Привет, Я делал всё что мог на основании информации, которую мне давали. Выводы были сделаны правильные: скачивать Медок нельзя, т.к. источник payload'а не выявлен и может находиться на сети, а не прямо на серверах. Также я оказался прав про перехват ip, только это не на L2/L3 было, а на L7 - запросы проксировались. Из этических соображений я не могу делиться информацией в большем объёме, надеюсь что все поступили бы так же в моем положении. 6 липня 2017, 10:36:20, від "Mike Petrusha" < mp@disan.net >: Hi,
Я имел возможность общаться с технической верхушкой компании на прошлой неделе и на этой и могу сказать что изъятие серверов и полная остановка деятельности Интеллект Сервиса - это лучшее на текущем моменте.
Т.е. на прошлой недели от верхушки был "инсайд", что у них ничего нет, и это везде каталисты поломали и "о-ла-ла", а теперь, оказывается, хорошо, что их "спасли от взбесившейся шубы в шкафу у Мюнхаузена". Вот прямо стояли у них сервера и рассылали вирусы, и они ничего не могли с этим поделать. Полиция спасла, фух. Учитывая детали реализации, трудно представить, что делалось это кем-то извне, а не одним из текущих сотрудников. Учитывая реакцию "верхушки" и осведомлённость поддержки про "отключите антивирус", велика вероятность, что сотрудник был не один, и все обо всём знали. Но возможно, что что-то пошло не так. Backdoor был давно и через него можно было делать что угодно с серверами интересующих целей (на основе идентификации по тем же EDRPOU). И зашифровать, возможно, тоже собирались кого-то конкретного. И могли в этом промахнуться - не то условие в if, не та версия update-сервера, и т.п. В результате засветили всю схему. А раз полиция вовремя не пришла - возможно тоже понимали изначально, в чём причина. "А может быть, всё было наоборот?" (C) мультик -- Mike