-electron- Опубліковано: 30 червня 2017 Поділитись Опубліковано: 30 червня 2017 Ощад и Укргаз полегли. Местный банчок, принимающий коммунальные платежи,— тоже. Часть контрагентов полегла. Вчера с утра все заказчики при звонках первым делом спрашивают «А у Вас всё работает? Вас вирус не прибил?» Прибил, но не вирус. Мені в УГ сказали що не лягли, а типа відрубили сервери, щоб не лягти. І сидять в відділеннях менегери і касири бамбук курять. Мали вчора в обід запускати їх.Зберегти Посилання на коментар Поділитися на інших сайтах More sharing options...
AOZ1 Опубліковано: 30 червня 2017 Поділитись Опубліковано: 30 червня 2017 (змінено) Да-да-да, Линуксы не заражаются... habrahabr.ru/company/cloud4y/blog/331266/ Пусть там были и необновленные сервера, однако никто не исключает и появления таких же дыр даже на кастомных сборках или более новых релизах. Просто винду легче атаковать пока, и масштабнее получается. У медка 12 федора стоит. Linux medoc 2.6.32.26-175.fc12.x86_64 #1 SMP Wed Dec 1 21:39:34 UTC 2010 x86_64 На машине с www правда php новенький Jan 18 2016 18:08:04 Сюдой залезть тяжело. Так что вполне возможно что и тупо все три бинда подломали. А возможно только этот: c ns.intelserv.kiev.ua: VERSION.BIND. 0 CH TXT "9.5.1b2-RedHat-9.5.1-0.8.b2.fc10" Вообще федора 10 то есть c 2009 года не пропатчена!!! остальные 9.6.-ESV-R3. то есть здесь был админ В 13 году Если это не cбу-шный honey pot и завтра за мной приедут, то в принципе тот же случай что и на хабре. PS: Например вот: tools.cisco.com/security/center/viewAlert.x?alertId=19760 Почему нет. PPS. Кстати phpinfo() так и не убрали. Змінено 30 червня 2017 користувачем AOZ1 Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 1 липня 2017 Поділитись Опубліковано: 1 липня 2017 знайшов ось таку статтю. netspider.com.ua/index.php/2017/06/30/new-ransomware-virus-petya/ NetSpider — персональный блог июня 30, 2017 Комментариев 0 Вирус Petya или не Петя? И как защититься? Вы наверняка уже слышали о вирусе Петя (Ransom:Win32/Petya). Новый вирус, который уже успели окрестить и NoPetya и NotPetya, официально носит название Petya.C. Этот вирус модифицирует MBR (Master Boot Record – главная загрузочная запись), прописывает в него свой код и при перезагрузке шифрует файлы, требуя выкуп. Но еще он “научился” распространяться по локальной сети и использовать существующие уязвимости. Подробнее можно почитать в статье компании Майкрософт, где рассматривается случай с распространением через обновление бухгалтерского ПО MeDoc. Как же спасти свой ПК от заражения подобным вирусом? Можно ли защитить MBR от перезаписи или запретить удаленный запуск приложений на ПК под управлением ОС Windows? Короткий ответ — можно. Как именно – читайте далее. N.B. Ваши лучшие друзья – это лицензионное ПО, лицензионная ОС с регулярными обновлениями и хороший антивирус*. Защита MBR MBRFilter – это драйвер от компании Cisco, который запрещает изменение загрузчика программами если Виндовс работает в обычном, а не безопасном режиме (Safe Mode). Для установки скачайте драйвер в зависимости от разрядности вашей ОС, распакуйте архив, кликните правой клавишей на файле MBRFilter.inf (файл меньшего размера) и выберите в меню пункт “Установить”. Виндовс потребует перезагрузки, перезагрузите ОС и все готово. От вирусов в целом вас это не спасет, но спасти данные от злобных шифровальщиков – вполне поможет. Запрет удаленного запуска программ Здесь вам придется воспользоваться командной строкой. Запустите cmd с правами администратора: Нажмите значок поиска на Панели задач или кнопку Пуск В строке поиска напечатайте cmd В результатах поиска нажмите правую кнопку мыши на классическом приложении Командная строка В открывшемся меню выберите пункт Запустить от имени администратора Дальше наберите команду: 1 sc.exe sdshow scmanager Вам выведется строчка из кучи разных непонятных букв, что-то типа D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) и т.д. Это формат записи флагов и прав на файлы – SDDL. Вам нужно сохранить эту строчку! Чтобы ее скопировать: выделите весь текст, кликните правой клавишей, текст будет в буфере обмена. Далее вставьте этот текст в ваш любимый текстовый редактор. Т.к. строчка длинная, в командной оболочке она была разбита на две или три строки, в текстовом редакторе отредактируйте ее так, чтобы это была одна строчка, без переводов строки. Как вариант, можете выполнить следующий код: 1 sc.exe sdshow scmanager > c:\scm.backup.txt Т.