Владельцы сетей, пораженных вирусом Petya, могут стать объектами повторной кибератаки, - Госспецсвязь

З якого дива?

какая прога распространила вирус?...отож...вирус заказан фирмой 1С.

С какого перепугу к сему действу 1С? Какое отношение М.Е.Doc имеет к 1С? Меня вот другое пугает. Если даже после восстановления системы и латания заплаток Винюков риск заразиться повторно велик, то значит или заплатки дырявые или вообще нихера никто не делал и толком не понимает как заражение происходит и как с ним бороться а все рекомендации не приводят к повышению защиты. Эдакое состояние запора при бурной работе организма как сказал в свое время Жванецкий.

элементарно ,Ватсон! 1С запретили. поэтому в ответ по их заказу написали вирус под довольно распространенную аналогичную программу- медок. в теле вируса присутствует элемент привязки EDRPOU . это именно украинский реестр и вирус писался именно для Украины. то что остальные страны подцепили- это побочный эффект

и ещё есть стыковка налоговых накладных между 1с и медоком, возможно в проге есь скрытый эксплойт

Медовая стыковка, если о ней речь вполне открытая обработка без какой либо защиты. Проверить может каждый что там и как. Кроме того 1с использует на сколько мне известо и другое ПО для отчетности 1СZvit. Так что не токо М.Е.Doc. И вопрос на счет побочного эфекта. Каким образом он мог проявится в странах где не использовалась программа, которую использовали для распространения вируса? И потом запретили 1С на сколько мне известно в этом году, а вирус Petya.A впроявил себя в первый раз в прошлом году. Сейчас его модификация условно называемая Petya.C Что вся єта мішиная возня мне сильно напоминает охоту на ведьм. И таки я не получил ответ на вопрос почему те кто переустановил систему, накатил все патчи от мелкомягких, не используют пресловутій медок все таки опять могут подвергнуться атаке, если так все круто залатано?

А вот какое мнение еще ходит:
С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco!
Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"...

https://honda.org.ua/forum/about125442-0-asc-25.html Взято отсюда .

Все это меня наводит на мысль, что произошла утечка от мелкомягких о дырах в их ПО. К примеру к линуховым машинкам можно было получить админский доступ только в одном случае, если они были введены в домен Windows и подчинялись единым доменным политикам. Слава Богу у нас линуховые машинки не управляются из под домена виндовс.

на вопрос не получивший ответа - грипом болеели? лекарства принимали? И????думаете больше не заболеете?

А на остальное - ну было же предложено сначала прочесть
http://www.dsszzi.gov.ua/dsszzi/control/uk/publish/article?art_id=278250&cat_id=268448

"Ймовірно зараження відбулося ще в квітні і
......УВАГА......
розповсюдження вірусу-шифрувальщика через оновлення «M.E.Doc» було направлено на видалення слідів атаки, про що свідчить шифрування файлів з потенційною неможливістю їх відновлення...."



По поводу когда появился Petya?
А когда появились вирусы, а хакеры а компы а молоток???
В чем суть вопроса, если кто то, для достижения своих целей, воспользовался подходящим инструментом изготовленным ранее? В чем ВОПРОС от взрослого человека?

Суть вопроса именно в этом ответе от Фантом2:
элементарно ,Ватсон! 1С запретили. поэтому в ответ по их заказу написали вирус под довольно распространенную аналогичную программу- медок.

Относительно саркакзма о вирусах гриппа - в моей практике с 1995 года это не первый случай вирусной активности в сети и лечение от оных. Как проявляются симптомы заражения и как реагирует на вирус система после лечения и латания дыр я как-то знаком. Также в данном случае 27 числа я лично своими глазами наблюдал за заражением и как себя вели сервера и это совсем не было похоже на вирусное заражение. Было такое впечатление как-будто враз кто-то удаленно нажал кнопку. Т.е. в системе уже был взлом, заложены мины, которые сработали одновременно в одно и то же время. Причем антивирусная программа никаким образом не отреагировала на него. Значит он не вел себя как вирус. А то что в твоем сабже по ссылке - уже давно сделано. Как собственно и был накатан мартовский патч от мелкомягких. До апреля, заметь (мы регулярно сервера обновляем). К положительному результату это не привело. Медок транспорт - не более. Дыра в винюках. И что-то мине подсказывает, что она там осталась и после патча.

