Вирус Петя, черт его побьери.

Аватар пользователя Anisiya

Атаковал российские и украинские Компании. Наша Компания тоже подверглась атаке(((( В считанные минуты легли все компы на нескольких производственных площадках (заводах) в нескольких городах. Офисы, соответственно, тоже. Хорошо, хоть, технологическое оборудование не подключено ни к какой из сетей. Собрала манатки, еду в Москву. Похоже, это надолго. Свой ноут местным сисадминам бросила, толку с него сейчас никакого. Похоже, это надолго. Работать остались только технологические линии со своими компами, которые не в сети, да токарный и слесарный цеха. Остальные все пошли домой. Мдась. Интересно, надолго ли это? Сисадмины говорят, что успели "рвануть" из сети сервер с нашей общезаводской программой, но гарантии нет никакой. Есть бэкап на ноль часов(((

Авторство: 
Авторская работа / переводика

Комментарии

Аватар пользователя Знамя
Знамя(7 лет 6 месяцев)

Щас будут писать каждый про свой комп да

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Меня мой ноут почти не волнует. Хотя жаль будет инфы, да. Целая Компания легла((

Скрытый комментарий СВВ (c обсуждением)
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

а что у Вас сеть вся открытой оППой в интернете? я просто умоляю... как же у Вас выполняются требования о коммерческой тайне и персоналке, т.к. ГТ однозначно выделена должна быть???

у нас упоротный  один с внутренней сети всё хочет интернетчиков подмять и включить в свою сеть, но внешняя сеть осталась только для доступа в инет, это фактически тупые терминалы, в основном с линухами и никаких критических данных на них не имеется.

но присоединение технологических сетей к сетям общего доступа это за гранью зла... неужели нет хотя бы одного грамотного интегратора в предприятии?

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Кто вам сказал, что технологические сети подключены к сетям общего доступа? Попробуйте еще раз топик прочесть.

Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

в свое время, в 99 году как раз проектировал сеть доступа в нет исходя из опыта минатома (нваэс) и энергии (воронежский мехзавод), в 2005 году ничего переделывать не пришлось, когда вышел указ президента. поэтому предполагаю, как в многих компаниях где эволюционно всё со всем соединено - это де-факто, то что у Вас и бук и куча всего на других промплощадках полетело - появилось предположение что и технологические сети тоже имеют связность.

кстати - даже не имея связность, но не сильно жестко контроллировать средства выхода в нет (те же телефоны в компы) и носители информации (флешки) в технологических сетях - то вирус наверняка и там поймаете.

Сам в 2008-ом ушел немного в другую область ЗИ.

Аватар пользователя бывший
бывший(9 лет 11 месяцев)

Так молиться надо было усерднее, не?

Комментарий администрации:  
*** Уличен в наглой дезинформации ***
Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

А вы молитесь? Надо же. Чего только люди не делают от усердия и безделья.

Аватар пользователя sklyapas
sklyapas(9 лет 7 месяцев)

Пардонь, мой не в тему, ибо как ибыл.

В считанные минуты легли все компы на нескольких производственных площадках (заводах) в нескольких городах. Офисы, соответственно, тоже. Хорошо, хоть, технологическое оборудование не подключено ни к какой из сетей. Собрала манатки, еду в Москву. Похоже, это надолго. Свой ноут местным сисадминам бросила, толку с него сейчас никакого. Похоже, это надолго. Работать остались только технологические линии со своими компами, которые не в сети, да токарный и слесарный цеха. Остальные все пошли домой. Мдась.

Блин, каким "гениям" бабло ручейками? А "сисадминам" Ваш: " К Бененой маме" не пыталиль послать?

И очень впечтлило: "Хорошо, хоть, технологическое оборудование не подключено ни к какой из сетей."   Видимо, чЁтА шьёте.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Я рада, что вы "впечатлились". 

Аватар пользователя v.p.
v.p.(11 лет 6 месяцев)

пропатчится от этого древнючего бага была не судьба, да? даже после недавней истории?

Аватар пользователя v12aml
v12aml(10 лет 9 месяцев)

На сколько мне известно, пока нет информации что конкретно используется для заражения системы.

 

Но действительно велика вероятность что виновата некомпетентность и раздолбайство ИТ-отдела. Хотя посмотрим, может там и правда 0day

Аватар пользователя v.p.
v.p.(11 лет 6 месяцев)

Вроде писали уже что smbv1 дыра с исполняйкой в е-мейл.

 

Да и 0day на такую лажу палить - себя не уважать. Шуму много - толку ноль.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Я вообще в этот момент сидела в екселе и ТЗ программисту рисовала. Комп погас, чёрный экран, потом требование 300 баксов переслать. Красными буквами на чёрном фоне. Блин. Будем надеяться. Вот мой коллега, что меня сейчас в Москву везёт, рекомендует дома комп не включать и в сеть не входить.

Аватар пользователя Спящий медведь

Аватар пользователя groks
groks(8 лет 1 месяц)

Либо это неправда, либо это не Петя. Способ заражения стандартный, рассчитан на кадровиков.

