Хакерська атака в Україні (27 Червня 2017 ) » Пост #28

почему не бекап ?

Добавлено спустя 2 минуты 22 секунды:


а это можно сделать и с под CD лайф (доса)

На даний момент достовірно відомо, що вірусна атака на українські компанії виникла через програму “M.E.doc.” (програмне забезпечення для звітності та документообігу)


Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: “upd.me-doc.com.ua” (92.60.184.55) за допомогою User Agent “medoc1001189”.

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг “пінгів” (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

– створено файл: rundll32.exe;
– звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
– запуск cmd.exe з наступною командою: /c schtasks /RU “SYSTEM” /Create /SC once /TN “” /TR “C:\Windows\system32\shutdown.exe /r /f” /ST 14:35”;
– створення файлу: AC3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
– створення файлу: dllhost.dat;


Добавлено спустя 23 минуты 57 секунд:

Як вберегти свій комп'ютер від українського "брата" WannaCry?
У першу чергу, потрібно поставити оновлення для своєї версії Windows. Вірус атакує тільки комп'ютери, які працюють на Windows. Якщо на вашому пристрої в якості операційної системи використовується macOS, iOS, Android, Linux або що завгодно інше, то вірус не несе жодної загрози. Microsoft випустив патч MS17-010 у травні, для різних версій Windows. При цьому компанія пішла на безпрецендетний крок і випустила оновлення навіть для тих версій, які вже не підтримуються. Скачати оновлення можна з офіційного сайту

Наступний крок – перевірити комп'ютер на віруси, оскільки ваш девайс міг підхопити "заразу" до того, як ви встановили оновлення. Ще одна міра безпеки: не відкривати сумнівні повідомлення в електронній пошті, соцмережах – відомо випадки, коли вірус розсилався саме таким способом.

Ого Юрчик росписал. А у меня только розкладка на клаве поломалась.

Заражение вирусом Petya началось с Украины, заявили в ESET

Заражение вирусом Petya началось с Украины, которая больше других стран пострадала от кибератаки, следует из сообщения вирусной лаборатории ESET.

«Вспышка, похоже, началась на Украине», — считает компания.
Согласно рейтингу компании по странам, пострадавшим от вируса, Украине был нанесен наибольший вред.
На втором месте среди пострадавших стран находится Италия, на третьем — Израиль.

Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим
В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.
Ранее во вторник в компании Group-IB пояснили, что вирус-вымогатель Petya стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины: он блокирует компьютеры и требует за разблокировку сумму в биткоинах, эквивалентную 300 долларам. Позднее руководитель международной исследовательской команды «Лаборатории Касперского» Костин Райю (Costin Raiu) отметил распространение вируса по всему миру.
Антивирусная компания «Доктор Веб» заявила, что зафиксировала также кибератаки на ряд компаний России и Украины другоговируса-шифровальщика, способ «размножения» которого отличается от вируса-шифровальщика Petya. В частности, троянец распространяется самостоятельно, как и нашумевший WannaCry. Точных данных о том, используется ли тот же самый механизм распространения, пока нет.

Видалення вірусу Petya має важливе значення для безпеки майбутніх файлів.
Відновити дані можна буде лише в тому випадку, коли небезпечна програма і її компоненти повністю видалять з ПК. В іншому випадку, Petya проникне на зовнішні накопичувачі і заразить там файли. Автоматично вірус може видалити надійний антивірус. Його також можна видалити вручну за допомогою покрокової інструкції.
Видалення вірусу Petya за допомогою Safe Mode with Networking для Windows 7 / Vista / XP
Клацніть Start ? Shutdown ? Restart ? OK. Коли комп'ютер стане активним, натисніть F8 кілька разів, поки не з'явиться вікно Advanced Boot Options. У списку виберіть Safe Mode with Networking

Видалення для Windows 10 / Windows 8
У вікні логіна Windows натисніть кнопку Power. Потім натисніть і утримуйте клавішу Shift і клацніть Restart. Тепер виберіть Troubleshoot ? Advanced options ? Startup Settings і натисніть Restart. Коли комп'ютер стане активним, у вікні Startup Settings виберіть Enable Safe Mode with Networking.

Якщо програма-вимагач блокує Safe Mode with Networking, спробуйте наступний метод.
Видалення вірусу Petya за допомогою System Restore для Windows 7 / Vista / XP
Перезавантажте комп'ютер для Safe Mode with Command Prompt. Клацніть Start ? Shutdown ? Restart ? OK. Коли комп'ютер стане активним, натисніть F8 кілька разів, поки не з'явиться вікно Advanced Boot Options. У списку виберіть Command Prompt
Видалення вірусу Petya за допомогою System Restore для Windows 10 / Windows 8
У вікні логіна Windows натисніть кнопку Power. Потім натисніть і утримуйте клавішу Shift і клацніть Restart. Тепер виберіть Troubleshoot ? Advanced options ? Startup Settings і натисніть Restart. Коли комп'ютер стане активним, у вікні Startup Settings виберіть Enable Safe Mode with Command Prompt. Після появи вікна Command Prompt, введіть cd restore і клацніть Enter. Тепер введіть rstrui.exe і знову натисніть Enter.

Після появи нового вікна, клацніть Next і виберіть точку відновлення, що передує зараженню Petya. Після цього натисніть Next.

Клацніть Yes для початку відновлення системи.

Після того, як вдасться відновити систему, завантажте її і проскануйте комп'ютер. Це необхідно для того, щоб переконатись, що видалення пройшло успішно.

Думаю, это не поможет. Попытаюсь объяснить почему.
Я тоже грешу в распространении этой бацилы на программу M.E.Doc.
Но так как пользуюсь ей давно, то не очень понимаю суть вот этого:

Программа M.E.Doc никогда не обновляется сама, автоматически, по крайней мере у меня. Она при запуске проверяет наличие обновлений и выдает окошко с сообщением о наличии такового. Дальше я скачиваю обновление и запускаю его на сервере с правами админа. За последние пару месяцев это был единственный софт для которого запускались регулярно обновления, которые по сути являлись разными программами. Поэтому если бацилла и попала через M.e.Doc, то она, скорее всего, "прицепилась" через какое-то более раннее обновление и "тихо ждала" своего часа.
Поэтому очень стремно откатываться на более ранние точки восстановления или устанавливать бэкапы.

Фахівці Symantec опублікувала рекомендації щодо захисту комп'ютера від зараження вірусом-здирником Petya, який 27 червня атакував компанії по всьому світу. Для цього треба зробити вигляд, що комп'ютер вже заражений.
У момент атаки Petya шукає файл C:\Windows\perfc. Якщо такий файл на комп'ютері вже є, то вірус закінчує роботу без зараження.

И в тему :
Вчера сижу работаю, заходит отец - ты бы выключил комп , про вирус и заражение и тд
Говорю - мой не заразится , у меня антивируса нет.
Вывод LINUX рулит

Страсть какая то.
Вы предлагаете обновления-то есть защиту.
1.Защита - обновления никогда не выходят раньше вируса.На этом и выпускается любой вирус.Обновление делается когда будет изучен вирус.
2.При обновлении-Вы открываете самостоятельно все защищенные порты и получаете не только вирус а и без вируса искривленные программы.
Самый простой способ защиты.Сохранение образа своей системы на сьемном носителе.Например система Акронис.

Информация от киберполиции