Троянцы слетаются на сладкое

Незваные гости

добавить в избранное

Троянцы слетаются на сладкое

Прочитали: 8699 Комментариев: 78 Рейтинг: 132

13 июля 2017

Надо признать, что M.E.Doc – программа, получившая широкую известность в связи с эпидемией Trojan.Encoder.12544, – шел к своей «славе» долго и упорно.

2011 год:

Снесите нафик свой антивирус!

В Медке действительно много системных функций, работающих непосредственно с файлами, в т. ч. файлами ОС. Неудивительно, что многие антивирусы подозревают, что в этом есть какой-то скрытый смысл.

https://club.dtkt.ua/read.php?19,771680,page=3

Это что же за системные функции в бухгалтерской программе, что все антивирусы мира встают на дыбы?

А где гарантия, что в МЕДКЕ нет вирусов?

А зачем им там быть? ... Вне подозрений, абсолютно.

А то, что с ним конфликтуют антивирусы, - это недоработка сырых антивирусов, которые не могут отличить черное от белого.

2017 год:

19 мая зафиксирован всплеск активности нового вымогательского ПО XData. Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.

http://www.securitylab.ru/news/486205.php

XData попадает в систему, предположительно используя ту же уязвимость разных версий ОС Windows, что и WannaCry — cканирует SMB-порты, применяет эксплойт ETERNALBLUE и заражает уязвимые системы без ведома пользователей. В случае с XData скорость заражения и шифрования очень высокая.

https://petrimazepa.com/xdatavsukraine.html

Во всех известных случаях жертвами становились бухгалтеры.

Все опрошенные редакцией пострадавшие пользовались ПО M.E.Doc. Многие утверждали, что шифрование произошло после запуска его обновления, но так было не во всех случаях.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

https://club.dtkt.ua/read.php?13,1782077,1782625

Версия о том, что заражение происходило через процесс обновления «Медка», возникла сразу, но компания эти слухи опровергала (www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor).

M.E.Doc выпустили официальное заявление относительно XData. Компания утверждает, что распространение вируса сразу после обновления их ПО — совпадение. Разработчик M.E.Doc «следит за безопасностью собственного кода». Для этого компания заключила договоры с «крупными антивирусными компаниями» и предоставляет им исполняемые бинарные файлов на анализ и подтверждение безопасности. Разработчики заверили, что так происходит перед каждым обновлением

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Если что-то и заражает компьютер, то вопросы к вашему опыту и знаниям антивирусных программ.

Сайты, на которых размещаются официальные дистрибутивы любых программ, вне подозрений. А если вы не предохраняетесь и в организме вашего компьютера есть вирусы - лечитесь.

https://club.dtkt.ua/read.php?19,771680,page=3

Антивирусные программы конфликтуют с Медком, а не он с ними. Потому, как известно, при первых сигналах были заключены договора с разработчиками антивирусных программ, чтобы они внесли поправки в свое ПО.

Расслабьтесь. Никому Ваши черно-серии бухгалтерии неинтересны. На них еще компромат собрать нужно и доказать, что эти хозоперации действительно были, а не Иванова «тренировалась работать в 1С». И кстати, раз уж тут собрались вирусные аналитики - разработчик вируса предполагает, что будет какой-то эффект (читать - не зря проведенные бессонные ночи). Ну и что, что кто-то напишет какой-то вирус, маскирующийся под программу? Эффект нулевой. Мало ли что в той базе....презумпцию невиновности никто не отменял. Фактически никому такая прога-вирус (как коммерческое решение, за которое платят деньги) никому ненужна, хакер никому неизвестен, а если Медок сломается от такого вируса - да не беда, второй поставят и поднимут резервную копию.

Так что непереймайтесь. Хакеры спят - им это неинтересно. Разработчики - себе тоже проблем не ищут. Конкуренты – не считают нужным заказывать разработку вируса. Государству - вообще побоку. Убедил?

https://club.dtkt.ua/read.php?19,771680,page=3

Крайне интересно, с какими «крупными антивирусными компаниями» у этой организации были заключены договоры, если на ее сайте размещены инструкции по обходу защиты всех известных антивирусов?

