Вірус XData та звинувачення Медка

EugeneUkraine
Повідомлень: 84
З нами з: 27 липня 2016, 14:49

Re: Вірус XData та звинувачення Медка

Повідомлення EugeneUkraine » 01 червня 2017, 11:47

Поступила информация, что бухгалтер обновлялся через какую бухгалтерию Фактор и переходил по какой то ссылке, после чего произошло заражение..

priup
Повідомлень: 7713
З нами з: 22 червня 2011, 12:23

Re: Вірус XData та звинувачення Медка

Повідомлення priup » 01 червня 2017, 12:27

| Показать
Подписание ЭЦП системных библиотек «M.E.Doc»
За последнее время очень частыми стали случаи активного распространения в сети вирусов-вымогателей XData и WannaCry, которые В результате вирусы шифруют файлы на компьютере пользователя с целью получения выкупа за возврат оригинальных файлов.
Для обеспечения безопасности пользователей и исключения ложных срабатываний некоторых антивирусов, Разработчик «M.E.Doc» в обновлении 10.01.184 от 31.05.2017, выполнил подписание системных библиотек электронной цифровой подписью. Подписание системных dll и исполняющих файлов выполнено в первую очередь для подтверждения автора программного обеспечения и гарантии того, что код не был изменен или поврежден с момента его подписания, что в свою очередь является подтверждением факта отсутствия каких-либо вирусов в поставке обновлений ПО «M.E.Doc». Если код подписан, то он явно не может быть вирусом, а потому ему можно доверять априори, тем самым снизив вероятность ложных срабатываний.
В связи с этим хотим обратить внимание пользователей, которые используют в работе клиент-серверную версию программы и доменную политику ограниченного доступа или устаревшие версии ОС, которые после установки обновления могут столкнуться с ситуацией, что служба программы ZvitGrp не была запущена в автоматическом режиме. В первую очередь необходимо установить обновление 10.01.184 с правами администратора, либо произвести установку сертификата безопасности вручную после установки обновления, нажав правой кнопкой мыши по любому *.ехе файлу в корне программы - Свойства - Цифровая подпись - Сведения - Просмотр сертификата - Установить сертификат.
После установки сертификата запустить службы Firebird и ZvitGrp в ручном режиме. В актуальных версиях Service Pack ОС все сертификаты безопасности уже есть в наличии и установлены, производить дополнительную их установку не потребуется

EugeneUkraine
Повідомлень: 84
З нами з: 27 липня 2016, 14:49

Re: Вірус XData та звинувачення Медка

Повідомлення EugeneUkraine » 01 червня 2017, 13:47

ESET и Avast выпустили дешифратор для вируса-вымогателя XData
https://www.avast.com/ransomware-decryption-tools#xdata
http://support.eset.com/kb6467/
http://itc.ua/news/eset-i-avast-vyipust ... opasnosti/

Xhazard
Повідомлень: 1197
З нами з: 29 серпня 2011, 10:59

Re: Вірус XData та звинувачення Медка

Повідомлення Xhazard » 01 червня 2017, 13:59

P.N писав:Запустил вчера авто обновление на домашней машине с 178 на 184, нод 32 проругался на Ezvit
http://www.virusradar.com/en/Win32_File ... escription
Win32/Filecoder.AESNI
Ну хоть бы скринами подтвердили.
Сервак + 5 машин в сетке.
ESET лицензия на всех, включая сервак.
Не ругался ни на что.
Что я делаю не так?
if you can dream and not make dreams your master

ferret
Повідомлень: 1026
З нами з: 13 липня 2012, 15:20
Звідки: Острова Зеленого Мыса

Re: Вірус XData та звинувачення Медка

Повідомлення ferret » 01 червня 2017, 16:49

Xhazard писав:
P.N писав:Запустил вчера авто обновление на домашней машине с 178 на 184, нод 32 проругался на Ezvit
http://www.virusradar.com/en/Win32_File ... escription
Win32/Filecoder.AESNI
Ну хоть бы скринами подтвердили.
Сервак + 5 машин в сетке.
ESET лицензия на всех, включая сервак.
Не ругался ни на что.
Что я делаю не так?
вирь не захотела с вами связываться, пошла искать жертву попроще:)
На этом месте должна была быть какая-то подпись

