Gorod.dp.ua » Міські форуми / Городские форумы
Сторінка 25 з 53 ПершаПерша ... 151617181920212223242526272829303132333435 ... ОстанняОстання
Всього знайдено 1047, показано з 481 по 500.

Тема: WannaCry, Petya.A ...

  1. #481

    Реєстрація
    08 липень 2016
    Дописів
    2 328

    Типово

    Я что то пропустил... Укрзалiзницю в этот раз зацепило, или они стали умнее и позакрывали дырки после зимней атаки на них Пети и Миши?

  2. #482
    Аватар для Pro1004el
    Реєстрація
    27 червень 2010
    Звідки Ви
    Дніпро
    Дописів
    3 058

    Типово

    прочитал много текста, но не нашел ответа
    если провтыкал - прошу прощения сразу
    я близок к айти сфере, но среднее что то между образованым пользователем пк и недалеким айти специалистом
    есть около 10-ти компов, на них хр, 7-ка лицензия и ломаная
    на некоторый баннер есть с требование перевести денег, некоторые тупо не загружаются (загрузчик не удалось восстановить и загрузить ОС)
    нашел инустркцию , где нужно снять жесткий, поставить на другой, запустить прогу, и файлы расшифруются - не вышло тоже
    кто то вылечил уже свои компы от этого? каким образом?
    хочется услышать совет умных людей

    теневые копии файлов на всех компах по умолчанию можно восстановить?
    или есть какие другие способы?

  3. #483

    Реєстрація
    27 травень 2007
    Дописів
    1 185

    Типово

    Цитата Допис від Pro1004el Переглянути допис
    нашел инустркцию , где нужно снять жесткий, поставить на другой, запустить прогу, и файлы расшифруются - не вышло тоже
    кто то вылечил уже свои компы от этого? каким образом?
    хочется услышать совет умных людей
    Это не про этот вирус инструкция.
    В инструкции Petya.A который "зажигал" в конце 2016 года.
    А 27-го июня "жахнула" улучшенная разновидность, вроде как Petya.C по некоторым классификаторам.

    http://ko.com.ua/virus_petya_i_pravi...virusov_120648

  4. #484
    Аватар для Pro1004el
    Реєстрація
    27 червень 2010
    Звідки Ви
    Дніпро
    Дописів
    3 058

    Типово

    Цитата Допис від SolarW Переглянути допис
    Это не про этот вирус инструкция.
    В инструкции Petya.A который "зажигал" в конце 2016 года.
    А 27-го июня "жахнула" улучшенная разновидность, вроде как Petya.C по некоторым классификаторам.

    http://ko.com.ua/virus_petya_i_pravi...virusov_120648
    хорошо, если уже заразились, можно как то восстановить данные?

  5. #485
    Аватар для Smith
    Реєстрація
    23 квітень 2008
    Звідки Ви
    Make America Great Again
    Дописів
    59 041

    Типово

    Цитата Допис від Pro1004el Переглянути допис
    хорошо, если уже заразились, можно как то восстановить данные?
    Нет, что так сложно ветку форума прочесть? Тоха ты что ли?

  6. #486
    Аватар для asenok34
    Реєстрація
    17 липень 2008
    Звідки Ви
    Днепропетровск-Одесса-Севастополь
    Дописів
    3 393

    Типово

    Цитата Допис від Слободжанин Переглянути допис
    Я что то пропустил... Укрзалiзницю в этот раз зацепило, или они стали умнее и позакрывали дырки после зимней атаки на них Пети и Миши?
    пишут что зацепило

  7. #487
    Аватар для Pro1004el
    Реєстрація
    27 червень 2010
    Звідки Ви
    Дніпро
    Дописів
    3 058

    Типово

    Цитата Допис від Smith Переглянути допис
    Нет, что так сложно ветку форума прочесть? Тоха ты что ли?
    Нет, не Тоха

    я прочел, но то ли из за кучи срача и хлама не нашел ответ, то ли провтыкал

  8. #488
    Аватар для Dnepr
    Реєстрація
    28 лютий 2008
    Дописів
    16 010

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    Ну я бы лично в выгодополучателей Майкрсофт ну ни как не ставил, потому что проблемы ислкючительно на машинах с их системой...Какая тут выгода.
    Выгода достаточно очевидна - юзеры Винды все равно с нее никуда не спрыгнут, а багу можно закрыть патчами от МС (реклама использования свежих поддерживаемых МС ОС), либо отловив вирус при помощи МС антивируса (опять же только для свежих ОС). Такое себе не навязчивое предложение обновить систему. И так же не навязчиво Вин7 на ноуте при обновлении выдает предупреждение что мол эта версия ОС не поддерживает ваш процессор, по этому вы не получите все необходимые патчи безопасности пока не обновитесь на более свежую ОС.

