Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[AKEL]

По сути ноу проблэм
Жизнь продолжается
За Ахметэнэрго и комунальные и пр. гос организации рад. По заслугам. Где гарячая вода? Аааааа?

В деснянском районе горячую воду дали. Это перемога!

[PSL]

"Украина и РФ обменялись киберударами": на Западе выдали громкую версию Petya.A
Понеслась по кочкам

[Petlura]

та какая рассылка, вы не в теме.

Ну я так понял это одна из модификаций WannaCrypt, который в том числе и через почту всегда распространялся. В моей организации где-то полгода назад так умнейшие люди этим дерьмом по заражались.

Сообщение отредактировал Petlura - Jun 27 2017, 19:50

[СуСаня]

В деснянском районе горячую воду дали. Это перемога!

Центр, как настоящий брутальным бибизян чешусь и воняю!
Но даже за горячую воду скакать не буду! Я не продаюсь!

[InsaR]

"Украина и РФ обменялись киберударами": на Западе выдали громкую версию Petya.A
Понеслась по кочкам

версия на грани абсурда, только журанлист до*****еб мог такое написать.

[public@]

та какая рассылка, вы не в теме.

Можно более подробную инфу? Везде написано, что это только через почту!

[SSSK0]

Одно дело ржать на нашим правительством (ненавидеть-любить и т.д.), а другое - ржакать на вводом войск из России.

Где в ветке про вирус были слова про "войска"???

P.S. У меня муж работает в одной крупной ИТ-конторе. Там пока тоже не сильно разобрались, так что не надо наших айтишников переоценивать.

Не все ИТ-конторы занимаются информационной безопасностью

Как бы международное сообщество уже почти разобралось и даже появились в сети первые декрипторы - это же не какая-то внутренняя проблема Украины - куча стран уже подверглись этой атаке... да и патчи от Микрософта в наличии...

https://habrahabr.ru/post/331762/

[DemirelUA]

Все же попробуйте подумать:

http://www.segodnya.ua/world/atake-virusom...eh-1020378.html

Я говорю о сегодняшней, а не о первой атаке.
Вообще не в тему съязвили.

[InsaR]

Можно более подробную инфу? Везде написано, что это только через почту!

читайте немного выше в теме, заражение целых корпораций и гос компаний не может происходить через почту, так как ее одновременно не пользуются такое количество ПК.

[drone]

Я говорю о сегодняшней, а не о первой атаке.
Вообще не в тему съязвили.

Так дыры все те же. Там их позакрывали при первой эпидемии и сейчас все спокойно. Нас же тогда пронесло, а пока гром не грянет...

[public@]

читайте немного выше в теме, заражение целых корпораций и гос компаний не может происходить через почту, так как ее одновременно не пользуются такое количество ПК.

Можно ссылку?

[Petlura]

читайте немного выше в теме, заражение целых корпораций и гос компаний не может происходить через почту, так как ее одновременно не пользуются такое количество ПК.

Очень даже может. Один запускает локально, потом дальше вирус юзает уязвимости на других компах в локальной сети. Особенно если они еще и пользуют общие локальные сетевые ресурсы. Собственно так оно скорее всего и происходит.

[DemirelUA]

Так дыры все те же. Там их позакрывали при первой эпидемии и сейчас все спокойно. Нас же тогда пронесло, а пока гром не грянет...

Если в таком контексте – вы правы. Я выше писал, что наши не начнут что-то исправлять, пока всё не навернется медным тазом. Не хотят исправлять превентивно – будут исправлять после БП (кликательно).

Сообщение отредактировал DemirelUA - Jun 27 2017, 19:55

[SSSK0]

читайте немного выше в теме, заражение целых корпораций и гос компаний не может происходить через почту, так как ее одновременно не пользуются такое количество ПК.

Запросто через почту все и проходит - ну а потом по локалке разлетается

[Суничка]

Где в ветке про вирус были слова про "войска"???

"putin napal" в саркастической интерпретации. Этого достаточно. Просто давай не будем шутить насчет войны с подачи русни.

Не все ИТ-конторы занимаются информационной безопасностью

Как бы международное сообщество уже почти разобралось и даже появились в сети первые декрипторы - это же не какая-то внутренняя проблема Украины - куча стран уже подверглись этой атаке... да и патчи от Микрософта в наличии...

"Почти" не значит "окончательно". Их ИТ-контора занимается этим в т.ч.

[public@]

Прекратите все сводить к срачу!
Давайте лучше больше о вирусе поговорим!
Как это говно попадает в ПК!?

[AKEL]

читайте немного выше в теме, заражение целых корпораций и гос компаний не может происходить через почту, так как ее одновременно не пользуются такое количество ПК.

Акей, почему?
Чувак может открыть письмо дома, прийти на работу, подключится к копр вафле, которая например включена в АД, в крупных компаниях так и делают. Между сервером и клиентом идет обмен пакетов и данных. И все. Се ля ви. И дело не только в 445 порту, Мед-Ке, Самбе и тд.
Сегодня у нас обнова на АД прилетела и все, терминалы, Бэк-АД и тд полетели. Причем спасают пока бэкапы.

[Суничка]

Давайте лучше больше о вирусе поговорим!
Как это говно попадает в ПК!?

Примерно через часик должен быть готов инсайд. Если будет шото интересное - напишу.

[InsaR]

Запросто через почту все и проходит - ну а потом по локалке разлетается

в таких масштабах, может если какой то бух поймал и пошло дальше, тут Вы правы.

[SSSK0]

"putin napal" в саркастической интерпретации.

Ну ведь есть понимание, что все это сарказм и ирония Что не так тогда?

"Почти" не значит "окончательно". Их ИТ-контора занимается этим в т.ч.

Естественно, что окончательно именно этот вирус на данный момент "не победили". Но любая нормальная ИТ-контора, которая действительно занимается безопасностью понимает в этом намного больше, чем Турчинов с Геращенко вместе взятые

Вот и Юля разобралась с вирусом

Бывший премьер-министр Украины Юлия Тимошенко прокомментировала распространение вируса Petya в стране. В своем Facebook она отметила, что защититься поможет лишь смена власти.

Политик разместила в соцсети картинку с вопросом «Как уберечься от вируса Petya?» и написала: «Только полная перезагрузка власти спасет страну!»

Как это говно попадает в ПК!?

Украинские эксперты определили, как именно вирус-шифровальщик Petya.A распространялся и заражал ПК

Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.

По корпоративной сети он распространялся при помощи служебной программы PsExec. При этом уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office» — считают IT-специалисты БАКОТЕК.

http://itc.ua/news/ukrainskie-ekspertyi-op...-i-zarazhal-pk/

Сообщение отредактировал SSSK0 - Jun 27 2017, 20:03