Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[xex]

только в таких странах как наша, организации на подобии МеДок могут распространить зловерда уже во второй раз!!!!!! и выйти сухими из воды, в других бы странах их миллионными исками закидали бы. ох пригорает от этого медка, то обновы его поломают то вири внедряют и при этом обновы клепают каждые 2 дня и палюбе их надо ставить иначе какая-то очередная бухо-срань не отсылается.

[Mamontoza]

Значит так, немного выдохнул и подумал.
1. Одновременно упали два сервера, 2008 R2, первый был полностью обновлен, напрочь выключены все версии SMB, второй тоже 2008, не критичен, забили обновить, сами олени.
2. По логам файрвола на фре было много попыток пробиться именно по 443,139,138, файр прибил все попытки, зоны адресов из половины мира, время от 12-30 до 16-00, дальше не смотрел.
3. Еще один 2008 выстоял, при чем я выключил его через час после падения двух первых серверов.
4. Пользователи начали выключать свои компы где то через час - полтора, последний после криков - "какого уя" просто чуть не всрався.
5. Сервер который явно занес заразу был 1С с Медком.
6. Массивы кроме системного живы.
7. Медок сцк вынести на отдельный сервер, на отдельный ИП, бухи пусть бегают пешком сдавать отчеты..

Можете закидать какашками, но думаю что сеть спасло то что не было контроллера домена, вернее он есть но в нем никого нет , только на одном серваке, кстати на том что не пострадал, хотя работал еще около часа после падения двух первых.

Многим заразил систему именно *лятский МЕДОК

[download]

Как это говно попадает в ПК!?

ну чуть ниже написали почти прально:

в таких масштабах, может если какой то бух поймал и пошло дальше, тут Вы правы.

ога, пишут что похакали обновление медока... у бухгалтеров обновился медок, и пошла веселуха ))
ну а дальше по нетбивису полезло по внутрисети ...

[Федор Сумкин]

Как это говно попадает в ПК!?

При помощи модифицированного ПО главных борцов за свободу слова и демократию во всём мире:
Powershell Empire и FuzzBunch: эксплуатация нашумевшей уязвимости ETERNALBLUE

ПО слили в открытый доступ а дальше уже пошло кто во что горазд.

[tabor]

Что-что случилось? Не ощутила... сильпо карточку приняло только что буквально... да,утром не попала в ощад-в итерике бегали все...

[xex]

При помощи модифицированного ПО главных борцов за свободу слова и демократию во всём мире:
Powershell Empire и FuzzBunch: эксплуатация нашумевшей уязвимости ETERNALBLUE

ПО слили в открытый доступ а дальше уже пошло кто во что горазд.

не только, это один из способов (и уже малоактуальный), большая часть подвахитла через письма и дебильный медок

[Vitaliy_y]

Этого мало. Я бы ещё вынес его в отдельный сегмент сети, изолированный от других. По простому говоря в отдельный влан с параноидальными настройками листа доступа. Буха отправил бы работать за тот компьютер.
Собственно в своё время так и сделал. Каждому буху по своему компьютеру с медком. Отдельная бухгалтерская сеть с максимальным ограничением к другим ресурсам сети. И даже если они что-то умудрялись ловить, грохал машинку с виртуалки и подымал такую же из копии. На всё про всё аж 10-ть минут уходило

так оно и будет, беда в том что у нас бухи отдельная "каста", придется это ломать, плюс улетел.

[Marlevich]

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Я загрузился с ДВД диска, на который записал DrWeb Live Disk.
CureIt нашел МБРлокер почистил. всего просканил 3 файла, сказал винды нет.
файловым менеджером ранее не пользовался, мне не совсем понятен. на Диске Д увидел пару папок.
Решил загрузить Алкид с диска, не захотел. назад ДрВеб, тоже не грузиться.
Компа камикадзе на винде не оказалось, чтоб поключить ХДД.

сейчас пишет NTLDR is missing. с дисковода больше не загрузился.

КАК ? он не успел зашифровать файлы ?

[Vitaliy_y]

При помощи модифицированного ПО главных борцов за свободу слова и демократию во всём мире:
Powershell Empire и FuzzBunch: эксплуатация нашумевшей уязвимости ETERNALBLUE

ПО слили в открытый доступ а дальше уже пошло кто во что горазд.

Читатель, у меня сервер с которого полезла зараза был полностью обновлен, но медок работает от имени админов, эта зараза - главная дыра в системе, второй сервер - вообще был отключен он инета, онли локалнет.

Сообщение отредактировал Shel - Jun 27 2017, 21:29

[trash]

Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

Сообщение отредактировал Shel - Jun 27 2017, 21:30

[download]

Этого мало. Я бы ещё вынес его в отдельный сегмент сети, изолированный от других. По простому говоря в отдельный влан с параноидальными настройками листа доступа. Буха отправил бы работать за тот компьютер.
Собственно в своё время так и сделал. Каждому буху по своему компьютеру с медком. Отдельная бухгалтерская сеть с максимальным ограничением к другим ресурсам сети. И даже если они что-то умудрялись ловить, грохал машинку с виртуалки и подымал такую же из копии. На всё про всё аж 10-ть минут уходило

ну так надо и срезы делать, а то одинэска обычно на венде сидит ... и с тазла с ней надо тоже делать срезы...

[Morftimg]

Они везде отдельная каста. Мелочная и мстительная. Но... Лучше крепко спать и последним получить ЗП, чем улыбаться буху, а потом всю ночь ипашить высунув язык и литрами пить кофе.

Да приходится немножко страдать. Именно по этому я отпускные получаю уже в отпуске, а не перед. Но пошли они нах.

[Stanzz]

Отправил перевод с привата на ощад, деньги списало, но перевод не дошёл

Перевод вернулся обратно

[glk]

1

Так в каком же это обновлении?

Сообщение отредактировал Shel - Jun 27 2017, 21:31

[bambu4a]

ну так надо и срезы делать, а то одинэска обычно на венде сидит ... и с тазла с ней надо тоже делать срезы...

Я пытаюсь перебраться на линукс
Причём полностью. От серверов до рабочих машинок. Пока отбиваются, но, надеюсь, "всех победю" и переведу на линукс

[Linh]

1+1 и 5 канал тоже не работают? Может пелена с глаз у многих упадет.

[Флайер]

Гасло ...

[Vitaliy_y]

Гражданин, вы определитесь с показаниями.

Два сервера были с доступом в нет, один нет.

[Федор Сумкин]

Люди !!! Готовьтесь !!! Завтра следом за Petya.А

придет Senya !!!!

А потом Grosya нанесёт финальный удар !!!!11

Сообщение отредактировал Федор Сумкин - Jun 27 2017, 21:39

[Rem_off]

Люди !!! Готовьтесь !!! Завтра следом за Petya.А придет Senya !!!!

А потом Grosya нанесёт финальный удар !!!!11

Украду для фб
Видимо пока я целый день баранку крутил и был выходной, много интересного произошло.
Сочувствую тем у кого сейчас "жопа в мыле"
З.Ы. Нас вроде виновало