Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Вадим2013]

В приличной конторе должна быть "своя" почта и свой почтовый сервак - даже не собираюсь обсуждать проблемы защиты корпоративных ящиков на mail.ru или ukr.net

Лет 5 не пользуюсь антивирусом. Вин 10. Решил проверить порты, закрытие. При том что я ниче не ставил, никакие фаервол и.д. Выходит на вин 10 за меня все закрыто. нужно им на десятку переходить или Линексом пользоваться

Сообщение отредактировал Вадим2013 - Jun 27 2017, 20:36

[bambu4a]

В приличной конторе должна быть "своя" почта и свой почтовый сервак - даже не собираюсь обсуждать проблемы защиты корпоративных ящиков на mail.ru или ukr.net

Своя почта и свой домен не гарантируют того, что почтовое сообщение пришедшее с другой сети не будет содержать в себе тела вируса. Что, собственно, сейчас и происходит. Жмут денег на нормальные антивирусы, шмонающие почту на моменте прохождения в корпоративный почтовый сервер. У 99% организаций использующих ексчендж нет антивируса, 50% почтовых серверов на базе линукс систем не имеют антивируса и обычный проверки по резолву домена.

или линексом пользоваться

или включить мозг и не тыкать куда попало

[AKEL]

Ну да... ну да... не кидает - а пользователь открывает файл с именем: это_полезная_информация_без_вирусов_только_для_тебя.doc.txt.jpg.doc.exe

Но ведь все можно сделать намного проще. Можно развернуть почтовый шлюз с фильтрацией, типа Amavisd. И никаких exe уже не будет.

Сообщение отредактировал AKEL - Jun 27 2017, 20:36

[Petlura]

На исполняемые файлы обычно даже криворукий админ-первокурсник ставит блок и требование пароля админа для исполнения вышеуказанных файлов. Да и никто уже не кидает по почте exe и тд, 21 век все таки

Именно что кидали, кидают и будут продолжать кидать. А по поводу криворукости, когда несколько человек обслуживают организации с тысячами компьютеров, нормально следить за "гигиеной" локальных машин практически не возможно. А у нас все так и происходит в стране.

Сообщение отредактировал Petlura - Jun 27 2017, 20:39

[SSSK0]

Получатель "выбирает" тот формат файла, который ему больше по душе?

Хорошая идея. На самом деле реально работает только последнее расширение *.exe А весь остальной текст только для замыливания глаз юзеру

[Petlura]

Лет 5 не пользуюсь антивирусом. Вин 10. Решил проверить порты, закрытие. При том что я ниче не ставил, никакие фаервол и.д. Выходит на вин 10 за меня все закрыто. нужно им на десятку переходить или Линексом пользоваться

Кстати, встроенный в 10-ку "защитник" на удивление неплохо справляется с своей работой.

[SSSK0]

Своя почта и свой домен не гарантируют...

Все верно, не гарантируют, но позволяют повысить безопасность и гибкость управления в целом по корпорации. А если еще наиболее уязвимым сотрудникам/компам запретить все, кроме "своей" почты, то спать можно спокойнее

Кстати, встроенный в 10-ку "защитник" на удивление неплохо справляется с своей работой.

Полностью поддерживаю! Не надо "защитник" ограничивать - пусть качает и проверяет по расписанию

[fedottt]

а где бы заразится?
мне бы потестить как комп себя вести будет

[DemirelUA]

Хорошая идея. На самом деле реально работает только последнее расширение *.exe А весь остальной текст только для замыливания глаз юзеру

Да я понял, то была легкая ирония

а где бы заразится?
мне бы потестить как комп себя вести будет

Страниц 6 назад выкладывали ссылку на сам файл.

[SSSK0]

Да я понял, то была легкая ирония

А я задумался над выбором расширения в момент приема почты

[DemirelUA]

А я задумался над выбором расширения в момент приема почты

Слишком жирно Представь только, какое поле для подмены файлов (в зависимости от наиболее частых типов файлов, принимаемых той или иной компанией по почте в соответствии с видом деятельности).

Сообщение отредактировал DemirelUA - Jun 27 2017, 20:45

[bambu4a]

Все верно, не гарантируют, но позволяют повысить безопасность и гибкость управления в целом по корпорации.

Да нифига оно не гарантирует Ни одно средство по безопасности не даст стопроцентной гарантии, разве что отсутствие компьютера как такового. А так - что придумано одним, то гарантированно будет сломано другим. Какую-никакую гарантию сохранности данных может дать только своевременно обновлённый антивирус, операционная система со всеми заплатками, лицензионная (!!!) и три-четыре резервных копии пользовательских данных, разбросанные на разные сервера. Ну и самое проверенной средство - отрезать пользы пользователям, особо упоротым. До остальных доходит через инструкцию подписанную шефом с указанной крупной суммой штрафа за невыполнение оной.