Кстати:

Также в одном из образцов исследователи обнаружили утилиту Mimikatz. Это известный инструмент с открытым исходным кодом, который позволяет извлекать из памяти системы пароли. В случае с XData он может получить для вируса данные учетной записи администратора и распространиться на всю сеть.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

А вот фраза из описания Trojan.Encoder.12544(Petya, Petya.A, ExPetya и WannaCry-2):

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows.

http://news.drweb.ru/show/?i=11351

Кстати о пророках и пророчествах:

Можно предположить, что на украинских пользователях киберзлоумышленники обкатывают работу данного вируса и, возможно, мы на пороге новой глобальной эпидемии, по масштабам сравнимой с вирусом WannaCry.

https://petrimazepa.com/xdatavsukraine.html

Июнь (незадолго до эпидемии Trojan.Encoder.12544):

По данным эксперта, кампания началась в понедельник, 26 июня, за день до атак NotPetya. Так же как в случаях NotPetya и XData механизм распространения нового вымогательского ПО (у него пока нет названия) задействует сервис для оптимизации бухгалтерских операций M.E.Doc, но пока неясно, как именно осуществляется инфицирование - через серверы обновления ПО либо через вредоносное приложение M.E.Doc.

Шифровальщик имитирует дизайн вымогателя WannaCry, но на деле не является его клоном. Во-первых, он написан на языке .NET, а не С, как WannaCry. Во-вторых, для его распространения не используются эксплоиты Агентства национальной безопасности США. Кроме того, внутренняя структура вредоноса совершенно иная.

http://www.securitylab.ru/news/487037.php

Ну и, наконец, после начала атаки Trojan.Encoder.12544 пользователи решили посмотреть на сайт M.E.Doc:

Для начала посмотрел, какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua.

Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.

В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?

Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.

https://medium.com/@gray25/серверы-обновлений-m-e-doc-оказались-на-хостинге-wnet-f3f35db4de73

#Trojan.Encoder #троянец #шифровальщик

Антивирусная правДА! рекомендует

Доверие поставщикам услуг не должно быть безграничным. Увы, в большинстве случаев мы не можем гарантировать того, что с ближайшим обновлением к нам не прилетит что-то разрушительное. Поэтому понижение прав, распределение приложений по различным машинам и разделение локальных сетей на сегменты – важные составляющие безопасности.

Можно много говорить о всемогуществе ФСБ/АНБ, русских/китайских/корейских хакеров, строить конспирологические версии и опровергать чью-либо виновность – но дверь цыганкам/хакерам открываете именно вы.

Оцените выпуск

Чтобы проголосовать зайдите в аккаунт на сайте или создайте его, если аккаунта еще нет.

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Toma
10:24:54 2018-08-14

Хорошо, что нас защищает Dr.Web!

Денисенко Павел Андреевич
22:55:12 2018-08-02

Троянцы нападают на беззащитные компьютеры и мобильные устройства.

vasvet
05:33:21 2018-04-05

Конечно мы сами в ответе за свои действия.

sapfira
10:32:55 2017-07-21

Слетаются как мухи на ... несладкое

duduka
13:18:44 2017-07-20

после таких статей скоро и вам доверять и себе перестанешь

Zserg
15:29:50 2017-07-16

Точно

Вячeслaв Собкор
10:15:57 2017-07-14

@dyadya_Sasha, это уж вы загнули. Никаких намеков. Если вы хотите конспирологии, то в легкую. Помните вал утечек с российской и украинской сторон? Две мощных группировки хакали и публиковали переписку высших чиновников двух государств. Сейчас поймали и осудили одну (одну) группу. И - сюрприз - по другую сторону границы тоже никаких утечек. Или еще. Вначале этого года количество заключенных договоров страхования от сельхозпроизводителей резко упало. Страховщики недополучили денег. И таки что бы думаете? На лето установилась плохая погода, а страховщики потирают руки - им платить не нужно.
Это я к чему. Не стоит с ходу видеть заговоры там где их возможно и нет. У нас действительно нет сведений кто провел атаку (курилка - кошмар безопасника), по слухам входили в медок с арендованного виртуального сервера, аренда которого закрыта, сам он удален, концы в воду считай. Атака на российские компании - слишком много натяжек по моему мнению.
А намеков никаких нет. Много раз можно говорить про всемогущество хакеров - но не ставят патчи не хакеры, а их жертвы

dyadya_Sasha Собкор
00:58:45 2017-07-14

@Можно_удалить_и_этот_аккаунт_-_12 спасибо за ответ и ссылки. Весомое дополнение к этой статье.
Если рассматривать статью в ракурсе "Троянцы слетаются на сладкое", то она в принципе не подразумевает истинных причин атаки. Вопрос в том, что косвенно она уводит от этих причин и это настораживает. Как всегда хочется сказать наверное будет продолжение и все карты не раскрываются, но намек на второстепенность атаки на медок можно было бы и дать. Хотя для просвещенных "...Можно много говорить о всемогуществе ФСБ/АНБ, русских/китайских/корейских хакеров, строить конспирологические версии и опровергать чью-либо виновность..." звучит как намек.

