Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[OstJoker]

Я сисадмин в гос. конторе, 500 ПК. 65%- Win10, 30% - win7,8,8.1, 5% - win XP. MSE, firewall, NAT, обновления системы включены, большинство ПК как раз с разметкой MBR. По состоянию на сейчас, заражено НОЛЬ ПК. Что я делаю не так?
П.С. В бухгалтерии стоит гореизвестный медок на 6 ПК и там тоже все нормально.

Сообщение отредактировал OstJoker - Jun 29 2017, 9:22

[armageddon]

Сегодня письмо пришло :

Шановні користувачі!
Програма M.E.Doc працює, сервери, на яких знаходяться оновлення та програма для завантаження – не постраждали.
СОТА відновить роботу сьогодні у другій половині дня. Ми відновлюємо роботу всіх сервісів, із якими були складнощі.
______________________________________________________
В статье на ресурсе Microsoft TechNet https://blogs.technet.microsoft.com/…/new-ransomware-old-t…/ говорится, что “по сведениям телеметрии процесс обновления программного обеспечения M.E.Doc (EzVit.exe) запускает цепочку вредоносных программ.
В статье основным источником заражения назван пакет обновления M.E.Doc. Однако на схеме отражена работа уже зараженного главного модуля ПО M.E.Doc, а истинный способ заражения не указан.
Файл ezvit.exe явлется главным исполняемым модулем ПО M.E.Doc. На схеме изображен запуск ПО M.E.Doc при помощи ярлыка и\или ссылки в главном меню. После запуска Медок инициировал запуск вредоностного ПО путем запуска приложения Windows rundll32.exe. Однако, исходный код ПО M.E.Doc не содержит команды запуска приложения Windows rundll32.exe.
Далее в той же статье говорится: Although this vector was speculated at length by news media and security researchers—including Ukraine’s own Cyber Police—there was only circumstantial evidence for this vector. (Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора.) Таким образом, в статье отсутствует обвинение программы M.E.Doc как источника заражения. Единственное, о чём говорит статья - это иллюстрация того, что программа M.E.Doc запущена на ранее заражённом компьютере, и соответственно, сама подверглась заражению.
____________________________________________________
Хотим обратить Ваше внимание: M.E.Doc не распространял вирус, на сервере программы файла обновления, размером в 333Кб нет и не было.
Всю необходимую информацию можем предоставить.
Касательно адреса 92.60.184.55 - да, это действительно сервер с обновлениями и этот адрес всегда был в списке необходимых соединений программы.

Актуальная версия 10.01.189 ( https://www.virustotal.com/…/76670c7953eab53df08f…/analysis/ ) была размещена на сервере для раздачи 22.06.2017 около 01:00.
Больше никаких новых пакетов обновлений не было размещено.

Медок точно заинтересован найти виновника торжества _______________________________________________________
Вся информация размещена на официальной страничке Медка в фейсбуке https://www.facebook.com/medoc.ua

[tarantul-x2]

Подскажите, есть ли инфо, чем просканить ФС на наличе Пети? Желательно портабельное решение

[ЫЫЫ]

у меня такой файл лежит с датой 2009 года
только путь другой - c:\Windows\inf\PERFLIB\0000\perfc.dat
эта (и еще пару подобных папок) создавались при инстале винды

не только у тебя

[DemirelUA]

Некоторые сайты по типу Киевэнерго (внесение показаний электричества) и медиа-холдинг УМХ до сих пор лежат.

[FarineL]

Некоторые сайты по типу Киевэнерго (внесение показаний электричества) и медиа-холдинг УМХ до сих пор лежат.

Так тут все сервера выключили, сидим на работе смотрим в потолок.

[jerr]

Интересно...
Серверы обновлений M.E.Doc оказались на хостинге WNet

[Koful]

Удалось восстановить MBR, доступ до диска С появился но папки Windows на нем не видно

[PSL]

Некоторые сайты по типу Киевэнерго (внесение показаний электричества) и медиа-холдинг УМХ до сих пор лежат.

Раздел по электроэнергии Ахметэнерго уже неделю в таком состоянии, еще до "пети".
Может знали чего, а может.... нет, они не могли такое сделать

[cosco]

Удалось восстановить MBR, доступ до диска С появился но папки Windows на нем не видно

Тоже восстановил, там не папка, там зашифрованный файл Windows, который раньше был папкой=(

[Koful]

Тоже восстановил, там не папка, там зашифрованный файл Windows, который раньше был папкой=(

Так он папки не шифрует, только файлы, не?
Ппц, теперь столько геморроя с восстановлением банковских программ а именно ключей к ним

[cosco]

Так он папки не шифрует, только файлы, не?
Ппц, теперь столько геморроя с восстановлением банковских программ а именно ключей к ним

он шифрует и папки...
Гемора конечно трындец, 1ски, медок, куча документов, ключей....бд...