о. строчка сохранится в файл c:\scm.backup.txt Далее сделайте копию файла, в строчку после D: добавьте следующее: 1 (D;;GA;;;NU) Чтобы начало строчки у вас выглядело так: 1 D:(D;;GA;;;NU)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) Далее всю длинную строчку вставьте после команды: 1 sc.exe sdset scmanager D:(D;;GA;;;NU)(A;;CC;;;AU)(A;;C.....(все остальные буквы) И проверьте правильность (если не выдало ошибок): 1 sc.exe sdshow scmanager Начало строки может выглядеть вот так: 1 D:(D;;KA;;;NU)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) Это нормально, не переживайте. Главное, чтобы все остальные буквы совпадали. Все, теперь хакер или вирус не сможет при помощи p***ec запустить вирус или программу на вашем ПК под управлением ОС Виндовс. * P.S. Настоятельно не рекомендую использовать российские антивирусы (касперский, др.веб…): санкции, связи с ФСБ, подмена bgp локальными провайдерами (Ростелеком…) – это далеко не полный список “подарков”, которые вам совсем ни к чему. наскільки ця інформація вірна і які будуть наслідки я незнаю. Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 1 липня 2017 Поділитись Опубліковано: 1 липня 2017 me-doc.dp.ua/index.php?option=com_content&view=article&id=97 сайт вже непрацює, лише в гнуглкеші є. webcache.googleusercontent.com/search?q=cache:yH4bMXhzvikJ:me-doc.dp.ua/index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D97+&cd=1&hl=uk&ct=clnk&gl=ua В данной теме покажем, как добавить Медок в "Исключения". 1) Безусловным лидером (среди бесплатных) является Avast!: ....... наскільки цей сайт офіційний я незнаю. сайт me-doc.com.ua теж непрацює. Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 1 липня 2017 Поділитись Опубліковано: 1 липня 2017 тут є ще цікаві статті habrahabr.ru/company/eset/blog/332058/ 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
samson.ua Опубліковано: 1 липня 2017 Поділитись Опубліковано: 1 липня 2017 Цензурных слов не хватает. ain.ua/2017/05/24/vse-pro-xdata-poka Скорее всего таки да, никаких логов, никаких следов. Идеальный взлом. Снимаю шляпу. medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73 Вывод, храните доступ к DNS очень далеко. PS. На моей памяти в Украине уже третий. И все с одинаковыми последствиями, выведение из строя Цікава стаття про ДНС. Як на мене дуже велика вірогідність такої атаки, при цьому M.E.Doc можливо навіть би не дізнався про це, хіба що системи моніторингу показали б відсутність трафіку з клієнтів (якщо таке там моніториться) Розкажу цікаву історію яка відбулась зі мною років 12-13 тому коли я ще був студентом 4-5 курсу і пішов на свою першу роботу в ІТ - черговим інженером технічної підтримки. Працював в одному із відомих українських ISP (на той час) у м. Київ. Не буду вдаватись у деталі де саме. На той час (це був здається 2004 рік) у всіх людей був діалап (1-2 мегабітна "виделенка" коштувала 100500 доларів і таке могли дозволити собі тільки компанії). Під час чергової зміни я був на роботі. Роздається дзвінок, таких за зміну у мене було сотні, практично всі це абоненти не могли підключитись до діалапу (нема грошей, забитий пул на нашій цисці, погана якісь модемного з"єднання і не в"язались модем і т.д.) Очікував чергового ("помогите, у меня не подключается") але почув впевнений голос із відчутним російським акцентом якогось технаря. Він попросив мене пустити трасу на один із dns імен однієї відомої російської системи електронних розрахунків (webmoney здається). Я запустив з свого робочого компа tracert, продиктував йому куди, що пішло і на тому ми з ним розпрощались. Через декілька годин до нас стали телефонувати користувачі і казати що їхні аккаунти у webmoney були заблоковані і тех. підтримка вебмані ссилається на нас, що ми винуваті. Ми (інженери тех підтримки) звісно ні сном ні духом, але ще через пару годин (це вже була ніч) в офіс приїхало начальство і security інженери і стало все зрозуміло. Як виявилось я розмовляв із security інженером вебмані, який просив пустити трасу до своїх серверів через те, що у них виявилась підозра, що трафік який іде через нас не доходить до них, а перенаправляється кудись в інше місце. Так і було, один із наших primary DNS тупо похачили і підмінили лише один запис який стосувався webmoney. В результаті всі dialup клієнти які підключались до нас і намагались зайти на сторінку webmoney - отримували підмінний IP і їм відкривалась підмінна сторінка-клон яка збирала їхні дані які вони вводили у поле логін-пароль. Тоді https напевно був не таких розповсюджений, або можливо броузери клієнтів не так реагували на підміну чи відсутність сертифікату, чесно не знаю. Але факт залишається фактом, простим взломом DNS сервера ISP - і*всі клієнти виявились під загрозою втратити свої гроші. Короче довго ще можна писати, що було далі і як пінімали резервний DNS і т.