Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Xomuak]

Добавляйте Метинвест в список. Вирус поражает ГПТ. Срабатывает по 3м сценариям, от чего зависит - пока не выяснял

1)срабатывает защитник, видит активность в МБР и блокирует - пользователь и машинка в норме, ничего не происходит.

2) Глист прописывается в мбр, после перезагружает тачку.. и все.. мбр не найдет. фиксится загрузочным диском как прописано в верхнем. (некоторые файлы становятся нечитаемыми-поврежденными. док, хлсх, пдф в основном)

3) после перезагрузки включается якобы чекдиск, идет процентаж. по достижении 100% - окно с требованием 300 баксов. файловая система недоступна.

З.ы. все обновы стояли. по почте ничего такого не падало. офис - не знаю, завтра проверю. есть подозрение что накатило через Sccm.

Сообщение отредактировал Xomuak - Jun 27 2017, 20:06

[СуСаня]

Я до сих пор на дискеты одеваю презервативы
И храню сами дискеты в коробочках
И все ок
Ну с диал-апа иногда на Удафком и 0дей хожу
И все. Все как 10 лет назад

[Petlura]

[i]Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.

Вот это поворот, кто бы мог подумать

[SSSK0]

Вот это поворот, кто бы мог подумать

Ага Сколько лет уже с этим бьются полчища сисадминов разных уровней, но все без толку

[public@]

Я бакотеку не верю!
В технической теме написали про

Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry.

без участия пользователя!

[AKEL]

Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.

Самое забавное, что уязвимость вроде закрыли 23 апреля, и после прилетели норм обновы на Дефендер и тд.
П.с Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers) (Хабр)

Сообщение отредактировал AKEL - Jun 27 2017, 20:15

[tyoma]

2) Глист прописывается в мбр, после перезагружает тачку.. и все.. мбр не найдет. фиксится загрузочным диском как прописано в верхнем. (некоторые файлы становятся нечитаемыми-поврежденными. док, хлсх, пдф в основном)

тоже самое только пофиксить мбр не выходит. единственное, что удалось сделать фиксом мбр - файлы удалось отобразить на другом ПК - но они "повреждены". у кого-то есть инфа по восстановлению этих файлов? читал что вроде как с концами.
экрана с просьбой 300 баксов не дожидался.

[SSSK0]

Самое забавное, что уязвимость вроде закрыли 23 апреля, и после прилетели норм обновы на Дефендер и тд.
П.с Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers) (Хабр)

Ближайшие каменты по теме "вроде закрыли":

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Знаете в чем соль? Соль в том, что эти ебланы из айти отдделов спустя месяц всемирной атаки WannaCry НЕ ЗАКРЫЛИ ЕБАНЫЙ ПОРТ SMB. В то время Украину этот малварь мало задел и наши безопасники забили болт. Но нашелся умелец который воспользовался баянистой дырой и нагнул раком всё ебаное украинское ойти.

Этот вирус как раз и говорит о том, что IT у нас на дне и ему еще расти и расти. Прикиньте, этот вирус уже блядььь полгода колесит по планете, а у НАС (все тут прикидываються что-ли, что мы в 19 веке живем или в начале 20..) млять нихера не делали. И вау… это всех обескуражило, млять оказываеться есть ВИРУСЫ!!! Пиздец млять. Наш человек ценит и защищает лишь то, что можно полапать руками и спиздить. Информацию и сервис руками не полапаешь (ну и куй с ним). А тут ОПА… оказываеться 21 век на дворе водоворот 4 индустриального уклада и все такое, но нах. это развивать, тут надо заводы допилить да янтаря нарыть….

[Petlura]

Ага Сколько лет уже с этим бьются полчища сисадминов разных уровней, но все без толку

А что тут поделаешь, когда после подобного случая проводишь с людьми разьяснительную работу и спустя пару месяцев история повторяется. Жалеешь что мы не в средневековье и людей уже не жгут на кострах и не четвертуют. Тут не сисадмина надо а инквизитора.