[DemirelUA]

Так тут все сервера выключили, сидим на работе смотрим в потолок.

УМХ? Я, в частности, про футбол говорил. Аж как-то грустно.

[Marlevich]

какое расширение зашифрованный файлов ?

программист у себя не внешнем жестком обнаружил .blcrypt , .pscrypt

Сообщение отредактировал Marlevich - Jun 29 2017, 11:03

[volucer]

Как сисадмин, у которого не было ни единого заражения))
могу выделить 3 пути заражения:
1. Через порт 445, вот инфа: https://ru.wikipedia.org/wiki/EternalBlue
Фаэрвол свое дело сделал)
2. Через фишинговую почтовую рассылку, Есет свое дело сделал) Всю вирусню отловил (около 10 писем). В день заражения письмо фишинговое пришло от ДФС, возможно на него повелись
3. Пишут через Медокс. Точно не уверен, поскольку не используем.
Плюс обновления винды мартовские стояли, ну и права пользователя у всех)) Да, я жесткий с юзерами))) И резервные копии есть, ну если уже подгорит))
Виноват на 100% Мелкософт... Насоздавали "для себя" кучу дыр, инфа про которые еще и в общем доступе..

Да и вообще задолбали уже со своим MBR. Сложно что ли сделать запрет на изменение этого раздела.. По сути все последние вирусы / блокировщики и другая нечисть с легкостью прописывается в MBR. При скане тела вируса на вирустотал 3 из 60 "подозревают" вирус! В итоге без сигнатур все мбр-вирусы впринцине не обнаружываются и не будут никак обнаруживаться, поскольку зашифрованы. Все сводится к реакции антивирусной компаний на обновление сигнатур...

Сообщение отредактировал volucer - Jun 29 2017, 15:31

[sir]

какое расширение зашифрованный файлов ?

программист у себя не внешнем жестком обнаружил .blcrypt , .pscrypt

Походу он шифрует не сам файл, а путь к нему в файловой таблице.
Предполагаю что расширение другое файл не получает, но как отображается на диске - не понятно.
А эти файлы от более просто "шифровальщика"

[volucer]

При заражении одного компа в сети без обновлений винды заражаются все остальные
Еще пишут:
Вирус проверяет, есть ли в каталоге Windows файл perfc.dat. Если он присутствует, вирус считает, что компьютер уже заражён и прекращает работу без шифровки файлов. Создать такой файл можно в блокноте, его содержание может быть любым, даже пустым. Рекомендуется сделать этот файл доступным только для чтения, чтобы вирус не модифицировал его.

Сообщение отредактировал volucer - Jun 29 2017, 15:26

[sir]

При заражении одного компа в сети без обновлений винды заражаются все остальные

По сути, если даже закрыты нужные порты, но юзер перейдет по "левой" ссылке\скачает картинку на рабочий стол с форматом .exe, то вирус все равно будет работать? Естественно при условии не обновленного ПО и АВ ?

[southman]

у меня такой файл лежит с датой 2009 года
только путь другой - c:\Windows\inf\PERFLIB\0000\perfc.dat
эта (и еще пару подобных папок) создавались при инстале винды

это нормально, выше было сказано. Любой вирус будет притворяться (очень важными) системными сервисами (например, csrsss.exe)

есть какие-то сообщения от клиентов, мол нашлась контора, любезно предоставляющая сервис по дешифровке, сам лично не нашел этому подтверждения. Возможно, обычный развод в нервозной обстановке.

Люди хотят верить в лучшее.


UPD: про файл "Windows" - это последствия порчи/шифрования MFT - ранее это была папка, из-за ошибок, после починки ФС, получаем битый файл.
Урон от потери таблицы равносилен форматированию, а делов на пару секунд, т.к. эти метаданные редко занимают более 200 Мб.. Вот вам и идеальный убийца.

Сообщение отредактировал southman - Jun 29 2017, 11:49

[volucer]

По сути, если даже закрыты нужные порты, но юзер перейдет по "левой" ссылке\скачает картинку на рабочий стол с форматом .exe, то вирус все равно будет работать? Естественно при условии не обновленного ПО и АВ ?

Юзерам в сети даже делать ничего не нужно, они просто ловят сначала синий а потом черный экран)) Троян через эксплоит проникает.
А вот по почте рассылается архивчик и внутри загрузчик трояна с расширением *.js *.scr *.exe и т.п. И само-собой, если напороться на ссылку на троян и выполнить его то тоже заразится

Сообщение отредактировал volucer - Jun 29 2017, 15:27