Горький M.E.Doc

Горький M.E.Doc

27 июня 2017 года на Украине прошла массовая кибер атака, где одним из каналов распространения вируса стала программа электронного документооборота M.E.Doc. Естественно разработчиками этого софта не закладывался функционал по запуску Petya на компьютерах клиентов, но, по всей видимости, канал обновлений Medoc недостаточно защищён. Хакерам удалось использовать штатные механизмы обмена электронными документами, заложенные в M.E.Doc.

facebook.com/medoc.ua/posts/1904044929883085 — Разбор на официальной страничке M.E.Doc на Фейсбуке:

blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ — Специалисты, разработчики OS Windows, сделали такой анализ этого инцидента:

Их вывод: что заражение происходило через софт украинских разработчиков по такой схеме:
Можно ли было защититься от такой кибер атаки? Специалисты Лаборатории Касперского утверждают, что знали об этом вирусе и могли успешно с ним бороться:

Практика подтверждает, что это действительно так. Те, кто грамотно пользовался Касперским, действительно, пережили эту ситуацию довольно мягко. Как отрабатывали эту ситуацию другие антивирусники я не разбирался, предполагаю, что при грамотной настройке они тоже были в состоянии блокировать или предупредить пользователя о том, что возникла странная нештатная ситуация.

Думаю, что ситуация которая возникла сейчас в разных странах вполне решаема. Мне она напоминает езду на автомобиле по сильно пересеченной местности. Если водитель видит препятствия, то имеет достаточно вариантов, чтобы их объехать, а в случае незначительных ошибок, быстро провести необходимый ремонт и продолжить движение.

0
115

10:55
Если у кого «хрюня», или восьмерка, то перед тем как скачать ms17-010, установите обновление KB4012598
11:47
Дай Бог, чтобы люди вообще ставил какие нибудь обновления безопасности на свои машинки.
11:49
Для боязливых, пусть на Linux переходят, да и на macOS, iOS, Android это тоже не распространяется.
12:01
Самое печальное, что грамотно настроенные информационные системы, построенные на Windows, тоже устояли. Там, где системные администраторы вовремя обновлялись и настраивали софт прямыми руками. Не только саму операционку, но и софт, отвечающий за безопасность и целостность системы: антивирусники, сетевые экраны, анализаторы вторжения (нежелательной активности), системы резервного копирования и восстановления.
21:36
а таких разве много? )
06:52
inik1080
30.06.2017 21:36
а таких разве много? )

Почитайте отчет Касперского. Там сообщается, что было атаковано около 2000 компьютеров. Большинство систем штатно отработали эту кибер атаку.
14:03
Петюхе не платите, если че. Касперы сказали, что он их не в состоянии расшифровать)
17:21
LiteNight
29.06.2017 14:03
Касперы сказали, что он их не в состоянии расшифровать

Резервная копия позволяет возобновить работу без расшифровки за очень короткое время.
21:21
Спасибо за совет будем знать
14:42
Вот вам и хакеры)) умные они ребята)
17:22
hohlenok987
29.06.2017 14:42
Вот вам и хакеры)) умные они ребята)

В чем их ум? В том, что нашли где работают криворукие системные администраторы?
16:51
У нас в городе паника была, все переживали за свои деньги в ощаде
17:26
Ощад начал использовать деньги для выплаты Пете?
21:23
Лучше вообще не платить аферистам все равно обманут
23:18
И вы туда же! Петя весь вечер вчера по ТВ кудахтали, а сюда заглянул отдохнуть и ОПА опять он! Пора сваливать ))
06:20
Fujitsu
29.06.2017 23:18 #
И вы туда же!

Я попытался разобраться: как произошло заражение и как от этого можно было защититься. СМИ на это обращали очень мало внимания: там в основном о том, что какие-то гениальные хакеры ломанули очень защищенные системы.
На самом деле это далеко не так. Безграмотные люди легкомысленно управляли сложными информационными системами.
21:36
так новость громкая, вот и обсуждают
01:06
Я попытался разобраться
До организаторов вирусной атаки добрались?
07:09
Макс123
01.07.2017 01:06
До организаторов вирусной атаки добрались?

У меня была более скромная цель. Понять: что можно сделать для защиты. Оказалось, что достаточно вовремя обновлять операционку и грамотно ее настроить вместе с антивирусником и другим защитным софтом…
11:22
В следующий раз разработчик вируса сделает более коварным свою атаку и ваше обновление и антивирус не помогут.
13:58
Макс123
04.07.2017 11:22
В следующий раз разработчик вируса сделает более коварным свою атаку и ваше обновление и антивирус не помогут.