Ирина Шадрина
Повідомлень: 6702
З нами з: 22 червня 2011, 09:06

Re: Вірус XData та звинувачення Медка

Повідомлення Ирина Шадрина » 01 червня 2017, 17:16

:shock: Они что - обладают разумом?
Качество ответов зависит от качества задаваемых вопросов.

poltava_energy
Повідомлень: 717
З нами з: 13 червня 2012, 09:38

Re: Вірус XData та звинувачення Медка

Повідомлення poltava_energy » 02 червня 2017, 08:02

priup писав:Подписание ЭЦП системных библиотек «M.E.Doc»
Хммм... передивився усі новини на сайті - таке повідомлення відсутнє... :?
Може тому що зміст цього повідомлення досить сумнівний :?:
priup писав:Подписание системных dll и исполняющих файлов выполнено в первую очередь для подтверждения автора программного обеспечения и гарантии того, что код не был изменен или поврежден с момента его подписания, что в свою очередь является подтверждением факта отсутствия каких-либо вирусов в поставке обновлений ПО «M.E.Doc».
Але ж на медок падає підозра у зовсім іншому :twisted: За припущеннями, вірусом є не файли медка, але медок є засобом доставки шифрувальника. Бекдором :ugeek:
І саме тому антивіруси знаходять у файлах медка мало підозр, але ПК при цьому стає надзвичайно вразливим до зовнішньої атаки. Цифровий підпис у даному випадку нічого не змінить.
priup писав:Если код подписан, то он явно не может быть вирусом, а потому ему можно доверять априори, тем самым снизив вероятность ложных срабатываний.
А от це вже цілковита брехня :evil: :evil: :evil: Існують віруси і з цифровим підписом
https://habrahabr.ru/post/172393/
І що саме дивне, і у випадку на хабрі і у випадку з медком, походження цифрового підпису - якась ліва московська контора.
Чому можна довіряти апріорі, так це тому, що якщо бачиш підпис ззапарєбріка - біжи від цього продукту подалі :x
priup писав:В первую очередь необходимо установить обновление 10.01.184 с правами администратора, либо произвести установку сертификата безопасности вручную
І власними руками додати собі чергову дірку у безпеці.

beton
Повідомлень: 71
З нами з: 08 серпня 2014, 13:23

Re: Вірус XData та звинувачення Медка

Повідомлення beton » 07 липня 2017, 10:42

Отже, лише після наймасштабнішої кібератаки в історії України (вірус Petya.A) спецслужби та спеціалісти з кібербезпеки були вимушені звернути увагу на тривалу (принаймі з 058 версії) епопею з підозрілою активністю Медка, неодноразовою підміною оновлень на сервері.
Отже статті щодо Медка та вірусні в ньому:
англійською https://www.welivesecurity.com/2017/06/ ... t-ukraine/
https://www.welivesecurity.com/2017/07/ ... -backdoor/
російською: "Не все так просто с Petya" https://geektimes.ru/post/290779/
«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру https://habrahabr.ru/company/drweb/blog/332444/
де дослідники знайшли бекдор в модулі Медка ZvitPublishedObjects.dll, який був присутній в оновленнях
01.175-10.01.176 (14 квітня 2017), 01.180-10.01.181 (15 травня 2017), 01.188-10.01.189 (22 червня 2017), через який зловмисники могли запускати будь-який свій код на компах користувачів Медка.
Спалах сабжу (вірусу XData, він же Win32/Filecoder.AESNI.C) якраз почався за три дні після оновлення 10.01.180-10.01.181

Сподіваюсь, після цих подій кожен зробить висновки для себе про важливість будь-яких підозрілостей щодо інформаційної безпеки.

PetroP
Повідомлень: 714
З нами з: 22 січня 2015, 18:50

Re: Вірус XData та звинувачення Медка

Повідомлення PetroP » 07 липня 2017, 14:57

itadminbuh писав:
07 липня 2017, 14:34
Коли я на форумі ...
Ви схожі на людей, які безапеляційно та безаргументовано щось заявляють, сподіваючись лише на те, що вгадають, щоб потім заявити "а я ж казав!". У випадку, коли все ж не вгадують (у 99 зі 100) все одно ніхто не дорікне "ти колись казав таке, але ти помилився. ну як тобі?"

Відповісти

Повернутись до “Питання по програмним продуктам”