Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Dr.Sydorenko]

есть мнение, что шифрование необратимое

[Midnight)sky]

Я вот думаю, чтоб вирусне создать файл perfc в папке винды, нужны админские права. Запрос админских прав может быть только при обновлении Медок, но у обычных смертных админских прав нет (только в какой-то быдло-конторе, где групповые политики устанавливал школьник). Каким образом могло произойти заражение?

[Marlevich]

При заражении одного компа в сети без обновлений винды заражаются все остальные

неа.
в комнате 2 пк к одному роутеру подключены и расшарена 1 папка по сети.
у буха ХР (пиратка, обновления хз 2014-2015) заразилась, сервер 1С.
у касира ХР (обновления хз 2014-2015г, пиратка) жива, клиент 1С.

Бухгалтерша сама виновата, взяла ребутнула комп. когда был БСОД, наверное НОД с вирусом сцепились.
И в поисковике лазике и почту смотрела на укр.нет . откуда зацепила, не от нее не узнаешь. Уже старая, не шарит.

Я вот думаю, чтоб вирусне создать файл perfc в папке винды, нужны админские права.

я вручную создавал на ХР и 7. на 8.1 не могу блокнотом сохранить, хотя я админ.

Сообщение отредактировал Marlevich - Jun 29 2017, 11:58

[Greys]

Каким образом могло произойти заражение?

дык EternalBlue, не?

[southman]

но у обычных смертных админских прав нет

вирус эксплуатирует эксплойты и повышает до SYSTEM свои права.

Вы про mimikatz (который в составе этой заразы есть) почитайте, это вообще АД со стороны майкрософта и некого французского парниши.

я вручную создавал на ХР и 7. на 8.1 не могу блокнотом сохранить, хотя я админ.

создать нельзя, но (создать, а потом) скопировать или переместить с другой папки - можно

[Dr.Sydorenko]

Я вот думаю, чтоб вирусне создать файл perfc в папке винды, нужны админские права. Запрос админских прав может быть только при обновлении Медок, но у обычных смертных админских прав нет (только в какой-то быдло-конторе, где групповые политики устанавливал школьник). Каким образом могло произойти заражение?

вероятно, от System.
А что за дыра в офисных пакетах? какой принцип уязвимости там?

[woloshin]

Подскажите, есть ли инфо, чем просканить ФС на наличе Пети? Желательно портабельное решение

Здесь лежит, это из хабра.

есть мнение, что шифрование необратимое

таки да, по последним сведениям этот энкодер не вымогатель, а дестройер:
Petya уже не тот: Поразивший Украину вирус по своей сути не является вымогателем

Сообщение отредактировал woloshin - Jun 29 2017, 12:18

[Anderson]

уже пишут что петя не шифровальщик, а вайпер. Ссылка

[ЫЫЫ]

давайте еще 10 человек напишет этот боян

[Voland]

Вирус Petya был написан специально для Украины; за ним могут стоять спецслужбы РФ, - эксперт
В камментах все любимые эксперты собрались )

[cosco]

я вручную создавал на ХР и 7. на 8.1 не могу блокнотом сохранить, хотя я админ.

fsutil заблокирован?

[Marlevich]

создать нельзя, но (создать, а потом) скопировать или переместить с другой папки - можно

скопировать получилось

fsutil заблокирован?

я такое не знал.

[cosco]

скопировать получилось
я такое не знал.

cd c:\Windows
fsutil file createnew perfc 0
attrib +R perfc

[roleg]

мелкомягкие сволочи, из-за их халатности у нас на предприятии файловый сервер похерен =(

[sunnykaktys]

у кого сегодня выходной в связи с этой фигней?

[Koful]

мелкомягкие сволочи, из-за их халатности у нас на предприятии файловый сервер похерен =(

Админы делятся на два типа: те кто НЕ делает бекапы, и те кто УЖЕ делает бекапы.
(у вас наверное второй тип)

[roleg]

Админы делятся на два типа: те кто НЕ делает бекапы, и те кто УЖЕ делает бекапы.
(у вас наверное второй тип)

у меня ежедневные бэкапы баз данных, а вот ежедневных бэкапов файлового хранилища в несколько терабайт нету, странно... почему?

[Tiger]

у меня ежедневные бэкапы баз данных, а вот ежедневных бэкапов файлового хранилища в несколько терабайт нету, странно... почему?

Потому что наплевательское отношение админа, руководства к ИБ предприятия.

Делаю 8-14Тб ежедневных бэкапов. Заказчики бэкапят от 500Тб до 1,5Пб каждую ночь. Просто потому что нам важны наши данные. Вам видать нет.

ЗЫ. Есть такое магическое слово - инкремент.

Сообщение отредактировал Tiger - Jun 29 2017, 13:03

[plum-bum]

Потому что наплевательское отношение админа, руководства к ИБ предприятия.

Делаю 8-14Тб ежедневных бэкапов. Заказчики бэкапят от 500Тб до 1,5Пб каждую ночь. Просто потому что нам важны наши данные. Вам видать нет.

ЗЫ. Есть такое магическое слово - инкремент.

Bacula 4ever!!!

Тоже уважаю здоровый сон, по-этому фул бэкап виртуалок на отдельный нас без интернета.

[DemirelUA]

у кого сегодня выходной в связи с этой фигней?

У меня. Переводчик-фрилансер.
Что самое смешное, у моего основного бюро переводов всё нормально, ни одного компа не задело, но вот в чем фокус – накрыло почти всех основных заказчиков и переводы им сейчас точно не нужны: в итоге бюро сидит играет в сапера и косынку, а я – в Ведьмака 3