Здравствуй Petya

Новый бизнес по-русски придумал :)

за 500 рублей скину вирус на рабочий комп, выходные обеспечены :)

А че он на выключенные компы попадает?)))

Цитата (mojioko @ 29.06.2017 - 03:22)

Зачем было пост та такой  делать? Я не понимаю за, что + то ставят? Поймал вирус пили пост, пистец. Я понимаю бы написал как он справился с вирем, а прото сфоткать монитор... нк я хз кароче. негодуе

ну просто офис какой-нибудь конторки это да. А вот теперь почитай про металлургический завод ЗСМК в Новокузнецке:

Как стало известно редакции, в связи с массовой атакой на производство вируса "PETYA" многих сотрудников ЕВРАЗа отпустили домой на вынужденный отдых. В компании работают только непрерывные производства, схемы управления которыми пущены в обход зараженных компьютеров. Пока неизвестно, как ЕВРАЗ будет разрешать эту проблему, чтобы вернуться к нормальному режиму работы.
https://www.city-n.ru/view/398496.html

Это сообщение отредактировал Блаженный - 29 июн. 2017 г. в 11:38

Так уже давно написали генератор ключей на него.

Цитата (DEFCON @ 28.06.2017 - 16:54)

Я вот что-то никак не пойму Недавно был вирус, который дохера компов по всему миру положил. Теперь петя... То есть, сидит какой-то парень (ок, может и не парень, может и не один). Написал вирус-вымогатель. Запулил его в сеть. А, блять, все службы безопасности всего мира не могут его поймать??? Он эти службы крутит - вертит, как хочет, присовывает им во все дырки, а они только покрякивают от бессилия??? Что, блять, вообще происходит??

Сложно что-то пытаться ловить, если ты это сам и выпустил

вчера же умники целый день всех учили что делать нада, чего не читал?

Цитата (DEFCON @ 28.06.2017 - 16:54)

Я вот что-то никак не пойму  Недавно был вирус, который дохера компов по всему миру положил. Теперь петя... То есть, сидит какой-то парень (ок, может и не парень, может и не один). Написал вирус-вымогатель. Запулил его в сеть. А, блять, все службы безопасности всего мира не могут его поймать??? Он эти службы крутит - вертит, как хочет, присовывает им во все дырки, а они только покрякивают от бессилия??? Что, блять, вообще происходит??

Все очень просто, сидит какой-ить недо/горе "админ"
и ваяет рулесы для файера, потом выклыдывет в сеть
и просит народ проверить. Результат очевиден. :-(
Чтобы иметь право носить звание Админ - ты должен
сам создать рулесы! И не от балды, а четко понимая
как работает файер.

Не ради холивара, это из практики жизни:
Спасут только рулесы для iptables.
Остальные от лукавого.

Даже хваленая киска и ей подобные имеют дыры.
ИМХО, самый правильный и надежный файер:
обычная железка + ОС: CentOS или Debian +
Админ правильный.

Цитата (SRL @ 28.06.2017 - 16:33)

покупай биткоины)

Без смысла, восстановление файлов в нем изначально не закладывалось, нет у него таких функций. Петя же, поэтому он может только все развалить и бабки вымогать типа на восстановление. Смирись. Умерла, так умерла. Всякое железо смертно.

Цитата (swell84 @ 28.06.2017 - 17:59)

Цитата более 1000 хостов в сети через групполвые политики: обоновы (с запретом отключения пользователем) брендмауер винды 445 порт закрыт в циске аса трафик по порту заблочен между подсетями в каспере через политику защита всех важных типов файлов шадоу копиес в нтфс ну ещё там по мелочи вонакрай отсосал в своё время и петя тоже пусть сосёт Переведи блиать кроме последней строчки !)))))) 1000 компьютеров в сети Групповая политика. - Значит, что политически без хозяина шагу вступить не сможет не один пользователь Обновления отключены В Фаерволе, через политику скорее всего отключен 445 порт. Туда Петюнька не зайдет... Закрыли ему дверь В Cisco тоже закрыли всё на хуй. Антивирус, стоит на защите всех важных файлов не какая пизда не подкапается... ( тут кстати хуй знает хуй знает... Каспер порой пропускает) Теневая копия идёт ещё у него... То есть файлики в случае чего можно восстановить. Вонкрай - это вирус до Пети... Он сосал у этого админа... Петя - тоже вирус и он тоже сосёт у этого админа :)))) Как то так перевёл!!!

