Я забув пароль Зареєструватись

0
minus plus

DOS.Petya / mbr locker 256 RSS

HONDA Теревені

Добавить в Facebook Добавить в Twitter
#1850251»29-06-2017 20:57DOS.Petya / mbr locker 256
+0
Bitdefender Total Security - rulez.  Razz который год продляю и продляю подписку...
Мой ежепятничный тост - за сухопутную  границу между Грузией и Украиной!

Почетный Волонтер (1)
#1850307»30-06-2017 21:15DOS.Petya / mbr locker 256
+0
Вчера было одно попадание
MSE справился, но мусор оставался.
Руками дочищал

#1850320»01-07-2017 11:10DOS.Petya / mbr locker 256
+0
С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco!
Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"... Sad
#1850351»03-07-2017 09:32DOS.Petya / mbr locker 256
+0
Uri: »» Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне.

булшит
Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте.
#1850356»03-07-2017 10:28DOS.Petya / mbr locker 256
+0
mazy: »» булшит

прям теория заговора! Shock
#1850358»03-07-2017 14:03DOS.Petya / mbr locker 256
+0
https://cyberpolice.gov.ua/article/rekomendacziyi-shhodo-variantiv-vidnovlennya-dostupu-do-danyx-na-systemi-yaka-bula-urazhena-modyfikovanoyu-troyanskoyu-programoyu-petya-1649/

Будем пробовать этот способ. Хуже уже все равно не будет
Умный мужчина не даёт женщине повода для обид.
Умной женщине, чтобы обидеться, поводы не нужны.
#1850359»03-07-2017 14:22DOS.Petya / mbr locker 256
+0
лучше пробуйте диск покдлючить к линуксовой системе и там достать данные.
#1850380»03-07-2017 20:52DOS.Petya / mbr locker 256
+0
Uri:С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco!
Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"... Sad


Shock
Лучше HONDA нет коня, остальное все .... не то))))))))))
===================
// Jedem das Seine ! //
#1850411»04-07-2017 14:35DOS.Petya / mbr locker 256
+0
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua

https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/


Tale of a malicious update

The Cyberpolice Department of Ukraine’s National Police stated, on its Facebook account, as did ESET and other information security companies, that the legitimate Ukrainian accounting software M.E.Doc was used by the attackers to push DiskCoder.C malware in the initial phase of the attack. However, until now, no details were provided as to exactly how it was accomplished.
During our research, we identified a very stealthy and cunning backdoor that was injected by attackers into one of M.E.Doc’s legitimate modules. It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.
The backdoored module has the filename ZvitPublishedObjects.dll. This was written using the .NET Framework. It is a 5MB file and contains a lot of legitimate code that can be called by other components, including the main M.E.Doc executable ezvit.exe.
We examined all M.E.Doc updates that were released during 2017, and found that there are at least three updates that contained the backdoored module:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017
#1850412»04-07-2017 14:53DOS.Petya / mbr locker 256
+0
AKyr, And here is the most cunning part! The backdoored module does not use any external servers as C&Cs: it uses the M.E.Doc software’s regular update check requests to the official M.E.Doc server upd.me-doc.com[.]ua. The only difference from a legitimate request is that the backdoored code sends the collected information in cookies.

т.е. центр управления зловредом - сервер апдейтов медка ..
Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте.
#1850413»04-07-2017 14:56DOS.Petya / mbr locker 256
+0
mazy, так точно

Added after 2 minutes:

Проверить или у вас зловредная dll:

Скачать YARA https://github.com/VirusTotal/yara/releases


создать текстовый mdoor.yara:

rule mdoor
{  
 meta:  
 author = "CSC"  
 description = "Rule to check for mdoor "  
 strings:
  $str_1 = "MeComDoWork" ascii wide
  $str_2 = "Started Infinite:" ascii wide
  $str_3 = "I'm not admin (" ascii wide
 condition:
  all of them
}

C:\yara64.exe -s -r mdoor.yara C:\ProgramData\Medoc (куда установлен Медок)


Востаннє редаговано: AKyr (04-07-2017 15:30), редаговано 2 раз
#1850415»04-07-2017 14:58DOS.Petya / mbr locker 256
+1
AKyr, Conclusions

As our analysis shows, this is a thoroughly well-planned and well-executed operation. We assume that the attackers had access to the M.E.Doc application source code. They had time to learn the code and incorporate a very stealthy and cunning backdoor. The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.
There are still questions to answer. How long has this backdoor been in use? What commands and malware other than DiskCoder.C or Win32/Filecoder.AESNI.C has been pushed via this channel? What other software update supply chains might the gang behind this attack have already compromised but are yet to weaponize?

как по мне - инсайдер в медке был.. 100%.
Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте.
#1850416»04-07-2017 15:04DOS.Petya / mbr locker 256
+0
ну и вишенка

The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.

Added after 3 minutes:

mazy, Согласен.
Added after 59 seconds:

Самое страшное, что программа Медок продолжает работать и в последнем релизе .189 зараженная dll-ка
#1850423»04-07-2017 16:00DOS.Petya / mbr locker 256
+0
Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567
Дивіться кому видане свідоцтво
#1850426»04-07-2017 17:57DOS.Petya / mbr locker 256
+0
IntenT, итак понятно что касперский всегда был "под органами тама", ВС РФ не исключение
AKyr, на выходных ставил тёще медок, подтягивал их все архивы и в том числе обновлялся - пока  всё работает (сплюнул 3 раза), спецом узнал только что
... а не хлопнуть ли нам по рюмашке? (с) х/ф Покровские ворота, для несведущих
#1850445»05-07-2017 11:12DOS.Petya / mbr locker 256
+0
https://www.facebook.com/arsen.avakov.1/posts/1448496371907131

Arsen Avakov додав 2 нові світлини.
8 год. · Kyiv ·
Сьогодні спеціальні агенти департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури - припинили другий етап кібератаки Petya.
Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Є. Doc.
Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації.


т.е. первого раза было недостаточно, чтоб изъять сервак на исследования????????

из энторнетов принесло -
[... ] а если вспомнить, что Интелект-сервис это российская компания, то все становится еще интереснее. Интеллект-сервис был основан товарищем Линником совместно с россиянами. Потом россиян оттуда как бы выпилили и официально это полностью украинская компания, но и Яндекс тоже был голландской компанией, если что.


Added after 2 hours 40 minutes:

IntenT:Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567
Дивіться кому видане свідоцтво


https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8%D0%B9,_%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9_%D0%92%D0%B0%D0%BB%D0%B5%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%B2%D0%B8%D1%87

"В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."

Wink
Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте.
#1850469»05-07-2017 13:23DOS.Petya / mbr locker 256
+0
Вперше за історію існування ПЗ "M.E.Doc" стався безпрецедентний факт взлому, внаслідок якого до продукту було внесено шкідливий програмний код до пакету оновлення.

https://www.facebook.com/medoc.ua/posts/1908536359433942
#1850473»05-07-2017 13:44DOS.Petya / mbr locker 256
+0
"В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."

Єто понятно.

Там в заключении Лаборатория Касперского названа войсковой частью  43573  Laughing

Форум : HONDA Теревені