Date: 2016-03-29 09:03 pm (UTC)
С медстаром всё боле-мене ясно, Кодак дал ссылку со скриншотом. Это самсам, который до сих пор распространялся через эксплуатацию РЦЕ уязвимостей в ЖБоссе. Т.е. это не фишинг, это к-л медстаровский веб-сайт доступный через энторнет, использующий жбосс в кач-ве аппликэйшн сервера, причём жбосс непропатчен, что ахтунг. Червь проникает на жбосс, если жбосс стоит на винде, далее сканирует сеть с правами юзера, из-под которого выполняется жбосс, и шифрует всё и уничтожает бэкапы. Если права юзера имеют админские права на других серверах -- он копирует туда себя и всё повторяется.

Самсам в этом плане отличается от прочих криптолокеров, большинство из которых доставляется через фишинг. Поэтому да, если это тупой простой юзер, то всё ограничивается моими документами и теми сетевыми папками, на которые у юзера есть права на запись. А вот если это админ... Или если шара, на которую складываются бэкапы, доступна всем подряд на запись... Или админ тупой и на инфицированном юзерском компе к-л прочекал чекбокс "сохранить юзер и пароль" и ввёл свои данные...
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting

Profile

kodak2004: (Default)
kodak2004

November 2020

S M T W T F S
123 4567
891011121314
15161718192021
22232425262728
2930     

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 16th, 2025 06:27 pm
Powered by Dreamwidth Studios