Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Trumen]

Нефиг вешать на машинки устаревшие версии ОС.

Ну да, ну да...
Последняя оф десятка с последними обновами у меня сегодня навернулась.

[Tiger]

вдруг, зловред шифрует все одним ключем (не успеваю проверить на виртуалках, но интересно)

Проверили Неа

[pasha4ur]

Блин, на компе 4тб. А внешний диск только на 160гб.

У меня только 1 файл проекта 3д может тянуть под 30гб


Мои соболезнования пострадавшим


Чайф - Аргентина-Ямайка - 5:0


Сообщение отредактировал pasha4ur - Jun 27 2017, 22:15

[Tiger]

Ну да, ну да...
Последняя оф десятка с последними обновами у меня сегодня навернулась.

Подтверждаю. Последние обновы + EPS = проникает зараза.

[Vitaliy_y]

PathCombine - это ж функция, которая представляет правильные пути в один путь, и обьединяет все относительные элементы пути. А вот PathFileExists - определяет правильный путь к файлу.
То есть если есть файл такой-то по этому пути - то все гуд и не надо заражать.

сцк, тупо ищут папку в Виндой , убиться об стену
Ребятки, давайте уточнять по винде, винда дома, винда в офисе, винда в AD

Сообщение отредактировал Vitaliy_y - Jun 27 2017, 22:17

[Tiger]

Кстати не читал весь бред в теме. Тут самое главное советовали уже тем кто еще не? Я про 134 и т.д.

[DemirelUA]

Кстати не читал весь бред в теме. Тут самое главное советовали уже тем кто еще не? Я про 134 и т.д.

Да. Просто я только один в шапку добавил.

[shiz]

сцк, тупо ищут папку в Виндой , убиться об стену
Ребятки, давайте уточнять по винде, винда дома, винда в офисе, винда в AD

Мы нашли локальный “kill switch” для #Petya: создать файл "C:\Windows\perfc"

[Tiger]

Да. Просто я только один в шапку добавил.

TCP-порты ‎1024-1035, 135 и 445.

Лан, пойду дальше этих неудачников из бэкапов поднимать.

[oleh800]

Люди !!! Готовьтесь !!! Завтра следом за Petya.А

придет Senya !!!!

А потом Grosya нанесёт финальный удар !!!!11

Ну и троллер

[Vitaliy_y]

Мы нашли локальный “kill switch” для #Petya: создать файл "C:\Windows\perfc"

Как вариант, еще дать ему расширение .bat и написать скрипт в нем, типа бай бай придурки, как в фильме день независимости.
Принял к сведению как один из вариантов.

[Midnight)sky]

Ну да, ну да...
Последняя оф десятка с последними обновами у меня сегодня навернулась.

Ну это я в самом начале написал, когда вирусня вела себя чисто как wannacry, а та зараза десятку с последними обновами не трогала вообще. Эта ж скотина модифицирована. Хотя, из наблюдений, у нас около 800 пк и серваков, в процентном соотношении пк на десятке упало существенно меньше, чем на всех остальных осях.

[southman]

создать файл "C:\Windows\perfc"

To stop Petya create "readonly" C:\Windows\perfc.dat (or Windows\perfc)
твит

файл с аттрибутами "только для чтения" - полное имя perfc.dat

Сообщение отредактировал southman - Jun 27 2017, 22:37

[NumeroUno]

https://censor.net.ua/news/445694/kiberpoli...akerskaya_ataka
Хакерская атака на Украину осуществлялась через программу для документооборота M.E.doc.
А вот и причина.

Сообщение отредактировал NumeroUno - Jun 27 2017, 22:48

[mak_v_]

Так и не понял...зачем затерли мой пост на офф.страничку киберполиции с заявением о том что данное говно распространялось через "Ме.DOC"
???

[bambu4a]

ЗЫ. Надеюсь будет урок многим и начнут таки понимать как надо строить инфраструктуру в 2017.

Ответ начальника админу - "Денег на улучшение и оптимизацию системы нет. Но ты там придумай чего-нить. Я тебя за это не поимею в опу."

Сообщение отредактировал bambu4a - Jun 27 2017, 22:52

[Aspid]

Прекратите все сводить к срачу!
Давайте лучше больше о вирусе поговорим!
Как это говно попадает в ПК!?

Вирус атаковал Украину через бухгалтерскую программу - полиция

[NumeroUno]

Да, под вечер стала ясна основная причина. Я еще с утра спрашивал и некоторые (не буду показывать пальцем) умничали по типа - Почитай гугл, в википедии есть (кидали ссылку в итоге на Wanna cry) и т.д.
Всезнайки блин.

Triple facepalm

Сообщение отредактировал NumeroUno - Jun 27 2017, 23:00

[Midnight)sky]

Так и не понял...зачем затерли мой пост на офф.страничку киберполиции с заявением о том что данное говно распространялось через "Ме.DOC"???

Потому что об этом на последних страницах уже писали, и не раз.

[Diablo]

Ничего нового. Вменяемые люди после первой волны 2 месяца назад это ожидали. Таргеты дальше будут другие страны. С каждой волной оно будет "оптимизироваться".
Защита довольно простая, но трудно реализуемая в реальности ввиду разгильдяйства и халатного отношения к работе.
ЗЫ. Надеюсь будет урок многим и начнут таки понимать как надо строить инфраструктуру в 2017.

Petya это не WannaCry и точно о способах его проникновения никто ничего сказать не может. Одни говорят что на емейл приходит, другие что с обновлением ПО, третье - что он сам как-то пролазит.
И да, обновление винды и блокировка TCP 445 как с WannaCry не помогает.