Вы, видимо, очень плохо разобрались в этой теме. Обновление не мое, а американское. Любой антивирусник может пропустить какой-нибудь новый вирус, на который он не был рассчитан. В этом случае срабатывают другие системы, которые восстанавливают нормальную работу. Большинство встроено в операционку и могут быть настроены заранее.
Я уже писал, что оборудование после кибер атаки оставалось работоспособным. Это значит, что возможно было воспользоваться резервной копией и точками восстановления (которые естественно должны были храниться на другом компьютере (если это организация) или на внешнем устройстве хранения (если это маленькая фирма)). Таких вариантов несколько, даже если использовать только те, технологии, которые штатно встроены в операционку.
Грамотное использование этих возможностей позволяет быстро и незаметно для пользователей восстанавливать работу информационной системы, даже если неизвестный вирус смог преодолеть защиту.
00:10
Все что вы пишите это безумно увлекательно, но вы же не ИТ-эксперт, чтобы давать какие-то оценки и заключения, особенно по распространению вирусных программ.
05:57
Макс123
05.07.2017 00:10
но вы же не ИТ-эксперт,

В военном училище меня учили управлять автоматизированными системами управления связью, войсками и оружием. После этого я занимался этим процессом в войсках до пенсии.
Сейчас мне скучно ничего не делать, поэтому устроился на работу, где мои знания помогают людям восстанавливать работу разных информационных систем после компьютерного хулиганства.
14:42
Одно дело военное училище, где вы выполняли особые команды, другое дело создавать ПО и знать хорошо программирование.
15:48
Макс123
05.07.2017 14:42
Одно дело военное училище, где вы выполняли особые команды, другое дело создавать ПО и знать хорошо программирование.

Младшие курсы военных ВУЗов мало отличаются от аналогичных младших курсов гражданских. Различие есть на старших курсах, когда начинают изучать спепредметы. В моем случае многие спецпредметы по защите информационных систем и противодействию противнику оказались очень кстати в гражданской жизни.
По программированию у меня была отличная оценка. Для построения устойчивых информационных систем оно, конечно, плюс. Однако есть более простые и эффективные меры защиты.
Например, можно стартовать операционку не с диска С: (как делают домашние пользователи), а с диска CD-R или DVD-R (обычные инструменты для системного администратора при поиске неполадок при запуске ОС). В такую систему никакой Petya не сможет записаться (особенно, если старт будет происходить с привода, который не имеет возможностей записи). Чтобы сделать такой загрузочный диск больших знаний программирования не нужно. Достаточно штатных средств Windows.
Можно решить подобную задачу и за счет администрирования: запретить писать что-либо на диск С:. Понятно, что при этом нужно будет настроить запись некоторых системных файлов в другие места (так же как это решается на загрузочных CD-R, DVD-R). Это задача вполне по силам среднему по способностям аккуратному системному администратору.
Это я все к тому, что есть общие принципы построения информационных систем. Не только на Windows, а на любой ОС. Поэтому если адекватно оценивать угрозы, то можно строить довольно сложные информационные системы, успешно отражающие кибер атаки, относительно дешево.
07:22
да уж, вирусы — это печально
12:58
Те, кто грамотно пользовался Касперским, действительно, пережили эту ситуацию довольно мягко
Ага, даже Роснефть и Газпром подверглись атаке этого вируса, видать там не умеют грамотно пользоваться Касперским.
21:37
главное, что вирус нефть и газ не зашифрует )
01:04
Их технический прогресс зашифрует.
21:24
Но все равно не надолго
03:40
Что именно не надолго.
15:59
На каждый вирус найдут очень быстро антивирус
07:00
Макс123
30.06.2017 12:58
Ага, даже Роснефть и Газпром подверглись атаке этого вируса

И что? О масштабной атаке программы-вымогателя 27 июня (27.06.2017)
Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом:
UDS:DangerousObject.Multi.Generic
Trojan-Ransom.Win32.ExPetr.a
HEUR:Trojan-Ransom.Win32.ExPetr.gen
Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:
PDM:Trojan.Win32.Generic
PDM:Exploit.Win32.Generic
В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Там где сисадмины были с прямыми руками, системы продолжали работать в штатном режиме. Там, где были ленивые, пришлось восстанавливаться с резервных копий.
11:21
При чем здесь сисадмины с прямыми руками, за защиту оборудования отвечает программное обеспечение (антивирус), а оно не справилось со своей задачей.
13:39
Макс123
04.07.2017 11:21
При чем здесь сисадмины с прямыми руками,

При наличии прямых рук можно было обойтись и без антивирусника. Просто обновив операционку (установив обновление MS-17-010 и выполнив другие настройки безопасности). Именно этот вирус оно останавливало.
Макс123
04.07.2017 11:21
за защиту оборудования отвечает программное обеспечение (антивирус)

Вы бы почитали: для чего нужен антивирус? Чтобы понять от чего он защищает, а для чего не предусмотрен. Тот вирус, о котором речь препятствовал запуску операционки и шифровал данные. Оборудование при этом оставалось в работоспособном состоянии.
Конкретно софт Касперского с задачей защиты от этого вируса справился:
В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher).

Думаю, что это не единственный антивирусник, который выполнил свои задачи.
Загрузка...