares/удалить всё нафиг. Удаление шар не поможет, не занимайтесь ерундой. Если уже хотите защититься, то перекрывайте на фаерволле входящие соединения по портам 445, 139. Ну и создайте в папке с:\Windows файл с именем perfc (без расширения). Удаление шар не закрывает дырку в SMB протоколе! Более того, у данного вируса SMB - не единственный путь распространения, есть еще WMI. Так что либо обращайтесь к специалисту, либо разбирайтесь в инструкциях. В целом домашним компьютерам угрожает мало что, особенно если у вас нет большой локальной сети в доме/районе. Добавлено через 6 минут 2InSAn: Win+R/regedit HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer=0 AutoShareWks=0 Ну так, там где AD, там будет и фаервол. Там, где AD, там и групповые политики, которые распространяются по 445 порту и WMI. Там и админские учетки домена, и фаерволл, чаще всего настроенный по дефолту и ни от чего практически не прикрывающий. И принт-сервер, перестающий работать от перекрытия 445 порта. И не лезьте в реестр, вполне достаточно в Панели управления/Администрирование/Брандмауэр Windows на рабочих станциях создать правило на запрет соединений по портам 135, 139, 445. В общем, вот для просветления: gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759 Посилання на коментар Поділитися на інших сайтах More sharing options...
Рекомендовані повідомлення
Створіть акаунт або увійдіть у нього для коментування
Ви маєте бути користувачем, щоб залишити коментар
Створити акаунт
Зареєструйтеся для отримання акаунта. Це просто!
Зареєструвати акаунтУвійти
Вже зареєстровані? Увійдіть тут.
Увійти зараз