который год продляю и продляю подписку...Мой ежепятничный тост - за сухопутную границу между Грузией и Украиной!
DOS.Petya / mbr locker 256 
HONDA Теревені
|
Bitdefender Total Security - rulez.
который год продляю и продляю подписку... |
|
Вчера было одно попадание
MSE справился, но мусор оставался. Руками дочищал |
|
С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco! Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"...  |
|
Uri: »» Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне.
булшит Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте. |
|
https://cyberpolice.gov.ua/article/rekomendacziyi-shhodo-variantiv-vidnovlennya-dostupu-do-danyx-na-systemi-yaka-bula-urazhena-modyfikovanoyu-troyanskoyu-programoyu-petya-1649/
Будем пробовать этот способ. Хуже уже все равно не будет Умный мужчина не даёт женщине повода для обид.
Умной женщине, чтобы обидеться, поводы не нужны. |
|
лучше пробуйте диск покдлючить к линуксовой системе и там достать данные.
|
|
Uri:С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco! Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"...  Лучше HONDA нет коня, остальное все .... не то))))))))))
=================== // Jedem das Seine ! // |
|
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ Tale of a malicious update The Cyberpolice Department of Ukraine’s National Police stated, on its Facebook account, as did ESET and other information security companies, that the legitimate Ukrainian accounting software M.E.Doc was used by the attackers to push DiskCoder.C malware in the initial phase of the attack. However, until now, no details were provided as to exactly how it was accomplished. During our research, we identified a very stealthy and cunning backdoor that was injected by attackers into one of M.E.Doc’s legitimate modules. It seems very unlikely that attackers could do this without access to M.E.Doc’s source code. The backdoored module has the filename ZvitPublishedObjects.dll. This was written using the .NET Framework. It is a 5MB file and contains a lot of legitimate code that can be called by other components, including the main M.E.Doc executable ezvit.exe. We examined all M.E.Doc updates that were released during 2017, and found that there are at least three updates that contained the backdoored module: 01.175-10.01.176, released on 14th of April 2017 01.180-10.01.181, released on 15th of May 2017 01.188-10.01.189, released on 22nd of June 2017 |
|
AKyr, And here is the most cunning part! The backdoored module does not use any external servers as C&Cs: it uses the M.E.Doc software’s regular update check requests to the official M.E.Doc server upd.me-doc.com[.]ua. The only difference from a legitimate request is that the backdoored code sends the collected information in cookies.
т.е. центр управления зловредом - сервер апдейтов медка .. Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте. |
|
mazy, так точно
Added after 2 minutes: Проверить или у вас зловредная dll: Скачать YARA https://github.com/VirusTotal/yara/releases создать текстовый mdoor.yara: rule mdoor { meta: author = "CSC" description = "Rule to check for mdoor " strings: $str_1 = "MeComDoWork" ascii wide $str_2 = "Started Infinite:" ascii wide $str_3 = "I'm not admin (" ascii wide condition: all of them } C:\yara64.exe -s -r mdoor.yara C:\ProgramData\Medoc (куда установлен Медок) Востаннє редаговано: AKyr (04-07-2017 15:30), редаговано 2 раз |
|
AKyr, Conclusions
As our analysis shows, this is a thoroughly well-planned and well-executed operation. We assume that the attackers had access to the M.E.Doc application source code. They had time to learn the code and incorporate a very stealthy and cunning backdoor. The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors. There are still questions to answer. How long has this backdoor been in use? What commands and malware other than DiskCoder.C or Win32/Filecoder.AESNI.C has been pushed via this channel? What other software update supply chains might the gang behind this attack have already compromised but are yet to weaponize? как по мне - инсайдер в медке был.. 100%. Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте. |
|
ну и вишенка
The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors. Added after 3 minutes: mazy, Согласен. Added after 59 seconds: Самое страшное, что программа Медок продолжает работать и в последнем релизе .189 зараженная dll-ка |
|
Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567 Дивіться кому видане свідоцтво |
|
IntenT, итак понятно что касперский всегда был "под органами тама", ВС РФ не исключение
AKyr, на выходных ставил тёще медок, подтягивал их все архивы и в том числе обновлялся - пока всё работает (сплюнул 3 раза), спецом узнал только что ... а не хлопнуть ли нам по рюмашке? (с) х/ф Покровские ворота, для несведущих |
|
https://www.facebook.com/arsen.avakov.1/posts/1448496371907131
Arsen Avakov додав 2 нові світлини.
8 год. · Kyiv · Сьогодні спеціальні агенти департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури - припинили другий етап кібератаки Petya. Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Є. Doc. Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації. т.е. первого раза было недостаточно, чтоб изъять сервак на исследования???????? из энторнетов принесло - [... ] а если вспомнить, что Интелект-сервис это российская компания, то все становится еще интереснее. Интеллект-сервис был основан товарищем Линником совместно с россиянами. Потом россиян оттуда как бы выпилили и официально это полностью украинская компания, но и Яндекс тоже был голландской компанией, если что.
Added after 2 hours 40 minutes: IntenT:Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567 Дивіться кому видане свідоцтво https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8%D0%B9,_%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9_%D0%92%D0%B0%D0%BB%D0%B5%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%B2%D0%B8%D1%87 "В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."  Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте. |
|
Вперше за історію існування ПЗ "M.E.Doc" стався безпрецедентний факт взлому, внаслідок якого до продукту було внесено шкідливий програмний код до пакету оновлення.
https://www.facebook.com/medoc.ua/posts/1908536359433942 |
|
"В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."
Єто понятно. Там в заключении Лаборатория Касперского названа войсковой частью 43573  |
Форум : HONDA Теревені
Кращі теми
smarty: У кого какие часы?
Yura_777: Какой сериал смотреть
littlebo: Моя боянчег тапочек, моя ракета ))