Сообщение отредактировал Petlura - Jun 27 2017, 20:21

[public@]

Дак чё вы сцуко не поблокировали порты?

[SSSK0]

А что тут поделаешь, когда после подобного случая проводишь с людьми разьяснительную работу и спустя пару месяцев история повторяется. Жалеешь что мы не в средневековье и людей уже не жгут на кострах и не четвертуют. Тут не сисадмина надо а инквизитора.

Скажем так: в идеальном случае отсекаем ВСЕ вложения (*.vbs, *.js, *.jse, *.exe) прямо на почтовом серваке, но не для всех контор это подходит.

[AKEL]

Ближайшие каменты по теме "вроде закрыли":

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Знаете в чем соль? Соль в том, что эти ебланы из айти отдделов спустя месяц всемирной атаки WannaCry НЕ ЗАКРЫЛИ ЕБАНЫЙ ПОРТ SMB. В то время Украину этот малварь мало задел и наши безопасники забили болт. Но нашелся умелец который воспользовался баянистой дырой и нагнул раком всё ебаное украинское ойти.

Этот вирус как раз и говорит о том, что IT у нас на дне и ему еще расти и расти. Прикиньте, этот вирус уже блядььь полгода колесит по планете, а у НАС (все тут прикидываються что-ли, что мы в 19 веке живем или в начале 20..) млять нихера не делали. И вау… это всех обескуражило, млять оказываеться есть ВИРУСЫ!!! Пиздец млять. Наш человек ценит и защищает лишь то, что можно полапать руками и спиздить. Информацию и сервис руками не полапаешь (ну и куй с ним). А тут ОПА… оказываеться 21 век на дворе водоворот 4 индустриального уклада и все такое, но нах. это развивать, тут надо заводы допилить да янтаря нарыть….

По поводу порта SMB. Очень много компаний юзают Самбу, после Ваннакрай все полезли ее обновлять.
Хотя даже если сменить порт, будет ли толк? Конечно можно поставить на аппаратном фаерволе (все вышеперечисленные компании могут себе позволить какую то АСУ или джунипер) и если тело какое-то ломится на альтернативные порты, то блочить. Да вот только нихера оно не работает((

[DEMOKPAT]

О, уже и спам на мыло приходит:

Как защитить компьютер от заражения вирусом Petya.A

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Сегодня многие предприятия подверглись серьезной кибер-атаке. Это уже второй такой случай за последние несколько месяцев. И предыдущий (WannaCry), и сегодняшний (Petya.A) вирусы наносят большой ущерб своим «носителям», но от них можно легко защититься. Что примечательно, эти атаки отличаются только объемом разрушений: методы защиты от вирусов для пользователей были и остаются совершенно одинаковыми

Что происходит: вирус устанавливается на компьютер-носитель, и рассылает от имени владельца собственные копии по контактам из адресных книг. Если зараженный компьютер подключен к локальной сети, то вирус распространяется и по ней. Затем вирус блокирует доступ ко всем файлам и требует перечислить деньги на некоторый счёт для разблокировки.

Вирус работает очень быстро, и ошибка одного пользователя может привести к заражению всех компьютеров в организации.

СЕГОДНЯШНИЙ АКТИВНЫЙ ВИРУС ИСПОЛЬЗУЕТ ДЛЯ РАСПРОСТРАНЕНИЯ ЕЩЕ И ОБНОВЛЕНИЯ ПРОГРАММЫ М.Е.DOC – ЖЕЛАТЕЛЬНО ОТКЛЮЧИТЬ АВТОМАТИЧЕСКИЕ ОБНОВЛЕНИЯ ЭТОЙ ПРОГРАММЫ ДО ТЕХ ПОР, ПОКА ПРОБЛЕМА НЕ БУДЕТ УСТРАНЕНА

Как избежать заражения

Главное правило

Никогда, ни при каких обстоятельствах, не открывать вложения из писем, пришедших с незнакомых адресов, «по ошибке», предназначенных не вам, и так далее.

