IT в Украине

[Smooth Pimp]

Карта заражений "Петей" от ESET.

Cпойлер

Мир миром, но 75% случаев успешных атак в Украине. Хотя это на вечер 28 нюня.

[Mike123]

Мир миром, но 75% случаев успешных атак в Украине. Хотя это на вечер 28 июня.

Не, ну то, что источник в Украине, это бесспорно. Как и то, что у нас полно компов на старых ос без всякой поддержки и обслуживания по типу "работает пока не сдохнет".

[mxm ♔]

Как и то, что у нас полно компов на старых ос без всякой поддержки и обслуживания по типу "работает пока не сдохнет".

Разница уж слишком велика, чтобы учитывать наличие старья в конторах.
Все-таки удар был явно по нам.

[Mike123]

Все-таки удар был явно по нам.

Это понятно. Заразить Медок - это очень удачная идея .

[Даяна]

Или вообще бэкапа не было. Хороший повод начать жизнь с чистого листа. 

Муж говорит, что 1-С-ный сервер поднял и там все цело.
А вот на рабочих станциях веселье веселое.
Народ массово хранил документы исключительно у себя на компах.

[franco]

Народ массово хранил документы исключительно у себя на компах.

На рабочем столе еще небось...

[Даяна]

На рабочем столе еще небось...

А ты знал!!!

[franco]

На рабочем столе еще небось...

А ты знал!!!

Это опыт общения с пользователями во мне говорит, многолетний

[OlegKrm]

На рабочем столе еще небось...

А ты знал!!!

Ну, хоть не в корзине. Було і таке.

[Tamerlan]

Народ массово хранил документы исключительно у себя на компах.

На рабочем столе еще небось...

Я в своё время для борьбы с такими любителями просто сделал скрипт, накатываемый групповой политикой, который все файлы, кроме ярлыков, перекидывает в пользовательскую шару на файл-сервере, а сами файлы заменяет на ярлыки со ссылкой на исходный файл с тем же именем и той же картинкой. Многие подмены даже и не замечали во время работы.

[Spika]

Ну, хоть не в корзине.

Это у нас тут. Был бы "сундук", хранили бы в сундуке, а так в корзине.

[mxm ♔]

Многие подмены даже и не замечали во время работы.

Любители перетаскивать файлы за иконки заметили бы сразу. 

[Tamerlan]

На самом деле вся эта ботва решается с помощью подгружаемых профилей, когда все пользовательское окружение с файлами, ярлыками и рабочим столом отделено от системы и монтируется с сетевой шары при входе в систему. И прав доступа на какие-либо другие папки помимо пользовательских нет вообще.

[Старина Z]

Новая тенденция, проявившаяся сегодня: пользователи мигрируют с "Медка" на "1С-Звит".

[Mike123]

Новая тенденция, проявившаяся сегодня: пользователи мигрируют с "Медка" на "1С-Звит".

Можно подумать, там они застрахованы от повторения. Наша бухгалтерия никуда не мигрирует .

[Старина Z]

Новая тенденция, проявившаяся сегодня: пользователи мигрируют с "Медка" на "1С-Звит".

Можно подумать, там они застрахованы от повторения. Наша бухгалтерия никуда не мигрирует .

Это понятно. Но есть большие компании, в которых служба безопасности запретила использовать "Медок".

[Фрипп]

Интересно, а в пользовательском соглашении Медка есть пункт, что они не отвечают за ущерб?

[Кіндрат Калистратович]

Бомба два раза в одну воронку не падает.

[mxm ♔]

Бомба два раза в одну воронку не падает.

Но вода старается течь по одному и тому же руслу. 

[Старина Z]

Интересно, а в пользовательском соглашении Медка есть пункт, что они не отвечают за ущерб?

Ну ущерб ведь нанесли не они, а злоумышленники (третьи лица).
Думаю, что доказать ответственность Медка за ущерб в судебном порядке было бы довольно сложно.

[Leo_need]

Думаю, что доказать ответственность Медка за ущерб в судебном порядке было бы довольно сложно.

А разве уже было заключение экспертов ? Вроде Медок довольно логично опровергал про обновления. Последнее их официальное обновление было меньшего размера и более ранней датой.

