Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (29)
  • добавить в избранное
    Добавить в закладки

Троянцы слетаются на сладкое

Прочитали: 3193 Комментариев: 124 Рейтинг: 112

Надо признать, что M.E.Doc – программа, получившая широкую известность в связи с эпидемией Trojan.Encoder.12544, – шел к своей «славе» долго и упорно.

2011 год:

Снесите нафик свой антивирус!

В Медке действительно много системных функций, работающих непосредственно с файлами, в т. ч. файлами ОС. Неудивительно, что многие антивирусы подозревают, что в этом есть какой-то скрытый смысл.

https://club.dtkt.ua/read.php?19,771680,page=3

Это что же за системные функции в бухгалтерской программе, что все антивирусы мира встают на дыбы?

А где гарантия, что в МЕДКЕ нет вирусов?

А зачем им там быть? ... Вне подозрений, абсолютно.

А то, что с ним конфликтуют антивирусы, - это недоработка сырых антивирусов, которые не могут отличить черное от белого.

2017 год:

19 мая зафиксирован всплеск активности нового вымогательского ПО XData. Как сообщил MalwareHunter, 19 мая XData инфицировал в четыре раза больше украинских пользователей, чем печально известный червь WannaCry за всю неделю.

http://www.securitylab.ru/news/486205.php

XData попадает в систему, предположительно используя ту же уязвимость разных версий ОС Windows, что и WannaCry — cканирует SMB-порты, применяет эксплойт ETERNALBLUE и заражает уязвимые системы без ведома пользователей. В случае с XData скорость заражения и шифрования очень высокая.

https://petrimazepa.com/xdatavsukraine.html

Во всех известных случаях жертвами становились бухгалтеры.

Все опрошенные редакцией пострадавшие пользовались ПО M.E.Doc. Многие утверждали, что шифрование произошло после запуска его обновления, но так было не во всех случаях.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

https://club.dtkt.ua/read.php?13,1782077,1782625

Версия о том, что заражение происходило через процесс обновления «Медка», возникла сразу, но компания эти слухи опровергала (www.me-doc.com.ua/1111193340-budte-bditelny-virusnaya-ataka-na-korporativnyy-sektor).

M.E.Doc выпустили официальное заявление относительно XData. Компания утверждает, что распространение вируса сразу после обновления их ПО — совпадение. Разработчик M.E.Doc «следит за безопасностью собственного кода». Для этого компания заключила договоры с «крупными антивирусными компаниями» и предоставляет им исполняемые бинарные файлов на анализ и подтверждение безопасности. Разработчики заверили, что так происходит перед каждым обновлением

https://ain.ua/2017/05/24/vse-pro-xdata-poka

Если что-то и заражает компьютер, то вопросы к вашему опыту и знаниям антивирусных программ.

Сайты, на которых размещаются официальные дистрибутивы любых программ, вне подозрений. А если вы не предохраняетесь и в организме вашего компьютера есть вирусы - лечитесь.

https://club.dtkt.ua/read.php?19,771680,page=3

Антивирусные программы конфликтуют с Медком, а не он с ними. Потому, как известно, при первых сигналах были заключены договора с разработчиками антивирусных программ, чтобы они внесли поправки в свое ПО.

Расслабьтесь. Никому Ваши черно-серии бухгалтерии неинтересны. На них еще компромат собрать нужно и доказать, что эти хозоперации действительно были, а не Иванова «тренировалась работать в 1С». И кстати, раз уж тут собрались вирусные аналитики - разработчик вируса предполагает, что будет какой-то эффект (читать - не зря проведенные бессонные ночи). Ну и что, что кто-то напишет какой-то вирус, маскирующийся под программу? Эффект нулевой. Мало ли что в той базе....презумпцию невиновности никто не отменял. Фактически никому такая прога-вирус (как коммерческое решение, за которое платят деньги) никому ненужна, хакер никому неизвестен, а если Медок сломается от такого вируса - да не беда, второй поставят и поднимут резервную копию.

Так что непереймайтесь. Хакеры спят - им это неинтересно. Разработчики - себе тоже проблем не ищут. Конкуренты – не считают нужным заказывать разработку вируса. Государству - вообще побоку. Убедил?

https://club.dtkt.ua/read.php?19,771680,page=3

Крайне интересно, с какими «крупными антивирусными компаниями» у этой организации были заключены договоры, если на ее сайте размещены инструкции по обходу защиты всех известных антивирусов?

Кстати:

Также в одном из образцов исследователи обнаружили утилиту Mimikatz. Это известный инструмент с открытым исходным кодом, который позволяет извлекать из памяти системы пароли. В случае с XData он может получить для вируса данные учетной записи администратора и распространиться на всю сеть.

https://ain.ua/2017/05/24/vse-pro-xdata-poka

А вот фраза из описания Trojan.Encoder.12544(Petya, Petya.A, ExPetya и WannaCry-2):

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows.

http://news.drweb.ru/show/?i=11351

Кстати о пророках и пророчествах:

Можно предположить, что на украинских пользователях киберзлоумышленники обкатывают работу данного вируса и, возможно, мы на пороге новой глобальной эпидемии, по масштабам сравнимой с вирусом WannaCry.

https://petrimazepa.com/xdatavsukraine.html

Июнь (незадолго до эпидемии Trojan.Encoder.12544):

По данным эксперта, кампания началась в понедельник, 26 июня, за день до атак NotPetya. Так же как в случаях NotPetya и XData механизм распространения нового вымогательского ПО (у него пока нет названия) задействует сервис для оптимизации бухгалтерских операций M.E.Doc, но пока неясно, как именно осуществляется инфицирование - через серверы обновления ПО либо через вредоносное приложение M.E.Doc.

Шифровальщик имитирует дизайн вымогателя WannaCry, но на деле не является его клоном. Во-первых, он написан на языке .NET, а не С, как WannaCry. Во-вторых, для его распространения не используются эксплоиты Агентства национальной безопасности США. Кроме того, внутренняя структура вредоноса совершенно иная.

http://www.securitylab.ru/news/487037.php

Ну и, наконец, после начала атаки Trojan.Encoder.12544 пользователи решили посмотреть на сайт M.E.Doc:

Для начала посмотрел, какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua.

Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост — 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент — TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется — срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.

В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними — не менее 200 км.

Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели — всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?

Ответ пока в голове только один — что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту — быстро смыться и унести ноги.

https://medium.com/@gray25/серверы-обновлений-m-e-doc-оказались-на-хостинге-wnet-f3f35db4de73

#drweb

#Trojan.Encoder #троянец #шифровальщик

Dr.Web рекомендует

Доверие поставщикам услуг не должно быть безграничным. Увы, в большинстве случаев мы не можем гарантировать того, что с ближайшим обновлением к нам не прилетит что-то разрушительное. Поэтому понижение прав, распределение приложений по различным машинам и разделение локальных сетей на сегменты – важные составляющие безопасности.

#drweb

Можно много говорить о всемогуществе ФСБ/АНБ, русских/китайских/корейских хакеров, строить конспирологические версии и опровергать чью-либо виновность – но дверь цыганкам/хакерам открываете именно вы.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: