Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[tyoma]

а с чего взяли, что нет возможности расшифровки?

а вы можете расшифровать файлы?
не плохо бы заработали....

[public@]

Но вот сервер из другого офиса, заразился Петей, естетсвенно через M.E.Doc.
С чего взяли

[Antonio Salvagi]

Мбр загрузчик побил фс. Заражение произошло скорее всего через соц.инженерные средства и почту.Стояли все обновления принудительнопушенные через всус (за день этого), везде антивирусы и соответствующие права. Приходившие письма были из легетимных источников, но как в последствии оказалось, они их не отправляли.
Шифрования нигде не было из порядка 20 компов. Вернее писало что зашифровано блаблабла, но это не так-по крайней мере у меня. Соответственно после изменения мбр диски видились в партишен эксплорерах как Raw, а где не скинуло в raw пропали папки типа windows, users,App data и т.д.

Как я решал-на тех компах где фс не побило просто fixmbr (без rebuildbcd и fixboot).Полная работоспособность восстанавливалась.
На остальных где фс в raw помогла chkdsk /f (c указанием какие диски чекать). После чека большая часть файлов восстанавливалась либо нативно на тот же диск, либо как всегда после чекдиска и битых файлов в скрытую папку Found. 0000, а из нее уже ручками доставались нужные файлы. А из файлов типа .chk с помощью парсера .chk файлов. Возможно есть более изящные решения, но было не до этого.

Сообщение отредактировал Antonio Salvagi - Jun 30 2017, 8:56

[sendmi]

По другому никак, с него никто не принимал почту, и не лазил в интернете...
Доступ к серверу полностью ограничен.
Только программа 1С, отчеты Excel и M.E.Doc.

[sunnykaktys]

Отделения Ощада сегодня работают?

[cosco]

а вы можете расшифровать файлы?
не плохо бы заработали....

Нет и на сколько мне известно, пока еще не удалось.
Пока получилось только вытянуть копию медка с зашифрованного диска С.

[Gamal]

я так понимаю бухгалтера главные распостранители)))
у меня тоже второй раз подряд, запирался систему менять

Сообщение отредактировал Gamal - Jun 30 2017, 10:00

[public@]

Новые атаки уже начались!?

[Siberius]

del

Сообщение отредактировал Siberius - Oct 27 2020, 22:20

[tiss]

Удалось восстановить все данные, которые были не на системных дисках. Вирус шифрует только диск С.

Я мог бы тебе показать десятку, на которой зашифрованы файлы на диске Д

[public@]

в чём прикол!?

[-13-]

Возможно есть более изящные решения, но было не до этого.

Конечно есть ))
Rstudio норм достает

[armageddon]

Я мог бы тебе показать десятку, на которой зашифрованы файлы на диске Д

Ну, возможно имеется ввиду два разных физических диска

[SSSK0]

Новые атаки уже начались!?

Скоро начнутся для поднятия зарплат... сам Турчинов сказал

Кіберфахівцям, які не змогли відбити атаку вірусу "Петя", хочуть підвищити зарплати

Секретар Ради національної безпеки і оборони України Олександр Турчинов заявив про низький рівень фахівців у сфері кібербезпеки і закликає посилити фінансування захисту кіберпростору та інформаційного простору України.

Крім того, він заявив, що хакерська атака, яка відбулася 27 червня, продемонструвала дуже низький рівень фахівців з кібербезпеки, які працюють в державних установах. За словами Турчинова, низький рівень зарплати державних службовців, не дозволяє залучати до цієї роботи висококласних професіоналів.

http://ua1.com.ua/society/kiberspecialista...lati-32310.html

Сообщение отредактировал SSSK0 - Jun 30 2017, 11:04

[ЫЫЫ]

в чём прикол!?

попробую объяснить, народ тратит кучу денег и сил на то чтобы намайнить крохи криптовалюты видеокартами, в то время как хакеры майнят просто вымогательством, что получается гораздо эффективней, юмор в том, что на самом деле по всем законам морали правильно фармить криптовалюту видеокартами
у меня ничего не вышло
это юмор, или понял или слоупок

[sir]

Скоро начнутся для поднятия зарплат... сам Турчинов сказал

Кіберфахівцям, які не змогли відбити атаку вірусу "Петя", хочуть підвищити зарплати

Секретар Ради національної безпеки і оборони України Олександр Турчинов заявив про низький рівень фахівців у сфері кібербезпеки і закликає посилити фінансування захисту кіберпростору та інформаційного простору України.

Крім того, він заявив, що хакерська атака, яка відбулася 27 червня, продемонструвала дуже низький рівень фахівців з кібербезпеки, які працюють в державних установах. За словами Турчинова, низький рівень зарплати державних службовців, не дозволяє залучати до цієї роботи висококласних професіоналів.

http://ua1.com.ua/society/kiberspecialista...lati-32310.html

Ясен пень что низкий уровень, за 5-6 к кого они хотят видеть ?
Нужно или расформировывать отделы и нанимать аутсорсинговые фирмы, или повышать зп, чтоб в госсектор шли не только студенты.

Сообщение отредактировал Shel - Jun 30 2017, 13:03

[Voland]

Ясен пень что низкий уровень, за 5-6 к кого они хотят видеть ?
Нужно или расформировывать отделы и нанимать аутсорсинговые фирмы, или повышать зп, чтоб в госсектор шли не только студенты.

Нормальный специалист никогда не будет работать в наших гос. структурах. Ведь все сводится к формуле я начальник, ты - мудак. И тотальный распил, какой специалист пойдет на такие условия, только студент для опыта или родственник на кормушку. Начинать надо с турчиновых )

Сообщение отредактировал Shel - Jun 30 2017, 13:04

[sir]

Нормальный специалист никогда не будет работать в наших гос. структурах. Ведь все сводится к формуле я начальник, ты - мудак. И тотальный распил, какой специалист пойдет на такие условия, только студент для опыта или родственник на кормушку. Начинать надо с турчиновых )

Я Вам больше скажу - та же херня сейчас не только в госорганах.
Большинство работодателей почему-то думают что за 7 к специалист должен уметь все и еще немного ))

[SSSK0]

Имхо, сам заголовок новости - весьма смешной, т.к. повышать з/п надо там спецам, кто смог "отбить" атаку и оперативно восстановить работоспособность системы, а не тем, кто НЕ смог...

Ясен пень что низкий уровень, за 5-6 к кого они хотят видеть ?

З/п в этой области очень печальные - максимум 6400 грн. "грязными" на должность начальника с полной ответственностью за сохранность данных

Нужно или расформировывать отделы и нанимать аутсорсинговые фирмы, или повышать зп, чтоб в госсектор шли не только студенты.

Отделы и так уже почти расформированы - отсюда и такой печальный уровень ИТ в гос.структурах. А аутсорсинг - это как-то странно звучит по отношению к серьёзными гос.структурам типа КабМина (там же почти секретные данные)

Сообщение отредактировал Shel - Jun 30 2017, 13:04

[Lion_Killsberg]

Я Вам больше скажу - та же херня сейчас не только в госорганах.
Большинство работодателей почему-то думают что за 7 к специалист должен уметь все и еще немного ))

В том то и проблем, что все зацикливаются на специалисте, а не на команде спецов...
Будь у тя даж 15 пядей во лбу ВО ВСЕМ разбираться невозможно...

Отделы и так уже почти расформированы - отсюда и такой печальный уровень ИТ в гос.структурах. А аутсорсинг - это как-то странно звучит по отношению к серьёзными гос.структурам типа КабМина (там же почти секретные данные)

Нормальное явление оутсорсинг даж для таких структур...
Ток у нас ведь процветает кумовство-сватовство...
и фиг что так отдел при структуре, что аутсорс...

Сообщение отредактировал Lion_Killsberg - Jun 30 2017, 12:02