[drocha]

метро работает ,ну нету у них компьютеров

[Вадим2013]

Все верно, не гарантируют, но позволяют повысить безопасность и гибкость управления в целом по корпорации. А если еще наиболее уязвимым сотрудникам/компам запретить все, кроме "своей" почты, то спать можно спокойнее
Полностью поддерживаю! Не надо "защитник" ограничивать - пусть качает и проверяет по расписанию

он у меня отключен просто включен брандмауэр

[SSSK0]

Слишком жирно Представь только, какое поле для подмены файлов (в зависимости от наиболее частых типов файлов, принимаемых той или иной компанией по почте в соответствии с видом деятельности).

Так зато экзешник не стартанет, а откроется в блокноте - если автоматом переименовать в txt

[DemirelUA]

Так зато экзешник не стартанет, а откроется в блокноте - если автоматом переименовать в txt

Чьорд, шеф, всё пропало!

[SSSK0]

он у меня отключен просто включен брандмауэр

Рекомендую под 10-ой включить все средства защиты - они совсем немного отъедают ресурсов, а пользу приносят несомненную.

Чьорд, шеф, всё пропало!

Воооот!!!! И тут юзер позовет сисадмина, т.к. какая-то хрень на экране

Да нифига оно не гарантирует Ни одно средство по безопасности не даст стопроцентной гарантии, разве что отсутствие компьютера как такового. А так - что придумано одним, то гарантированно будет сломано другим. Какую-никакую гарантию сохранности данных может дать только своевременно обновлённый антивирус, операционная система со всеми заплатками, лицензионная (!!!) и три-четыре резервных копии пользовательских данных, разбросанные на разные сервера. Ну и самое проверенной средство - отрезать пользы пользователям, особо упоротым. До остальных доходит через инструкцию подписанную шефом с указанной крупной суммой штрафа за невыполнение оной.

Все верно! Только комплексные меры по всей информационной структуре фирмы с подписанием инструкций и штрафных санкций!

[Федор Сумкин]

По корпоративной сети он распространялся при помощи служебной программы PsExec. При этом уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office» — считают IT-специалисты БАКОТЕК.

Это всё что вам надо знать, что бы никогда ни в коем случае не обращаться в подобные шарашкины конторы...

[Vitaliy_y]

Значит так, немного выдохнул и подумал.
1. Одновременно упали два сервера, 2008 R2, первый был полностью обновлен, напрочь выключены все версии SMB, второй тоже 2008, не критичен, забили обновить, сами олени.
2. По логам файрвола на фре было много попыток пробиться именно по 443,139,138, файр прибил все попытки, зоны адресов из половины мира, время от 12-30 до 16-00, дальше не смотрел.
3. Еще один 2008 выстоял, при чем я выключил его через час после падения двух первых серверов.
4. Пользователи начали выключать свои компы где то через час - полтора, последний после криков - "какого уя" просто чуть не всрався.
5. Сервер который явно занес заразу был 1С с Медком.
6. Массивы кроме системного живы.
7. Медок сцк вынести на отдельный сервер, на отдельный ИП, бухи пусть бегают пешком сдавать отчеты..

Можете закидать какашками, но думаю что сеть спасло то что не было контроллера домена, вернее он есть но в нем никого нет , только на одном серваке, кстати на том что не пострадал, хотя работал еще около часа после падения двух первых.
Зы зы, самая большая моя дурь это выпускать сервера в инет, типа удобно что сами качают апдейты и маякуют когда их нужно обновить, видать хрень могла попасть чуть раньше и просто ждать команды, но опять же, почему выжили офисные тазики, во всяком случае пока выжили.

Сообщение отредактировал Vitaliy_y - Jun 27 2017, 21:01

[bambu4a]

7. Медок сцк вынести на отдельный сервер, на отдельный ИП, бухи пусть бегают пешком сдавать отчеты..

Этого мало. Я бы ещё вынес его в отдельный сегмент сети, изолированный от других. По простому говоря в отдельный влан с параноидальными настройками листа доступа. Буха отправил бы работать за тот компьютер.
Собственно в своё время так и сделал. Каждому буху по своему компьютеру с медком. Отдельная бухгалтерская сеть с максимальным ограничением к другим ресурсам сети. И даже если они что-то умудрялись ловить, грохал машинку с виртуалки и подымал такую же из копии. На всё про всё аж 10-ть минут уходило