Comments 43
UFO just landed and posted this here
UFO just landed and posted this here
мне интересно а много простых пользователей пострадало? просто в РФ 300усд далеко не у всех есть…
Я видел цифру (позавчера) — всего 12000 жертв. У WannaCry к этому моменту было уже близко к 300 тысячам
Очень мало заражений простых пользователей. Ванна край атаковал крупняк и домашников. Этот — только крупняк
Существует мнение, что первичное заражение было через M.E.Doc, что объясняет заражение крупняка.
Нет. Через медок как минимум третье заражение видимо. Первое было XData — оно не шло на крупняк, поэтому ни сми ни сбу его не заметили.
Я бы предположил, что Медок хакнули давно и его использовали все кому не лень
А вообще всем рекомендую
Я бы предположил, что Медок хакнули давно и его использовали все кому не лень
А вообще всем рекомендую
Третье заражение и «Нет.»? :-) Пока нет внятных доказательств о других способах первичного заражения :-( Все что про почту — туфта полная.
Первичное видимо действительно через Медок. Я сказал нет про другое. Через Медок были (видимо) и другие атаки. Но не на крупняк
Через Медок были (видимо) и другие атаки. Но не на крупняк
MEdoc используется крупняком и не очень большим количеством ФОПов. Поэтому и ударять по домашним пользователям через него как-то не очень.
Кто(что) следующий? «Соната» с торрент-сервером раздачи обновлений, который скорее всего включен у 98% ее установивших?
PS
У себя MEdoc снес 3 недели назад за монструазность, постоянные качания каких-то обновлений и бесполезность в виду появления бесплатных альтернатив, полностью покрывающих потребности одиночного ФОП.
А кто его знает, что дальше. Я вот лично склоняюсь к мнению, что обкатывают технологию атаки. Троян явно недоделанный, выкуп никого не интересует
Я вот лично склоняюсь к мнению, что обкатывают технологию атаки.
Для массовых заражений использовать говнопроги, которые вынуждены устанавливать у себя многие пользователи, и постоянно качать апдейты с говносерверов, созданных в тесной кооперации чиновников с помощниками по распилу? Тогда действительно «Соната» будет следующей скорее всего.
Я не уверен, что Украина — цель следующей атаки. Данная атака совсем не выглядит политической — нет попыток доступа к данным, атак на конкретные организации, шантажа и тд. А вот как тест реакции, возможностей следственных органов — похоже
И сто пудов в иных странах свои Медки в наличии.
И интересна реакция регуляторов — озаботятся ли они приказами по мерам безопасности и их проверкой
И сто пудов в иных странах свои Медки в наличии.
И интересна реакция регуляторов — озаботятся ли они приказами по мерам безопасности и их проверкой
Каждый говорит о том, что у него болит :)
Я лучше знаком с ситуацией в Украине, чем России, да и «доброжелателей» на зарплате и без у Украины хватает… Россия вводит у себя «электронные кассы» — помимо хорошего распила это тоже даст колоссальную почву для подобных атак.
По сути дела, сейчас в мире любая «общегосударственная» система с массовой закачкой программного кода конечными пользователями, находится под ударом.
Я лучше знаком с ситуацией в Украине, чем России, да и «доброжелателей» на зарплате и без у Украины хватает… Россия вводит у себя «электронные кассы» — помимо хорошего распила это тоже даст колоссальную почву для подобных атак.
По сути дела, сейчас в мире любая «общегосударственная» система с массовой закачкой программного кода конечными пользователями, находится под ударом.
Очень даже согласен с последним утверждением. Главбух 2 раза за неделю цепляла WannaCry и оба раза после удаленного подключения СБИС (бух отчетность) через их клиента для удаленного администрирования. Оба раза восстанавливал комп из бэкапов. Локальный СБИС снес напрочь теперь работает только через облачного клиента.
http://www.me-doc.com.ua/1111193342 — Медок всех еще в мае предупреждал
Как и в случае в ВаннаКраем четко виден акцент на крупняке. Атаковались те, кто платить не будет, но заставит говорить об этом в СМИ. Точно так же как и ВаннаКрай имеем недоделанный троян и атак не ориентированную на выкуп. Но судя по всему и не политическую.
Сегодня я узнал, что страусы оказывается не прячут голову в песок. Уже за одно это открытие — большое спасибо!
«зловред шифрует файлы, используя RSA шифр с 2048-битный ключом» — нет. Шифрование файлов — AES-128-CBC, а вот уже AES ключ накрывается RSA и пишется в текстовик.
Что в нем такого уникального
Две вещи:
— атака почти исключительно на крупняк
— большое количество сообщений о заражениях от пользователей, которые поставили все рекомендуемые обновления после Ванна Края
Какие все прямо наивные :(
о «Пети» узнали многие по тому, что Журналюгам, понравилось слова ПЕТЯ!
Все дай сложное название и никто ничего не узнал бы!
А вы молодец, Действуете по принципу.
Клиента-ошарашить, запугать.
Предложить море… отличных мер по предотвращению (что бы клиент заплакал, на двадцатой строчке..).
Потом тонко намекнуть, что вы как бы и сами можете… и тихонько ждать в сторонке!
о «Пети» узнали многие по тому, что Журналюгам, понравилось слова ПЕТЯ!
Все дай сложное название и никто ничего не узнал бы!
А вы молодец, Действуете по принципу.
Клиента-ошарашить, запугать.