z21468
23:43:37 2017-07-13

С этим сладким продуктом все более-менее понятно. Спасибо за выпуск.

razgen Собкор
23:21:14 2017-07-13

@natplack, С Днём рождения!

olgaef
23:00:28 2017-07-13

В наших силах держать дверь по крайней мере не нараспашку.

Littlefish Собкор
22:46:26 2017-07-13

@natplack, С Днём рождения! Всех благ.

Littlefish Собкор
22:41:56 2017-07-13

@dyadya_Sasha, спасибо за поддержку.

Littlefish Собкор
22:36:52 2017-07-13

@Людмила, Всегда пожалуйста. Спасибо, что прислушиваетесь к нашим предложениям :-)

Б...а
22:33:56 2017-07-13

Пользователи подсчитывают потери.

natplack
22:18:30 2017-07-13

Спасибо за хронику.

Luger Собкор
22:17:59 2017-07-13

Дверь могут открыть и без вас.

aleks_ku
22:14:25 2017-07-13

"но дверь цыганкам/хакерам открываете именно вы" - частое явление

ek
21:57:43 2017-07-13

лучше вовремя признать ошибку..

Геральт Собкор
21:38:58 2017-07-13

Ну в общем-то доверяй, но проверяй.

НинаК
21:23:23 2017-07-13

качество всегда страдало от скорости

Альфа
21:08:23 2017-07-13

Очень интересный выпуск.

razgen Собкор
21:00:17 2017-07-13

Опубликованная сегодня новость:
"«Доктор Веб»: портал государственных услуг Российской Федерации (gosuslugi.ru) скомпрометирован и может в любой момент начать заражать посетителей или красть информацию".
https://news.drweb.ru/show/?i=11373&c=5&lng=ru&p=0
вызвала озабоченность многих СМИ, в настоящее время Яндекс даёт ссылки на 69 изданий, которые сообщают о том что Специалисты "Доктор Веб" обнаружили на портале государственных услуг России потенциально вредоносный код.

В...а
20:51:10 2017-07-13

да... история...

orw_mikle
20:44:27 2017-07-13

Спасибо за развернутую информацию, но понижение прав, распределение приложений по различным машинам и разделение локальных сетей на сегменты, вряд ли касаются обычных рядовых пользователей ПК.

vla_va
20:01:25 2017-07-13

Длинная история

Сергей
19:56:14 2017-07-13

Познавательно,спасибо.

kozinka.ru Собкор
19:53:53 2017-07-13

Занимательно! Было очень интересно вникнуть в эту природу.

kva-kva
19:38:58 2017-07-13

печально, что так дырявят

Azat
19:23:41 2017-07-13

Интересно почитать.

Hazal
19:14:29 2017-07-13

Спасибо за выпуск!

B0RIS
19:10:28 2017-07-13

Полной безопасности данных не бывает.

Можно удалить и этот аккаунт - 12
18:10:10 2017-07-13

@dyadya_Sasha, извиняюсь, что отвечаю с другого аккаунта. Тот уже прихлопнули давно, как муху.
Сообщение из твиттера Роснефти 14:38 - 27 Jun 2017: На серверы Компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами.
В это время уже массированно распространяли информацию, что каждая третья вышка Роснефти остановила добычу из-за вируса.
На следующий день :
https://finance.rambler.ru/news/2017-06-28/rosneft-nazvala-vozmozhnye-celi/
Но в тот день уже целая армия СМИ массированно все валили на M.E. Doc
Вот позавчерашний анализ на эту тему:
http://actualcomment.ru/istinnye-tseli-virusa-petrovich-1707111913.html

Можно удалить и этот аккаунт - 12
17:55:04 2017-07-13

@Кирилл, примеров чего? Как банки следят? Например вот здесь разговор про это: http://www.banki.ru/news/video/?id=9860239

AntonIT
17:38:39 2017-07-13

"..но дверь цыганкам/хакерам открываете именно вы" -
Не обольщайтесь не все зависит от ВАС - пора уже это понимать! Не маленькие вроде бы.
Если вы являетесь целью серьезной атаки то "дверь вскроют без вашей "помощи"...))

