Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[mak_v_]

Развлекайся.

[Linh]

Кошелек Пети Уже полторуха зелени.

Уже 31 транзакция

[Vitaliy_y]

И еще одна фишка, на бух серваке была платформа 8.3.6, заливаю копию базы на локальную машину, проверить целостность базы, все ок. Запускаю базу, для тех кто в теме - с версии 8.3.9 1Ска дружно матерится на попытку запуска внешних обработок и прочей пошести, и что вижу, попытка запуска "" из TEMP какого то файла v8_66a.tpm, в модуле обычного клиента закоментил запуск 1С звит и проверку обновлений, заткнулось..
мало ли..

[Midnight)sky]

Уже 31 транзакция

Лошьё на "раз-два" пересчитываются. Имейл то заблочили еще часов 10 назад.

[Console]

Шапку обновите!!!

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://habrahabr.ru/post/331762/

[NumeroUno]

Критовалюты, блокчейны, майнеры, PetyaA вирусы.
В 2017 году живем друзья!)

Сообщение отредактировал NumeroUno - Jun 28 2017, 12:48

[fla106]

Може і не найпростіший спосіб рішення проте один із можливих варіантів підняття системи https://geektimes.ru/post/274104/

[Vitaliy_y]

Може і не найпростіший спосіб рішення проте один із можливих варіантів підняття системи https://geektimes.ru/post/274104/

оно уже дед, хоть бы проверил прежде чем постить.

[Linh]

Шапку обновите!!!

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://habrahabr.ru/post/331762/

Киберполиция укрсучвлады ссылается на https://habrahabr.ru/post/331762/? Зрада чистой воды.

Сообщение отредактировал Linh - Jun 27 2017, 23:27

[xex]

знакомый подтвердил, что сей простейший метод ему помог, если метод работает то это дикий фейл для виря

bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot

з.ы. но это сработает только у тех кто успел выключить комп и не ждал пока "провека диска" зашифрует файлы.

Сообщение отредактировал xex - Jun 27 2017, 23:38

[Vitaliy_y]

знакомый подтвердил, что сей простейший метод ему помог, если метод работает то это дикий фейл для виря

Не всегда, это если успели прервать первый проход "чекдиска", на втором проходе эта гадость перезаписывает копию NTFS партишин, резервную.
Не храните данные на системном диске

Сообщение отредактировал Vitaliy_y - Jun 27 2017, 23:40

[Console]

[/spoiler]

Киберполиция укрсучвлады ссылается на https://habrahabr.ru/post/331762/? Зрада чистой воды.

Зачем цитирывание моего поста подправили, где в посте про владу или что то подобное?? абы ляпнуть и не подумать...

[tyoma]

Не всегда, это если успели прервать первый проход "чекдиска", на втором проходе эта гадость перезаписывает копию NTFS партишин, резервную.
Не храните данные на системном диске

у меня на данный момент нет доступа к файлам офиса, пдф и зип на всем диске (не только на системном разделе). хотя "якобы" чекдиска не было вообще.

[DemirelUA]

Не всегда, это если успели прервать первый проход "чекдиска", на втором проходе эта гадость перезаписывает копию NTFS партишин, резервную.
Не храните данные на системном диске

Так, стоп.
Я правильно понял, что оно шифрует только системный диск, оставляя нетронутыми все остальные логические?
То есть, если на системном диске стоит только условная винда и весь переустанавливаемый софт, а все-все-все нужные файлы и прочее лежит на другом физическом диске – оно останется нетронутым? Или вирус шифрует все подключенные диски?
П.С. в шапке многовато текста, утром переделаю, сейчас много работы.

[tyoma]

Так, стоп.
Я правильно понял, что оно шифрует только системный диск, оставляя нетронутыми все остальные логические?
То есть, если на системном диске стоит только условная винда и весь переустанавливаемый софт, а все-все-все нужные файлы и прочее лежит на другом физическом диске – оно останется нетронутым? Или вирус шифрует все подключенные диски?
П.С. в шапке многовато текста, утром переделаю, сейчас много работы.

весь диск. не раздел.

[Console]

Так, стоп.
Я правильно понял, что оно шифрует только системный диск, оставляя нетронутыми все остальные логические?
То есть, если на системном диске стоит только условная винда и весь переустанавливаемый софт, а все-все-все нужные файлы и прочее лежит на другом физическом диске – оно останется нетронутым? Или вирус шифрует все подключенные диски?
П.С. в шапке многовато текста, утром переделаю, сейчас много работы.

Он как правило шифрует файлы с определеным расширение(которые указны списком в коде шифровальщика).
Все носитители, куда доберется и что успеет...

Сообщение отредактировал Console - Jun 27 2017, 23:52

[oleh800]

жрет даже флешки

[Marlevich]

Вы это видели, транзакция 2017-06-27 17:37:57 на кошелек вируса.
чел спалил свой кошелек с более чем лямом $ и теперь их перекидывает !!!
https://blockchain.info/ru/address/17A16Qma...piJxp7ARnxN5pGX 3 миллиарда
=============
С зашифровал
Д оставил 2 папки, рез. копии файлов Медка; папку с инсталяхами; программами и сетевую съел

Сообщение отредактировал Marlevich - Jun 28 2017, 0:09

[Hangman]

Есть какая-то статистика по антивирям? Что можно использовать кроме нода и каспера?

[Marlevich]

Есть какая-то статистика по антивирям? Что можно использовать кроме нода и каспера?

та была уже ссылка, повторю https://virustotal.com/en/file/027cc450ef5f...3a745/analysis/

ранее когда ее кидали, было около 20, теперь все учатся распознавать, но поздно