Держспецзв'язку про кібератаку: зараз ситуацію взято під контроль

Ну и что,это к станции мало имеет отношения,да и не программа измерения и контроля,там другая система, а сам сервер,а он где угодно может быть.

https://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-across-europe Гардиан говорит что система радиационного мониторинга подверглась атаке. Работники пользуются носимыми счетчиками.

Работники и так ходят с дозиметром-накопителем,иначе в зону не пустят,да все работает штатно.

The radiation monitoring system at Chernobyl was taken offline, forcing employees to use hand-held counters to measure levels at former nuclear plant's exclusion zone.

Сегодня был на станции все работает штатно.

Хорошо если так. Что там желают атомщикам? Семь футов под нормальным фоном!

Без аварийной работы)))

вирус петя - мог запустить сам петя, а потом подняли хайп, для того что бы распилить кусок бюджета на реорганизацию и усиление ИТ безопасности. я смотрю на вещи реально.

1. он не кодирует файлы. только MBR. решается fixmbr, fixboot, bootsect.exe всего навсего.
2. не заражает системы у которых впринципе нету MBR - UEFI GPT
3. заражает только винду.
4. требует админ права для запуска самого себя
5. у нормальных сисадминов хождене троянов через почтовые сервера впринципе невозможно, персонал использует линукс (кроме случаем когда это невозможно ввиду специфических программ), используется DPI/layer7 который зарезает по сигнатурам все конекты и пакеты которые не вписываются в категорию стандартных.

в особо тяжелых случаях файлы выдергиваются с помощью r-studio, поскольку вирус убивает только загрузочную запись и таблицу разделов.

У сисадминов сегодня и завтра День Пивасика

Олег, так это boot вирус и всё?

продвинутый бут вирус, современного образца 2017 года, с расширенным функционалом. и все.

Ніфіга подобного, кодується MBR і перезаписати її не можливо, вірус, можливо пішов з 1С, тим більше, що всі копи з ХР вистояли, а з Win 7 та 10 лягли спати.
Знаю що кажу, в мене на підприємстві 13 компів пішло спати, зараз сиджу і пробую відновити (переставляю віндовс)

да ладно ? что значит невозможно мбр переписать ? вы каким образом это делать пытались ? как невозможность востановления мбр из одной из копий, сочитается с тем что вы переинсталиваете винду, которая в процессе установки переписывает этот самый мбр ?

Не знаю, но вот интересное наблюдаю у нас. Упала вся инфраструктура (сервера) винюковая начиная от контроллера домена и заканчивая серверами терминалов. Всего восем серверов. Ни одна. Еще раз НИ ОДНА клиентская машинка винюковая ***** не пострадала. Причем на контроллер домена имел доступ ТОЛЬКО АДМИН. На контроллере домена встроенная учетка админа была отключена, заведена другая учетка с правами админа. Пароль знал только админ. UAC был включен и как положено ругался где надо и не надо. Результат плачевен. Вот как сие могло произойти. Я конечно все понимаю, но как вирусень могла попасть на контрллер и активироваться там? У меня создается впечатление, что есть недокументированная возможность на винюках получить удаленный доступ к машине. В сим меня убеждает еще и то, что основная атака произошла настолько избирательно и в одночасье всего за час-полтора. Я себе ужо моск порвал, но другого объяснения не нахожу. Относительно 1С, которая у нас на лини поднята в связке с постгрессом и ДБ2 - все пучком. Даже не заметила ничего и преспокойно здравствует.

я вот принципиально не использую виндовые сервера, а там где нужен все таки рдп - крутится виртуалкатс терминалом в vmware esxi - если что то сломаетса, просто возврат на вчерашний спшот или откат всего образа диска на месяц назад, в особо тяжелых случаях. БД бекапятся отдельно. в винде есть документированый удаленный доступ - удаленный помощьник, который по дефолту включен и обеспечивает рдп сеанс.

еще у меня наглухо выпилен тимвьювер. я это зло давлю леер7 фильтрацией по сигнатуре пакета, оно ни при каком раскладе в моей сети не работает. а у вас ? шастают туда сюда по тимвьюверу в локалку ?

Да нет тимвьювер не пользуем. Относительно винюковых серверов пользуем токо сервера терминалов для клиентской части 1С плюс суперпроги типа МеДок и некоторые другие спецушные, которые писаны давно и исключительно под винюки. Бэкапы также делаем. Виртуалок в том числе. Сейчас наш админ с них и востанавливается. Бэкапы старенькие, но для данного случая подойдут. Снапшоты гипера не делаем в виду ограниченного места на дисковой полке. Руководство ***** не хочет деньги выделить даже на убогонький НАС. Вот такие дела хреновастенькие. Мне вот другое любопытно. Сейчас рою всякое описание вирусени и способы защиты. Но все описывается, что пипо тетя клава не то нажала. Но тем не менее все машинки винюковые клиентов живы - здоровы. Не пострадала ни одна. Как-то так. Большая часть клиентских машинок у нас под бунтой. Но есть и с винюками.