Выдернувшие что-то там - либо вруны, либо дебилы. Поскольку данный блокировшик по сети не распространяется, а открывать доступ в нет с сервера 1С и т.д. нормальные люди не будут.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Почему же компы чуть не у всех слетели. Я про программу не знаю. Пока не знаю. Все разговоры были на бегу, второпях. 

Скрытый комментарий СВВ (без обсуждения)
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

случаи разные бывают. у меня попадался и нежданчик по bind-у, 4-му имхо, как раз все быстро перешли на 8-ой и позже 9-ый...
ДМЗ ВЦ ВГУ, как опорная точка RBNet с моей сетью тогда имела связность и АИгошин тогда немного у меня потоптался, чисто чтобы научить. тогда и с своей альма-матер заимел связность только через жесткий шлюз.

потом у многих виндопользователей был вирус с привязкой по winsock-у. имхо до 3sp хрюши. так что в этом сите если какая зараза и не прицепится - то будет удивительно, а то что для "удобства" менеджеров тупо дают полный доступ из локалки в внешку - это не нормально, но это реальность.

Аватар пользователя NoZZy
NoZZy(9 лет 8 месяцев)

Поскольку данный блокировшик по сети не распространяется

а вы уверены в этом, пока то, что пишут не похоже на распространение через мыло  

кто-то один запустил и оно пошло гулять по сети через 445 порт

Аватар пользователя groks
groks(8 лет 1 месяц)

Известно. Пользователь используется. Который открывает всякую хрень в почте.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Я ж не сисадмин. И этой службой не заведую. Но то, что гендир хороших киздюлей отвести службе системных администраторов - это несомненно. Шутка ли - несколько заводов остановить. Про всяких бухов и экономиздов вообще не говорю.

Аватар пользователя v12aml
v12aml(10 лет 9 месяцев)

Может наконец задумаются и сменят своих друзей/сынов/внуков/генералов_в_отставке на реальных специалистов. Масштаб аварии говорит о неправильном проектировании ИТ-инфраструктуры.

Аватар пользователя Адский Советник

Меня шифровальщики научили одному. Бэкап ежедневный на внешний носитель. 

Аватар пользователя v12aml
v12aml(10 лет 9 месяцев)

Надеюсь носитель для РК подключается только в момент выполнения РК (ну либо он WORM)?

А то и его зашифрует

Аватар пользователя Адский Советник

Выдерается сразу, после создания копии базы. 

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Через тонкий клиент работаем.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Есть бэкап. На ноль часов. Тоже делаем. Но есть надежда, что сервер сисадмины успели рвануть из сети. Там 5 часов работы сотен людей.

Скрытый комментарий СВВ (c обсуждением)
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

были уже в середине 2000х (до 2008 года точно) решения с технологиями снимков файловых систем, сейчас дури у компов много, загоняйте системы в виртуалки и пусть будут разностные образы формироваться каждый день, и по ним можно отследить что да откуда, даже на виндах. там где кретиничная надежность требуется - можно и почасовые снимки.

если по окончанию рабочей смены всё более менее адекватно - предыдущей смены дельта образ накатывается на основной образ, и запускается подключение нового рабочего дельта образа. так с небольшими потерями по дисковой подсистеме можно безопасно и в "чумной" палате работать.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Вот я от вас наслушаюсь-то всего) И всё запишу. Обязательно) 

Скрытый комментарий СВВ (без обсуждения)
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

там не только это может быть. просто это направление обеспечивается по остаточному принципу.
ну а те соответственно как на вмз - летела лопата - упала в болото, какая зарплата, такая работа.

как раз завтра начинается совещание по ИБ у части отечественных компаний в нерезиновске.

Аватар пользователя poklonyaius_velikomu_kote
poklonyaius_vel...(11 лет 8 месяцев)

не сменят
не в традициях

Аватар пользователя poklonyaius_velikomu_kote
poklonyaius_vel...(11 лет 8 месяцев)

Не было никакой атаки. Админы ваши прошляпили. Сами виноваты. 

Аватар пользователя groks
groks(8 лет 1 месяц)

Нее. Это не директор админам, а наоборот. Жлобиться не надо на нормальный прокси, на почтовые программы - Bat просто не даст запуститься подобной примитивной хрени. И почту надо свою иметь, а не на майлопомойке и рамблере гнездиться. Это всё не очень большие деньги.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Никто на помойках не гнездится. Почта своя.

Аватар пользователя groks
groks(8 лет 1 месяц)

А откуда тогда в почте исполняемый файл?

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Вы на 100% уверены, что это в почте? А я - не уверена. И вы это не можете доказать 100%. Я, например, знаю, что если со своей личной почты отправлю письмо с прикрепленным файлом на корпоративную, то 146% письмо не дойдет.

Аватар пользователя 666
666(10 лет 1 месяц)

99%. У меня еще было на левом предустановленом виндовсе. Там вирус жил года три, а потом этот комп подключили к сети и он инфицировал всё сеть. Но этот случай больше как исключение.

