Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[kym]

у кого сегодня выходной в связи с этой фигней?

отработаете в субботу

cd c:\Windows
fsutil file createnew perfc 0
attrib +R perfc

тотальный коммандарм:
из папки с вышеуказазным путем из одной панели в другую панель скопировать куда надо
потом в свойствах файла сказать - онли чтение
и никаких строк в консоли....

Сообщение отредактировал kym - Jun 29 2017, 13:21

[_opium_]

Удалось восстановить MBR, доступ до диска С появился но папки Windows на нем не видно

А файлы на рабочем столе пользователей доступны?

[Koful]

А файлы на рабочем столе пользователей доступны?

нифига, нету папок users, windows, program files и т.д.

[tamagochy]

Тут даже упали золотые партнеры мелкомягких. Тоже медок используют. Как заразились еще не знают, восстанавливают из бэкапов БД ))
Все апдэйты стояли вроде как у них...

[Patriot~ua~]

если медок используют так и заразились))))

[Koful]

если медок используют так и заразились))))

Любишь медок, люби и холодок

[JumpeR]

Является ли изменение даты создания pagefile.sys признаком заражения?
Есть подозрение, что сервер 2012R был заражен, но пока не был перегружен.
Файла perfc не было, зато dllhost был обнаружен в папке пользователя.
Некоторые файлы данных были испорчены, вернул из бэкапа.
Работали с me-doc. Полетела. Воостановил из архива.
Eset Endpoint ничего не нашел.
Стремаюсь перегружать. Порты закрыты.
Доступ к серверу удаленный.
1 машина в сети - классический пример из новостей. Некритично.
Кто, что скажет?

[roleg]

perfc создается как только стартует тело вируса

[-RC-]

https://medium.com/@gray25/%D1%81%D0%B5%D1%...et-f3f35db4de73

скандалы, интриги, расследования

[roma1991]

Есть подозрение, что сервер 2012R был заражен, но пока не был перегружен.

Проверь планировщик задач.
Один из признаков заражения - постановка в планировщик задачи на перезагрузку, что-то типа
"%WINDIR%\system32\shutdown.exe /r /f"
с целью продолжить деструктивное воздействие на систему.
Иначе без запланированной перезагрузки он бы не распространялся так быстро.

[Asuser]

Восстановил загрузчик, но что делать дальше? Диск зашифрован.
Petya Sector Extractor = из 2016го...

[JumpeR]

Проверь планировщик задач.
Один из признаков заражения - постановка в планировщик задачи на перезагрузку, что-то типа
"%WINDIR%\system32\shutdown.exe /r /f"
с целью продолжить деструктивное воздействие на систему.
Иначе без запланированной перезагрузки он бы не распространялся так быстро.

нет ничего.
но файлы данных doc, xls, pdf точно были разрушены в указанный способ.
И сейчас единственное, что вижу - файл подкачки изменен как раз во время атаки.
27-06-14:40
Была ручная перезагрузка сервера по другим причинам, просто совпало.
Были порушены файлы и в общей папке, куда имел доступ зараженный комп.
Странно, что на все рабстанции были поставлены заплатки, но дал слабину только один.
Да, кстати, расшаренная папка была на другом дискеЮ отличном от С.

Сообщение отредактировал JumpeR - Jun 29 2017, 15:03

[tyoma]

Странный вирус, в офисе упали все компы на win7 и 2 сервера на 2008 R2. Интересно то, что все компы не которых стояла win 10 - не пострадали.

Удалось восстановить все данные, которые были не на системных дисках. Вирус шифрует только диск С.

Грузился с обычной флешки с образом win 10. И через проводник копировал все данные на флешку.

Спас компанию, у которой нет бекапов

Вирус остановил подменой файла perfc.dat проверял на чистых пк, подключая их к зараженной сети. Противоядие работает.

Всем удачи :о)

вы уверены что обычным копированием вам удалось восстановить данные? вы пробовали работать с файлами, которые вы скопировали? потому что у меня совсем другая информация.
тоже самое касается диска С - это бред, шифруются данные на всех подключенных дисках, в т.ч. и съемных.

[NumeroUno]

Каким образом могло произойти заражение?

Почитай гугл, разжёвано несколько месяцев назад.

[Midnight)sky]

В отличие от твоего бессмысленного пука в воду, я таки постарался напрячь мозг и порассуждать логически.

[Lion_Killsberg]

Админы делятся на два типа: те кто НЕ делает бекапы, и те кто УЖЕ делает бекапы.
(у вас наверное второй тип)

Бекапы имеют явную квантовую сущность.
До тех пор, пока не ты не попытался восстановиться из бекапа,
он находится в суперпозиции. Он одновременно успешный и нет.

[tyoma]

Так он папки не шифрует, только файлы, не?
Ппц, теперь столько геморроя с восстановлением банковских программ а именно ключей к ним

у меня ключи остались не тронутыми.
1 ключ эцп вроде как оказался битым, но я его нашел в другом месте через Р-студио, восстановил и все заработало. остальные ключи от банков (аваль, ощад, приват) проверили - живо. 1с 7,7 - база не пострадала, только архивы.

[mak_v_]

https://medium.com/@gray25/%D1%81%D0%B5%D1%...et-f3f35db4de73

скандалы, интриги, расследования

Это на уровне "Я овладел магией dig и whois"!

[sunnykaktys]

офигеть, 2 дня прошло, порталы УМХ все еще лежат, кабинет киевэнерго лежит... шо ж там такое?

[tyoma]

Здесь лежит, это из хабра

так и должно быть?
https://www.virustotal.com/ru/file/d0167cfb...726d0/analysis/