Да, и извне в локалку доступ токо по ВПН с авторизацией по белым айпи и макам.

могу поспорить что кацапскаямзадрочь тимвьювер (по слухам эта контора росиянам принадлежит), у вас работает аж со свистом. я месяц задротил с красными глазами, что бы перекрыть любую возможность его использования в своей сети. это же тупо дыра - любая крыса среди персонала, кого кгодно пустит в локалку, и все возможности создать тунель/впн любого типа, из локалки наружу, возможность юзать прокси - тоже выпилены.

А разве групповой политикой по названию файла запрет на запуск разве не перекрывается? Равно как и скайпа.

нет. не перекроется ничего. ничего не мешает принести ноутбук или даже телефон/планшет, воткнуть в сеть с подмененным мак адресом, запустить кого то в локалку. толку от ваших политик и домена ? плокировать нужно на уровне сетевого оборудования а не на програмно-прикладном.

Ну воткнул, ну подменил айпи, а сертификат сгенеренный, а доменная учетка с паролем?

да кому нах надо та учетка ? сети ломают не снаружи а изнутри, когда толкового человека впустят в локалку он по месту уже разберется снифером, трояном, кейлогером как выудить пароли от почты, терминала, 1с и прочего что ему может понадобиться. другое дело что подобные специалисты стоят дорого, и без крысы внутри компании которая будет подыгрывать ничего не выйдет. причем тут ваш домен с груповыми политиками к сниферу и кейлогеру например ?

Кейлогер, как я понимаю нужно активировать на машинке, где собираются пароли снимать. Нюхач может порты открытые просканировать (я в сим не очень разбираюсь). Троян разве антивирус не перекроет? Как сие все заткнуть в сеть не имея к ней доступа на уровне операционки?

что значит неимея доступа в сеть ? если я пришел со своим оборудованием я никак не попадаю под ваши груповые политики, и по любому найду открытую шару, в которую засуну любой файл, который кно нибудь да и откроет.

Не попадая под групповые политики не получаешь доступа к доменным шарам. Шары на машинках находящихся в домене не доступны локальным пользователям. Ну положим нашел шару с гостевым доступом, нук положил туда файл, ну открыл его рядовой юзер. Положим это кейлогер. Узнал пароль доменной учетки рядового пользователя и что? Даже на локальной машине ничего особо деструктивного сделать не сможешь. Сервером управлять и подавно. Или я не правильно понимаю?

а если у меня есть подельник из числа сотрудников, я месяцами могу придумывать как сделать. в больших компаниях за всеми не уследиш, а рычаг влияния найдется на любого. другое дело - цена вопроса.

Это сильно сложно. Да и рассматриваем сейчас мы на скоко я понимаю деструкцию от Пэциного вируса. Столько инсайдеров по разным конторам понатыкивали?

а вот тут мы как раз пришли к тому, что при раскладе как я изложил, троян просто не распространится по сети, если леер7 разрешает только хождение известных пакетов, известных программ

Ну положим с этим я согласен, но все равно мне не понятно как произошло заражение и главное активация деструкции именно в данном случае. Именно относительно этой заразы. То есть способ внедрения и активации данного вируса.

бухгалтерская хрень от дьявола medoc там случайно не была установлена ? насколько мне известно - большая часть заражений произошла через нее. медоку прилетело обновление зараженое

Где? На контроллере домена? Это кому ж в голову может прийти на контроллере устанавливать что либо кроме самой роли контроллера? Ну а так медок естественно на одном из серверов был. А у кого он не стоит. Где есть бухгалтерская отчетность в налоговую медок стоит де-факто в большинстве случаев.

возможно от того где был и пошло. хотя у меня бухгалтерща обновлялась сегодня и ничего не произошло, кроме того что испортились базы 1с 7.7 по фоп, в dbf, которые она ведет локально на своем компе, но они были востановленны из бекапа. критичного ничего не произошло. терминал на 2003 сервере древний с mssql, даже не заметил что что то происходило гдето.

Та ХЗ покуда ничего толком не нарыл. Ну да ладно - бум копать. А покуда наверное баеньки буду. Спасибо за общение. Всех благ.