  9. #489

    Реєстрація
    27 травень 2007
    Дописів
    1 185

    Типово

    Цитата Допис від Pro1004el Переглянути допис
    хорошо, если уже заразились, можно как то восстановить данные?
    К сожалению только из бекапов.

  10. #490

    Реєстрація
    24 жовтень 2004
    Дописів
    10 051

    Типово

    Цитата Допис від Dnepr Переглянути допис
    Выгода достаточно очевидна - юзеры Винды все равно с нее никуда не спрыгнут
    В корне не согласен.
    Большинство обычных пользователей, завязанных на определённые продукты и процессы на винде, не спрыгнут.

    Но для корпораций это может быть толчком к смене технологий, для разработчиков такие вещи могут быть одним из факторов для выбора другой платформы.

    А сейчас позиции майкрософта слабы как никогда, даже не говоря о десктопных альтернативах виндовсу, вспомните рабочие места в привате на ipad'ах - и так тоже можно... А этот рынок майкрософт полностью вдул

  11. #491
    Аватар для Пролісок
    Реєстрація
    02 квітень 2014
    Звідки Ви
    Кривой Рог-Киев-Львів
    Дописів
    10 919

    Типово

    Цитата Допис від Шурик Г. (гость) Переглянути допис
    Серверы обновлений M.E.Doc оказались на хостинге WNet

    Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.

    Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:

    $dig -t any upd.me-doc.com.ua

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2–0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10

    ;; QUESTION SECTION:
    ;upd.me-doc.com.ua. IN ANY

    ;; ANSWER SECTION:
    upd.me-doc.com.ua. 59 IN A 92.60.184.55

    ;; AUTHORITY SECTION:
    com.ua. 66991 IN NS ho1.ns.com.ua.
    com.ua. 66991 IN NS nix.ns.ua.
    com.ua. 66991 IN NS ba1.ns.ua.
    com.ua. 66991 IN NS k.ns.com.ua.
    com.ua. 66991 IN NS sns-pb.isc.org.

    Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.

    В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

    Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?

    Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.
    Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:

    whois 92.60.184.55
    [Querying whois.arin.net]
    [Redirected to whois.ripe.net]
    [Querying whois.ripe.net]
    [whois.ripe.net]
    % This is the RIPE Database query service.
    % The objects are in RPSL format.
    %
    % The RIPE Database is subject to Terms and Conditions.
    % See http://www.ripe.net/db/support/db-terms-conditions.pdf

    % Note: this output has been filtered.
    % To receive output for a database update, use the “-B” flag.

    % Information related to ‘92.60.184.0–92.60.184.255’

    % Abuse contact for ‘92.60.184.0–92.60.184.255’ is ‘[email protected]

    inetnum: 92.60.184.0–92.60.184.255
    netname: Wnet-Kiev-COLO
    descr: Kiev colocation
    country: UA
    admin-c: WNET2-RIPE
    tech-c: WNET2-RIPE
    status: ASSIGNED PA
    mnt-by: WNET-MNT
    created: 2011–01–04T13:40:08Z
    last-modified: 2011–01–04T13:40:08Z
    source: RIPE

    role: W NET NOC
    address: Wnet LLC
    address: Bohdana Khmelnitskoho 50-b
    address: Kyiv, 01030
    address: Ukraine
    phone: +380 44 5900800
    fax-no: +380 44 2892817
    abuse-mailbox: [email protected]
    remarks: troubles: http://support.wnet.ua
    remarks: troubles: [email protected]

    Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).
    Ау, WNet — неужели мы давали повод считать себя идиотами?

    Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично — верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.

    Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2–3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.

    Итого: идеальное кибер-преступление.
    Никаких следов, никаких взломов, никаких логов, предьявлять — нечего.

    Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу — на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.

    Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka

    Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.

    https://medium.com/@gray25/%D1%81%D0...t-f3f35db4de73
    Шурик! Блин, прочитала разинув рот. Поняла немного, только то, что написано человеческим языком, но как интересно! Я больше на Вас ругаться не буду наверно, хоть Вам и пофиг )))
    alyak 09.04.2019, 20:17#16459 "а то что страна как проститутка - в этом нет ничего обидного" Что на меня кинут - тому вернется в разы

  12. #492

    Реєстрація
    27 травень 2007
    Дописів
    1 185

    Типово

    Я просто улыбаюсь.

    Розробник MEDoc заперечує інформацію про те, що причиною швидкого поширення вірусу Petya сталось через оновлення програми.


    Но при этом вот это вот комментировать как я понимаю не хотят:

    New ransomware, old techniques: Petya adds worm capabilities

    Initial infection appears to involve a software supply-chain threat involving the Ukrainian company M.E.Doc, which develops tax accounting software, MEDoc. Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector. Microsoft now has evidence that a few active infections of the ransomware initially started from the legitimate MEDoc updater process.
    We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.