Предложить море… отличных мер по предотвращению (что бы клиент заплакал, на двадцатой строчке..).
Потом тонко намекнуть, что вы как бы и сами можете… и тихонько ждать в сторонке!
А вот атаку через эти легальные инструменты: Psexec, WMI можно как то предотвратить, но так чтобы не сломать штатную работу локальной сети, сервера, пользовательских компьютеров? (а то я так и не нашел рецепта для не продвинутых админов).
Админские права порезать
Можно. Не совсем тривиально — там используется несколько способов, но можно. Основной — не дать утащить пароли из памяти, где они хранятся в открытом виде. https://jimshaver.net/2016/02/14/defending-against-mimikatz/
Ещё можно воспользоваться советами отсюда: http://blog.gojhonny.com/2015/08/preventing-credcrack-mimikatz-pass-hash.html
Спасибо за ссылки. Действительно, не совсем тривиально, и пока не понятно насколько это применимо в моей печальной ситуации с локальной сетью, где в основной массе машинки с xp. (
Прямо какая-то беда с этими легальными инструментами, и странно, что так мало информации по настройке безопасности в этом контексте.
Прямо какая-то беда с этими легальными инструментами, и странно, что так мало информации по настройке безопасности в этом контексте.
Большинство рекомендаций по ссылке применимо и в вашем инвайроменте. Я бы выделил самые важные:
1) Используйте VLANы, сегментируйте сеть. Используйте файрволл между VLAN, максимально ограничивайте взаимодействие рабочих станций между собой.
2) Используйте возможности локальных файрволлов на рабочих станциях (появились на XP SP2). В первую очередь ограничьте SMB и NetBIOS.
3) Ограничьте использование привилегированных учетных записей. Везде и всегда следуйте принципу предоставления лишь минимально необходимых полномочий.
4) Устраняйте уязвимости, вовремя устанавливайте обновления безопасности.
И от меня — не забывайте про административные меры/тренинги персонала. Об этом почему-то редко пишут в подобных статьях, хотя я бы поставил это на одно из первых мест. Регулярно доносите до сотрудников мысль, что они — важное звено в борьбе с киберугрозами, без их помощи ничего не получится. Это включает в себя как понимание того, что нельзя кликать по ссылкам без разбора, открывать подозрительные вложения, пытаться в обход ИТ отдела устанавливать или обновлять ПО, так и понимание необходимости сообщать в ИТ отдел о незнакомцах в офисе или о коллеге, который принес ноутбук на работу без разрешения и что-то на нем делает. Мы проводим тренинги раз в год со всеми сотрудниками, с экзаменом по политике информационной безопасности для каждого по итогам.
1) Используйте VLANы, сегментируйте сеть. Используйте файрволл между VLAN, максимально ограничивайте взаимодействие рабочих станций между собой.
2) Используйте возможности локальных файрволлов на рабочих станциях (появились на XP SP2). В первую очередь ограничьте SMB и NetBIOS.
3) Ограничьте использование привилегированных учетных записей. Везде и всегда следуйте принципу предоставления лишь минимально необходимых полномочий.
4) Устраняйте уязвимости, вовремя устанавливайте обновления безопасности.
И от меня — не забывайте про административные меры/тренинги персонала. Об этом почему-то редко пишут в подобных статьях, хотя я бы поставил это на одно из первых мест. Регулярно доносите до сотрудников мысль, что они — важное звено в борьбе с киберугрозами, без их помощи ничего не получится. Это включает в себя как понимание того, что нельзя кликать по ссылкам без разбора, открывать подозрительные вложения, пытаться в обход ИТ отдела устанавливать или обновлять ПО, так и понимание необходимости сообщать в ИТ отдел о незнакомцах в офисе или о коллеге, который принес ноутбук на работу без разрешения и что-то на нем делает. Мы проводим тренинги раз в год со всеми сотрудниками, с экзаменом по политике информационной безопасности для каждого по итогам.
Благодарю за рекомендации, но, насколько я понял, они не касаются напрямую повышения безопасности используемых вирусом легальных инструментов Psexec, WMI. Я ими сам не пользуюсь, а отключить службы за них отвечающие опасаюсь, т.к., возможно, что-нибудь сломается в штатной работе системы.
Т.е. вопрос в том, как гарантировано не дать вирусу ими воспользоваться не создавая при этом проблем для обычной работы.
Т.е. вопрос в том, как гарантировано не дать вирусу ими воспользоваться не создавая при этом проблем для обычной работы.
Если пользователю порезать права и назначить нужный VLAN или SGT, то с его компа сложно будет куда-то распространиться (с оговорками). Плюс анализ Netflow для оперативного выявления внутренних заражений и сканирований
Спасибо за отзыв, но обрезать права — это общая рекомендация, просто отобрать админские? Например, есть типичная локальная сеть небольшой организации (десятки компьютеров xp,7-ки,8-ки), без всяких доменов(1 рабочая группа), с доступом у отдельных юзеров к серверу mssql,1c, общим папкам для хранения и обмена документами. Понятно, что права у всех пользователей не админские, патчи постоянно упоминающиеся в статьях стоят, по папкам windows раскиданы пустые файлы «perfc», но я так и не понял, достаточно ли этого, чтобы вирус не смог воспользоваться инструментами Psexec, WMI?
Почту Petya заблокировали? Теперь выкуп не перевести если файлы заражены?
Sign up to leave a comment.
Сказ про НеПетю, а точнее не про Петю