Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[armageddon]

Сегодня письмо пришло :

Шановні користувачі!
Програма M.E.Doc працює, сервери, на яких знаходяться оновлення та програма для завантаження – не постраждали.
СОТА відновить роботу сьогодні у другій половині дня. Ми відновлюємо роботу всіх сервісів, із якими були складнощі.
______________________________________________________
В статье на ресурсе Microsoft TechNet https://blogs.technet.microsoft.com/…/new-ransomware-old-t…/ говорится, что “по сведениям телеметрии процесс обновления программного обеспечения M.E.Doc (EzVit.exe) запускает цепочку вредоносных программ.
В статье основным источником заражения назван пакет обновления M.E.Doc. Однако на схеме отражена работа уже зараженного главного модуля ПО M.E.Doc, а истинный способ заражения не указан.
Файл ezvit.exe явлется главным исполняемым модулем ПО M.E.Doc. На схеме изображен запуск ПО M.E.Doc при помощи ярлыка и\или ссылки в главном меню. После запуска Медок инициировал запуск вредоностного ПО путем запуска приложения Windows rundll32.exe. Однако, исходный код ПО M.E.Doc не содержит команды запуска приложения Windows rundll32.exe.
Далее в той же статье говорится: Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector. (Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора.) Таким образом, в статье отсутствует обвинение программы M.E.Doc как источника заражения. Единственное, о чём говорит статья - это иллюстрация того, что программа M.E.Doc запущена на ранее заражённом компьютере, и соответственно, сама подверглась заражению.
____________________________________________________
Хотим обратить Ваше внимание: M.E.Doc не распространял вирус, на сервере программы файла обновления, размером в 333Кб нет и не было.
Всю необходимую информацию можем предоставить.
Касательно адреса 92.60.184.55 - да, это действительно сервер с обновлениями и этот адрес всегда был в списке необходимых соединений программы.

Актуальная версия 10.01.189 ( https://www.virustotal.com/…/76670c7953eab53df08f…/analysis/ ) была размещена на сервере для раздачи 22.06.2017 около 01:00.
Больше никаких новых пакетов обновлений не было размещено.

Медок точно заинтересован найти виновника торжества _______________________________________________________
Вся информация размещена на официальной страничке Медка в фейсбуке https://www.facebook.com/medoc.ua