Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи


Страницы: (12) « Первая ... 9 10 [11] 12	[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]

~~imaex~~

20.10.2016 - 12:31

-1

Статус: Offline

Ярила

Регистрация: 18.09.13
Сообщений: 3607

Цитата (imaex @ 20.10.2016 - 11:03)

Афганский вирус, блядь. "Квалификация наших программистов еще не очень, поэтому удалите ваши файлы сами". Ну почти один-в-один.

ТС минусит?

Правда глаза колет?

Поясню: единственное, что могло быть взломано в этом случае - мозг этой курицы. Если бы он у нее был.

У нас в конторе тоже такая работала. Только на моей памяти дважды криптором диск от документов очищала.

[^]

Navart	20.10.2016 - 12:32 [ показать ] 0
Статус: Offline Читатель Регистрация: 28.03.14 Сообщений: 785	именно поэтому у нас для почты стоит древний ноутбук
	[^]

MironovKP

20.10.2016 - 12:35

Статус: Offline

Балагур

Регистрация: 23.10.14
Сообщений: 919

Цитата (spy2spy @ 20.10.2016 - 12:07)

Цитата (MironovKP @ 20.10.2016 - 11:22)

Цитата (spy2spy @ 20.10.2016 - 11:03)

Отсутствие админских прав и вообще любых прав пользователя не спасет.

Поясни свою точку зрения.

Процессы запускаются от двух уровней
1. Уровень системный (Системные учетные записи) скомпрометировать системные учетные записи проблематично, последнее что приходит на память это падение служб печати и доступ до саб.процессов - и цикличная перезагрузка удаленного хоста после возникновения ошибки.
2. Уровень пользовательский. Тут два варианта либо он администратор, либо пользователь - то есть прав на запуск системных задач не имеет.
Так вот данный вирус файл который качали с nalog.ru был заархивирован (RAR) при разархивации (антивирус молчит это не вирус, а сценарий) получали файл doc (xls) или docm (xlsm) (макрос - тут офис - спросит разблокируем полученное содержимое?) А вот с doc и вшитым в него vbs сценарием, он ничего не спросит. Открытие запросит - вызов winword (офиса) и из под этого процесса, все файлы по маске и будут зашифрованы. Процесс исполнения - относится к приложению microsofta, админские права не нужны. То есть даже обычный пользователь без права администратора может стать жертвой. Так и было.

для опенофиса - ничего такого не произошло.

Понятно, справедливо. Не знал что выполнять различные задачи можно даже через документ ms word. Вообще я предлагал не чисто ограничивать права, а регулярно бекапить. Естественно учётка у пользака не админская, и прав доступа к бекапам быть не должно. По меня почему-то за это минуснул кто-то в предыдущем сообщении. Минусит наверно криворукий админ, который админил МВД где поработал шифровальщик

[^]

Scrembler

20.10.2016 - 12:36

-1

Статус: Offline

Продавец Кошмаров

Регистрация: 27.04.14
Сообщений: 164

Цитата

ТС минусит? lol.gif
Правда глаза колет?

Поясню: единственное, что могло быть взломано в этом случае - мозг этой курицы. Если бы он у нее был.

У нас в конторе тоже такая работала. Только на моей памяти дважды криптором диск от документов очищала.

Для таких одаренных читателей как ты, ответ тебе на твой возглас про почту

после шифрования, вирус меняет заставку рабочего стола на свою, на котором написано мыло для связи, а связаться ты может с любого другого компа

[^]

~~imaex~~

20.10.2016 - 12:55

-1

Статус: Offline

Ярила

Регистрация: 18.09.13
Сообщений: 3607

Цитата (Scrembler @ 20.10.2016 - 12:36)

Для таких одаренных читателей как ты, ответ тебе на твой возглас про почту

Почту оставили, дооо.

А что же "хакеры" "взломали"?

Для особо одаренных поясню: после более, чем двух лет, проявлений подобного говна, появление подобных перепостов на говноновости про "хакеров" и "взлом" выглядит, мягко говоря, немного нелепо.

[^]

Scrembler

20.10.2016 - 13:00

Статус: Offline

Продавец Кошмаров

Регистрация: 27.04.14
Сообщений: 164

Цитата (imaex @ 20.10.2016 - 12:55)

Цитата (Scrembler @ 20.10.2016 - 12:36)

Для таких одаренных читателей как ты, ответ тебе на твой возглас про почту

Почту оставили, дооо.

