Остановили вирус, ага!

Цитата (ddvsamara @ 14.05.2017 - 21:33)

Погасил я сетку на работе почти всю, ну кроме железа и уже проверенных хостов. Паранойя разыгралась =) Завтра придется с утра обход делать. Везде стоит автоапдейт, все белое, пушистое и лицензионное, но мало ли.

я от греха сегменты на свичах порубил в пятницу еще... по крайней мере теперь за пределы сегмента не вылезет, ежели чо... плюс "специфика" работы позволяет не держать внутренние серваки 24/7, посему все внутренние файлопомойки с самбой на центах на всякий случай до завтра тоже спят...

Это сообщение отредактировал treeton - 14 мая 2017 г. в 21:39

Цитата (jeff2000 @ 14.05.2017 - 21:30)

Кто хапнет мой компьютер?

Что случилось с моим компьютером..

Цитата (remos @ 14.05.2017 - 21:30)

Я так себе юзер,что и куда надо тыкнуть,-не порвегруть себя угрозе ,чтоб шняга всякая не пришла в комп?Домашняя 7 .Что делать??..подскажите..ссылок против этой херни ,накидайте..

Если в двух словах, то нужно исключить прямое подключение windows машин в сеть провайдера. Всякие там pppoe, USB свистки с йоптами все это должно стоять в промежуточной железке типа роутера или компьютера осуществляющего NAT и являющегося шлюзом в интернет. На этой железке не должно быть винды.
Просто примите за правило не тыкать прямой интернет в системник и все будет хорошо

Цитата (CAH4EC @ 14.05.2017 - 21:33)

Отлично, чО Создатели вируса-вымогателя выпустили обновленную версию. Теперь ему не мешает бессмысленный домен Цитата У вируса-вымогателя WannaCryp появилась обновленная версия. Вирус научили не обращать внимание на бессмысленное доменное имя, приостановившее его распространение. Таким образом, отмечает Motherboard, обновленная версия вируса может продолжить заражать компьютеры. отсюда

вымышленный домен была просто защита от песочницы, парни в функции проверки false и true перепутали.

Цитата (Studios @ 14.05.2017 - 16:47)

Цитата (Meeseeks @ 14.05.2017 - 17:16) Видюшка для тех, кто еще не поймал кайфушку!  родной мой друг, очень часто апдейтер винды даёт сбой, и показывает что нет обновлений. Посему обновляюсь исключительно в ручном режиме и эта шляпа меня не касается

кстате...
час тому взад закончил переставлять своей ХР.. Чисто от скуки, да и задолбала меня "Переставь, да переставь".. Ну за пивасик-то что не сделаешь..
Короч.. Поставил Хрюнделя (про между прочим - там SMB откупорен по умолчанию, в отличии от хомяка), поставил дрова, поставил третий сервиспук, отключил все "офлайн страницы", все рекомендуемые службы (вроде remote registry) и 8 иксплорером пошёл шариться по нету - свежий антивирь искать.. 360 Total Security хотел.. Пока тудым-сюдым - иксплорер отказался его скачивать, зато пошли апдейты от Жадного Билли ™. Куча скачалась и поставилась (но заветного" в списке нетути).. Ладно - пока они ставились, скачал "файерфокса" и стащил им искомый антивирь. Т.е. минут 10 вообще без антивиря, иксплорером, в сети сидел и хоть бы какая падла..
Всё поставил, перезапустил... И шо? Да антивирь ещё штук сорок апдейтов для ХР с каких-то серверов от ЖаБи™ приволок и поставил - есть у него такая фишка. Но и там "заветной" заплаты нет..
Вот сижу и чешу репу - столько народу (вроде как) пострадало, а заплаток, по сути, нет - ведь обычная "домохозяйка" (т.е. "целевой клиент вируса") по всяким "бюллетеням от Билли" ходить не будет. Он(а) тупо нажмёт "обновить". А обновления-то и нет...
Вот, невольно, и возникает вопрос - а обновление ли это?

