QASHQAI-CLUB.COM

[Sysopaty]

Некоторые даже бек-ап не делали, все уничтожено. Жизнь не учит.

Некоторые после первой вирусной волны даже не пошевелились.

[Sysopaty]

А выкосило действительно катастрофически большое количество организаций. Все сейчас на ушах и в мыле. Интересное время. Проверка на прочность построенной инфраструктуры, взаимодействия всех служб и т.д. Бизнес понимает на что деньги давал. С другой стороны, не завидую тем айтишникам и безопасникам, у кого все легло.

[sauron]

А выкосило действительно катастрофически большое количество организаций. Все сейчас на ушах и в мыле. Интересное время. Проверка на прочность построенной инфраструктуры, взаимодействия всех служб и т.д. Бизнес понимает на что деньги давал. С другой стороны, не завидую тем айтишникам и безопасникам, у кого все легло.

кстати может быть наоборот не давали. Я даже вангую, принеси счет в 1м$ за годовую поддержку и покажи директору в Укр канторе выкатит глаза и скажет не не нам это не надо хотя если честно от ОТП Банка не ожидал они вроде не економили , хотя за пару лет все могло изменится.

[Сэнсэй]

Такие пироги с котятами..

https://m.geektimes.ru/post/290779/

[healix]

Надо заметить, что не только с Медком может быть такая лажа....

[docker]

У меня на офисе МЕДОК второй день в отключке, после переустановки,
а вирус первой "волны""погрыз" все Вордовские файлы.... Жопа

[Сэнсэй]

Такие пироги с котятами..

https://m.geektimes.ru/post/290779/

почитал внимательно и сравнил на своём подопытном пациенте-компе, о котором писал раньше. Докладываю:
Из статьи: "Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО" - ага, есть такой, поймался обновлённым антивирем ESET как "MSIL/TeleDoor.A троян". Троян выпилился, сам вылеченный файл ZvitPublishedObjects.dll остался. Медок запускается нормально, на попытку получить обновления пишет, что сервер обновлений недоступен (СБУшники его изъяли в рамках расследования, как пишут).

Дальше из статьи: "Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx." Ага, есть такой WC. Проверил на основном незараженном компе - нету такого в реестре. Стало быть, загаженный реестр WC - действительно признак трабла. В нём только в параметре Prx стоит значение "http://upd.me-doc.com.ua/last.ver" - и всё, больше ничего нет.

Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался... Можбыть, вирусняку не понравилась MBR диска, который тут SSD-формата, или процессор Xeon (у меня 4-ядерный 5462) что-то не даёт выполнять на низком уровне - х.з.

P.S. Пишу с этого подопытного компа.

[levsha]

Можбыть, вирусняку не понравилась MBR диска, который тут SSD-формата, или процессор Xeon (у меня 4-ядерный 5462) что-то не даёт выполнять на низком уровне - х.з.

Может у тебя там вообще GPT и UEFI?

[Сэнсэй]

levsha
Не, обычный AMI BIOS на мамке ASUS P5K. SSDдиск старичок INTEL SSDSA2BW160G3H, без GPT. Винда 10х64.

[BIS]

Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался...

А ставил демо версию медка? Или от нормального предприятия с настройками ? Может никому не интересно было валить комп с демо версией.
Или период, когда активировали трояна и забрасывали чего-то для вредоносных действий был раньше. А то что ты поставил не получило вовремя команду.

[Сэнсэй]

BIS
Версия Медка боевая, с настройками и ключами. Это, как бы, просто резервный полнофункциональный комп для резервного компа для основного компа (на случай ядерной войны )

[Сэнсэй]

Или период, когда активировали трояна и забрасывали чего-то для вредоносных действий был раньше. А то что ты поставил не получило вовремя команду.

Может быть и так. Я свой эксперимент проводил на несколько часов позже, чем началась паника, но в тот же день, 27-го.

[healix]

Тогда остаётся загадкой, почему подопытный мой комп не подох и не закриптовался...

Это вопрос к авторам вируса
Мы можем только догадываться.

И, т.к. вирус одноразовый, то, скорее всего, активировались лишь те экземпляры, которые были готовы в момент поступления команды.

А что в статье не нравится-то?.. Что всему причиной Медок?
Так, твой же Есет нашёл бэкдор в библиотеке. Это, не "ну нашёл троян", это типа "бля, по моему компу ходило полмира и всё у меня тырило"

[Сэнсэй]

А что в статье не нравится-то?.. Что всему причиной Медок?

Мне всё в статье нравится. Кто сказал, что не нравится?

Так, твой же Есет нашёл бэкдор в библиотеке. Это, не "ну нашёл троян", это типа "бля, по моему компу ходило полмира и всё у меня тырило"

Эх, Серёга, невнимательный ты. Несколько страниц назад я писал, что на этом компе я запускал всё специально и сознательно, т.е., отрубив предварительно от всего, что можно стырить и куда можно пойти.

[healix]

Та это понятно. Но, присутствие бэкдора в проге, которая передаёт всю налоговую отчётность страны... Это как добровольная публикация своих финансовых схем.

Тут же есть ещё один интересный момент... Многократный незарегистрированный несанкционированный доступ к исходникам этой проги.