вовни тот еще тип

как вовни, нажился на битках то?

курс растееет

там алгоритм простой

я даже знаю ужасное слово "обфускация"

я даже знаю ужасное слово "обфускация"

и?

еще скажи что там виртуальные машины создаются

прям как в аспротекте в свое время

это все пионерские поделия

продаются в даркнете

нет там никакой обфускации

И хер антивирус определит свежий 0-day код в payload ) Надо же коплексно защищаться Но как, хм, показывает практика и новости - даже в крупном кровавом с ИБ беда полная.

И хер антивирус определит свежий 0-day код в payload ) Надо же коплексно защищаться Но как, хм, показывает практика и новости - даже в крупном кровавом с ИБ беда полная.

бляяя

еще раз тебе повторю - алгоритм шифрования предсказуем по коду

пайлоад можете засунуть себе

Ну, т.е. ты сейчас обвиняешь всех АВ вендоров в чем?

пока это выгодно антивирусникам - ничего не поменяется

Ну, т.е. ты сейчас обвиняешь всех АВ вендоров в чем?

в чем хочу в том и обвиняю

А, ок)))

ни один ав продукт не дает никакой защиты

Ну есть разные антивирусы

он дает "уверенность" в защите

Ну а я о чем?))))

а по факту - днище

Они ловят шифрование

и это не потому что его плохо написали

Они ловят шифрование

падло альто?

Кто ловит шифрование??

пало

@SorrowfulGod а ты какой антивирь пользуешь?

Trend micro

голову

Ещё другие есть их полно

⚡️ SUPERBREAKING Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445

трендмикро давно скатился в унылое говно

тренд начался на закате xp

и остальные тоже

только и умеют что ресурсы жрать

И поэтому он первый в гат нере

гатнер отличная штука

кто больше заплатил тот и в главном квадратике

там для каждой компании есть свой главный квадратик

как шифровальщика отличить от обычной файловой операции чтения/записи

https://sentinelone.com тоже ловит

https://sentinelone.com тоже ловит

а работает?

Wanna ловил

как шифровальщика отличить от обычной файловой операции чтения/записи

на это придумали эвристику и песочницы

Wanna ловил

прям сразу?

без обновлений и ничего?

а битлокер от шифровальщика?

Я уже тестил позже

битлокер это вообще-то из винды

Я уже тестил позже

не считово

в ловле ваннакрая были замечены палоальто и чуть позже чекпоинт

Даже не поленился, нашел любимую картинку #поибэ Как видно, АВ ПО лишь 1 пункт из 20 ) http://ic.pics.livejournal.com/vovney/7530651/911099/911099_original.png

нам срать на поибэ

кстати это вот проеб поибэ 146%

так что ваши картинки нам не нада

ща выяснится что обновления выпустили месяц назад

просто их никто не поставил

Стопэ Тут господин Бешков например и еще некоторые вообще утверждали, что за патч-менеджмент почему-то админы и инженеры отвечают, а не CIO и CISO

ERROR: S client not available

Я прям так и представил себе рядового инженера, который только пришел в крупняк и с порога: - так, все херня, с понедельника внедряем установку обновлений на легаси и прод!!!

Вот бы все охуели

http://www.rbc.ru/technology_and_media/27/06/2017/595247629a7947dc9d430d2c

кто тут и РН? :) правда крупная хакерская?

По данным компании Group-IB, специализурующейся на борьбе с киберугрозами, причиной масштабной кибератаки стал вирус-шифровальщик Petya, аналогичный печально известному вирусу WannaCry, поразившему весной 2017 года от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира. Общий сумму потерь от WannaCry оценивали в $1 млрд. Подробнее на РБК: http://www.rbc.ru/society/27/06/2017/5952540c9a7947e575896772?from=main

вон, @Panin сидит с мобилки и не включает свою икспи

знакомый из роснефти подтвердил

сидят выключив компы)

и свет

вынеси гипервизоры в отдельную сеть с acl

у нас вообще облако по bgp отрезано от остальной инфраструктуры

https://ru.tsn.ua/ukrayina/hakery-atakovali-banki-ukrenergo-i-kievenergo-885615.html

Да это понятно. Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?

https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/

Да это понятно. Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?

Є точне підтвердження первинного зараження через оновлення програми M.E.doc. Утримуйтеся від використання.

Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.

Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135 и 445.

фига у вас там паника

Начальная инфекция происходит через фишинговых сообщений (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью - через DoblePulsar и EternalBlue, аналогично методам #WannaCry. обновление программы M.E.doc

ни один ав продукт не дает никакой защиты

srp?

Да это понятно. Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?

фишинг

ВОТ!!! "через DoblePulsar и EternalBlue"

Нет, Сергей. Через фишинг может попасть на единицы компов. А дальше - только через дырки в винде.

- Антивіруси Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A. Symantec ніби зловив (прим. – лише остання версія АВ) McAfee у всіх відомих випадках облажався. Eset не реагує. - IoC Результати аналізу семплів за допомогою Cisco ThreatGrid. Люб'язно надано компанією Cisco. http://bit.ly/2tgh3Ex Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat Хеші деяких семплів: 101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg 9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe 736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls

ну изначально

блииин

у нас русский чат

либо по русски либо по английски

Sorry copy paste, неохота переводить