ЗЫ. И всё же интересно - выставят ЖаБи™ (и ANB) счета за убытки или снова на "руссо-северокорейских хакеров" всё спишут?

Это сообщение отредактировал LuckyBiker - 14 мая 2017 г. в 21:41

как усе переполошились то

treeton да просто много таких организаций, небольших, где админ приходящий, один сервак, на котором крутится 1С, файлопомойка и трафик инспектор (вот и комп с белым IP) до кучи, ибо директор хочет знать - кто и куда и когда ходит.
Ах да...и у каждого терминального юзверя - права админа с паролем 123)))

Цитата (treeton @ 14.05.2017 - 21:35)

Это каким ебанатом надо быть чтобы вообще с улицы окрывать что-то, кроме 80/443 5060, почты

цссс, не разбивай его иллюзий, так учат на сертификатах мелгомягких, а он у него судя по всему имеется

Это сообщение отредактировал hedonist - 14 мая 2017 г. в 21:43

Цитата (Boliwar @ 14.05.2017 - 23:39)

Цитата (CAH4EC @ 14.05.2017 - 21:33) Отлично, чО Создатели вируса-вымогателя выпустили обновленную версию. Теперь ему не мешает бессмысленный домен Цитата У вируса-вымогателя WannaCryp появилась обновленная версия. Вирус научили не обращать внимание на бессмысленное доменное имя, приостановившее его распространение. Таким образом, отмечает Motherboard, обновленная версия вируса может продолжить заражать компьютеры. отсюда вымышленный домен была просто защита от песочницы, парни в функции проверки false и true перепутали.

Взоржал в голос.

Цитата (MPR @ 14.05.2017 - 21:17)

Цитата (hedonist @ 14.05.2017 - 20:46) каспер для дома нужен только как фаервол, правда комбаен ипучий ставте Comodo или Jetico Personal Firewall сам юзаю аутпост уже лет 12, но его купили яндексы и убили нахер (перепродали наработки касперу помойму)но меня обновы не парят, нечего там обновлять, все вылизано уже давно. Штатный фарвол юзать крайне не рекомендую, т.к. он меняет настройки в зависимости от настройки сетки, и спокойно открывает порты если вы допустим при настройке подключения выбрали домашнюю сеть ну и пр. его "сервисы" которые он никогда не запретит В роутаре обязательно отключайте UPnP , проброс портов только вручную, либо мост. Если нет домашней сетки - нахер рубите службу сервер, от нее все зло и все будующие проблемы. Ну и конечно отключите автообновления, я не шучу, мелкомягкие - главный троян. Настроеный фаервол спасает от любых червей дядя Петя.... Поставь хоть распрекрасный фаерволл, хоть раззолотой, НО для работы SMB и доменных сервисов тебе придется открыть порт 445, вот придется и все. Аутпост он юзает ну ну.... фаерволл должен стоять на системе осуществляюещей NAT и смотрящей в интернет, а не на клиентской машине в интранет, там от него больше вреда чем пользы. Причина массового заражения компов в закрытых (условно) интранет сетях типа полиции, не в том что админы курят бамбук а на машинах нет фаерволла. Причина только в том, что в интернет торчат портами виндовые компы, причем я подозреваю, что происходит это как раз из за закрытого наглухо интернета. "Умные" сотрудники тычут в свои компы модемы 4G и всякие йоты, получают реальные публичные адреса и заразу, далее уже зараза расползается по внутренним щарам.

Ну для этого есть "контроль устройств", где запрещаешь все usb!
Я терпеть ненавижу когда в компы вставляют флешки, без предварительного согласования с кем надо!