Вирус зашифровал данные, базы, доки, фотки, а почту для связи он оставляет меняя заставку рабочего стола, вот тебе образец - юный эникейщик недоучка

Хакеры, взломавшие зарплатную систему МВД, оставили почту для связи

[^]

spy2spy

20.10.2016 - 13:03

Статус: Offline

Ярила

Регистрация: 6.08.13
Сообщений: 1180

Цитата (imaex @ 20.10.2016 - 12:55)

Цитата (Scrembler @ 20.10.2016 - 12:36)

Для таких одаренных читателей как ты, ответ тебе на твой возглас про почту

Почту оставили, дооо.

Тут надо посмотреть с другого угла. Страшен не вирус, страшно то, что стреляют уже не из пушки по воробьям. А прицельно. Для этого нужно собрать определенный набор знаний, от правайдера, до налоговой инспекции и заголовков письма.
Тут важно проинформировать людей, не спешить тыкать куда не нужно. я привел пример выше, со своим случаем. В письме с которым я работал, я не сразу полез в тело письма - проверять сервер почтовый. Благопристойное письмо и темой и с текстом, спамфильтру такое не скормишь.

Так что уровень халявщиков растет.

[^]

~~Primus525~~

20.10.2016 - 13:22

Статус: Offline

Ярила

Регистрация: 31.01.11
Сообщений: 11806

Цитата (Formated @ 19.10.2016 - 18:14)

Бухгалтерам не объяснить! Они все равно будут открывать такие письма.

админу тоже не объяснить про бэкапы?

[^]

KvazarTir1	20.10.2016 - 13:24 [ показать ] 0
Статус: Offline Шутник Регистрация: 21.06.16 Сообщений: 26	Предохраняться нужно.
	[^]

anikifya

20.10.2016 - 13:28

Статус: Offline

Ярила

Регистрация: 20.04.10
Сообщений: 8128

Цитата (AndryB @ 20.10.2016 - 00:49)

И эта программа не поможет. Через Java идет шифрование.

дядь... тычо?

Какая в жопу блядь нахуй ява на юзерском компьютере? Вы там ваще все в конец ебанулись?
ЗАЧЕМ юзеру Ява?
Как вообще она может стоять на юзерской машине - это общепризнанная дыра, которую закрыть НЕВОЗМОЖНО.

Могу придумать только один повод - если ставится банк-клиент от банка-идиота, в котором работает то же животное-админ, что и в пострадавшей конторе

И даже тогда - что мешает поставить это говно на виртуалку?

[^]

KvazarTir1

20.10.2016 - 13:30

Статус: Offline

Шутник

Регистрация: 21.06.16
Сообщений: 26

Цитата (Primus525 @ 20.10.2016 - 13:22)

Цитата (Formated @ 19.10.2016 - 18:14)

Бухгалтерам не объяснить! Они все равно будут открывать такие письма.

админу тоже не объяснить про бэкапы?

А он там был? Что-то мне подсказывает: или приходящий, или кто-то по совместительству из местных сотрудников.

[^]

~~Hanglider~~

20.10.2016 - 14:10

Статус: Offline

Ярила

Регистрация: 3.01.15
Сообщений: 2491

Цитата (Niruksorp @ 20.10.2016 - 15:10)

У меня и на сетевых дисках шифровалось! Но только диски которые подключены! Благо сеть не сканирует на открытые шары!

В сети очень помогает демилитаризованная зона.
Из-за файрволла DMZ любой бэкап сервер по списку шар раз в сутки делает архив и спит себе спокойно. Даже если подключенные шары зашифрует/удалит - восстановить будет просто. Еще ни один вирус недодумался сканить сетку на наличие внутренних адресов, прописанных в маршруте протокола.
В прочем, за DMZ можно прятать что угодно. Динамический маршрут спасет и сохранит много нервов на восстановление.
И да - юзверей надо делать гостями на их компе. Заново пересоздать профиль проще, чем даже восстановить систему из образа. )))

[^]

Cheka	20.10.2016 - 14:13 [ показать ] 1
Статус: Offline Ярила Регистрация: 12.01.12 Сообщений: 3215	какие нах хакеры? тупо прислали письмо буху с официальным названием, бух открыл вложение с иконкой знакомого формата документа - вуаля, все файлы на компе зашифровались. в 2015 году массово рассылались такие письма, шифровщик вроде "код да-винчи" назывался.
	[^]

olx

20.10.2016 - 14:18

Статус: Offline

Шутник

Регистрация: 18.12.14
Сообщений: 41

Цитата (31ak @ 19.10.2016 - 19:08)

Цитата (Aivenger45 @ 19.10.2016 - 18:46)

Цитата (olx @ 19.10.2016 - 19:45)

Вообще на почту вешают механизмы фильтрации, запрещающие, например, исполняемые файлы, архивы, которые не анализируются, а так же доп антивирус. Такие письма либо полностью блокируются, любо доходят без запрещенных вложений - вопрос чисто админский.