И второе медок не альтернатива 1С и никогда ею не был. Я не слышал, чтобы хозяйственную деятельность в нем кто-то вел. Он использовался в основном для передачи фискальной отчетности по хозяйственной жеятельности в соответствующие службы в электронном виде на сколько мне известно.

"....Как собственно и был накатан мартовский патч от мелкомягких...."

эТОТ ?
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

https://answers.microsoft.com/en-us/windows/forum/windows_10-security/wanna-cry-ransomware/5afdb045-8f36-4f55-a992-53398d21ed07

И именно в апреле стал появляться шум на наших краях об выскакивающих в винде окошках сообщавших что "произошел сбой системы" и она будет перезагружена через минуту.
Скорее всего наши " продвинутые" юзеры, коих большинство, просто не посчитали эти окошки за вредность. А результат, как по мне, был подкладывание яичек для последующей атаки.

Сказав-як відрізав.

ось до чого Petya країну довів! )))

а вообще-то возникают вопросы...
почему вирус петей назвали?

думаешь поэтому?

)))
Брат первозванного Апостола Андрея, святой Апостол Петр, носивший до призвания Господом Иисусом Христом имя Симона, сын иудея Иона из колена Симеонова, происходил из Вифсаиды, незначительного и малоизвестного галилейского городка в Палестине. Он взял себе в супружество дочь Аристовула, брата святого Апостола Варнавы, и имел от нее детей: одного сына и одну дочь. Симон был человек бесхитростный и некнижный; проникнутый страхом Божиим, он соблюдал все заповеди Господа, ходя пред Ним без порока во всех делех своих. Занятием Симона было рыболовство; этим трудом рук своих он, как человек бедный, снискивал пропитание для своего семейства, кормя жену, детей, тещу и престарелого отца своего Иону.

не наводи тень на плетень...
где посаженые три друга коррупционера?
где проданый бинесс?
ведь все знают, что пеця нарушает основной принцип, бизнесмены не должны быть во власти!

С фантазией у запоребриковых туго просто. Ну или это их сакрально-скрепный типа юмор уровня камеди-педросянов.

возможно и так..
но пеця еще тот вирус, который с гонтаревой в каждый карман залез и разбогател на этом...

Тому, що він теж безальтернативний.

Ну ващето, када ты свою ЗП из банкомата только отбойным молотком выковырять сможешь, то поймешь, что такое "какие-то жалкие компьютеры".

в один тур

ОТчётами финансовой полиции США.Украина выполнила все договорные обязательства включая МВФ и ****

Не знаю на счет сотрудников, но вот у нас пострадали только винюковые сервера - все восемь. Линуксовые сервера с 1С не пострадали ни один. Клиентские машинки с винюками также не пострадала ни одна. Повторюсь НИ ОДНА КЛИЕНТСКАЯ МАШИНКА с Windows не пострадала.

у нас виндовые сервера с сиквелами "ушли лесом", и клиентские ПК по всей компании, даже без МЕДок-а и каких-либо бухгалтерских программ... админы вешаются до сих пор...

У нас клиентские ПК остались все живы здоровы. Зато гавкнулись сервера начиная от контроллера домена и заканчивая терминальными.

Трамп превратил бетон в доллар, больше он ни на что не способен.

Ну положим каждый принимает решение на свой страх и риск - доверять или нет, а во вторых че такая мелкая фота - нихера не видно. Мы к примеру свои серваки упавшие сбекапили. У нас они виртуальные - могли бы проверить, но на вото глаза порвать можно.

Действительно мелкая получилась. Вот побольше.

Спасибо. Я уже раньше ее с первоисточника утянул. Отправил админу. Как проверит - отпишусь о результатах.

Ещё такая вот фигня есть. Цифирьки вроде иные. Мож и эту пусть ваши проверят?

Переслал и этот. Сегодня не могу обещать. Но завтра думаю проверят. В любом случае по результатам отпишусь в эту ветку форума.

Спасибо. Если получится, то мож действительно людям советовать можно будет.

Сомнения конечно большие есть что помогут, но на безрыбье, как говорится... В такой ситуации за любую соломинку хватаешься.

Проверили, посмотрели. Говрит что ключ неверен. Ни один не подошел. Так что пока мимо.

Хотя на первоисточнике в комментах говорят, что фейк. Ну да чем мы рискуем - проверим, посмотрим.

Просто я в этом не понимаю, а мож действительно рабочее и кому-то пригодится.Просто огульно без понимания советовать - это дурость, я считаю. А если кто-то шарит и может проверить, то чего бы и не помочь людям?