Групповые политики помогут частично - запрет запуска из неположенных мест.
Обновы - запрет (если я верно понял) действий пользователя, польза есть,
но не в данном случае.
брендмауер винды 445 порт закрыт - как мертвому припарка.
в циске аса трафик по порту заблочен между подсетями - закрыть-то,
закрыли, а как же работать?
в каспере через политику защита всех важных типов файлов - как бдит
каспер и другие мы все хорошо знаем. :-(
так что, это то ж из области - как мертвому припарка.
шадоу копиес в нтфс - как мертвому припарка (сам подумай почему!).
вонакрай отсосал в своё время и петя тоже пусть сосёт - просто повезло.

Мой вариант: я в отпуске, звонит нач. отд. и паника...
я: у нас снаружи все розово и пушисто, единственный путь
проникновения почта, а потому всех еще раз предупредить
почта - внимание как обычно.

Если чесно, я уже давно узнаю про вирусы только из СМИ.
Ну и иногда у клиентов приходится ставить перед фактом
местного "админа".

Цитата (Skripach777 @ 29.06.2017 - 10:50)

Так уже давно написали генератор ключей на него.

То для старой версии, для этой не катит.
Кроме того, разобрали тело виря по частям - там критическая ошибка (или специально сделано), расшифровка данных не предусмотрена в принципе.
Только что разбирал винт одного пострадавшего - из полезного выжили только jpg-шки и tif-ы.
Остальные документы/таблицы/презентации как после ковровой бомбардировки.
Что не закриптило на запущенной системе, то добил после ребута запускавшийся из mbr шифровщик (тот, который на чекдиск похож)
Это сообщение отредактировал Meos - 30 июн. 2017 г. в 21:04

люди, которые неидиоты, работающие админами или иже с ними, заранее по сети создают файл perfc

Картинка по сети гуляет, мне вот интересно, а если это была бы АЭС?


Это сообщение отредактировал br555s - 2 июл. 2017 г. в 12:11

Попробую на виртуалке сегодня запустить, интересно стало из-за чего кипешь.

Цитата (Boinov @ 2.07.2017 - 16:17)

Попробую на виртуалке сегодня запустить, интересно стало из-за чего кипешь.

Говорят что данные восстановить не получится ни как, не предусмотрено. У нас на предприятии 6000 компов пострадало.

Цитата (DmGoblin @ 29.06.2017 - 15:30)

А че он на выключенные компы попадает?)))

У нас у кого выключен был те не пострадали.

Цитата (steve28 @ 29.06.2017 - 04:05)

Ой баюс баюс баюс... вылезла херня сегодня на домашнем

Херасе, Драйверпак!
Сносите к чертям эту хуету! Тесть как-то раз решил сделать полезное дело и установил этот драйверпак на ноут жене. Еле избавился. Столько всякого говна адварного пролезло вместе с этим драйверпаком - не передать. Браузеры поперенастраивало, рекламщики попрошивало - еле почистил всё.
Драйверы нужно качать на сайте производителя оборудования, но адепты секты оптимайзеров почему-то считают, что драйверпак чудесным образом превратит их тыкву в нормальный комп только путём поддержания драйверов в актуальном состоянии.

Цитата (HadOlenevod @ 28.06.2017 - 16:32)

Пришел на работу, включаю комп, тадааам!