Отправлено с мобильного клиента YAPik+

Ссылку подкинь , если есть где почитать. Про фильтрацию

да толку, придёться зарубить тогда всё, секретарю пришел вордовский документ с гиперссылкой на шифровальщик, что то тоже со счетами, хорошо сотрудников предупреждали и она позвонила в техподдержку с вопросом, что эта за куйня

И такое тоже может быть. Мы сейчас говорим про почту, а не про интернет.
Интернет тоже надо контролировать - практически на любом софте, реализующий шлюз в инет, можно настроить проврку mime и регулярку, которые зарубят определенные типы данных и ссылки, содержащие регулярку.
Механизм полностью повторяет фильтрацию смтп.

Еще есть доменная политика, которая запрещает запуск ПО не из списка. Еще есть софт, который не даст запустить ПО, не подписанное доверенным ключом.

Все эти механизмы формируют единую систему DLP. Хороший админ соберет это на опенсурсе, и для конторы затраты только на зарплату специалисту. Но такой спец не будет работать в МВД

Это сообщение отредактировал olx - 20.10.2016 - 14:19

[^]

Rulet	20.10.2016 - 14:42 [ показать ] 0
Статус: Offline Юморист Регистрация: 3.08.13 Сообщений: 438	как у нас новости стряпают )))) тупо шифровальщик запустили...а подали- взломана зарплатная система )))
	[^]

blooddophin	20.10.2016 - 15:42 [ показать ] 0
Статус: Offline Шутник Регистрация: 18.02.15 Сообщений: 88	да файлы просто зашифрованы, у нас, примерно, 5 организаций повелись на счета от РОстелекома или других организаций, по сути злоумышленники дают свою почту для отправки зашифрованного ими же файла, они его расшифруют и отправляют обратно вам, а за скрипт (программу) дешифратор, чтобы расшифровать все остальное нужно заплатить, только сумма постоянно разная, у нас было от 3 до 12 тыров... И да, это не вирус, а скрипт, поэтому антивирус не ругается, у меня в почте более 30 писем помеченные, Нужно смотреть не только от кого почта пришла, но и на сам адрес e-mail... у нас Ростелеком, это atnet, а приходит от Анисимов<anisimov.s@ivanov.ru>, вот например.... если есть желающие могу переслать писмецо с таким секретом, ну или почти с таким, сам не открывал, т.к. знаю чем это чревато))) Бухгалтер не всегда понимает, что счет приходит, практически всегда ворд или ёксель, а внутри архива scr, в основном Это сообщение отредактировал blooddophin - 20.10.2016 - 15:44
	[^]

~~imaex~~

20.10.2016 - 19:47

Статус: Offline

Ярила

Регистрация: 18.09.13
Сообщений: 3607

Цитата (Cheka @ 20.10.2016 - 14:13)

какие нах хакеры?

Вот и попробуй объяснить дебилам - какие, нахер, хакеры?

[^]

pablomur	20.10.2016 - 20:15 [ показать ] 2
Статус: Offline Ярила Регистрация: 6.12.13 Сообщений: 8520	Парус!! Блеать.. С файловой базой(или что там у этого динозавера, я его лет...15 не встречал)? На той же машине без бэкапов в фоне хотя бы на съемный диск от имени другого пользователя?(пионерский вариант, но в организациях с 3 компами- работает). Вот а шо мешало выделить нормальный сервер 1с в головной конторе(SQL само собой) и тетенькам робить через мсрдп? Дремучесть? Денег нет? Ну пусть убьют себя ап стену и в структурах МВД не работают. От криптовируса антивирь не всякий спасает, даже эвристика не всегда ловит. Запускается скрипт- качает недостающую прогу для шифрования(у ней даже подпись бывает)- и вперед! Сожрет все, к чему у юзера есть права на запись. Только бэкап, скульную базу шифровальщик не сожрет(не отменяет ежесуточного бэкапа), доки должны быть в бэкапе еженочном на сторонний носитель(Сервак,NAS, да хоть съемный диск) и пофигу, максимум доки за 1 день проебем. Ежели мы бедные и маленькие- файловую базу бэкапить с правами другого пользователя ежедневно.(софт есть, для совсем юзеров, с ГУИ).
	[^]

ДокторШутка	21.10.2016 - 02:50 [ показать ] 0
Статус: Offline Доброе Зло Регистрация: 29.02.16 Сообщений: 181	Было, плавали. Bacula рулит - бэкапы надо делать, и все нормально будет )))
	[^]

Gladj

21.10.2016 - 03:05

Статус: Offline

Ярила

Регистрация: 12.08.14
Сообщений: 4928

Цитата (Scrembler @ 19.10.2016 - 18:13)

Цитата

главбух Управления запустила на компьютер вирус, уничтоживший все файлы, в том числе бухгалтерскую программу "Парус". К файлу с вирусом прилагалась инструкция, как получить программу дешифровки.

