Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Nazgul]

А на 2003 сервер есть патч?

[СуСаня]

Если не рашка то кто? Ну хочет кто-то срубить бабла. На кой его Petya называть? Чисто идеологический вброс.

Та автор Пэтро, Петр, Питер, или Пэдро
Вот и все свое детище так назвал автор
Или просто так. Что у нас в стране мало недовольных?

[Aspid]

Та автор Пэтро, Петр, Питер, или Пэдро

Там написано Пэтя. Те кто Питер и Пэдро таких слов не знают.)

[imenno]

О "Petya" еще год назад писали.
https://habrahabr.ru/company/eset/blog/280746/

Сообщение отредактировал imenno - Jun 27 2017, 18:21

[Spd]

«Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.
По корпоративной сети он распространялся при помощи служебной программы PsExec. При этом уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office» — считают IT-специалисты БАКОТЕК.
Эксперты также считают, что скорее всего компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.

http://itc.ua/news/ukrainskie-ekspertyi-op...-i-zarazhal-pk/

[Hangman]

Та автор Пэтро, Петр, Питер, или Пэдро
Вот и все свое детище так назвал автор
Или просто так. Что у нас в стране мало недовольных?

Ну да, логичнее поверить в это. Атомную бомбу тоже в честь домашнего любимца назвать можно.

Когда происходит кипиш – всегда надо задавать один простой вопрос: Cui prodest?
Самый простой ответ на него и является верным (почти всегда). Бритва Оккама, не иначе

Давай конкретнее. Нет вариантов, значит остается то что есть.

[DemirelUA]

Кстати, еще какой момент: в России нагнулась только Роснефть. У нас как большой, так и средний/малый бизнес.
Ни разу не поверю, что в РФии у всех поголовно шикарные системы защиты и только у Роснефти дуршлаг. Тем не менее, сообщают только об этом случае.
Совпадение? Не думаю ©

[Console]

У нас контора за компанию с датагруп лягла Скажем так соседи)
Самое интересное, ПК которые вне домена остались живы... Пока позвали глянуть на первый случай, вернулся на рабочое место, вместо обычного входа в учетку, "класический" черный екран "чекдиском"....
Печально..

Сообщение отредактировал Console - Jun 27 2017, 18:28

[Sintorres]

Добавьте в голосовалку "Производители видеокарт для майнинга"

[public@]

www.korrespondent.net.
korrespondent.net/
3pв *;C®Ђ±!вf2O§AњЋґ:«лО%л rz;ЄЈц!gm“зфћщП+gж¦Ё›ћ) яWФ KЇЂ–yУЛtЫЮpЛЖ…ХБwҐ –№:=эІВ„D®ЋuЗq-|lбые ZаLН`J P?B©™ ѓ V#Ј'Qм 2 $Ие5t тё.

Добавьте в голосовалку "Производители видеокарт для майнинга"

и матрица атакует!

[ne4ubo]

Как в глобальном плане можно нажиться на этом?
Думаем

мозок!)

[P.L.U.R.]

Где уже эти EPAM и GlobaLlogic, чтоб запилить ответочку
А то как будь-то все "Мистер Робот" не смотрели

[public@]

Проверил порт, оказалось, что я вообще в Нидерландах нахожусь!
ДЕМОНЫЫЫЫЫ

[DemirelUA]

Проверил порт, оказалось, что я вообще в Нидерландах нахожусь!
ДЕМОНЫЫЫЫЫ

VPN-щик спалился.

[public@]

401 чел. читают эту тему (117 Гостей и 10 Скрытых Пользователей)

117 Гостей - странно,очень странно, наверное хакеры следят!

VPN-щик спалился.

А типа я скрывал это!

Сообщение отредактировал public@ - Jun 27 2017, 18:37

[P.L.U.R.]

ДЕМОНЫЫЫЫЫ

Будет понятно только тем, кто знаком с UNIX

[DemirelUA]

В США тоже началось, правда, не так массово.
Разница во времени сыграла свою роль (если верить сообщениям, что начало атаки было заранее запланировано на 11-00).

[ety]

два вопроса:
1. есть ли пруфы по побеждению "свежего" Пети
2. если ссылки, может кто уже платил :-)

Сообщение отредактировал ety - Jun 27 2017, 18:40

[papka]

два вопроса:
1. есть ли пруфы по побеждению "свежего" Пети
2. если ссылки, может кто уже платил :-)

1. Нет еще не победили
2. Мониторю несколько форумов инфы от тех кто платил нет

[Koful]

2. если ссылки, может кто уже платил :-)

может кто уже и платил. На его кошелек уже 17 транзакций произведено
https://blockchain.info/address/1Mz7153HMux...aAtNbBWX?sort=0