    The execution chain leading to the ransomware installation is represented in the diagram below and essentially confirms that EzVit.exe process from MEDoc, for unknown reasons, at some moment executed the following command-line:
    C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

  13. #493
    Аватар для vop
    Реєстрація
    11 січень 2007
    Дописів
    28 619

    Типово

    Медок - это такой выигрышный лотерейный билет, созданный невежественными украинскими властями. Я удивлен, почему раньше никто не использовал такой старт-ап для эпидемии.

  14. #494
    Аватар для Dnepr
    Реєстрація
    28 лютий 2008
    Дописів
    16 010

    Типово

    Цитата Допис від sanyok Переглянути допис
    Но для корпораций это может быть толчком к смене технологий, для разработчиков такие вещи могут быть одним из факторов для выбора другой платформы.
    Три раза ха. Сразу видно человека не знакомого с корпоративной средой. Купят новую винду и будут ее обновлять как миленькие.

  15. #495
    Аватар для The Architect
    Реєстрація
    30 березень 2006
    Дописів
    4 523

    Типово

    Когда давно я читал (не помню у кого, кажись у Криса), как когда то спец получил задание взломать внутреннюю сеть одной корпорации, естественно по согласию руководства корпорации. Корпорация эта не имела никаких внешних каналов связи (физически). Но он ее таки взломал, как ищите сами. Но он там не работал и контактов в ней не имел, ну кроме руководства, естественно.

  16. #496

    Реєстрація
    14 лютий 2008
    Звідки Ви
    Победа/Придник
    Дописів
    974

    Типово

    Цитата Допис від The Architect Переглянути допис
    Когда давно я читал (не помню у кого, кажись у Криса), как когда то спец получил задание взломать внутреннюю сеть одной корпорации, естественно по согласию руководства корпорации. Корпорация эта не имела никаких внешних каналов связи (физически). Но он ее таки взломал, как ищите сами. Но он там не работал и контактов в ней не имел, ну кроме руководства, естественно.
    Ну Крис вообще был молодец, и историй у него завались. Но всё же это байка ...

  17. #497
    Аватар для The Architect
    Реєстрація
    30 березень 2006
    Дописів
    4 523

    Типово

    Цитата Допис від armand Переглянути допис
    Ну Крис вообще был молодец, и историй у него завались. Но всё же это байка ...
    Да вот не байка. Метод вполне реален.

  18. #498

    Реєстрація
    24 жовтень 2004
    Дописів
    10 051

    Типово

    Цитата Допис від vop Переглянути допис
    Медок - это такой выигрышный лотерейный билет, созданный невежественными украинскими властями. Я удивлен, почему раньше никто не использовал такой старт-ап для эпидемии.
    Если дата-центр редиректил трафик на подставной хост, первый вопрос - как может в 2017 году случиться так, что апдейтер медка не проверяет подпись сервера, откуда он их качает.
    Ну, кроме случая, когда разработчики такого крупного софта, как медок, забили на то, чтобы купить сертификат за $20 в год, или вовсе забили на https.

  19. #499
    Аватар для Funeral director
    Реєстрація
    06 листопад 2006
    Звідки Ви
    Мэстний шаломний хасид
    Дописів
    6 530

    Типово

    Цитата Допис від vop Переглянути допис
    Медок - это такой выигрышный лотерейный билет, созданный невежественными украинскими властями. Я удивлен, почему раньше никто не использовал такой старт-ап для эпидемии.
    Медок
    Сервер конторы могли взломать,
    с помощью другого вируса,
    чтоб стартануть этого "Петю",

    А дальше он идёт в свободное плавание по миру -
    сам ищет условия для проникновения.

  20. #500
    Аватар для SergOv
    Реєстрація
    30 березень 2007
    Звідки Ви
    Днепропетровск
    Дописів
    73 229

    Типово

    Эээээээээ ...
    Судя по тому, что ДОУ тоже лежит, как бы софтверным компаниям тоже досталось.

Сторінка 25 з 53 ПершаПерша ... 151617181920212223242526272829303132333435 ... ОстанняОстання

Bookmarks

Bookmarks

Ваші права у розділі

  • Ви НЕ можете створювати нові теми
  • Ви НЕ можете відповідати у темах
  • Ви НЕ можете прикріплювати вкладення
  • Ви не можете редагувати свої повідомлення
  •  
  Головна | Афіша | Новини | Куди піти | Про місто | Фото | Довідник | Оголошення
Контакти : Угода з користивачем : Політика конфіденційності : Додати інформацію
Главная страница сайта  
copyright © gorod.dp.ua.
Всі права захищені. Використання матеріалів сайту можливо тільки з дозволу власника.
Про проєкт :: Реклама на сайті