д. але на мене (тоді ще молодого студента) ця ситуація справила велике враження (так само як і відмінна робота секуріті відділа вебмані) вони продіагностували, що нас взламали раніше нас самих (включаючи дзвінок в іншу країну і прохання пустити трасу і т.д) і тимчасово заблокували всіх клієнтів які хоч колись заходили з нашого пулу IP адрес Розблокування клієнтів теж було тривалим напевно, чергових інженерів у ці деталі вже не посвячували Сорі за довгий текст, повертаючись до петі, не можна виключати і те, що були задіяні і wnet чи хто там тримає DNS для medoc 5 Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 2 липня 2017 Поділитись Опубліковано: 2 липня 2017 про підміну трафіку в WNet я теж читав. але маю ще скачані кілька файлів оновлень, так якщо їх перевірити через онлайн антивіруси то показує що мають ті файли вірусяки. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 2 липня 2017 Поділитись Опубліковано: 2 липня 2017 про підміну трафіку в WNet я теж читав. але маю ще скачані кілька файлів оновлень, так якщо їх перевірити через онлайн антивіруси то показує що мають ті файли вірусяки. Якраз і питання в тому - звідки ти їх скачав: чи з реального сервера Медка, чи з підміненого... Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 2 липня 2017 Поділитись Опубліковано: 2 липня 2017 Якраз і питання в тому - звідки ти їх скачав: чи з реального сервера Медка, чи з підміненого... 28/06/2017 11:55 вже після тих подій, якраз перевірити на віруси через онлайн сервіс ezvit.10.01.169-10.01.170.exe www.virustotal.com/uk/file/a279028d09be66bcbb5897ce40558c999023ce238b0bf11f7f05b1452c3657d7/analysis/1499010570/ ezvit.10.01.187-10.01.188.exe www.virustotal.com/uk/file/315adb9e7ade01c0e72c3afdf3f0ddd56cf1ae521f2fc10c710774a06fc68015/analysis/1499010526/ ezvit.10.01.188-10.01.189.exe www.virustotal.com/uk/file/7127714a5517c434d0cc550385934c3d5760736ad04842d10528d444a7f07051/analysis/1499010440/ качав з сайту me-doc.com.ua перевіряв через онлайн сервіс www.virustotal.com там щось познаходило, але це якісь маловідомі антивіруси, але 2 рази в списку був антивірус McAfee 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 4 липня 2017 Поділитись Опубліковано: 4 липня 2017 Охренеть! Оказывается этот вирус еще и перебирал по ЕДРПОУ кого заражать! В трех последних обновлениях медка был бэкдор TeleBot (отчет ESET), он передавал всю инфу на C&C, роль C&C выполнял сам сервер обновлений, и там уже можно было задать, что кому грузить. Уязвимый сервер 1с-Медка до сих пор работает. Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. (с) Sean Brian Townsend 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
ozzy Опубліковано: 4 липня 2017 Поділитись Опубліковано: 4 липня 2017 Может это был " пробный полет" , а основная часть ещё впереди? Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Может это был " пробный полет" , а основная часть ещё впереди? Я уже давно писал: запасаемся попкорном. Бэкдоры могут сидеть в засаде месяцами и годами. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані. Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері. cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881/ Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Прикольно. Они хоть понимают, ЧТО требуют? Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Все они правильно требуют. А по хорошему те компы, на которых этот медок стоял, под форматирование надо и чистая установка по новой (кроме медка, который теперь недоступен). Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Все они правильно требуют. Всего навсего остановить работу. Потому что регистрация НН идёт сейчас только через Медок. Надо объяснять, чем грозит покупану отсутствие зарегистрированной вовремя НН? Фискалов мелочи вроде Петь, Кать и прочей шушеры не волнуют. Также некоторые формы отчётов в электронном виде есть только там. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Всего навсего остановить работу. Именно! Остановить работу по распространению заразы дальше. Потому что регистрация НН идёт сейчас только через Медок. У них же сервера забрали. Куда оно сейчас шлет информацию о НН? Сразу в Кремль? Посилання на коментар Поділитися на інших сайтах More sharing options...