[Старина Z]

Думаю, что доказать ответственность Медка за ущерб в судебном порядке было бы довольно сложно.

А разве уже было заключение экспертов ? Вроде Медок довольно логично опровергал про обновления. Последнее их официальное обновление было меньшего размера и более ранней датой.

А что, уже кто-то заказывал экспертизу? 
Насколько я понимаю, "Медок" вирусы не распространял, а была использована уязвимость в ПО, которая позволила третьим лицам распространять вирус. И говорю о том, что доказать ответственность "Медка" перед пользователями за то, что разработчиками не были предприняты надлежащие меры для защиты от несанкционированного вмешательства (отсутствие механизма подписей обновлений, например), сложно.

[Fiona]

А вот на рабочих станциях веселье веселое.
Народ массово хранил документы исключительно у себя на компах.

У нас в офисе, кстати, обнаружилось, что на рабочих местах уничтожены только данные дисков С, другие логические диски вообще не пострадали

[Старина Z]

Сегодня, кстати, очередной троян по почте пришел. Так что идет подготовка к новой диверсии.

[Leo_need]

Насколько я понимаю, "Медок" вирусы не распространял, а была использована уязвимость в ПО, которая позволила третьим лицам распространять вирус.

Я пока не понял твою версию. Вроде изначально речь шла о том, что Медок рассылал обновление с вирусом. Медок сказал, что обновления такого размера и такой датой у него не было.
Какого рода уязвимость в ПО и как она действовала ?

[Старина Z]

Насколько я понимаю, "Медок" вирусы не распространял, а была использована уязвимость в ПО, которая позволила третьим лицам распространять вирус.

Я пока не понял твою версию. Вроде изначально речь шла о том, что Медок рассылал обновление с вирусом. Медок сказал, что обновления такого размера и такой датой у него не было.
Какого рода уязвимость в ПО и как она действовала ?

Злоумышленники неустановленным способом разместили файл, содержащий вирус на сервере обновлений Медок либо модифицировали NS-записи для сервера обновлений, в результате чего запросы на обновление направлялись на сервер злоумышленников, откуда клиентские экземпляры Медка закачивали на локальный компьютер инфицированные файлы, которые принимали за обновление. Вирусные инструкции выполнялись либо непосредственно в процессе "обновления" либо при последующем запуске исполняемых файлов "обновленного" Медка.

Уязвимостью было то, что Медок не использовал цифровую подпись для файлов обновлений, которая гарантировала бы, что файлы действительно от вендора, а не подмененные (давным давно такая же дырка была в некоторых антивирусах, когда под видом обновлений они скачивали и запускали вредноносный код). Также явно должна быть еще уязвимость на сервере обновлений, позволившая выложить туда вредноносные файлы, либо несанкционированный доступ к NS-записям.

[Leo_need]

Злоумышленники неустановленным способом разместили файл, содержащий вирус на сервере обновлений Медок либо модифицировали NS-записи для сервера обновлений,

Так это уже точно установлено ? (я не стебусь, просто спрашиваю)

[Игрек]

Какого рода уязвимость в ПО и как она действовала ?

Уязвимость, позволяющая прислать "обновление" от какого-то хера с бугра, но при этом ПО Медка присланное спокойно хавает.
То есть как минимум, отсутствие сертификатов, верифицирующих сам сервер обновлений, и отсутствие цифровой подписи, верифицирующей оригинальность и неизменность самого обновления.
Теоретически, потому как официально никто ничего еще не доказал.

[Старина Z]

Злоумышленники неустановленным способом разместили файл, содержащий вирус на сервере обновлений Медок либо модифицировали NS-записи для сервера обновлений,

Так это уже точно установлено ? (я не стебусь, просто спрашиваю)

Нет, это мои предположения. Думаю, что без внешней помощи киберполиция это дело не сможет расследовать и будет обычный висяк, просто не хватит квалификации.

[invariant]

Ну, хоть не в корзине. Було і таке.

Злобный вирус хитро прячет тело жирное в корзине. 
Вообще-то частенько можно быстро выяснить, чем занимается пользователь, заглянув именно в корзину. Потому держу её пустой, даже дома.