Скрытый комментарий СВВ (без обсуждения)
Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

могут нечайно с дома на флешке или с телефоном, нелегально подключенном к компу принести.

у нас уже года 3 приказ - при очередной проверке находим у какого-либо компа телефон или флешку из не допущенных к этому компу - докладная и звездюли руководству, а оно уж само пусть с своим подчиненным разбирается. достаточно быстро дурь у руководства выбили, а те из подчиненных. а первоначально мы в стандарте предприятия прописали все эти процедуры и подразделения сами организуют у себя работы, у нас только эпизодический точечный контроль систем без гос, иные системы раз в квартал поголовно.

Аватар пользователя Bledso
Bledso(11 лет 4 дня)

Сдается мне, после сегодняшнего наконец перестанут набирать в админы детей-племянников из школоты. Ну, или хотя бы внесут в договор с ними пункт о взыскании убытков из-за халатности.

Не, граждане, ну позорище ведь: столько уважаемых людей производств пострадали из-за криворукости персонала. И это я далеко не только про Анисино.

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

У нас в Мск вроде сисадмины приличные. Только начальник все время в пофигистическом состоянии. Здесь на заводе главный сисадмин тоже вроде расторопен и неглуп. А остальные...... поубивала бы))) Их человек 6 кроме главного - по цехам дежурят, у нас линии производственные и в конвейере все сидят за компами.

Аватар пользователя v12aml
v12aml(10 лет 9 месяцев)

Сисадмины обычно не строят и не определяют как строить инфраструктуру (большой) компании.  Они исполнители и скорее всего не виноваты в данном случае.

Отсутствие локализации проблемы и мгновенное ее распространение по всей компании говорит о том, как что проблема именно в проектировании ИТ-системы в целом.

Аватар пользователя И-23
И-23(8 лет 6 месяцев)

Угу.
Подтверждаю.

Сам видел уже нормативные документы, авторы которых благополучно демонстрируют нежелание знать решения, выходящие за рамки стандартного набора бус самой распространённой ОС.
Зато сколько… фондов можно освоить сначала на разработке требований к паролям, потом на принуждении пользователей к их выполнению. С регламентом устаревания и замены… Мечта…

Не говоря о проблеме профессионалов на подряде.

Аватар пользователя poklonyaius_velikomu_kote
poklonyaius_vel...(11 лет 8 месяцев)

А что не так с профессионалами на подряде?
Вполне вменяемые люди обычно. Проблема как обычно в жадности и глупости управленцев.

Аватар пользователя СВВ
СВВ(9 лет 2 месяца)

там очень много нюансов. я в свое время многим этим подрядам, приносимым нашему руководству расписывал, где и какие косяки.

своих можно и не кормить, з.п. получают и ладно, чужие приносят красивые презентации, и на техническом уже совещании разбираются кучи говен, которые ин-на-ваторы со стороны и не хотят замечать. но слава богу в свое время построил инетсеть и настоял о жестком разграничении её со всей остальной инфраструктурой. а на остальной инфраструктуре в другой ипостаси контроль, чтобы инета не было ни в каком виде и вроде тихо. их админам тоже гемор не сильно нужен.

есть же прекрасные стандарты госты 17799(2700х) серий - хотя бы по диагонали изучить и при разработке, внедрении и сопровождении пользоваться и не кашлять.

Аватар пользователя Bledso
Bledso(11 лет 4 дня)

и настоял о жестком разграничении её со всей остальной инфраструктурой. а на остальной инфраструктуре в другой ипостаси контроль, чтобы инета не было ни в каком виде и вроде тихо

Во. Именно. yes

Аватар пользователя poklonyaius_velikomu_kote
poklonyaius_vel...(11 лет 8 месяцев)

Значит нам до сих пор везло.

Аватар пользователя И-23
И-23(8 лет 6 месяцев)

Или задачи типовые, или нагрузка не предъявляет высоких требований к проработке деталей.

Аватар пользователя poklonyaius_velikomu_kote
poklonyaius_vel...(11 лет 8 месяцев)

я б сказал более, чем типовые

Аватар пользователя Igoris
Igoris(10 лет 3 месяца)

У нас в конторе *сотни* компов, ничего про вирусы не слышал, няз.

Мелкие проколы были, но чтобы *так* (((

А тут рассказывают, что и Роснефть попала 8-((.. 

Аватар пользователя Anisiya
Anisiya(9 лет 1 месяц)

Смотря чем "контора" занимается. Мне лично контора как-то немножко побоку, хотя и не совсем. Меня больше производство волнует. И разработчики.

Аватар пользователя Barminolo
Barminolo(9 лет 11 месяцев)

Целенаправленная атака на конкретные предприятия, во всяком случае так сказали админы местного казначейства. Часть предприятий за счет нормальных админов плевала, бОльшая часть в жоппе. 

Комментарий администрации:  
*** отключен (дешевые манипуляции, инфомусор) ***

Страницы