Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[armageddon]

Тю, а как же Yulia ? обидится же...

[DemirelUA]

Тю, а как же Yulia ? обидится же...

Вона™ не належить до Злочинної Влади™, поэтому ей там делать нечего.

[Федор Сумкин]

Два сервера были с доступом в нет, один нет.

В эту дыру размером с тоннель метро въехало всё что надо, а потом пошло гулять по сетке...

Тю, а как же Yulia ? обидится же...

Не, Yulia не пройдет, она же уже с карантина, точно не пройдёт...

[armageddon]

Вона™ не належить до Злочинної Влади™, поэтому ей там делать нечего.

Так хай несет добро и уничтожает вирусы Petya, Senya и Grosya !!! Вот где реальная польза будет то

Не, Yulia не пройдет, она же уже с карантина, точно не пройдёт...

На столько вредоносные действия, что теперь есть во всех базах ?

[Федор Сумкин]

Кстати, во всем надо находить положительные моменты ! Вы только представьте сколько молодых человеков смогут наконец то расстаться с девственностью, когда однокласснице надо будет "починить вирус", а не будь вируса так бы и страдали до первой пьянки в общаге института...

[Spd]

.... Вы только представьте сколько молодых человеков смогут наконец то расстаться с девственностью, когда однокласснице надо будет "починить вирус"...

В эту дыру размером с тоннель метро въехало всё что надо.....

[Rem_off]

парни, в шапке про мбр написано. Как то не вяжется.
На хабре другая инфа.
Пруф(если нИзя, то сильно не карайте)

[Spd]

Это всё что вам надо знать, что бы никогда ни в коем случае не обращаться в подобные шарашкины конторы...

Ну а это все, что мне лично надо знать о форумных эксПЕРДах

[armageddon]

Кстати, во всем надо находить положительные моменты ! Вы только представьте сколько молодых человеков смогут наконец то расстаться с девственностью

Долгожданный демографический бум

[drocha]

Кстати, во всем надо находить положительные моменты ! Вы только представьте сколько молодых человеков смогут наконец то расстаться с девственностью, когда однокласснице надо будет "починить вирус", а не будь вируса так бы и страдали до первой пьянки в общаге института...

да Федя ,в твое время вирусов не было

[Федор Сумкин]

Ну а это все, что мне лично надо знать о форумных эксПЕРДах

Продолжайте верить что обновление офиса спасет от всего...

да Федя ,в твое время вирусов не было

- Поправился товарищ Комманд Ком, - произнес Диггер, рассматривая проходящего мимо товарища Кома.
- На 2.7 кило, - определил командир Нортон.
- Так какую песню мы сегодня будем петь, Нортон? - спросил Диггер.
- Дык, - отвечал командир Нортон, - Янки Дудль.

p.s. Проверка Aidstestом со своей дискеты - 10$, переписать на компутер клиента 30$... Были же времена шальных денег...

Сообщение отредактировал Федор Сумкин - Jun 27 2017, 21:55

[lipky]

Департамент кіберполіції Національної поліції України

ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;

[DemirelUA]

парни, в шапке про мбр написано. Как то не вяжется.
На хабре другая инфа.
Пруф(если нИзя, то сильно не карайте)

За что купил, за то и продаю.
Если есть более авторитетные данные, могу удалить, мне ж не жалко.

[Spd]

Продолжайте верить что обновление офиса спасет от всего...

Продолжайте думать, что я верю, что обновление офиса спасет от всего.
И продолжайте нас информировать про то, кто еще лишится девственности в результате ..... (урезано цензурой)

[DemirelUA]

Некие PositiveTechnologies выкатили следующее:
"Мы нашли локальный “kill switch” для #Petya"

Кто что скажет? Я не айтишник, ничо в этом не шарю.

[southman]

Кто что скажет?

если это килл.свитч, то действует он примерно так - вирус проверяет наличие локального файла и если обнаруживает, то заражение не происходит..

помните были когда-то файлики khw ?

[AKEL]

Некие PositiveTechnologies выкатили следующее:
"Мы нашли локальный “kill switch” для #Petya"

Кто что скажет? Я не айтишник, ничо в этом не шарю.

PathCombine - это ж функция, которая представляет правильные пути в один путь, и обьединяет все относительные элементы пути. А вот PathFileExists - определяет правильный путь к файлу.
То есть если есть файл такой-то по этому пути - то все гуд и не надо заражать.

Сообщение отредактировал AKEL - Jun 27 2017, 22:09

[southman]

тоже самое только пофиксить мбр не выходит. единственное, что удалось сделать фиксом мбр - файлы удалось отобразить на другом ПК - но они "повреждены". у кого-то есть инфа по восстановлению этих файлов? читал что вроде как с концами.
экрана с просьбой 300 баксов не дожидался.

вариантов 2:
1) таблица файлов (MFT) и разделов (MBR) криво восстановилась
2) все восстановлено правильно, но тело файлов было зашифровано ранее

если 1), то искать и восстанавливать таблицы из копии/зеркал (MFTmirr), делать поиск по структурам ФС (файловой системы, а не то, что вы тут подумали))

если 2), то решение только ждать декриптора или ключ, вдруг, зловред шифрует все одним ключем (не успеваю проверить на виртуалках, но интересно)

[Tiger]

Ничего нового. Вменяемые люди после первой волны 2 месяца назад это ожидали. Таргеты дальше будут другие страны. С каждой волной оно будет "оптимизироваться".
Защита довольно простая, но трудно реализуемая в реальности ввиду разгильдяйства и халатного отношения к работе.
ЗЫ. Надеюсь будет урок многим и начнут таки понимать как надо строить инфраструктуру в 2017.

Сообщение отредактировал Shel - Jun 27 2017, 22:24

[kertisman]

Нефиг вешать на машинки устаревшие версии ОС.

Midnight)sky, а вы попробуйте обьясните дубине бальзаковского возраста, у которой аргументация

...я закончила ФИВТ (КПИ), что вы мне тут вещаете...
...мне не нравится интерфейс в 7-ке и 10-ке, потому я отказываюсь уходить с ХР....
...уберите из кабинета роутер, как источник вредного (sic!) излучения...

но которая, зараза требует, что бы с ее устаревшей осью носились как с писанной торбой, что бы она продолжала сидеть на том что удобно, но уже черт знает сколько не поддерживается и 20 раз уязвимо, каждый раз, как только начинаются всплески шифровальщиков типа пети\wannacry или кто то из сотрудников ловит что-то "веселое" по почте по своей же невнимательности

я уже молчу, о том что это госконтора, и с закупкой железа, и комплектующих, на которых бы нормально работала актуальная версия окошек (хотя бы с точки зрения безопасности) проблемы те еще

Сообщение отредактировал kertisman - Jun 27 2017, 22:13