Ряд украинских компаний подвергся хакерским атакам

[Compass]

Сервисный центр по переоформлениюпостановкеснятиюнаучет авто и всяких других таратаек,
тоже сегодня весь курил и пил кофе среди озлобленных клиентов

[smile]

(29-06-2017 21:44)cop :  

(29-06-2017 21:36)VasiliSK :  

(29-06-2017 21:13)Юрий 4х4 :  Уважаемый "сор". Вот вы сейчас ну вообще не помогли. По крайнер мере я ничего не понял...

Мне тоже ничего не понятно. С какой флешки? С операционнкой? Если у меня ее нет то что?

Попросить того у кого она есть, а значит есть знания в вопросе, не стоит рисковать самому

+1

[Юрий 4х4]

(29-06-2017 21:44)cop :  ... и проверить наличие следующего файла: C: \ Windows \ perfc. dat

Но теперь что-то стало яснее. Спасибо

[DEM]

Ну вот, приходится заниматься не своей работой и реанимировать рабочий комп после пети. Нужны советы.
Предистория. Экстренный shutdown после кипиша в конторе. Полная прострация наших компьютерщиков по решению проблемы, только рекомендация не включать комп (похоже у них там полный аут с серверами, и им долго будет не до рабочих станций). Извлечение винта с рабочего компа.
Сейчас делаю.
- Подключение винта к домашнему компу (как дополнительного жестокого диска по сата). Копирование моих пользовательских файлов (только документы и графика, без исполняемых файлов) на винт домашнего компа и флэшку, файлы не повреждены (не шифрованы), проверено выборочным открыванием разных типов файлов из разных каталогов.
- Проверка подключенного диска антивирусом Касперский (установленным на домашнем компе) показала наличие вируса.
Вот отчет (скопировал только выявленные проблемы):
--------------------------
perfc.dat Удалено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Создана резервная копия: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Обнаружено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:39 Проверка компьютера
552abc4b-6918ede8 Помещено на карантин: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 22:00:33 Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 21:58:56 Проверка компьютера
552abc4b-6918ede8 Не вылечено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:36 Отложено Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:35 Проверка компьютера
--------------------------
Вопросы.
- как проверить MBR на подключенном винте и возможна ли с него безопасная загрузка установленной на нем ос?
- если нет, как пофиксить загрузочные данные, или на крайний случай уничтожить их вместе с вирусом, чтоб после подключения винта к рабочему компу начать восстановление системы с установочного диска?

(сейчас винт с зараженной ос, снятый с рабочего компа, подключен к другому компу как дополнительный)

[cop]

Нод вроде сигнатуры добавил уже, думаю отсканить им и все

[DEM]

запустил eset online scanner, посмотрим что еще найдет.
завтра верну винт в рабочий комп и буду пробовать с него загружаться.

[Dimon325]

(29-06-2017 21:22)smile :  

(29-06-2017 00:00)WhiteBear :  

(28-06-2017 22:14)smile :  

(28-06-2017 09:56)WhiteBear :  

Цитата:Во-вторых, по крайней мере один из путей распространения Nyetya — украинская программа MeDoc, которую в стране используют для "общения" с налоговой, а за ее приделами — для работы с украинскими госструктурами и бизнесом.

"приделами" - ета висьма. висьма кволефуцерованае мнинее...

Are you playing dumb?
А по суті, і бажано мовою оригіналу?
Я би був вдячний щодо того, що компанія намагається поширити інформацію про своє дослідження на іншій мові, навіть якщо вона робить це з помилками.

Talos distributed their message in english. When somebody says

Цитата:We believe that infections are associated with software update systems for a Ukrainian tax accounting package called MeDoc. Talos is investigating this currently.

it doesn't automagically means - "MeDoc ARE (involved or used) in bla-bla-bla".

Do you feel the difference between "we believe" and "we are confident"?

а теперь языком "перевода" - когда я вижу фразы типа "что-то там за приделами чего-то там" или "имярек1 является (будет) приемником имярека2" - то у меня возникают серьезные сомнения в наличии понимания автором сути излагаемого. и я еще не встречал cases, когда эти сомнения были опровергнуты. "и" от "е" слишком далеко для простой опечатки.

Андрей, аплодисменты стоя.
Наконец-то Женя со своими умничаниями, особенно лингвистическими, нарвался на более чем адекватный ответ специалиста.
Женя, не тебе в пику.
Хотя нет.
Тебе в пику. Но со всем уважением к тебе, без тени иронии.
Ты решил, по каким-то причинам, что взобрался на некую возвышенность и оттуда нам всем сирым вещаешь.
Особых откровений до сих пор нет, а твои нервы на недостаточную оценку твоей исключительности есть в изобилии.
Слезь с постамента и все будет гут.

[VasiliSK]

Блин. Может кто то толком сказать? Если ноут не включался вобще неделю и сейчас его отсоединив от доступа в сеть включить для простой ( ворд) работы не в сети, (ос виста 32) есть угроза или нет?
П.с медков никаких не было установлено и нет

[Railnolds]

(30-06-2017 00:39)VasiliSK :  Блин. Может кто то толком сказать? Если ноут не включался вобще неделю и сейчас его отсоединив от доступа в сеть включить для простой ( ворд) работы не в сети, (ос виста 32) есть угроза или нет?
П.с медков никаких не было установлено и нет

Та включайте, не бойтесь.

(29-06-2017 23:11)DEM :  - Проверка подключенного диска антивирусом Касперский (установленным на домашнем компе) показала наличие вируса.

Как можно вообще ЭТИМ пользоваться? Я имею ввиду в принципе. Оно же такое убогое. Не говоря уже о том, что ФБР подозревает эту контору в сливе инфы в ФСБ.

[SkyNetLPY]

(30-06-2017 00:39)VasiliSK :  Блин. Может кто то толком сказать? Если ноут не включался вобще неделю и сейчас его отсоединив от доступа в сеть включить для простой ( ворд) работы не в сети, (ос виста 32) есть угроза или нет?
П.с медков никаких не было установлено и нет

После того как включитесь установите патчи или обновите винду, и запустите сканирование Дефендером