Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7

Помощь - Поиск - Пользователи - Календарь

Полная версия этой страницы: Кібератака 27 червня

Украинский 1С форум: всё про 1С 8.3, 1С 8.2, 1С 8.1, 1С 8.0, 1С 7.7 > Общий раздел > Офф-топик

XBrut

27.06.17, 18:54

Основне питання : як шифровальник потрапляє до операційної системи?
Бо кажуть, що мовляв "все було зачинено", а він все одно проліз (я наразі не вірю)

У мене начасі постраждав один клієнт, який звичайно ж не робив архівів бази

У цього клієнта ну точно працюють дівчата-інтернет-полазитьпосайтам.

П.С.
додаткове питання : що московська педерастія хотіла цим довести?

необходимо зарегистрироваться для просмотра ссылки

sava1

27.06.17, 19:00

За 10 хв. лягли всі віндові машини - 5 серверів і 60 клієнтів.
Підозра на банківські клієнти, медок, юзери - все інше було закрите.

Антівіруси, патчі не помогли.

XBrut

27.06.17, 19:08

Інший клієнт : термінальний сервер 2003 . Закрита переадресація дисків, буфер обміну, робочі столи користувачів.... Змінений порт терм. сервера... все чудово працює. Без антивіруса. І що характерно, сервер не оновлювався вже років із п'ять.

mister-x

27.06.17, 20:49

"Мну" підозрює МЕДОК, чи бува корені в нього не з Росії ростуть, га?

XBrut

27.06.17, 22:41

необходимо зарегистрироваться для просмотра ссылки

Цитата

Этим утром, в 10.30, программу M.E.doc. было обновлено. Оно составляло примерно 333кб, и после его загрузки происходили следующие действия:

- создан файл: rundll32.exe;

- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;

-создание файла: perfc.bat;

- запуск cmd.exe с последующей командой: / c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35 ";

- создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;

- создание файла: dllhost.dat.

В дальнейшем, вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).

Рекомендация:

- временно не применять обновления, которые предлагает программное обеспечение "M.E.doc." при запуске".
Источник: необходимо зарегистрироваться для просмотра ссылки

Acid

29.06.17, 7:52

Медок... чтоб его в торец!
необходимо зарегистрироваться для просмотра ссылки

XBrut

29.06.17, 8:44

необходимо зарегистрироваться для просмотра ссылки

Petre

29.06.17, 8:58

Маячня.
Якщо вам поштою прийшов лист "оновлення медок" із посиланням, яке ви запустили, - медок у цьому не винен.
Якщо вам поштою прийшов лист "рє: важниє дакумєнти" з виконуваним файлом, з офісним файлом з макросом, який ви відкрили, - медок у цьому не винен.
Якщо перше чи друге відбулося не з вами, а з тим, хто сидить поруч, але у вас дирява неоновлена ос, або багато шари, - медок у цьому не винен.

XBrut

29.06.17, 9:02

Acid @ Сегодня, 8:52 необходимо зарегистрироваться для просмотра ссылки ,

Як ви думаєте, СБУ вже працює з мєдком?

П.С.
інтуітивно : СБУ нічого не робить. а ті, хто це зробив, і досі працюють на своїх місцях

Petre @ Сегодня, 9:58 необходимо зарегистрироваться для просмотра ссылки ,

зачекайте казати "маячня" Ви хіба вжі знаєте всі обставини?

Bernet

29.06.17, 9:15

Наш админ тоже грешит на Медок, говорит была какая-то странная обнова, не стандартный шрифт в описании обновы и само описание не такое как всегда. После этого сервак и полетел, вылечить не смогли, восстанавливали

Petre

29.06.17, 9:17

XBrut @ Сегодня, 10:02 необходимо зарегистрироваться для просмотра ссылки ,
Наразі ще не бачив розумних пояснень, як це могло стати, окрім свідомих дій працівників медка щодо зараження. А якщо це - останнє, то ми мали б бачити, як поліція проводить обшуки у офісах медка, та виводить звідти злочинців у кайданах.

XBrut

29.06.17, 10:24

необходимо зарегистрироваться для просмотра ссылки

а. ну тепер дехто вирішить, що Україна розробила бухгалтерську програму. І атакувала нею весь світ

необходимо зарегистрироваться для просмотра ссылки

andr_andrey

29.06.17, 10:33

Весёлая у вас жизнь, если кто не делает бэкапов.

Эта атака имеет положительную сторону, многие задумаются и, наконец-то, будут действовать (платить) по-науке нормальным админам.
Бывает, приходишь обновить 1С, а там сервер в виде обычного компа без рейда (неуправляемый упс, приходящий админ - экономят), бэкапы хранятся на том же компе (уникумы даже на тот же диск складывают), терминальный сервер торчит в инет без вменяемых настроек безопасности и не обновляется (ибо пиратский), зато пяток магазинов и модная машина держателя сего бизнеса. Цирк.

Acid

29.06.17, 10:47

andr_andrey @ Сегодня, 11:33 необходимо зарегистрироваться для просмотра ссылки ,
Ну я бы не сказал, что например в Киевэнерго все запущено. Там как раз все красиво было, и бабло там не экономят.

andr_andrey

29.06.17, 11:32

Acid @ Сегодня, 11:47 необходимо зарегистрироваться для просмотра ссылки ,
Я не говорю именно про них, но например, как тест, они делают тестирование развёртыванием для бэкапа?

XBrut

29.06.17, 12:51

* анекдот дня :
- Люся, ти бачила коли-небудь, як літає сраний віник?
- ні...
- тоді подивись на нашого системного адміністратора...

Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.