Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[BANDIT(filmmaniac)]

Киберполиция предупреждает о массовом распространении вируса-шифровальщика Scarab

Департамент Киберполици Национальной полиции Украины сообщил о начале массового распространения вируса-шифровальщика Scarab. Он впервые был обнаружен специалистами по кибербезопасности в июне 2017 года, а 24 ноября было зафиксировано его распространения с помощью крупнейшей спам-ботнет сети Necurs.

Отмечается, что специалисты по кибербезопасности установили факт рассылки через Necurs более чем 12,5 млн электронных писем, в которых содержались файлы с новой версией вируса-вымогателя Scarab. Вредоносное ПО было замаскировано под архивы с отсканированными изображениями. Пользователи при получении электронных писем видели, что к нему якобы были прикреплены файлы с изображениями отсканированных документов, например, «Отсканировано от Lexmark», «Отсканировано от HP», «Отсканировано от Canon», «Отсканировано от Epson». Эти письма содержали внутри архив 7Zip, с заархивированным Visual Basic скриптом. После его срабатывания на компьютер пользователя загружается и запускается EXE-файл вируса-вымогателя Scarab.

После успешного шифрования файлов пользователя вирус создает на рабочем столе и автоматически открывает текстовый файл с названием «ЕСЛИ ВЫ ХОТИТЕ ПОЛУЧИТЬ ВСЕ ВАШИ ФАЙЛЫ ОБРАТНО, ПОЖАЛУЙСТА, ПРОЧТИТЕ ЭТО.TXT»). Сумма выкупа в сообщении не указывается. Однако злоумышленники обращают внимание жертвы на то, что сумма выкупа будет увеличиваться со временем, пока пострадавший не свяжется с авторами Scarab по электронной почте или BitMessage.

Для уменьшения риска заражения техники вирусом Scarab, специалисты киберполиции рекомендуют пользователям тщательно и внимательно относиться ко всей электронной корреспонденции. Не стоит открывать такие приложения, даже если они поступили из надежного источника. Предварительно рекомендуется получать подтверждение передачи файлов от адресата другими доступными каналами связи (телефон, СМС, мессенджеры).