Группа: Пользователи
Сообщений: 1543
Спасибо сказали: 254 раз
Рейтинг: 0
Інший клієнт : термінальний сервер 2003 . Закрита переадресація дисків, буфер обміну, робочі столи користувачів.... Змінений порт терм. сервера... все чудово працює. Без антивіруса. І що характерно, сервер не оновлювався вже років із п'ять.
Группа: Пользователи
Сообщений: 1543
Спасибо сказали: 254 раз
Рейтинг: 0
[необходимо зарегистрироваться для просмотра ссылки]
Цитата
Этим утром, в 10.30, программу M.E.doc. было обновлено. Оно составляло примерно 333кб, и после его загрузки происходили следующие действия:
- создан файл: rundll32.exe;
- обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;
-создание файла: perfc.bat;
- запуск cmd.exe с последующей командой: / c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35 ";
- создание файла: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
- создание файла: dllhost.dat.
В дальнейшем, вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry).
Рекомендация:
- временно не применять обновления, которые предлагает программное обеспечение "M.E.doc." при запуске". Источник: [необходимо зарегистрироваться для просмотра ссылки]
Группа: Местный
Сообщений: 2908
Из: Київ, Україна
Спасибо сказали: 1159 раз
Рейтинг: 1244.5
Маячня. Якщо вам поштою прийшов лист "оновлення медок" із посиланням, яке ви запустили, - медок у цьому не винен. Якщо вам поштою прийшов лист "рє: важниє дакумєнти" з виконуваним файлом, з офісним файлом з макросом, який ви відкрили, - медок у цьому не винен. Якщо перше чи друге відбулося не з вами, а з тим, хто сидить поруч, але у вас дирява неоновлена ос, або багато шари, - медок у цьому не винен.
Допрацьовую: - "Бухгалтерія для України 2.1"; - "Альфа-Авто: Автосалон+Автосервіс+Автозапчастини, українська версія".
Группа: Местный
Сообщений: 858
Из: Місто щасливих людей
Спасибо сказали: 327 раз
Рейтинг: 0
Наш админ тоже грешит на Медок, говорит была какая-то странная обнова, не стандартный шрифт в описании обновы и само описание не такое как всегда. После этого сервак и полетел, вылечить не смогли, восстанавливали
Дописываю конфигурации на платформе 8.х. - Управление торговым предприятием для Украины - Управление производственным предприятием для Украины - Управление небольшой фирмой для Украины - Бухгалтерия для Украины; - Общепит для Украины - Ресторан (Рарус) - Розница
Группа: Местный
Сообщений: 2908
Из: Київ, Україна
Спасибо сказали: 1159 раз
Рейтинг: 1244.5
XBrut @ Сегодня, 10:02
, Наразі ще не бачив розумних пояснень, як це могло стати, окрім свідомих дій працівників медка щодо зараження. А якщо це - останнє, то ми мали б бачити, як поліція проводить обшуки у офісах медка, та виводить звідти злочинців у кайданах.
Допрацьовую: - "Бухгалтерія для України 2.1"; - "Альфа-Авто: Автосалон+Автосервіс+Автозапчастини, українська версія".
Группа: Местный
Сообщений: 631
Спасибо сказали: 168 раз
Рейтинг: 133.4
Весёлая у вас жизнь, если кто не делает бэкапов.
Эта атака имеет положительную сторону, многие задумаются и, наконец-то, будут действовать (платить) по-науке нормальным админам. Бывает, приходишь обновить 1С, а там сервер в виде обычного компа без рейда (неуправляемый упс, приходящий админ - экономят), бэкапы хранятся на том же компе (уникумы даже на тот же диск складывают), терминальный сервер торчит в инет без вменяемых настроек безопасности и не обновляется (ибо пиратский), зато пяток магазинов и модная машина держателя сего бизнеса. Цирк.
#define private public enum BOOL { FALSE, TRUE, FILENOTFOUND } is made my day
1С Предприятие 8.3, 1С Предприятие 8.2, 1С Предприятие 8.1, 1С Предприятие 8.0, 1С Предприятие 7.7, Литература 1С, Общие вопросы по администрированию 1С, Методическая поддержка 1С - всё в одном месте: на Украинском 1С форуме!