Outlawif Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 https://geektimes.ru/post/290779/ Вот-вот: Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc. То есть без социальной инженерии не обошлось, либо кто-то спит с админом, либо уволенный сотрудник (вот тут кстати вариант мести вполне уместен) и т.д. Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework Опа, пора готовить алиби ) как минимум три обновления, содержащих зараженный модуль: 01.175-10.01.176, от 14 апреля 2017 01.180-10.01.181, от 15 мая 2017 01.188-10.01.189, от 22 июня 2017 Т.е. 14го апреля уже все было готово для атаки. Для подготовки такой атаки, банально для написания бэкдора, нужно хотя-бы пару месяцев, плюс вирус не меньше. А возможно, гораздо дольше: Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными? Т.е. обновление от 14го апреля могло быть не первым инфицированным, первое просто не нашли. Все это говорит о том, что а) вся схема родилась задолго до санкций по 1С б) хакер долго насиловал юзеров медока, долго и со смаком обновлял свой троян, продумывая - а что бы мне еще туда допилить? А дай-ка я... Все еще непонятно, на кой хер запустили сам вирус. В медоке раскрыли бэкдор и начали расследование? Надоело играться? Поняли, что для написания детского кодца на дотНете у них достает фантазии, а что делать с собранной инфой - йух знает? Короче это не профи. Так и вижу пару гиков, под пивко кодящих сию лабуду. Что касается зашифровки отдельно файла - для этого нужно условие, неудача с шифром бут сектора. По какой причине и каким образом эта операция может провалиться - не раскрывается. В любом случае, жестких дисков он не портил, и расшифровка диска от расшифровки файла мало чем отличается, был бы ключ - все можно восстановить. ЗЫ И, собственно, тут нам говорят, что это 2 разных вируса. Один кодирует разделы, другой файло. Оба засылаются через медок с бэкдором.
OlegRO Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 кто-то спит с админом, ты пятый раз это пишешь вся схема родилась задолго до санкций по 1С о санкциях могли знать заранее и противодействовать им "мягкой силой" а когда их ввели в действие, то и начали ломку на рынке ПО бухгалтеров на кой хер запустили сам вирус. месть (единственное что я могу предположить) ну или саботаж как говорит СБУ Короче это не профи. блин, а я наоборот, почитал и убедился что норм хацкеры
Outlawif Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 ты пятый раз это пишешь Дык, это ведь первейший метод социально анжинерии! И не пятый, а второй. Доктор, где вы такие картинки достали? :to_pick_ones_nose_eat: о санкциях могли знать заранее Т.е. кто-то спит не только с админом медока, но и с кем-то из Рады? Ай да один эс )) и противодействовать В чем собственно противодействие? месть (единственное что я могу предположить) ну или саботаж как говорит СБУ Не-а. Проецируя на те хакерские группы, которые я знал и самих хакеров лично, схема более уныла. Залазим в систему. В смысле - получаем туда ход. Переспали с админом крч. Думаем что дальше. На чем там все написано? Ба, на дотНет! Так я ж знаю дотНет. Давай чего-нибудь сделаем? Ну и начинаем внедрять туда кодец, сначала какую-то ерунду, лишь бы ответило, потом уже что-то более-менее осмысленное. Играемся, думаем "а мож бабла заработать?" а потом мысль "да нафиг надо, давай я еще такую штуку допилю, чтобы жопу на экране рисовало". В конце концов наигрались, и запускаем туда бомбу. Как надутую лягушку рано или поздно лопают об асфальт. Деструктивный синдром. Без существенной причины. Почему собака лижет яйца? Потому что она может это сделать. блин, а я наоборот, почитал и убедился что норм хацкеры Детвора в песочнице. Судя по коду, доступ к медоку им достался очень легко. Скорее всего даже с админом спать не пришлось. Они даже вирус не с первого раза запустили: Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189. Увидели, что первый вирус вызвал пшик, со злости запустили второй. ЗЫ Скорее всего это не хакеры даже. В смысле, они этим занимаются от нечего делать. Какие-то студенты-айтишники. Подложили студентку под админа медока... а, стоп, о чем это я?
OlegRO Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 стоп, о чем это я? что все переиплись, а компьютер сгорел)) вообщем, будем ждать новостей
Outlawif Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 что все переиплись Точно. Просто жена в командировке была 3 дня, вот все мысли как-то в порнуху социальную инженерию и уперлись ))
Дагот Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 Поймать и яйца оторвать! Кстати вроде поймали тех чертей , которые смс про выиграш автомобиля слали и с банка, что карта заблочена.
Outlawif Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 Поймать и яйца оторвать! Социальная инженерия - палка о двух концах. Не всегда, но иногда. Надо просто спросить админов медока с кем они спали последнее время... Все, молчу, молчу )
MrGreenZ Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 Крайне не рекомендую корпуска с "стекляными" окошками. Это дерьмо царапается от простого прикосновения. Собирал новый комп, слегка зацепил дверку видяхой и остались приличные царапины, психанул и расхуярил корпус к чертям.
MaJ0r Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 Крайне не рекомендую корпуска с "стекляными" окошками. Это дерьмо царапается от простого прикосновения. Собирал новый комп, слегка зацепил дверку видяхой и остались приличные царапины, психанул и расхуярил корпус к чертям. то у тебя крутое стекло(пластик) У меня дешевый корпус, там не царапается. Но мне в принципе оно и не надо то окно, брал из-за формы - кубик и горизонтального расположения компонентов. А то что там окна, ну такое, не было бы их - не расстроился бы
MrGreenZ Опубліковано: 6 липня 2017 Опубліковано: 6 липня 2017 то у тебя крутое стекло(пластик) У меня дешевый корпус, там не царапается. Но мне в принципе оно и не надо то окно, брал из-за формы - кубик и горизонтального расположения компонентов. А то что там окна, ну такое, не было бы их - не расстроился бы Да дерьмо я взял, а не корпус. Я голодный еще был, того психанул. Терь жалею, что поломал. Но то ошибка с самого начала была. Надумал делать с кастомной водянкой, что бы красиво было. Пустая трата денег.
Рекомендовані повідомлення
Створіть акаунт або увійдіть у нього для коментування
Ви маєте бути користувачем, щоб залишити коментар
Створити акаунт
Зареєструйтеся для отримання акаунту. Це просто!
Зареєструвати акаунтУвійти
Вже зареєстровані? Увійдіть тут.
Увійти зараз