То есть урок с предыдущей глобальной вирусной атакой ничему не научил ?

З.Ы. Я тогда все доступные компы обновил критическими обновлениями.

Цитата (br555s @ 2.07.2017 - 12:23)

Цитата (Boinov @ 2.07.2017 - 16:17) Попробую на виртуалке сегодня запустить, интересно стало из-за чего кипешь. Говорят что данные восстановить не получится ни как, не предусмотрено. У нас на предприятии 6000 компов пострадало.

Гнать в шею ваших заводских сисадминов-раздолбаев надо !

Цитата (thanatos @ 30.06.2017 - 21:49)

люди, которые неидиоты, работающие админами или иже с ними, заранее по сети создают файл perfc

Доктор Веб пишет:

"«Доктор Веб»: защита от Trojan. Encoder.12544 с использованием файла perfc неэффективна, «вакцина» — не панацея

30 июня 2017 года

27 июня исследователь Амит Серпер (Amit Serper) опубликовал твит, утверждающий, что найден «стопроцентный» способ предотвращения шифрования файлов вымогателем Petya. Инструкции о том, как это сделать, разместило множество интернет-ресурсов. Компания «Доктор Веб» выступает с опровержением этой информации.

В опубликованных статьях говорится, что существует способ предотвратить срабатывание на компьютере троянца Trojan.Encoder.12544, создав в папке C:\Windows файл perfc. Некоторые даже предлагают командные файлы, делающие это за пользователя, например: https://download.bleepingcomputer.com/bats/nopetyavac.bat.

Подобные инструкции размещены в том числе по адресам:

http://www.telegraph.co.uk/technology/2017/06/28/security…
https://www.bleepingcomputer.com/news/security/vaccine…
http://www.foxnews.com/tech/2017/06/28/petya-ransomware…
http://www.zdnet.com/article/create-a-single…
http://mashable.com/2017/06/28/ransomware-notpetya…
https://www.scmagazineuk.com/notpetya-researchers…
https://xakep.ru/2017/06/28/petya-vaccine
http://www.securitylab.ru/news/486967.php

Компания «Доктор Веб» утверждает, что этот способ борьбы с троянцем Trojan.Encoder.12544, также известным под именами Petya, Petya. A, ExPetya и WannaCry-2, неэффективен по следующим причинам:

Файл, с помощью которого Trojan.Encoder.12544 осуществляет контроль повторного запуска, зависит от имени файла троянца. Стоит злоумышленникам переименовать вредоносный файл, и наличие в папке C:\Windows файла perfc уже не спасет компьютер от заражения.
Троянец осуществляет проверку наличия файла perfc, только если у него достаточно для этого привилегий в операционной системе.
"

Цитата (Azimut @ 3.07.2017 - 13:46)

Цитата (HadOlenevod @ 28.06.2017 - 16:32) Пришел на работу, включаю комп, тадааам! То есть урок с предыдущей глобальной вирусной атакой ничему не научил ? З.Ы. Я тогда все доступные компы обновил критическими обновлениями.

Прошлая вирусная атака обошла стороной, эта прилетела на домен и в качестве обновления установилась на все компы в домене, без участия конечных пользователей, они уже дома были.
Это сообщение отредактировал HadOlenevod - 3 июл. 2017 г. в 15:32

Цитата (Azimut @ 3.07.2017 - 13:53)

Подобные инструкции размещены в том числе по адресам: http://www.telegraph.co.uk/technology/2017/06/28/security… https://www.bleepingcomputer.com/news/security/vaccine… http://www.foxnews.com/tech/2017/06/28/petya-ransomware… http://www.zdnet.com/article/create-a-single… http://mashable.com/2017/06/28/ransomware-notpetya… https://www.scmagazineuk.com/notpetya-researchers… https://xakep.ru/2017/06/28/petya-vaccine http://www.securitylab.ru/news/486967.php

Из всех ссылок только последние две работают.