Украину частично парализована вирусной атакой.

[deemage]

Тут мы видим разницу в классах между зараженным и нормальным модулем

Почему вы упорно считаете, что модуль был нормальный, а потом был заражен? Вам не приходит мысль, что программист мог изменить структуру модуля выпуская обновление? Это его работа вообще-то.

[AndyAntonov]

Вам не приходит мысль, что программист мог изменить структуру модуля выпуская обновление?

А потом снова изменил, убрав люк. И так три раза подряд.

[InSAn]

Почему вы упорно считаете, что модуль был нормальный, а потом был заражен? Вам не приходит мысль, что программист мог изменить структуру модуля выпуская обновление? Это его работа вообще-то.

 

Потому, что повторяю в последний раз - прочитайте исследование. Там все разжевано.

[deemage]

А потом снова изменил, убрав люк. И так три раза подряд.

А может они уже заметили что-то в системе и разбирались? Но аналитикам из ESET конечно же виднее, что делали программисты медка в этот день...

Ещё раз повторю свою мысль, что крайнего найти рядом проще всего.

 

Потому, что повторяю в последний раз - прочитайте исследование. Там все разжевано.

Это жвачка для мозгов.

[InSAn]

А потом снова изменил, убрав люк. И так три раза подряд.

 

Больше, чем три:

... четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть...

 

Добавлено через 2 минуты

А может они уже заметили что-то в системе и разбирались? Но аналитикам из ESET конечно же виднее, что делали программисты медка в этот день...

Последний раз повторяю - ПРОЧИТАЙТЕ ИССЛЕДОВАНИЕ. А не стройте догадки: спецы ЕСЕТа нигде не утверждали, что программисты медка специально что-то там делали.

 

Это жвачка для мозгов.

 

Жвачка для мозгов - это строить предположения, что может быть написано в исследовании, не читая самого исследования.

[deemage]

Жвачка для мозгов - это строить предположения, что может быть написано в исследовании, не читая самого исследования.

Уважаемый InSAn, попрошу вас воздержаться от суждений в мой адрес и не повышать тон.

[InSAn]

Уважаемый InSAn, попрошу вас воздержаться от суждений в мой адрес и не повышать тон.

 

Ни в коем случае!

Извините, если ошибся - спорить о вкусе апельсинов проще с тем, кто ел эти апельсины

[samson.ua]

посмотрел видео

 

 

жесть

 

серверная посреди охвиса и охлаждается офисным же вентилятором :D

 

дэнэжное дерево

 

+ сервера понаныканы в проходах а ля к туалету

 

Я думав ти пожартував про офісний вентилятор

дивився відео і не вірив що бувають такі серверні у компанії яка рулила звітністю більшої частини України

[oosimvol]

Сегодня штатный антивирус на 7-ке начал ругаться на вот такое. Патчи для винды поставил сразу после 27.06.17 с сайта майкрософта. Последнее обновление Медка не было установлено. Вчера регистрировал налоговые.

[AndyAntonov]

TeleBot — «штатный» бэкдор сабжевого вируса. Судя по сообщениям — виндовс дефендер, как всегда, его находит, но не в состоянии изгнать. Скачайте CureIt! и пройдитесь им по машине (на время работы отключите штатный антивирь), после чего обратитесь сюда.

И выкиньте этот недоантивирус. Ничего он не лечит. Даже от бесплатного AVG или Аваста толку больше.

[LM]

TeleBot — «штатный» бэкдор сабжевого вируса. Судя по сообщениям — виндовс дефендер, как всегда, его находит, но не в состоянии изгнать. ..

Я скачал. Один раз прошелся на всех офисных. Ничего нет. Через несколько дней попробовал - не проверяет, типа - базы устарели. Это что, его каждый раз надо заново скачивать?

[AndyAntonov]

Да. Эта штука — одноразовая. Как аварийный вариант. Через три дня уже точно надо новую версию качать. Но зато столько всякого говна находит после штатного вендового антивиря… У меня под присмотром этого «антивируса» все пользовательские файлы шифрануло на одной машине. А потом — Autologger и вперёд запиливать тему на форуме Касперыча или на Сейфзоне. Потому что находится ещё больше.

