AOZ1 Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881/ Порадовал INPC корпус в стойке у компании с миллионом клиентов. Для непосвященных это как ланос у миллиардера. Даже хуже, это инструмент. Скорее как гипсокартонщик с китайским шуруповертом. Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 с чего всё началось Посилання на коментар Поділитися на інших сайтах More sharing options...
AOZ1 Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 с чего всё началось Переварил все прочитанное, включая отчет ESET. Самый правильный путь у киберполиции сегодня, это каждому из 200 сотрудников паяльник в задницу. Включая уволенных за последний год. Страна бы апплодировала стоя. А кто то может быть и вспомнил, как исходники налево толкнул. 2 Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Переварил все прочитанное, включая отчет ESET. Хороший отчёт, только я например не вижу криминала в передаче кода EDRPOU через cookies на сервер при запросе обновления. Это для тех. поддержки используется и логов. Другое дело, что номер можно было бы и зашифровать. Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Всего навсего остановить работу. Потому что регистрация НН идёт сейчас только через Медок.Не только. Е-ком еще делает. Кстати, читал, что вроде как сдачу продлили на 15 дней. Добавлено через 7 минут Хороший отчёт, только я например не вижу криминала в передаче кода EDRPOU через cookies на сервер при запросе обновления. Это для тех. поддержки используется и логов. Другое дело, что номер можно было бы и зашифровать. На сколько я понял, что передает ЕДРПУО не штатное обновление, а бекдор. Добавлено через 2 минуты Бэкдор был найден в одном из легитимных модулей M.E.Doc и «маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы». Более того, изучив все обновления M.E.Doc, выпущенные в текущем году, специалисты выяснили, что модуль бэкдора содержали как минимум три апдейта: 01.175-10.01.176 от 14 апреля 2017 года; 01.180-10.01.181 от 15 мая 2017 года; 01.188-10.01.189 от 22 июня 2017 года. Интересно, что 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. (с) Х Посилання на коментар Поділитися на інших сайтах More sharing options...
vinnie Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Переварил все прочитанное, включая отчет ESET. Самый правильный путь у киберполиции сегодня, это каждому из 200 сотрудников паяльник в задницу. Включая уволенных за последний год. Страна бы апплодировала стоя. А кто то может быть и вспомнил, как исходники налево толкнул. Зачем ? Они могут и не знать что сделали/несделали Мэдок начинался с рашки дырка могла быть у истоков. Второй вариант петя(не вирус) хотел сразу аудиторию для ПО которое мы скоро увидим Посилання на коментар Поділитися на інших сайтах More sharing options...
LM Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Тут еще подарок: пришло сообщение на почту - все ключи аннулированы. Предлагают сделать новые, не "медошные" Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Это разумное решение. А то добровольно еще пол года бы шли. Старыми же ключами может воспользоваться кто угодно и потом доказывай что это был не ты. Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 (змінено) На сколько я понял, что передает ЕДРПУО не штатное обновление, а бекдор.Это всё наши домыслы. Только производитель ПО может сказать какую информацию он передаёт и куда. Я лишь утверждаю, что передача идентификационных данных клиента в запросе к серверу - это нормально. А вот "короткий" DNS и загрузка обновлений по http без использования SSL - это куда более интересно: Ложный DNS-сервер в сети Internet DNS-атаки: полный обзор по схемам атак Но нашей киберполиции оно не нужно - глухарь. Змінено 5 липня 2017 користувачем deemage лёгким движением руки брюки превращаются... 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
vinnie Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Это всё наши домыслы. Но нашей киберполиции оно не нужно - глухарь. www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ схемы уже описаны и обсосаны, вопрос только кого посодют ну а вообще вся соль в том, что теперь у кого-то есть список физ-адресов ip-адресов, доменов, внутренней схемы сети почти всех укр физлиц Посилання на коментар Поділитися на інших сайтах More sharing options...
samson.ua Опубліковано: 5 липня 2017 Поділитись Опубліковано: 5 липня 2017 Жорстко у нас працювати в ІТ, особливо коли читаєш те що кажуть в новинах і те що на проф форумах і т.д. Ну не суть. Головна фішка як на мене - всіх масово, добровільно-примусово, посадили на медок. Ну ладно, якось працює, типу як 1С напевно, чесно не користувався ні тим ні тим. Пройшла атака, компанія медок кричить на всіх кутках, що вони супер специ і білі та пухнасті. І що апдейта не було в той день і все таке інше. На протязі тижня практично всі світові лідери виробники security продуктів (антивіруси, фаєрволи і т.д.) роблять свою аналітику і всі кажуть, що таки схоже на медок, мало того у них там і бекдор був, причому давно, який дозволяв керувати системними бібліотеками вінди (уявіть як це чудово мати доступ до rundll32 і мати права аміна, бо багато (більшість ??) бугалтерів-тітоньок-за-50 працювали під адмінськими правами І тут не проходить і декілька днів після вилучення серверів - медок офіційно оголошує, що їх таки взламали , причому це перший раз за всю історію і це були мега-перці-круті-специ (цікаво як вони контролюють свої білди і викладання софта у прод?). Короче, мені дуже прикро насправді, ми як ІТ країна (ну так всім клієнтам себе продаємо) дозволили себе ... взламати. P.S. https://www.facebook.com/medoc.ua/posts/1908536359433942 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Это всё наши домыслы. Только производитель ПО может сказать какую информацию он передаёт и куда. Какие домыслы? Декомпиляция ESET. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Кстати, читал, что вроде как сдачу продлили на 15 дней. Официоз есть? Или слова? Без соответствующего закона (сроки подачи законом устанавливаются, потому изменить их можно тоже только законом) это всё ниачом. Добавлено через 6 минут Короче, мені дуже прикро насправді, ми як ІТ країна (ну так всім клієнтам себе продаємо) дозволили себе ... взламати. Делать морду кирпичём дальше. Ведь делают же МС и АНБ в ответ на обвинения, что использованный бэкдор использовал специально посаженный в венду разрабом (т.е. МС) люк? И даже публикацию этого в NYT не оспаривают. Т.е. — правда. Ну, и, справедливости ради: сильно много ИС продаёт продуктов за пределы страны? Присосались к ГНАУ/ДФС и пользуются этим на всю катушку. Посилання на коментар Поділитися на інших сайтах More sharing options...
