Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[PSL]

Есть какая-то статистика по антивирям? Что можно использовать кроме нода и каспера?

Каспер в начале это все пропускал, сейчас закрыли дырку.

[Vitaliy_y]

Так, стоп.
Я правильно понял, что оно шифрует только системный диск, оставляя нетронутыми все остальные логические?
То есть, если на системном диске стоит только условная винда и весь переустанавливаемый софт, а все-все-все нужные файлы и прочее лежит на другом физическом диске – оно останется нетронутым? Или вирус шифрует все подключенные диски?
П.С. в шапке многовато текста, утром переделаю, сейчас много работы.

Судя по всему зараза шифрует только физический диск на котором находит винду, даже если там есть виртуальные патришины, через GPT, рядом стоящие массивы не трогает, доказательство тому живой винт для оперативных бэкапов, на нем даже нет признаков.
Еще один плюс что не нужно бить винт на разделы, лучше иметь еще один винт для бэкапов, но... лучше скпирты и фтп

[DemirelUA]

Вы это видели, транзакция 2017-06-27 17:37:57 на кошелек вируса.
чел спалил свой кошелек с более чем лямом $ и теперь их перекидывает !!!
https://blockchain.info/ru/address/17A16Qma...piJxp7ARnxN5pGX 3 миллиарда

Полтора миллиона битков на одном кошельке???
Что за дичь, их ведь всего может быть 21 миллион.
Я еще поверю, что человек смог такими методами набить 800к долларов (хотя и с трудом).
Но полтора миллиона биткоинов, почти 3 миллиарда долларов? Какой-то треш нереальный.
-------------
Пока писал, там еще битков нарисовалось.
Итоговый баланс 1,998.05972644 BTC
То есть сейчас на балансе почти 5 миллионов долларов.
"О*уеть",– кричали гости.

Сообщение отредактировал DemirelUA - Jun 28 2017, 0:31

[Vitaliy_y]

Для 1С бухии, может я параноя.. но

// Форма помощника обновления конфигурации выводится поверх остальных окон.
    Если РольДоступна(Метаданные.Роли.ПолныеПрава) Тогда
        //ОбработкаОбновлениеКонфигурации = Обработки.ОбновлениеКонфигурации.Создать();
        //ОбработкаОбновлениеКонфигурации.ПроверитьНаличиеОбновлений();
    КонецЕсли;
    
    //глПодключитьМенеджерЗвит1С(Ложь);
    
КонецПроцедуры // ПриНачалеРаботыСистемы()

после этого бухия перестала матерится на попытку открыть что то из ТЕМП

[Hangman]

та была уже ссылка, повторю https://virustotal.com/en/file/027cc450ef5f...3a745/analysis/

ранее когда ее кидали, было около 20, теперь все учатся распознавать, но поздно

Какие были самыми первыми?

[drone]

По данным ООН в 2016-ом хакеры получили доход в $450 млрд. Пэрэсичные бабушки ничем принципиально не отличаются от бабушек всяких Трампов, только на счетах последних денег чуть побольше.

Сообщение отредактировал drone - Jun 28 2017, 0:38

[Dika]

Полтора миллиона битков на одном кошельке???
Что за дичь, их ведь всего может быть 21 миллион.
Я еще поверю, что человек смог такими методами набить 800к долларов (хотя и с трудом).
Но полтора миллиона биткоинов, почти 3 миллиарда долларов? Какой-то треш нереальный.
-------------
Пока писал, там еще битков нарисовалось.
Итоговый баланс 1,998.05972644 BTC
То есть сейчас на балансе почти 5 миллионов долларов.
"О*уеть",– кричали гости.

Если не ошибаюсь, это кошелек биржы Poloniex.com, http://bitcoinwhoswho.com/address/17A16Qma...nxN5pGX/urlid/0
т.е. решили обналичить

[Вадим2013]

По данным ООН в 2016-ом хакеры получили доход в $450 млрд. Пэрэсичные бабушки ничем принципиально не отличаются от бабушек всяких Трампов, только на счетах последних денег чуть побольше.