 

Добавлено через 38 минут

В качестве независимого антивирусного сканера ещё можно поставить ClamAV/ClamWin. Сидит в трее, базы обновляет сам (но себя — нет, только ручками), запуск сканирования — по требованию. Установку антивирусного монитора это не отменяет.

[AOZ1]

Это всё наши домыслы. Только производитель ПО может сказать какую информацию он передаёт и куда.

Я лишь утверждаю, что передача идентификационных данных клиента в запросе к серверу - это нормально.

 

А вот "короткий" DNS и загрузка обновлений по http без использования SSL - это куда более интересно:

Ложный DNS-сервер в сети Internet

DNS-атаки: полный обзор по схемам атак

Но нашей киберполиции оно не нужно - глухарь.

 

Написали же зашли через IP KVM, Был форвардинг с nginx раздачи на свой сервер обновлений.

 

Дырка и последствия общеизвестны. Уже лет 5 как все, кто мала мала безопастностью обеспокоен попрятали kvm (и не только supermicro. Дырки были и в dell и в hp ) в отдельную мониторинговую сеть. Бо дешевле за vpn спрятатся, чем биосы удаленно патчить.

 

Добавлено через 27 минут

Я думав ти пожартував про офісний вентилятор

дивився відео і не вірив що бувають такі серверні у компанії яка рулила звітністю більшої частини України

 

Серверная как серверная, но вентилятор это круть. Денег видно на нормальные кондишки не хватило. Лепить tier2 DC в арендованном офисе никто не будет. Дешевле выкупить все здание.

 

Хотя, кроме шуток сталкивался с серверами с кривым софтом FRU, И Супермикра и Intel. Крутит на минимальных оборотах и хоть удавись.

Это из того что там на стойках торчало. Был даже HP сервер который с датчиком inlet чудил.

 

Добится адекватной реакции поставщика здесь не реально, не выкидывать же дорогущее железо. A HP поменяли, правда это в Европе было и недельная переписка.

 

 

 

Понял понял зачем вентилятор !!!!!!!!!

51 секунда видео !!!

Кондишка в горячую зону дует !!! Идийоты. Эстеты бляха муха

Змінено 6 липня 2017 користувачем AOZ1

[ozzy]

Серверная как серверная

 

для компании уровня местного интернет провайдера то да, как серверная ...

 

а для компании с таким оборотом и обслуживающей почти весь бизнес Украины это позорище, а не серверная

 

имхо. думаю большинство оргвыводы сделает относительно медка

[Ed34]

имхо. думаю большинство оргвыводы сделает относительно медка

люди всегда покупали медок потому что он позволяет делать невероятные вещи, и еще потому что медок это престиж и немного лакшери. Очень функционально и немного кантри! Я пользуюсь медком много лет - и все отлично! Стал чувствовать себя намного лучше. Недавно купил маме, жене и детям тоже взял по медку! Говорят что медок можно взять собой на отдых! Медок незаменим в грустный дождливый день! А как он поднимает настроение зимой?!?

Медок! - ты достоен владеть им!!!

Медок! - просто лучший!!!

Медок! - ты самый самый на этом свете!!!

[AOZ1]

для компании уровня местного интернет провайдера то да, как серверная ...

 

У половины местных интернет провайдеров круче. По крайней мере правильней, без кондишек дующих в зад.

[ozzy]

Cisco все подробно расписал

 

blog.talosintelligence.com/2017/07/the-medoc-connection.html?m=1

 

Наші дослідження показали, що зловмисники використовували систему оновлення M.E.Doc у якості проксі для обміну інформацією із сервером зловмисників, що розміщувався на закордоному хостінгу.

[AndyAntonov]

Наші дослідження показали, що зловмисники використовували систему оновлення M.E.Doc у якості проксі для обміну інформацією із сервером зловмисників, що розміщувався на закордоному хостінгу.

Это не противоречит информации ESET, что в качестве C&C вируса использовался сервер обновлений Медок (либо же подменный хост, учитывая описанную ранее возможность подмены его через DNS). Снаружи выглядит одинаково.