Надо было в отдел К эту хрень прислать, может тогда шевелится начнут и найдут этих гондонов-шифровальщиков...

Да нах им это? Они только установщикв ПО ловят, это проще. Защищают интересы, так сказать, потенциального противника.

Это сообщение отредактировал Gladj - 21.10.2016 - 03:05

[^]

~~TotoKutunio~~	21.10.2016 - 08:50 [ показать ] 0
Статус: Offline Ярила Регистрация: 20.01.16 Сообщений: 2937	у нас так бухгалтерию запороли 70 тыр просили, не дали
	[^]

al9x	21.10.2016 - 09:05 [ показать ] 1
Статус: Offline Приколист Регистрация: 19.12.11 Сообщений: 390	Я тут подумал... Не "взломали", а "поломали". Взлом - предполагает несанкционированный доступ к закрытым данным с возможностью просмотра и копирования, а в данном случае данные тупо повредили.
	[^]

vonBierbah

21.10.2016 - 09:48

Статус: Offline

Ярила

Регистрация: 21.04.14
Сообщений: 2906

Цитата (paradox75 @ 19.10.2016 - 18:18)

Цитата (AK78Mag @ 19.10.2016 - 22:17)

"Вот по этому я не женюсь", на самом деле ведомственные компы должны работать на собственных системах и операционках, которые ни как не связанны без нужды с внешним миром, ну нахуя бухгалтеру интернет?????

Сбис, консультант, гарант и т.п.

И iptables с тотальным запретом на всё, кроме необходимого с фиксацией актом

[^]

Chicozavr

21.10.2016 - 13:47

Статус: Offline

Балагур

Регистрация: 18.08.14
Сообщений: 852

Цитата (pablomur @ 20.10.2016 - 20:15)

Парус!! Блеать..
С файловой базой(или что там у этого динозавера, я его лет...15 не встречал)?
На той же машине без бэкапов в фоне хотя бы на съемный диск от имени другого пользователя?(пионерский вариант, но в организациях с 3 компами- работает).
Вот а шо мешало выделить нормальный сервер 1с в головной конторе(SQL само собой) и тетенькам робить через мсрдп? Дремучесть? Денег нет? Ну пусть убьют себя ап стену и в структурах МВД не работают.
От криптовируса антивирь не всякий спасает, даже эвристика не всегда ловит.
Запускается скрипт- качает недостающую прогу для шифрования(у ней даже подпись бывает)- и вперед! Сожрет все, к чему у юзера есть права на запись.
Только бэкап, скульную базу шифровальщик не сожрет(не отменяет ежесуточного бэкапа), доки должны быть в бэкапе еженочном на сторонний носитель(Сервак,NAS, да хоть съемный диск) и пофигу, максимум доки за 1 день проебем.
Ежели мы бедные и маленькие- файловую базу бэкапить с правами другого пользователя ежедневно.(софт есть, для совсем юзеров, с ГУИ).

Парус 3,4,7 ка файловые DBF (Foxbase, Foxpro, VFP), у большинства народа стоит 7-ка под VFP? 15 лет назад ее только выпустили как раз, пока работает у многих и обновляется. Скорее всего МВД на ней работал.
Но интенсивно народ переходит на Парус 10-ку или 1С. Та уже под MS SQL. Ей пофиг шифровальщики.
Ну и есть Парус 8-ка Oracle. Это нормал монстр в плане учета и стабильности. (13 лет у нас стоит без единого сбоя и почти без перезагрузок, 1 раз только с сервера на сервер переезжали ) Ему пофигу тоже любые щифровальщики.

А так у меня за год 4 конторы поймали таких, за одну они отдали 30К, но не вымогателю, а конторе занимающейся расшифровкой (скорее всего связанной с вымогателями, откуда они иначе ключ взяли). 1 раз успели вырубить комп и нашли 2 ключа, закрытый и открытый в темпах, по ключам расшифровали. В одной конторе бакапы были в облаке. Ну и один смирился с потерей ,не захотел платить.

[^]

SliverOK	21.10.2016 - 19:31 [ показать ] 0
Статус: Offline Шутник Регистрация: 6.12.12 Сообщений: 30	Я уверен на 99%, что ответ бухгалтерши был: "Оно само сломалось!".
	[^]

Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 33544
0 Пользователей: