Версия для печати темы (https://pro1c.org.ua/index.php?s=dc80a38a80d2b8f2969fc7a5349c8f30&showtopic=38250)

Нажмите сюда для просмотра этой темы в обычном формате

Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 _ Офф-топик _ Кібератака 27 червня

Автор: XBrut 27.06.17, 18:54

Основне питання : як шифровальник потрапляє до операційної системи?
Бо кажуть, що мовляв "все було зачинено", а він все одно проліз (я наразі не вірю)

У мене начасі постраждав один клієнт, який звичайно ж не робив архівів бази smile.gif
У цього клієнта ну точно працюють дівчата-інтернет-полазитьпосайтам.

П.С.
додаткове питання : що московська педерастія хотіла цим довести? smile.gif

http://pro1c.org.ua/redirect.php?https://censor.net.ua/blogs/6370/ukraina_podverglas_samoyi_krupnoyi_v_istorii_kiberataki_virusom_petya

Автор: sava1 27.06.17, 19:00

За 10 хв. лягли всі віндові машини - 5 серверів і 60 клієнтів.
Підозра на банківські клієнти, медок, юзери - все інше було закрите.

Антівіруси, патчі не помогли.

Автор: XBrut 27.06.17, 19:08

Інший клієнт : термінальний сервер 2003 . Закрита переадресація дисків, буфер обміну, робочі столи користувачів.... Змінений порт терм. сервера... все чудово працює. Без антивіруса. І що характерно, сервер не оновлювався вже років із п'ять.

Автор: mister-x 27.06.17, 20:49

"Мну" підозрює МЕДОК, чи бува корені в нього не з Росії ростуть, га?

Автор: XBrut 27.06.17, 22:41

http://pro1c.org.ua/redirect.php?https://censor.net.ua/news/445694/kiberpolitsiya_nazvala_programmu_cherez_kotoruyu_osuschestvlyalas_hakerskaya_ataka

Цитата
Этим утром, в 10.30, программу M.E.doc. было обновлено. Оно составляло примерно 333кб, и после его загрузки происходили следующие действия:

- создан файл: rundll32.exe;

- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;

-создание файла: perfc.bat;

- запуск cmd.exe с последующей командой: / c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35 ";

- создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;

- создание файла: dllhost.dat.

В дальнейшем, вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).

Рекомендация:

- временно не применять обновления, которые предлагает программное обеспечение "M.E.doc." при запуске".
Источник: http://pro1c.org.ua/redirect.php?https://censor.net.ua/n445694

Автор: Acid 29.06.17, 7:52

Медок... чтоб его в торец!
http://pro1c.org.ua/redirect.php?https://dou.ua/forums/topic/21060/

Автор: XBrut 29.06.17, 8:44

http://pro1c.org.ua/redirect.php?https://www.ptsecurity.com/ru-ru/about/news/283092/

Автор: Petre 29.06.17, 8:58

Маячня.
Якщо вам поштою прийшов лист "оновлення медок" із посиланням, яке ви запустили, - медок у цьому не винен.
Якщо вам поштою прийшов лист "рє: важниє дакумєнти" з виконуваним файлом, з офісним файлом з макросом, який ви відкрили, - медок у цьому не винен.
Якщо перше чи друге відбулося не з вами, а з тим, хто сидить поруч, але у вас дирява неоновлена ос, або багато шари, - медок у цьому не винен.

Автор: XBrut 29.06.17, 9:02

Acid @ Сегодня, 8:52 * ,

Як ви думаєте, СБУ вже працює з мєдком?

П.С.
інтуітивно : СБУ нічого не робить. а ті, хто це зробив, і досі працюють на своїх місцях

Petre @ Сегодня, 9:58 * ,

зачекайте казати "маячня" Ви хіба вжі знаєте всі обставини?

Автор: Bernet 29.06.17, 9:15

Наш админ тоже грешит на Медок, говорит была какая-то странная обнова, не стандартный шрифт в описании обновы и само описание не такое как всегда. После этого сервак и полетел, вылечить не смогли, восстанавливали

Автор: Petre 29.06.17, 9:17

XBrut @ Сегодня, 10:02 * ,
Наразі ще не бачив розумних пояснень, як це могло стати, окрім свідомих дій працівників медка щодо зараження. А якщо це - останнє, то ми мали б бачити, як поліція проводить обшуки у офісах медка, та виводить звідти злочинців у кайданах.

Автор: XBrut 29.06.17, 10:24

http://pro1c.org.ua/redirect.php?https://censor.net.ua/news/445815/zarajenie_virusom_petya_zafiksirovano_v_64_stranah_v_ukraine_byli_infitsirovany_125_tys_kompyuterov

а. ну тепер дехто вирішить, що Україна розробила бухгалтерську програму. І атакувала нею весь світ smile.gif

http://pro1c.org.ua/redirect.php?https://ssu.gov.ua/ua/news/1/category/21/view/3643#sthash.LZ5bS7t6.5unLojtL.dpbs

Автор: andr_andrey 29.06.17, 10:33

Весёлая у вас жизнь, если кто не делает бэкапов.

Эта атака имеет положительную сторону, многие задумаются и, наконец-то, будут действовать (платить) по-науке нормальным админам.
Бывает, приходишь обновить 1С, а там сервер в виде обычного компа без рейда (неуправляемый упс, приходящий админ - экономят), бэкапы хранятся на том же компе (уникумы даже на тот же диск складывают), терминальный сервер торчит в инет без вменяемых настроек безопасности и не обновляется (ибо пиратский), зато пяток магазинов и модная машина держателя сего бизнеса. Цирк.

Автор: Acid 29.06.17, 10:47

andr_andrey @ Сегодня, 11:33 * ,
Ну я бы не сказал, что например в Киевэнерго все запущено. Там как раз все красиво было, и бабло там не экономят.

Автор: andr_andrey 29.06.17, 11:32

Acid @ Сегодня, 11:47 * ,
Я не говорю именно про них, но например, как тест, они делают тестирование развёртыванием для бэкапа?

Автор: XBrut 29.06.17, 12:51

* анекдот дня :
- Люся, ти бачила коли-небудь, як літає сраний віник?
- ні...
- тоді подивись на нашого системного адміністратора...

Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7
https://pro1c.org.ua