Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Console]

вы вот сами поняли что сказали?) при чем тут логический и физический доступ
Я говорил о физическом, логический доступ это отдельная лирика.
По логическому норм безопасность дают лишь крещендо и сеос, остальное - до поры до времени.
про Hideez вообще умильнуло

У нас на контору стоит фортрес, доступ к серверам онли по сеосу в режиме 2факторки.
Бугалтерии повезло меньше, они в другом офисе и жили лишь на фаерволе, но медок сцука чума

Ну вопервых что вам мешает на одной карте сделать пропуск на проходной(физически правильно я понял?) и двухфакторную авторизацию в домен + ЕЦП на документы, и все на одной карте-токене/самрткарте(НКИ) кто как называет...+ от настроек AD зависит, политика работы по смарткартам. Они могут работать паралельно с паролями, или только по картам, блокировка учетки может срабатывать сразу как только карта удалена с рабочей машины или нет... тут уже полет фантазии.

Я говорил что пропуски по rfid меткам и подобному бред.
Но некоторы смарткарты используют NFC или Em-Marine исключительно для чтения или записи. При этом карта является НКИ.

крещендо и сеос

Я так понял производители НКИ, для хранения RSA ключей, замечу апартные.
Так, я как раз о них выше и писал...
Есть и другие производители НКИ..., по сути они все дают высокий уровень безопасности по сравнению с пинкодом, или отдельно лежащем файликом ключа....
Про

Hideez

согласен, игрушка)

Сообщение отредактировал Console - Jul 6 2017, 19:48