ЗЫ CERT-UA предупреждает о возможных повторных атаках и предлагает пройти опрос. Поскольку опрос начинается с обязательных полей «название конторы, город, е-майл», я забил. Впрочем, от Telebot/Petya наш маленький филиальчик не пострадал. Пока.

[Diver]

а по статистике пишут, что всего 6-8% юзеров медка пострадало? кто знает?

[AndyAntonov]

Это 30-40 тыс., т.е, на порядок больше ранее опубликованных цифр в 1-3 тыс. И это только пострадавшие компании, убытки также понесли их контрагенты.

[InSAn]

Интеллект-Сервис владеет ukrcc.com и uakey.com.ua.

Сервер ukrcc.com был взломан (unicryptH.exe и unicryptC.exe, оба подписаны ukrcc)... Скорее всего АЦСК "Украина" - уже скомпрометирован...

[LM]

Интеллект-Сервис владеет ukrcc.com и uakey.com.ua.

Сервер ukrcc.com был взломан (unicryptH.exe и unicryptC.exe, оба подписаны ukrcc)... Скорее всего АЦСК "Украина" - уже скомпрометирован...

Я писал пару дней назад, что на мыло пришло с пром.уа (Прозорро), что ключи АЦСК "Украина" не действуют.

Вчера пришло новое сообщение - все Ок, ключи опять рабочие, но рекомендуют сменить пароли.

ЗЫ. Как-то особо в "ключи" не вникал, а сейчас пришло время по одной фирме делать новые (в центре ключей налоговой). Получается гемор еще тот. Очереди в налоговой - ну было б даже странно если б по-другому. По 30 минут на одного желающего сделать ключи, при 2-х сотрудниках и постоянно "зависающем сервере" - это ад. То, что народ ломанется за ключами в этой ситуации они конечно жне предполагали. Да и если и предполагали - неделя всего прошла, когда там так "стремительно" реагировали на проблемы?

По самим ключам. Пока не закончился срок старых, чтобы сделали новые надо "скасувати" старые. Потом сделать новые и подключить. Но если старые закончатся - вперед заключать новый договор с налоговой (примерно неделя)

Старые скасувати можно только в том центре где делал. Т.е., если захотите сделать в налоговой новые ключи, сначала надо поехать напр. в тот. же АЦСК "Украина" - там скасувать старые и потом ехать в свою районную налоговую и там сделать новые ключи.

Вобщем бред какой-то.

Почему не сделать 1 общую базу этих ключей и не менять/удалять и проч. в любом центре?

[Dr.Yura]

щоб не створювати нову тему, може комусь знадобиться.

шойно попав в роботу комп на якому підхопили вірус , що і як ще незнаю, ось файли зашифровані, бази 1с, медок і т.д...

 

*******.id-A08EBE20.[cryptlife@qq.com].like

 

про всяк випадок зробіть копію важливих даних.

[AndyAntonov]

Аналогично у меня было 2018-09-16 (воскресенье! никого нет на работе). Шифрануло все открытые по сети папки (т.е. оно поселилось не на моей машине). Вирий хитрый, шифровал по маске, т.е. не всё подряд. В общем, гигов сорок данных (моих и других юзвергов, собссно, из-за чего моя машина работает 24/7/365: как одна из уже немногих ХП держит сетевые шары) оно шифрануло наглухо.

[Dr.Yura]

Аналогично у меня было 2018-09-16 (воскресенье! никого нет на работе). Шифрануло все открытые по сети папки (т.е. оно поселилось не на моей машине). Вирий хитрый, шифровал по маске, т.е. не всё подряд. В общем, гигов сорок данных (моих и других юзвергов, собссно, из-за чего моя машина работает 24/7/365: как одна из уже немногих ХП держит сетевые шары) оно шифрануло наглухо.

 

та ось і тут проблема, хард ССДшка, там миттю все шфрануло, ось лише база 1С 8 версія то файл бази був активний і не змогло шифранути, зателефонували десь біля 13 год. сказав щоб вимкнули і невключали, ввечері вже в мене , і купа файлів з добавкою

 

.id-A08EBE20.[cryptlife@qq.com].like