Спокойной ночи, приятно было с вами пообщаться. удачи

Спокойной ночи, приятно было с вами пообщаться. удачи

подумайте что связывает ваши сервера, кроме одинаковой винды по разному настроеной. может одинаковый софт ? мой горячо любимый тимвьювер ? еще что нибудь ?

ну либо админ забил на обновления и не перекрыл дыру

Говорит обновы ставил. Не верить ему нет причины. Не один год его знаю. Человек ответственный.

самая надежная блокировка, это когда хттп метод коннект зарезан, что не позволяет поднять туннель к хттп прокси, gre, ipsec-tun запрещены к хождению внутри локалки и неработает постройка впн наружу, зарезаны на уровне пакета любые левые конекты по портам. ну и так далее. у меня чуваки воткнытые в соседние дырки свича, друг с другом даже в контрстрайк поиграть немогут, но при этом все что им нужно для комфортной работы - работает.

Ну на уровне протоколов я не знаю как у нас реализовано. Я с таким уровнем не сталкиваюсь по роду своей работы. Админ у нас товарищ толковый и с немалым опытом. Передам ему скриншоты нашего разговора. Послушаю чего скажет.

любая программа работающая по сети или сетевой протокол, имеют свою сигнатуру пакетов(подпись) суть layer7 / DPI - в блокировке или разрешении работы этой программы внутри сети впринципе вообще, наважно по какому порту или от имени какого адреса. подобное умеет делать оборудование cisco, juniper, mikrotik. mikrotik наиболее дешевый из перечисленного и имеет данный функционал.

У нас вроде прокурвы маршрутизаторы от НР. Не знаю умеют ли они подобное.

тоже не знаю, никогда не работал с их оборудованием. в любом случае можно на свичах каждый порт сделать отдельным вланом и соединить их друг сдругом на устройстве которое может профильтровать весь трафик сети идущий от пользователей, а дальше отдать этот трфик уже куда то дальше. у меня вот около двухста вланов прилетают на полисиер, и проганяются через фильтра, тоесть любой абонент сети видит другого только через леер7 фильтра и фаервол. не говоря уже про выход во внешнюю сеть.

еще хочу заметить что этот петя юзает дырку винды, которая перекрывается вот этим патчем : https://technet.microsoft.com/en-us/library/security/MS17-010

винды не обновляли что ли ?

Да в том то и дело, что админ следит за обновлениями. Я же написал выше свое ощущение, которое сложилось. Не сторонник теории заговора, но вот как-то впечатление такое складывается.

layer7/dpi фильтрация - решают. порты и айпи никто уже не кроет классическими фаерволами. ибо это бесполезно, если хоть один порт открыт. ничего не мешает положить тунель изнутри наружу, скажем по 80ому или 110ому, и здрасте.

Передам админу. Хай смотрит. Сам я не админ. Но все равно, чтобы изнутри положить тунель, то я как понимаю нужно сначала во внутрь попасть и получить права админа. Разве нет?

нет. это может сделать любой желающий, который пришел во своим компьютером или планшетом, подменил мак адрес сетевой карты и получил айпи из внутреней корпоративной сети. он может что угодно делать на своем компьютере который никак уже не попадает под ваши груповые политики и смотрит одним концом неизвестно куда через впн, а другим концом в вашу локальную сеть. ему ничего не мешает это сделать, потому что сама возможность передачи пакетов впн тунеля у вас никак не блокируется.

Скопипастю наш разговор. Передам админу. Я возможно не всей инфой владею.

К сожалению файло коцает. У меня судя по всему пролез ч-з МеДок лавбуха, вцепился на один ХР и Семерку (онавливаемая лиц.) Системный раздел ухайдохал, а логических дисках что успел то покацал. Архивы, dbf 1C, doc, xls, pdf. Фотки не трогал. Восстаовлеие MBR нричего не дало.

Symantec отказались от российского маразма показывать исходный код. И правильно сделали.
Я так понимаю что у всех антивирусов есть бесплатная версия. Но думал что в гос учереждениях должна быть единая политика безопасности.

в некоторых случаях слетает именно от него, потом восстанавливается из точки восстановления если есть...( у жены на ноуте не смог поставить ни руками, ни автоматом...

Курва ботоксно- ригівська ще жива ?

Согласен. Петя это разовая трабла. К тому же поможет выявить слабые звенья в безопасности и принять меры, чтобы такого не повторилось в дальнейшем.
А вот РФию и ВВХ отымеют за эту выходку очень даже системно и не разово!

Такое развитие ситуации вирус не ожидал.

Логично, он как раз уезжал за границу, алиби себе мастрячил!