Sergey
курс растееет
Sergey
там алгоритм простой
Evgeny
я даже знаю ужасное слово "обфускация"
Sergey
еще скажи что там виртуальные машины создаются
Sergey
прям как в аспротекте в свое время
Sergey
это все пионерские поделия
Sergey
продаются в даркнете
Sergey
нет там никакой обфускации
Evgeny
И хер антивирус определит свежий 0-day код в payload )
Надо же коплексно защищаться
Но как, хм, показывает практика и новости - даже в крупном кровавом с ИБ беда полная.
Sergey
еще раз тебе повторю - алгоритм шифрования предсказуем по коду
Sergey
пайлоад можете засунуть себе
Evgeny
Ну, т.е. ты сейчас обвиняешь всех АВ вендоров в чем?
Sergey
пока это выгодно антивирусникам - ничего не поменяется
Evgeny
А, ок)))
Sergey
ни один ав продукт не дает никакой защиты
Sergei
Ну есть разные антивирусы
Sergey
он дает "уверенность" в защите
Evgeny
Ну а я о чем?))))
Sergey
а по факту - днище
Sergei
Они ловят шифрование
Sergey
и это не потому что его плохо написали
Evgeny
Кто ловит шифрование??
Sergey
пало
Red
@SorrowfulGod а ты какой антивирь пользуешь?
Sergei
Trend micro
Sergey
голову
Sergei
Ещё другие есть их полно
Sergey
⚡️ SUPERBREAKING
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445
Sergey
трендмикро давно скатился в унылое говно
Sergey
тренд начался на закате xp
Sergey
и остальные тоже
Sergey
только и умеют что ресурсы жрать
Sergei
И поэтому он первый в гат нере
Sergey
гатнер отличная штука
Sergey
кто больше заплатил тот и в главном квадратике
Red
там для каждой компании есть свой главный квадратик
🐈⬛13
как шифровальщика отличить от обычной файловой операции чтения/записи
Sergei
https://sentinelone.com тоже ловит
Sergei
Wanna ловил
Sergey
как шифровальщика отличить от обычной файловой операции чтения/записи
на это придумали эвристику и песочницы
Sergey
без обновлений и ничего?
🐈⬛13
а битлокер от шифровальщика?
Sergei
Я уже тестил позже
Sergey
битлокер это вообще-то из винды
Sergey
в ловле ваннакрая были замечены палоальто и чуть позже чекпоинт
Evgeny
Даже не поленился, нашел любимую картинку #поибэ
Как видно, АВ ПО лишь 1 пункт из 20 )
http://ic.pics.livejournal.com/vovney/7530651/911099/911099_original.png
Sergey
нам срать на поибэ
Sergey
кстати это вот проеб поибэ 146%
Sergey
так что ваши картинки нам не нада
Sergey
ща выяснится что обновления выпустили месяц назад
Sergey
просто их никто не поставил
Evgeny
Стопэ
Тут господин Бешков например и еще некоторые вообще утверждали, что за патч-менеджмент почему-то админы и инженеры отвечают, а не CIO и CISO
Evgeny
Я прям так и представил себе рядового инженера, который только пришел в крупняк и с порога:
- так, все херня, с понедельника внедряем установку обновлений на легаси и прод!!!
Evgeny
Вот бы все охуели
Владимир
http://www.rbc.ru/technology_and_media/27/06/2017/595247629a7947dc9d430d2c
Владимир
кто тут и РН? :) правда крупная хакерская?
Evgeny
По данным компании Group-IB, специализурующейся на борьбе с киберугрозами, причиной масштабной кибератаки стал вирус-шифровальщик Petya, аналогичный печально известному вирусу WannaCry, поразившему весной 2017 года от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира. Общий сумму потерь от WannaCry оценивали в $1 млрд.
Подробнее на РБК:
http://www.rbc.ru/society/27/06/2017/5952540c9a7947e575896772?from=main
Anton
вон, @Panin сидит с мобилки и не включает свою икспи
Evgeny
Sergei
знакомый из роснефти подтвердил
Sergei
сидят выключив компы)
🐈⬛13
и свет
Sergei
вынеси гипервизоры в отдельную сеть с acl
Sergey
у нас вообще облако по bgp отрезано от остальной инфраструктуры
Владимир
https://ru.tsn.ua/ukrayina/hakery-atakovali-banki-ukrenergo-i-kievenergo-885615.html
Evgeny
Да это понятно.
Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?
Evgeny
https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/
MOV
Да это понятно.
Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?
Є точне підтвердження первинного зараження через оновлення програми M.E.doc. Утримуйтеся від використання.
MOV
Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.
MOV
Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 и 445.
Kamil
фига у вас там паника
🐈⬛13
Начальная инфекция происходит через фишинговых сообщений (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью - через DoblePulsar и EternalBlue, аналогично методам #WannaCry.
обновление программы M.E.doc