Цитата (MEGAVOLT24 @ 15.05.2017 - 03:38)

Цитата (GrinWooD @ 14.05.2017 - 23:33) Цитата (MEGAVOLT24 @ 15.05.2017 - 03:31) Цитата Вот, пример с ГАИ...нахуа им Инет на работе, ПДД по Википедии изучать? Зато права теперь не могут выдать. База данных нарушений так то общероссийская, или админ должен её каждый день дома обновлять, и на флешке на работу приносить? У подобных структур должна быть для этого внутренняя сеть. И никак иначе. Ну дак данные то с внешней базы должны как то всё же попадать во внутреннюю. А вот как, это уже задача админа, за это он свои деньги и получает.

Какая внешняя база? Приведу пример - у гос. автоматизированной системы "Выборы" нет выхода в сеть (интернет) от слова СОВСЕМ. Вся база данных собираемая с ЗАГСов, УФМС и т.д. общая по всей стране, завязана на внутренней сети (опять же зашифрованной), ты даже флешку не прописанную в системе хуй вставишь в комп.
А МВД видите ли нужен интернет для базы...

Цитата (Deeperok @ 14.05.2017 - 21:41)

Ах да...и у каждого терминального юзверя - права админа с паролем 123)))

Не стыкуется. Если сисадмин способен установить и настроить терминальный сервер, то пользователи с админскими правами и паролем 123.... Чот брет какой-то. ))

Это сообщение отредактировал ipv4 - 14 мая 2017 г. в 21:49

Так а какой антивирь то юзать? Я лет 7 сижу на авире - бед пока не знал, но там косяки с триальными ключами (фаервол на них не шурует(((
Думал каспера ставить, а тут пишут, что у него дыра больше, чем у старой проститутки...

Бля, я недавно купил Касперыча. Единственный покупной софт. Он то не подведёт?

Цитата (treeton @ 14.05.2017 - 21:39)

Цитата (ddvsamara @ 14.05.2017 - 21:33) Погасил я сетку на работе почти всю, ну кроме железа и уже проверенных хостов. Паранойя разыгралась =) Завтра придется с утра обход делать. Везде стоит автоапдейт, все белое, пушистое и лицензионное, но мало ли. я от греха сегменты на свичах порубил в пятницу еще... по крайней мере теперь за пределы сегмента не вылезет, ежели чо... плюс "специфика" работы позволяет не держать внутренние серваки 24/7, посему все внутренние файлопомойки с самбой на центах на всякий случай до завтра тоже спят...

Да я в отпуске был, блин. И в пятницу тупо бухал и т.д.
Я тоже впн зарулил, а то у нас удаленных офисов полно..
по 445 порту долбят на Zywall , только в путь, сижу удивляюсь.
У меня только почтовик 24/7 служит, моя машина для удаленки с дома ну и машина что лицензии раздает акронису, она же вторичный днс, но с ними все в порядке.
Хреново что у меня не все машины акронисом бекапятся, а только ключевые.
Остальные встроенным бекапом винды раз в неделю. Ну, как раз тот случай чтоб лицензий закупить, да раид расширить по емкости.

Цитата (MEGAVOLT24 @ 14.05.2017 - 20:38)

Цитата (GrinWooD @ 14.05.2017 - 23:33) Цитата (MEGAVOLT24 @ 15.05.2017 - 03:31) Цитата Вот, пример с ГАИ...нахуа им Инет на работе, ПДД по Википедии изучать? Зато права теперь не могут выдать. База данных нарушений так то общероссийская, или админ должен её каждый день дома обновлять, и на флешке на работу приносить? У подобных структур должна быть для этого внутренняя сеть. И никак иначе. Ну дак данные то с внешней базы должны как то всё же попадать во внутреннюю. А вот как, это уже задача админа, за это он свои деньги и получает.

паря у внешней базы не айпи? ввсе дропай, доступ на этот айпи оставляй. и все.

Цитата (zogdog @ 14.05.2017 - 21:08)

Цитата За 7000 рублей в месяц- перевести 30 машин на иксы, обучить сотрудников, сконвертить базу 1С, переустановить полусотню ключей и сертификатов, настроить вход в двадцать разных онлайн-ИС? Пойдешь помощником? Хуй с ним, полторы тыщи отстегну! не понял насчет 7к в месяц

Это зарплата ответственного за IT- инфраструктуру организации, разбитой на подразделения по району и вкупе имеющая 35 компов и пять ноутов.

Цитата (tefiitefii @ 14.05.2017 - 21:44)

Цитата (MPR @ 14.05.2017 - 21:17) Цитата (hedonist @ 14.05.2017 - 20:46) каспер для дома нужен только как фаервол, правда комбаен ипучий ставте Comodo или Jetico Personal Firewall сам юзаю аутпост уже лет 12, но его купили яндексы и убили нахер (перепродали наработки касперу помойму)но меня обновы не парят, нечего там обновлять, все вылизано уже давно. Штатный фарвол юзать крайне не рекомендую, т.к. он меняет настройки в зависимости от настройки сетки, и спокойно открывает порты если вы допустим при настройке подключения выбрали домашнюю сеть ну и пр. его "сервисы" которые он никогда не запретит В роутаре обязательно отключайте UPnP , проброс портов только вручную, либо мост. Если нет домашней сетки - нахер рубите службу сервер, от нее все зло и все будующие проблемы. Ну и конечно отключите автообновления, я не шучу, мелкомягкие - главный троян. Настроеный фаервол спасает от любых червей дядя Петя.... Поставь хоть распрекрасный фаерволл, хоть раззолотой, НО для работы SMB и доменных сервисов тебе придется открыть порт 445, вот придется и все. Аутпост он юзает ну ну.... фаерволл должен стоять на системе осуществляюещей NAT и смотрящей в интернет, а не на клиентской машине в интранет, там от него больше вреда чем пользы. Причина массового заражения компов в закрытых (условно) интранет сетях типа полиции, не в том что админы курят бамбук а на машинах нет фаерволла. Причина только в том, что в интернет торчат портами виндовые компы, причем я подозреваю, что происходит это как раз из за закрытого наглухо интернета. "Умные" сотрудники тычут в свои компы модемы 4G и всякие йоты, получают реальные публичные адреса и заразу, далее уже зараза расползается по внутренним щарам. Ну для этого есть "контроль устройств", где запрещаешь все usb! Я терпеть ненавижу когда в компы вставляют флешки, без предварительного согласования с кем надо!

это все работает когда есть полноценаая интранет и домены с GP и корпроративным каспером.
Но вот реальный пример, работал в большой конторе с весьма развитой инфраструктурой ИТ, все было, но только в главном офисе. Всякие точки продаж сидящие в виде пары компов по городу и области (да и по стране) сидели через что угодно вплоть до 3G модемов. Я в своем филиале еще заморачивался устанавливая эти модемы в роутеры, за эту самодеятельность еще и по шее получал. Заставляли прямо в комп тыкать. Комп получал интернет, далее через впн авторизовался в домене и получал политики винды и антивиря с той самой блокировкой USB, но что бы модем работал USB приходилось открывать.

Походу я, наконец, понял для чего нужна мандатная система доступа. Типа этой

Это сообщение отредактировал БроКролик - 14 мая 2017 г. в 21:56

Цитата (MPR @ 14.05.2017 - 21:39)

Цитата (remos @ 14.05.2017 - 21:30) Я так себе юзер,что и куда надо тыкнуть,-не порвегруть себя угрозе ,чтоб шняга всякая не пришла в комп?Домашняя 7 .Что делать??..подскажите..ссылок против этой херни ,накидайте.. Если в двух словах, то нужно исключить прямое подключение windows машин в сеть провайдера. Всякие там pppoe, USB свистки с йоптами все это должно стоять в промежуточной железке типа роутера или компьютера осуществляющего NAT и являющегося шлюзом в интернет. На этой железке не должно быть винды. Просто примите за правило не тыкать прямой интернет в системник и все будет хорошо

блин ну если есть домен то что мешает запретить юсб через GPU все юсб в домене ? я уже не говорю про софт(правда платный)
ps увидел ответ ввыше, сори , понимаю тебя бро

Это сообщение отредактировал ДедСекрет - 14 мая 2017 г. в 21:54

Цитата (MEGAVOLT24 @ 14.05.2017 - 21:38)

Цитата (GrinWooD @ 14.05.2017 - 23:33) Цитата (MEGAVOLT24 @ 15.05.2017 - 03:31) Цитата Вот, пример с ГАИ...нахуа им Инет на работе, ПДД по Википедии изучать? Зато права теперь не могут выдать. База данных нарушений так то общероссийская, или админ должен её каждый день дома обновлять, и на флешке на работу приносить? У подобных структур должна быть для этого внутренняя сеть. И никак иначе. Ну дак данные то с внешней базы должны как то всё же попадать во внутреннюю. А вот как, это уже задача админа, за это он свои деньги и получает.

Так, блядь, VPN-же... это МИНИМУМ... это когда ваще пиздец, а так-то Ростелеком с их ВЫДЕЛЕННЫМИ каналами, которые нихуя общего с интернетами не имеют вообще! Отдельный кусок оптики, блядь... В котором только такие "выделенные" и нарезаны... Они чо там, ебнулись совсем? через тырнеты базы гонять? Пиздец бля Даже если "инспектору" в поле со смартфона потребуется в общую актуальную базу залезть, то это должно выглядеть либо как впн с трубы (все смарты сейчас это умеют) в СПЕЦИАЛЬНУЮ хитрую контролируемую подсеть, куда с особыми настройками безопасности одним концом смотрит уязвимый сервер БД, либо в крайнем это должен быть вообще какой-то самостийный шифрованный протокол через дырку в нате до сервера, который дешифрует и затем через себя уже шлет запросы на уязвимый сервак БД... мне почему-то это виделось так... Если же у них база в открытую через тырнеты летает, то это такая ебеная дыра, что я вообще удивляюсь, почему у нас до сих пор 100% тачек с двойными номерами не ездит... ибо это полный пиздец... аж страшно....

Цитата

Я в своем филиале еще заморачивался устанавливая эти модемы в роутеры, за эту самодеятельность еще и по шее получал. Заставляли прямо в комп тыкать. Комп получал интернет, далее через впн авторизовался в домене и получал политики винды и антивиря с той самой блокировкой USB, но что бы модем работал USB приходилось открывать.

Очень плохо, когда начальник не просто нуб, но ещё и самодур при этом. Такого пока не приложит хорошо, он умных людей не будет слушать.

Цитата (БроКролик @ 14.05.2017 - 21:53)

Походу я, наконец понял для чего нужна мандатная система доступа. Типа этой

SeLinux чем не устраивает? Те же яйца, только в профиль... Просто его настраивать заебешься и поэтому все "умники" его выключают... равно как и iptables укладывают на серваках со словами - "а хули мине буде, ежели я и так за файрволом сижу? нахуя масло масленное?" ...и fail2ban и иже с ними правильно настроенный на 99% отобьет все попытки брута без ограничения целевой функциональности...

Цитата

но что бы модем работал USB приходилось открывать.

Касперский эндпойнт, умеет ограничивать усб-шные примочки.

Цитата (tiktaktik @ 14.05.2017 - 21:26)

Я тут почитал топик - много глупостей понаписано. Вот, если кому интересно, почитайте про этот вирус: http://ru.d-ws.biz/articles/viruses-wana-decryptor.shtml

ахуенная статья ящетаю
в командной строке для виндавс пишем блымдыньдынь.
для хр пищем дрындындын.
вот патч для виндавс, вот для хр.

агонь и пизда всем вирусям.