Ряд украинских компаний подвергся хакерским атакам

[scorpion334]

(29-06-2017 23:11)DEM :  Ну вот, приходится заниматься не своей работой и реанимировать рабочий комп после пети. Нужны советы.
Предистория. Экстренный shutdown после кипиша в конторе. Полная прострация наших компьютерщиков по решению проблемы, только рекомендация не включать комп (похоже у них там полный аут с серверами, и им долго будет не до рабочих станций). Извлечение винта с рабочего компа.
Сейчас делаю.
- Подключение винта к домашнему компу (как дополнительного жестокого диска по сата). Копирование моих пользовательских файлов (только документы и графика, без исполняемых файлов) на винт домашнего компа и флэшку, файлы не повреждены (не шифрованы), проверено выборочным открыванием разных типов файлов из разных каталогов.
- Проверка подключенного диска антивирусом Касперский (установленным на домашнем компе) показала наличие вируса.
Вот отчет (скопировал только выявленные проблемы):
--------------------------
perfc.dat Удалено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Создана резервная копия: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Обнаружено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:39 Проверка компьютера
552abc4b-6918ede8 Помещено на карантин: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 22:00:33 Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 21:58:56 Проверка компьютера
552abc4b-6918ede8 Не вылечено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:36 Отложено Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:35 Проверка компьютера
--------------------------
Вопросы.
- как проверить MBR на подключенном винте и возможна ли с него безопасная загрузка установленной на нем ос?
- если нет, как пофиксить загрузочные данные, или на крайний случай уничтожить их вместе с вирусом, чтоб после подключения винта к рабочему компу начать восстановление системы с установочного диска?

(сейчас винт с зараженной ос, снятый с рабочего компа, подключен к другому компу как дополнительный)

я бы переписал MBR перед включением.. один из вариантов - найдите загрузочную флешку или диск с Acronis True Image и любой образ системы , и с него восстановите MBR на диске...

[Lady]

меня вроде вирус не зацепил, хотя 27/06 комп был включен, интернет не вырубала..Медком не пользуюсь... работала как обычно

решила перебдеть
проверить

нашло тока такое:
   

это "воно"???

[scorpion334]

(30-06-2017 09:26)Lady :  меня вроде вирус не зацепил, хотя 27/06 комп был включен, интернет не вырубала..Медком не пользуюсь... работала как обычно

решила перебдеть
проверить

нашло тока такое:


это "воно"???

Спите спокойно ... это не "воно"... это родные файлы windows.. заражённый файл perfc должен располагаться в папке windows...

[Lady]

кстати.. да...27-го как раз горячая вода и появилась

Цитата:Вирус #PetyaA атаковал ТЕЦ-6 и запустил горячую воду для жителей #Троешины и #Оболони
Местные власти пытаются устранить это недоразумение.

[SkyNetLPY]

(29-06-2017 23:11)DEM :  Ну вот, приходится заниматься не своей работой и реанимировать рабочий комп после пети. Нужны советы.
Предистория. Экстренный shutdown после кипиша в конторе. Полная прострация наших компьютерщиков по решению проблемы, только рекомендация не включать комп (похоже у них там полный аут с серверами, и им долго будет не до рабочих станций). Извлечение винта с рабочего компа.
Сейчас делаю.
- Подключение винта к домашнему компу (как дополнительного жестокого диска по сата). Копирование моих пользовательских файлов (только документы и графика, без исполняемых файлов) на винт домашнего компа и флэшку, файлы не повреждены (не шифрованы), проверено выборочным открыванием разных типов файлов из разных каталогов.
- Проверка подключенного диска антивирусом Касперский (установленным на домашнем компе) показала наличие вируса.
Вот отчет (скопировал только выявленные проблемы):
--------------------------
perfc.dat Удалено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Создана резервная копия: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:40 Проверка компьютера
perfc.dat Обнаружено: HEUR:Trojan-Ransom.Win32.ExPetr.gen 29.06.2017 22:00:39 Проверка компьютера
552abc4b-6918ede8 Помещено на карантин: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 22:00:33 Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 21:58:56 Проверка компьютера
552abc4b-6918ede8 Не вылечено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:36 Отложено Проверка компьютера
552abc4b-6918ede8 Обнаружено: HEUR:Exploit.Java.CVE-2012-1723.gen 29.06.2017 20:18:35 Проверка компьютера
--------------------------
Вопросы.
- как проверить MBR на подключенном винте и возможна ли с него безопасная загрузка установленной на нем ос?
- если нет, как пофиксить загрузочные данные, или на крайний случай уничтожить их вместе с вирусом, чтоб после подключения винта к рабочему компу начать восстановление системы с установочного диска?

(сейчас винт с зараженной ос, снятый с рабочего компа, подключен к другому компу как дополнительный)

Если после кипиша компы были выключены и не включались, то есть высокие шансы спасти систему. Есть загрузочные флешки с комплектом утилит для реанимации. На работе так много компов воскресили. Из личных наблюдений: очень хорошо атаку пережили моноблоки леново. Почти 100% выживаемость, при 100% инфицированности. У многих даже появлялись просьбы про баксы, но все равно воскресают.

---

---

(29-06-2017 22:00)Юрий 4х4 :  

(29-06-2017 21:44)cop :  ... и проверить наличие следующего файла: C: \ Windows \ perfc. dat

Но теперь что-то стало яснее. Спасибо

И еще dllhost

[DEM]

(30-06-2017 03:21)Railnolds :  Как можно вообще ЭТИМ пользоваться? Я имею ввиду в принципе. Оно же такое убогое. Не говоря уже о том, что ФБР подозревает эту контору в сливе инфы в ФСБ.

Работает нормально, вирусню на комп не пускает. А имеющаяся на моих компах информация фсб вряд ли заинтересует.

После касперского нод ничего не нашел, система с полеченного винта загрузилась нормально. Можно считать отделался легким испугом.
Другим нашим повезло меньше.

[1.2HTP]

Попробовал обнову поставить, пишет :
" Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены".
Поясните пож что сие значит ?

[SkyNetLPY]

(01-07-2017 20:40)1.2HTP :  Попробовал обнову поставить, пишет :
" Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены".
Поясните пож что сие значит ?

В оснастке Службы есть служба Автообновления. Включите её.

[1.2HTP]

windows anytime upgrade ?
при попытке обновления пишет ошибку скриптов
еще глянул Виндоус защитник - отключен администратором
х.з., может система какая-то левая стоит ? Ноут у меня давно, с нуля, но получен уже с установленной виндой...
ПС там где сведения о системе, защита для диска С включена
ПС2 Петр ( SkyNetLPY ) спасибо за помощь !

[salj4ok]

Прочитал, все что выше написано, вопросы остались. Имею ноут асус с пиратской виндовс 7 максимальная 64 бита. На даный момент работает нормально, в папке Windows файла perfc. dat нету. Стоит бесплатная версия антивируса AVG, раньше была на русском, сейчас на английском языке, где поменять обратно не нашел За последнее время компютер им не сканировал, сейчас боюсь запускать.
Вопрос в том, обновить виндовс черес центр обновления или качать и устанавливать патчи, так как винда пиратская чем мне это грозит, снова запускать кряк для продления активации. Спасибо