Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[AVATARA]

Худший опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.
К сожалению, (был) единственный способ спасти данные — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и гос. аппарат.

Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.

Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришла со стороны одной из стран СНГ.

Инфа от Литреева.

Сообщение отредактировал AVATARA - Jun 29 2017, 1:06

[Diablo]

Инфа от Литреева.

Где инфа с неопровержимыми доказательствами что Литреев заплатил $300 и ему ключ не выслали?

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и гос. аппарат.

Ага. Интеллект у него аж зашкаливает. Сразу хочется доверять всему что он говорит *сарказм*

Заблочили то хакерское мыло еще вчера днём

Ух, какие добрые люди это сделали...

Сообщение отредактировал Diablo - Jun 29 2017, 2:14

[public@]

Инфа от Литреева.

кто это?
А чего не от Эрфеева, или Матвеева?

[tiss]

Где инфа с неопровержимыми доказательствами что Литреев заплатил $300 и ему ключ не выслали?

Эммм... К сожалению бизнес почему-то сначала решает заплатить 300 баксов и нихрена не получить, спустя сутки таки прислушаться к мнению и заплатить ещё 50к гривен и через 3 часа получить решение. Откуда знаю? Да по просьбе бизнеса переводил биткойны. Ещё ДО блокировки почтового ящика. Разумеется ключа не никто не получил.

кто это?
А чего не от Эрфеева, или Матвеева?

Ты думаешь твой сарказм уместен?

Александр Литреев
руководитель проекта «Красная кнопка», один из разработчиков, специалист по информационной безопасности, предприниматель

Возможно он не Билли или Стив, но тоже не иксы пинает.

PS. Я сегодня очень хорошо спал

[kym]

теперь стрёмаюсь любому обновлению на компе
сёдня утром вдруг! захотел обновиться дропбокс на компе.....
пока отказал......

[woloshin]

теперь стрёмаюсь любому обновлению на компе
сёдня утром вдруг! захотел обновиться дропбокс на компе.....
пока отказал......

обжегшись на молоке, уже и на воду дуем?

[Neji]

Странный вирус, в офисе упали все компы на win7 и 2 сервера на 2008 R2. Интересно то, что все компы не которых стояла win 10 - не пострадали.

Удалось восстановить все данные, которые были не на системных дисках. Вирус шифрует только диск С.

Грузился с обычной флешки с образом win 10. И через проводник копировал все данные на флешку.

Спас компанию, у которой нет бекапов

Вирус остановил подменой файла perfc.dat проверял на чистых пк, подключая их к зараженной сети. Противоядие работает.

Всем удачи :о)

[oleh800]

А вирусок то от Мелкософта, что бы народ на десятку переходил, здесь как дважды два...

Интернет есть, а зачем мне ещё какие-то сетки, я не геймер

Печалька человек, вы батенька вообще дупля не ловите, всемирная сеть Интернет и есть СЕТЬ, но не локальная.
На техническом форуме уже бы забанили за такие вольнодумства.
Я думал только блондинки не могут выразить технически грамотно свои мысли.

[schweps]

Стою я в мрео и инфа не утешительная) хакеры, атака, база не работает

[dimicon]

Вот тут то вы бред написали, у нас в компании больше 60 бухгалтеров и из них один приносит прибыль а остальные наемные работники на однотипной монотонной работе.

Заинтриговал. Каким образом бухгалтер может приносить прибыль? Бухгалтер считает деньги, которые зарабатывает хозяин предприятия, посредством наемных работников, типа манагеров.

[Greys]

Бухгалтерия - затратный отдел.
А монотонный труд можно и нужно автоматизировать

[Koka-ftp]

Странный вирус, в офисе упали все компы на win7 и 2 сервера на 2008 R2. Интересно то, что все компы не которых стояла win 10 - не пострадали.

у другана упало всё(около 200 тазиков)...xp, 7....10
таки да остальные диски не тронуло...

[usja]

у мамы был подключен внешний винт... его задело.

[revolver]

https://www.facebook.com/vkornilov/posts/10207577570036133
В общем, microsoft разобрал полеты.




https://www.facebook.com/vnagornyuk/posts/1719033731458960

[Koka-ftp]

Бухгалтерия - затратный отдел.
А монотонный труд можно и нужно автоматизировать

нас вроде тьфу тьфу пронесло))
загнал бухов в отдельный вилан без интернета доступ есть только к 1с
сидят, ноют, хотят в медке работать.. налоговые грузить

Сообщение отредактировал Koka-ftp - Jun 29 2017, 8:49

[Nagrik]

Интересно то, что все компы не которых стояла win 10 - не пострадали.

Может потому что там таблица GPT?

Сообщение отредактировал Nagrik - Jun 29 2017, 9:33

[gromlan]

Мои поставщики сегодня не работают, похоже вирус серьезно всех скосил, надеюсь, восстановление много времени не занимает.

[schweps]

ахахахах
Нет
АХАХАХХА

все мрео упорно целое утро сканирует все компы есет нодом который в упор не видит этот вирь) и естесно все ждут

[Vaschek]

ахахахах
Нет
АХАХАХХА

все мрео упорно целое утро сканирует все компы есет нодом который в упор не видит этот вирь) и естесно все ждут

eset пишет шо ужо видит

Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают от эксплойт-атак на сетевом уровне.

[kym]

1. Проверить системы на наличие маркер-файла вируса C:\Windows\perfc.dat (свидетельствует о заражении системы вирусом. Можно использовать обманный манёвр: если создать файл с таким именем - вирус считает систему уже заражённой и выходит);

у меня такой файл лежит с датой 2009 года
только путь другой - c:\Windows\inf\PERFLIB\0000\perfc.dat
эта (и еще пару подобных папок) создавались при инстале винды