это военные, зачем им это? война началсь? вроде нет, и смысл им сливать свое оружие раньше времени?
да тупо спиздили
Sergey
Sergey
или кто-то обиделся и слил
Kamil
кто нить секретный ноут оставил в кафешке
Sergey
тут можно гадать сколько угодно
Kamil
😂
Kamil
каспесркий текущую разновидность палит
Kamil
уже
Sergey
ойой
Sergey
долго ли сигнатуру написать
Sergey
у них же проактивка на нуле
Sergey
только по сигнатурам и умеют
Kamil
долго, час назад еще не умели
Sergey
причем хуже дефендера
Sergey
дефендер умел раньше
Sergey
чем каспер
Kamil
хз, дефендер на одной машине два дня не обновлялся, сам
Kamil
за каспером такого не наблюдалось
Kamil
хотя там обновлятор сломался, не мог ребутнут комп сам
Sergey
зато за каспером наблюдалось как он серваки ложил во время обновления
Sergey
и пока не обновится - хуй до сервисов достучишься
Sergey
везет тебе
Sergey
а у нас в свое время он ложил к хуям прокси и почтовик
Sergey
а в поддержке ручками разводили
Kamil
я нищеброд, покупать на такое мне никто не подпишет 😢
Kamil
,в поддержке и на более простое руками разводили
Kamil
Sergey
он его раньше видел
Kamil
у мну дефендер сломался, пришлось два раза ребутнутся
Евгений
сегодня всех некисло взъебали у нас за неустановленные секурити и критикал
Евгений
ага
Kamil
😂
Евгений
ты офлайн скан дефендером каданить запускал?
Евгений
нет
Евгений
набери в пош Start-MpWDOScan
mikas
Ищи в истории чата комплианс для wanacry
mikas
Масян выкладывал на проверку файлов
mikas
Да
Владимир
Я в поше тест пас и список компов :)
Владимир
Сейчас доеду до работы, если комп не зашифровали
Anton
потом же писали, что это не помогает
Danil
Ну так может стоит создать файл и убрать с него все права оставив только систем на нём?
Anton
спустя 2 недели новая уязвимость Irina.A, которая будет использовать созданные файлы, вот такая многоходовочка
Danil
А при попытке доступа к зашифрованным файлам выдавать табличку "Ой, всё"?
Anton
ой, всё, битки засылать сюда, козлина ты такая
Anton
ну как там Ирины любят? у меня только одна ирина была
Danil
Та Ирина, которая у меня была, любила говорить "Кончилась моя семья")
Danil
Я даж хз применима ли тут эта фраза)))
Anton
вот явно с ними что-то не так, так что аккуратней там с файлом )
Владимир
Ппц использует мимикатц для компромитации :)
Владимир
Какого хрена спрашивается
Владимир
Майкрософт тоже на демонстрациях всяких секурити новых систем его используют
Владимир
Тишина..., Чет похоже все на работу пришли и все зашифрованы
Владимир
Вы компы то включили уже?
Владимир
А сетку? 😂
Владимир
$Computers = Get-Content -Path D:\PowerShell\FILES\servers.txt # Массив с именами машин (строится из файла)
foreach ($Server in $Computers)
{ if (Test-Connection -Computername $Server -Count 1 -quiet)
{
if (test-path -path "\\$server\C`$\Windows\perfc.dat")
{
Write-Host "$Server; Windows\perfc.dat " -ForegroundColor Green
}
else
{
# Write-Host "$Server; Нет такого файла" -ForegroundColor Red
}
}
else
{
# Write-Host "$Server; НЕТ ПИНГА" -ForegroundColor YEllow
}
}
Владимир
D:\PowerShell\FILES\servers.txt тут должен быть список машин
Владимир
кто? :)
Evgeny
Я же говорил, что не только 17-010 )
А от mimikatz + psexec спасли бы laps и сложный пароль wa- админских учеток
Evgeny
И вот еще
Evgeny
Владимир
Вирус?
Владимир
Из под админа естественно нужно запускать
Владимир
Доменного 😂
Владимир
Что? не работает ?
Владимир
Там решетки убери если хочешь видеть все эти надписи
Владимир
Наверняка можно workflow
ⓢⓣⓐⓢ
Мы пострадали как никогда...
Владимир
вы в Украине?
Evgeny
Подведем итоги #petya #ransomware
Подробности:
https://www.facebook.com/altaranenco/posts/1364113076990535?pnref=story
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759
http://blog.talosintelligence.com/2017/06/worldwide–ransomware–variant.html?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=Feed:+feedburner/Talos+(Talos+Blog)&m=1
Суть:
Помимо MS17–010 EternalBlue делали через стандартный APT spread: mimikatz, lsadump кредов, wmi, psexec, что и вызвало такую массовость, потому что уж MS17–010 почти все закрыли уже после Wannacry
Как защититься, вкратце, базовое
Изучить общее про PtH Attack.
https://www.google.ru/search?q=microsoft+pth+guide
Внедрить уже наконец LAPS
выглядит страшно, по факту внедряется за час)
https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396
Никогда и нигде не использовать креды Domain Admin, кроме собственно DC (и максимум Exchange)
Пиздить helpdesk ногами, чтобы использовали сложные пароли для wa- админских учеток с правами на рабочих станциях.
Самим использовать сложные пароли для серверных sa- учеток.
Задать себе наконец вопрос: какого хуя у нас открыты C$ от всех на всех??? Сделать нормальную сегментацию сети.
Использовать Secure Admin Workstation в работе, либо на отдельной физической машинке, либо на виртуалке с защитой.
Ну, и бэкапы конечно.
UPD. Конечн же, совсем забыл.
Нахуй PCI-DSS с их 90 днями на патчинг. Хорошей практикой считается установка critical и security заплаток максимум через 2 недели после MS Patch Tuesday.
App Whitelisting обязателен, хотя бы SRP
Антивирус - нужен на КАЖДОМ объекте, где это технически возможно.
Red
а можешь экспортнуть файло убрав от туда все платформы? а то у меня sccm2012
Sergey
хех. ну как я и говорил про антивири
Sergey
петенька юзает psexec и пош
Sergey
а тут уже хуй закроешься
Vasya
чем этот ам LAPS так сложен?!