Попробуем проверить. Файло зараженных виртуалок мы откинули в сторону. Так что есть на чем тренироваться без риска уже. "Без риска" как то прикольно глупо прозвучало.

http://www.kp.ru/daily/22558/9658/ Дела не так уж плохи, покуда живы «лохи»

А сколько там просят ? в курсе?
https://www.unian.ua/science/2013691-masova-ataka-virusu-petyaa-ymovirni-hakeri-zrobili-pershu-zayavu.html

Хакер або група хакерів, що стоїть за вірусом Petya, вперше з моменту атаки почали діяти. Невідомі спустошили біткоїн-гаманець, де до цього часу набралося $10 тисяч (спочатку вірус вимагав за розшифрування файлів по $300, але ті, хто заплатили, ключів не отримали), передає Ain.ua з посиланням на Motherboard.
Потім невідомий, який виступає від імені творців вірусу, запостив звернення до всіх постраждалих, в якому вимагає за розшифрування файлів (але не завантажувальних дисків) по 100 біткоїнів.
На момент написання за курсом 100 біткоїнів коштували приблизно $256 тис.
Видання зазначає, що в повідомленні не вказаний гаманець, але є посилання на чат в даркнеті, де користувачі можуть з хакером (або хакерами) зв'язатися.

Платить никто не собирался и не собирается. С криптовальщиками не первый раз сталкиваемся. Правда первый раз настолько плотно. Потери минимизированы в виду достаточно регулрного бэкапинга и тем, что критические сервисы были под линуксами. А сколько просили я лично видел на наших серверах, что упали. Хреново то, что антивирусные программы защиты от них не гарантируют хотя бы на 50%.

5 ballov
.

шифровальщики используют те же самые либы которые пользуют юзвери для подписывания файлов (документов) в банки-налоговую-казначейство.
то исть либы НЕ-ЯВЛЯЮТСЯ вирусными.
либы просто используются для других целей и ффсёёёё !

потенциально попадают под воздействие шифровальщиков компы с|на которых юзверь производит операции подписывания файлов|документов цифровой подписью.
для зловредного|"вирусного" воздействия на компы
могут быть использованы батники-VBAscripts-эксплойты-... ,
которые не содержат внедрённого в систему вирусного кода и потому не-отлавливаемые антивирусным ПО

вопрос внедрения заразы в загрузочный сектор
это вопрос МНОГОЛЕТНЕЙ "экономии" на админах, когда "лор"ы, "дор"ы, бабульки бухгалтерши
и прочие перцы с растопырянными пальцАми мнют себЮ властителями и повЯлителями всехився

нюню ...
.

вторая часть марлезонского балета
касается обновления программного обеспечения как такового.
хакерская деятельность второй части балета ДВУХзвенная.

сужать эту проблему до обновлений одного единственного медока тупо дебильно и ... выгодно !
выгодно мелкомягким. выгодно хакерам.
выгодно любым проходимцам, которые ещё вчера торговали трузелями,
а сегодня рулят всемився

например, берём прогу Adobe Acrobat Reader .
эта прога присутствует практически на любом компЕ, на виндовом 99,9% присутствует.

спецслужбы или преступники
на уровне провайдера, ближайшего к компу, на серваке DNS
производят подмену официального ip-адреса с апдейтами
на ip-адрес с завирусованными апдейтами.
прога всасывает апдейт и спрашивает (или автоматом) : "установить ОБНОВЛЕНИЕ"
после ответа "ДА" (или автоматом) обновление происходит на уровне СИСТЕМНЫХ файлов
и антивирус никогда это обновление блокировать НЕ-БУ-ДЕТ.

спецслужбы таким образом могут получить полный доступ в любой комп иля сервак.

именно поэтому сегодня геращи-госьки-грыцацьки- ...
вопят воют свистят улюлюкают ПРО ОДИН ЕДИНСТВЕННЫЙ сервер медока

рыло-то сбушников соевого филиала фэсэбэ в пуху и в перьях с дёгтем
.

спецслужбы таким образом могут получить полный доступ в любой комп иля сервак.

именно поэтому сегодня геращи-госьки-грыцацьки- ...
вопят воют свистят улюлюкают ПРО ОДИН ЕДИНСТВЕННЫЙ сервер медока

рыло-то сбушников соевого филиала фэсэбэ в пуху и в перьях с дёгтем
.

повезло ,не успел ,значит.