офигеть вот молодцы

интересно как они деньги то выводят. Ну пришли им на те Биткоинты а дальше то как будут выводить? не ужели полиция не может заморозить те биткоинты? кто шарит расскажите

Сообщение отредактировал Вадим2013 - Jun 28 2017, 2:46

[drone]

офигеть вот молодцы

интересно как они деньги то выводят. Ну пришли им на те Биткоинты а дальше то как будут выводить? не ужели полиция не может заморозить те биткоинты? кто шарит расскажите

Ну вы как маленький. Банкстеры отмывали/ют кровавые деньги разных наркомафий, а тут все очень беловоротничково. Да и карьера Димы Горина Голубова какгбе намекает.

[nx117]

Не голосовал.
Похоже правильные админы, которые умеют построить инфраструктуру, уехали
к лучшей жизни.
Как бы эти атаки не были их последним "прощай" бывшей родине.

Ну и уязвимости в Примате.
Вполне ожидаемо, пренебрежение финансовой дисциплиной, пренебрежение
IT дисциплинами делали эту пирамиду успешной.
Мой успешный народ.

[dima_21]

ну и что , так и будут троллить о том, где какая контора не работает или конкретика будет, как боремся , неужели винду переставлять на всех сотнях компах?

[xuyux]

из под рабочей винды чем лучше восстанавливать загрузчики поврежденные Петей винтов?

[dima_21]

плиз, выложите вд вэб и загрузочный тоже.

[OstJoker]

Являюсь сисадмином одной из гос контор Украины с сетью в 500 пк. Сам в отпуске 10 тыс. км от Украины и пока что мои технари меня не ищут :-) Либо все хорошо, либо нету времени и заняты Хд. Утром сам спрошу что да как.
П.С. Все ПК на винде, обновления включены, антивирь MSE. Все ПК в сети за NATом, кроме серверов.

Сообщение отредактировал OstJoker - Jun 28 2017, 7:28

[Aspid]

СБУ рассказала, как вылечить компьютер от вируса Petya
Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.

Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).

Нужно загрузить ISO образ Boot- Repair. Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (мы использовали Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей расшифровки и переустановить операционную систему.

[andruk464]

Пробуйте

https://hshrzd.wordpress.com/2016/03/31/petya-key-decoder/

[woloshin]

если это килл.свитч, то действует он примерно так - вирус проверяет наличие локального файла и если обнаруживает, то заражение не происходит..

помните были когда-то файлики khw ?

оооооооо, khw, kht, нужно было вычистить из темпа файл nissan.exe, предварительно удалив процесс и файл mstss.exe? который подменял mstsc.exe. Тогда меня первый и последний раз Dr.Web подвел, за все время пользования с 1995 года.

[imenno]

Люди !!! Готовьтесь !!! Завтра следом за Petya.А

придет Senya !!!!

А потом Grosya нанесёт финальный удар !!!!11

Думаю, навазвание вируса было взято из фильма 007: золотой глаз. Там были два спутника "петя" и "миша" которыми грозили положить все сети городов с помощью эмп атаки, перед этим украв и переведя много денег себе. Так что след. должен бить "миша"

Сообщение отредактировал imenno - Jun 28 2017, 8:21

[fre1dz]

А почему меня никто не хакнул??? Неужели Петя меня защитил???

[asha_]

СБУ рассказала, как вылечить компьютер от вируса Petya
Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows.

Поскольку указанное ВПО вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. В СБУ использовали для этого утилиту Boot-Repair (инструкция по ссылке).

Нужно загрузить ISO образ Boot- Repair. Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (мы использовали Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей расшифровки и переустановить операционную систему.

Это если второй этап не прошел - не зашифровало ntfs
Если ntfs зашифрован, то с помощью проверки ntfs всего 20% файлов восстанавливаются. Но это ооочень мало. +думаю еще зависит процент заполненного диска. Чем больше заполнено тем меньше шансов поднять.