Любитель пляжного футбола Собкор
17:11:39 2017-07-13

Как говорится, доверяй, но проверяй. И сам факт того, что антивирусу что-то не нравится, уже должен заставить насторожиться. А то что на офф. сайте выложены способы "нейтрализации" антивирусов - и подавно. Пользоваться такой программой - то же самое, что сидеть на пороховой бочке.

Dvakota
15:28:12 2017-07-13

Выводы сделал !

mamyr
15:14:07 2017-07-13

Дверь цыганкам/хакерам открываем мы.
Точно!

Anton_S
14:43:07 2017-07-13

Подозрительно как-то всё это. Интересно было почитать.

dyadya_Sasha Собкор
14:02:41 2017-07-13

@Нас_не_догонишь, Так M.E.Doc в плане дыр слаще и эффект больше, потому "и это всё о нём". А по нормальной версии погуглю, но если есть ссылочки "озвучте", плиз.

Maat
14:00:45 2017-07-13

Намутили с Медком по ходу, вообще не считаю доводом доверять софту который явно конфликтует с антивирусами, пускай сами что-либо делают или идут лесом. Спасибо за статью.

dyadya_Sasha Собкор
13:51:48 2017-07-13

@Littlefish, "...Есть предложение..."
Хорошее предложение. Поддерживаю.

dyadya_Sasha Собкор
13:50:12 2017-07-13

@Марина, "...Такое чувство, что разработчики Медка - какие-то раздолбаи..."

++++++++++

Причем раздолбаи талантливые, т.к. создали конкурентноспособный продукт, пользователи которого не смотря ни на что остаются ему преданы.
Раздолбаи корыстолюбивые и не особо совестливые (это про наличие инструмента с открытым исходным кодом, который позволяет извлекать из памяти системы пароли).
И наконец просто раздолбаи - по риторике ответов.

Родриго
13:14:35 2017-07-13

понятненько

ada
13:05:33 2017-07-13

Очень интересная подноготная M.E.Doc открывается. Спасибо за информацию.

Natalya_2017
12:42:21 2017-07-13

спасибо, очень интересно!

maznat
12:27:02 2017-07-13

Удручающее впечатление осталось. Спасибо за статью.

Alexander Собкор
12:22:53 2017-07-13

Интересный пример, на котором ярко и доходчиво указаны ошибки компании-разработчика, допущенные в сопровождении своего программного продукта и обеспечении его безопасности от троянцев. Это же "шедеврально", разместить на своем сайте инструкции по обходу защиты всех известных антивирусов. Осознанная безответственность в программном продукте по организации финансового учета - это какая-то бессмыслица. Думаю, что узнав о подобных фактах, главное сделать конструктивные выводы и следовать им, при необходимости изменить алгоритм своей ежедневной работы в цифровом пространстве.
Dr.Web рекомендует: "Доверие поставщикам услуг не должно быть безграничным". Да, конечно. Но понятие "Доверие" нельзя расширять до "слепого доверия". Доверие не должно перерасти до бесконтрольности, беспечности, отсутствия резервных копий данных. И еще очень полезный совет - понижение прав, распределение приложений по различным машинам и разделение локальных сетей на сегменты.
Спасибо за статью. На что только не слетаются троянцы, - на самое разное, если только им не помешает правильно настроенный Dr.Web Security Space.

Кирилл
12:09:36 2017-07-13

@Можно_удалить_и_этот_аккаунт, а можно пару примеров?

Анатолий
12:04:07 2017-07-13

Дверь на замок с ключём в кармане.

Комментарии к другим выпускам | Мои комментарии

Главная

Выпуски

Рубрики

Рейтинг

О проекте

Статистика

Избранное

Инструменты

Антивирусная правДА!TM

Троянцы слетаются на сладкое

Антивирусная правДА! рекомендует

Нам важно ваше мнение

Комментарии пользователей