LM Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Медок вроде работает. Вчера знакомый бух накладные зарегистрировал. А вот обмен НН между контрагентами - не работает Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Вчера знакомый бух накладные зарегистрировал. Безбашенный. Наши админы отрубили сервак и повторно его шерстили. Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Безбашенный. Наши админы отрубили сервак и повторно его шерстили. Не скажи... У нас тоже Медок как работал - так и работает. Правда, как обновления ставятся - не в курсе. Возможно, только вручную с предварительной проверкой эвристическим анализатором. Но точно он работает не под админом на совершенно отдельной машине за фаерволом (по защите я не в курсе - наши айтишники отрабатывают хорошо зарплаты ) PS: Появился в продаже мастер-ключ для расшифровки. 100 битков. motherboard.vice.com/en_us/article/evdxj4/notpetya-ransomware-hackers-decrypt-file Посилання на коментар Поділитися на інших сайтах More sharing options...
MaksymS Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Жорстко у нас працювати в ІТ Гроші даремно ніде не платять. А надто ті зарплати, які платять айтішникам, на порядок вищі ніж середні по країні. Тож треба їх відпрацьовувати. А не усім розповідати що та ми ж випустили нове сучасне високоякісне прогресивне оновлення без вірусу, але Кіберполіція забрала сервери, тому ви не можете оновитися... Ну брєд же... А хто вам заважав випускати сучасне високотехнологічне прогресивне оновлення без вірусу раніше? Відсутність уваги Кіберполіції??? Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 PS: Появился в продаже мастер-ключ для расшифровки. 100 битков. Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах? Отзывы есть? Помогает только от Пети, или pscrypt тоже раскрывает? Вообще, оригинально: мастер-ключ для расшифровки алгоритма, который такового ключа в теории не содержит. (Правда, как оказалось, что только в теории, было что-то про мастер-ключи к ходовым алгоритмам шифрования.) Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Еще одна интересная статья от сотрудника ESET m.geektimes.ru/post/290779/ Добавлено через 1 минуту Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах? Отзывы есть? Есть ссылка на статью, в которой сказано, что ESET давал зашифрованный файл и получил расшифрованный. Добавлено через 4 минуты Вообще, оригинально: мастер-ключ для расшифровки алгоритма, который такового ключа в теории не содержит. Оказывается, есть два типа ключей - один с привязкой к зараженному компу, второй - без привязки. Хотя, есть вариант, что "подсказка" о ключе содержится в зашифрованном файле. А привязка к компу осуществлялась ограниченным набором ключей. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
AndyAntonov Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Кто-то уже рискнул 30-ю косыми в зелёных мёртвых президентах 250 килбаксов, а не тридцать, фигассе. Посилання на коментар Поділитися на інших сайтах More sharing options...
ozzy Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 посмотрел видео жесть серверная посреди охвиса и охлаждается офисным же вентилятором :D дэнэжное дерево + сервера понаныканы в проходах а ля к туалету 3 Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 дэнэжное дерево На одном из ресурсов читал финансовые показатели... Учредители - украинские. Но есть хитрость - лицензионные отчисления для двух офшоров. Данные за 2015 год: ИС (учредители укр) - доход 4 млн 1 оффшор (владелец укр) - доход 19 млн 2 оффшор (владелец киприот) - доход 42 млн. Ну да. Все верят, что владелец второго оффшора, вошедшего в 2013 году - киприот, который разработал софт Медка. 1 Посилання на коментар Поділитися на інших сайтах More sharing options...
deemage Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Какие домыслы? Декомпиляция ESET.Декомпилировали. Вот этот код. Дальше что? Я не вижу никакого криминала и тем более указания на то, что это код вируса. По этой и ряду других причин данный отчёт серьёзно воспринимать не могу, извините. Посилання на коментар Поділитися на інших сайтах More sharing options...
ozzy Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 вот все видят, а Вы нет. Может пора зрение проверить ? Посилання на коментар Поділитися на інших сайтах More sharing options...
InSAn Опубліковано: 6 липня 2017 Поділитись Опубліковано: 6 липня 2017 Декомпилировали. Вот этот код. Дальше что? Я не вижу никакого криминала и тем более указания на то, что это код вируса. По этой и ряду других причин данный отчёт серьёзно воспринимать не могу, извините. Читайте оригинал: www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ Или, хотя бы, полный перевод: geektimes.ru/post/290779/ Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева: Основной класс бэкдора — MeCom... Посилання на коментар Поділитися на інших сайтах More sharing options...
Рекомендовані повідомлення
Створіть акаунт або увійдіть у нього для коментування
Ви маєте бути користувачем, щоб залишити коментар
Створити акаунт
Зареєструйтеся для отримання акаунта. Це просто!
Зареєструвати акаунтУвійти
Вже зареєстровані? Увійдіть тут.
Увійти зараз