Dr.Yura Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Уряд врегулював питання накладання штрафів на бізнес за несвоєчасну подачу звітності через хакерську атаку 04.07.2017 | 12:35 ДЕПАРТАМЕНТ ІНФОРМАЦІЇ ТА КОМУНІКАЦІЙ З ГРОМАДСЬКІСТЮ СЕКРЕТАРІАТУ КМУ Кабінет Міністрів України на своєму засіданні у вівторок, 4 липня, запропонував рішення, що дозволить врегулювати питання стягування з підприємств штрафів за несвоєчасну подачу звітності через масштабну хакерську атаку на корпоративні та державні мережі, яка сталася наприкінці червня. Представляючи відповідне рішення Прем’єр-міністр України Володимир Гройсман відзначив, що рішення оформлене в спеціальний законопроект, ухвалення якого дозволить захистити підприємства. «Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності усім тим, хто внаслідок хакерської атаки, яка пішла по Україні та усьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому», - зазначив Глава Уряду. www.kmu.gov.ua/control/uk/publish/article?art_id=250107596&cat_id=244276429 Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Остановить работу предприятий, использующих Медок. Т.е. всех плательщиков НДС чохом. Почти весь белый бизнес (по оборотам). У них же сервера забрали. Сервера обновлений. И это ничего не даст, если взлом был через подмену в DNS, как пишут. Для этого надо забрать контроль над DNS-серверами, хранящими NS-записи о сервере обновлений. Сервера регистрации НН — у фискалов и так. ЗЫ Напоминаю, что «заряженный» сервер Медка — не единственный путь распространения вируса. И даже вирус там далеко не один. Добавлено через 1 минуту «Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності усім тим, хто внаслідок хакерської атаки, яка пішла по Україні та усьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому» Интересно посмотреть формулировки закона, если его ваще примут. Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 И это ничего не даст, если взлом был через подмену в DNS, как пишут. Поэтому и не нужно использовать этот медок. А что делать с НН - хороший вопрос. Надо искать альтернативные решения. Использовать настолько себя скомпроментировавший софт - не выход. Даже без подмены ДНС там уровень защиты околонулевой. Сервера регистрации НН — у фискалов и так. Значит нужно написать новую вебморду, чтобы регистрировать НН у фискалов без медков. И вообще, ДМСУ работают в Хроме (да-да, оформление паспортов), ЕДЭБО работает в Хроме (поступление абитуриентов). Зачем этот костыль в виде медка, если и НН можно подавать в онлайн через обычный браузер без привлечения кривого софта? Нужно просто сделать по человечески и все. Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 А что делать с НН - хороший вопрос. Надо искать альтернативные решения. Их нет на сейчас. Рынка ПО регистрации НН не было — его полностью монополизировал ИС, пользуясь близостью к власти. Написать такое ПО с нуля другой группой разрабов — месяцы, в лучшем случае. Использовать настолько себя скомпроментировавший софт - не выход. Скажите всем пользователям отказаться от венды. Потому что в ней дыр шо в сыре, и она себя давно скомпрометировала. Причём дыр умышленно посаженных разрабами, что даже никем не скрывается и не отрицается. Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 его полностью монополизировал ИС, пользуясь близостью к власти Результат, как говорится, на лице. Написать такое ПО с нуля другой группой разрабов — месяцы, в лучшем случае. Но это необходимо. Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Но это необходимо. Ессно. Но работать надо уже сейчас, а не через неопределённое время, когда (и если) появятся конкурентные продукты. Результат, как говорится, на лице. Не факт, что дОлжные выводы будут сделаны. У нас же страна чудес. Обычно чудеса с уклоном в трэш или хоррор. Добавлено через 1 час 50 минут По внутренней рассылке приползло: biz.liga.net/all/it/novosti/3699954-u-m-e-doc-izyaty-servera-rabota-kompanii-zablokirovana.htm 2 Посилання на коментар Поділитися на інших сайтах More sharing options...
-Xeon- Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Если есть апи, то по идее можно и без стороннего по отправлять все нн Sent from the mobile client - Forum Talker Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Если есть апи Есть описание протокола и описание электронного формата. Но они постоянно меняются (фискалы вечно что-то новое выдумывают). Обычно: под конец отчётного периода. Добавлено через 1 час 27 минут www.bbc.com/ukrainian/news-40507729 ЧТД. Учитывая подозрения, что бэкдор впервые через обновление медка запустили 2017-05-15. Итого: заражены все компы с медками, все компы в локалках с такими компами. А что их не шифрануло — вопрос времени. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
Рекомендовані повідомлення
Створіть акаунт або увійдіть у нього для коментування
Ви маєте бути користувачем, щоб залишити коментар
Створити акаунт
Зареєструйтеся для отримання акаунта. Це просто!
Зареєструвати акаунтУвійти
Вже зареєстровані? Увійдіть тут.
Увійти зараз