Следствие из главного правила

Даже если письмо получено от знакомого адресата, лучше не открывать вложение, если вы не запрашивали никаких файлов. В периоды активного распространения вирусов (как, например, сейчас), лучше потратить минуту на телефонный звонок с уточнением «Что вы мне прислали?», чем много времени и денег на устранение последствий неосторожности.

ДАЖЕ «БЕЗОБИДНЫЕ» ФАЙЛЫ В «ОФИСНОМ» ФОРМАТЕ, ВРОДЕ *.DOCX ИЛИ *.XLS, МОГУТ СОДЕРЖАТЬ ВРЕДОНОСНЫЕ МАКРОСЫ

Установочные файлы (*.exe, *.iso, *.bat) нельзя открывать вообще никогда.

Просто важное правило

Внимательно читайте любые всплывающие сообщения от полученных файлов. Если не знаете, что выбрать, выбирайте «отмена». Почему это «офисный» файл запрашивает разрешение на доступ к файлам или на установку? Скорее всего, это вирус.

Еще одно правило

При установке любых, даже самых проверенных, приложений, не разрешайте приложениям обновляться автоматически, а выберите «обновление вручную». Таким образом, вы защититесь от вирусов, распространяемых через обновления (например, не станете разрешать обновления, если повсюду будет информация о том, что такое обновление вредоносно).

Наконец, что делать, если всё плохо

Если вы думаете, что могли подхватить вирус, отключите компьютер от интернета и локальной сети (отключите вайфай и выньте все сетевые шнуры). Далее с безопасного устройства (например, с телефона) поищите решения этой проблемы.

Часто такие решения (например, обновление антивирусов) появляются только через день-два после массовой вирусной атаки, поэтому лучше все-таки соблюдать простые меры безопасности, описанные выше.

[Petlura]

Скажем так: в идеальном случае отсекаем ВСЕ вложения (*.vbs, *.js, *.jse, *.exe) прямо на почтовом серваке, но не для всех контор это подходит.

Ну это если внутреннюю почту юзают.

[SSSK0]

Дак чё вы сцуко не поблокировали порты?

Да ведь сто раз уже писали, что НЕКОМУ блокировать порты в гос. конторах - сократили, уволили или предложили 5к грн. в месяц "грязными" - вот и разбежались спецы за пару лет

[AKEL]

Ну это если внутреннюю почту юзают.

На исполняемые файлы обычно даже криворукий админ-первокурсник ставит блок и требование пароля админа для исполнения вышеуказанных файлов. Да и никто уже не кидает по почте exe и тд, 21 век все таки

[SSSK0]

Ну это если внутреннюю почту юзают.

В приличной конторе должна быть "своя" почта и свой почтовый сервак - даже не собираюсь обсуждать проблемы защиты корпоративных ящиков на mail.ru или ukr.net

[bambu4a]

Может быть хотя бы эта ситуация заставит начальство смотреть на вопросы подымаемые айтишниками более осмысленно. Не будет моментов, когда нужно упрашивать начальство купить лицензионный антивирус, новый фаерволл и лицензии к нему, новый сервер для резервного копирования.
А госсектору ничего не поможет. Там эта ситуация будет лишь очередным поводом для распила огромной суммы денег выделенной для "борьбы с хакерами".
Да и может быть задумаются те дебилы которые сидят в руководстве, когда вместо одного грамотного системного администратора принимают на работу трёх студентов в надежде на то, что они смогут сделать то, что делает играючи один.

[SSSK0]

Да и никто уже не кидает по почте exe и тд, 21 век все таки

Ну да... ну да... не кидает - а пользователь открывает файл с именем: это_полезная_информация_без_вирусов_только_для_тебя.doc.txt.jpg.doc.exe

Сообщение отредактировал SSSK0 - Jun 27 2017, 20:31

[DemirelUA]

.doc.txt.jpg.doc.exe

Получатель "выбирает" тот формат файла, который ему больше по душе?