Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[sunnykaktys]

Админы нормально пилят денежки в гос. конторах. Вместо серваков покупают игровые компы на выделяемый бюджет и сидят рубятся в Ведьмака.

[volucer]

Знает кто какие антивирусы словили петю до обновления сигнатур в день заражения? Такие черви по сути только эвристикой можно выявить. Мелкософтовый точно словил, пишут Симантек последний словил. Есет и Каспер похоже в пролете, но сигнатуры быстро обновили, что некоторых спасло) Но лично у меня Есет отфильтровал все письма с червем, возможно повышенные настройки помогли.

Сообщение отредактировал volucer - Jun 30 2017, 12:12

[SSSK0]

Админы нормально пилят денежки в гос. конторах. Вместо серваков покупают игровые компы на выделяемый бюджет и сидят рубятся в Ведьмака.

И в чем профит получается? Рубится на шару в Ведьмака - это хорошо, но ведь з/п копеечная, а потом наступает "день Х" и вместо серваков с бэкапами что предъявить?

[Vaschek]

но ведь з/п копеечная, а потом наступает "день Х" и вместо серваков с бэкапами что предъявить?

Ну так отмазка по тексту - но ведь з/п копеечная

[cosco]

Ну, возможно имеется ввиду два разных физических диска

У меня у буха 2 рейд1 массива, оба зашифрованы

[sunnykaktys]

И в чем профит получается? Рубится на шару в Ведьмака - это хорошо, но ведь з/п копеечная, а потом наступает "день Х" и вместо серваков с бэкапами что предъявить?

Делать вид работы и параллельно искать что-то приемлемое. Так шоб спрашивали уже со следующего)

[Lion_Killsberg]

У меня у буха 2 рейд1 массива, оба зашифрованы

А зачем буху 2 рейда???? )))
это мягко говоря перебор...

[tamagochy]

А кото анализировал зараженные и не зараженные машины на наличие MBR и GPT?
Вроде как если GPT то все ок с ними даже при контакте с зараженными машинами.

[ЫЫЫ]

А зачем буху 2 рейда???? )))
это мягко говоря перебор...

музыкальная пауза

Алена Апина и группа "Комбинация" - Бухгалтер

[Phaust]

Сами себя обманули, а теперь ноете.

[cosco]

А зачем буху 2 рейда???? )))
это мягко говоря перебор...

ком. тайна на самом деле не перебор, спецом стоит так.

[roleg]

шифрует ключем в 2 кило, перебор нереален без квантового компа )))

[-13-]

Знает кто какие антивирусы словили петю до обновления сигнатур в день заражения? Такие черви по сути только эвристикой можно выявить.

просто оставлю это здесь ))
золотые слова

https://habrahabr.ru/post/256573/

GHostly_FOX 24 апреля 2015 в 17:24
+17

А в данном случае смена антивируса вам не поможет.
Я сталкивался с подобным видом атаки. Вот принцип подобной атаки с которой столкнулись мы:

Менеджер получила на почту письмо с текстом якобы от клиента о смене реквизитов и говорилось, что новые реквизиты в приложенном к письму файле. К письму прилагается архив, внутри архива был файл *.js (был и другой случай с другим типом исполняемого файла). После попытки его открыть началось шифрование файлов и к моменту когда мы получили запрос от менеджера, что у нее перестали открываться файлы и до момента когда бы отрубили ее комп и отключили связь в здании было зашифровано около 5000 файлов (благо ни одного важного за который пришлось бы платить).

Мы решили разобраться что же все же произошло. И т.к. файл был разширения .js мы прочитали порядок команд и тут нашли ответ почему антивирус никак не отреагировал на работу скрипта. Логика построено до безобразия просто.
После запуска программы начинается обращение к сайту злоумышлиника, с его сайта скачиваются программы для шифрования. Как оказалось это безвредный сам по себе софт для PGP шифрования. Скрипт формируется ключ для шифрования и запускает шифрования файлов. Не выполняется распространение по сети, просто он ищет файлы документа на локальной машине и на всех доступных расшаренных ресурсах.

По сути антивирус сам не видит в подобном алгоритме ничего вредного считая подобные действия — действиями пользователя, который сам решил защитить свои документы. За исключением того, что у пользователя не остается ключа дешифровки т.к. по окончания шифрования ключ удаляется из системы. И т.к. вы пишите на определенный E-Mail то злоумышлиник знает какой ключ надо использовать, чтобы открыть ваши файлы.

[roleg]

на счет почты
сервак был скомпроментирован изнутри, с правами локального администратора, все базы зашифрованы, нет нечего кроме баз и медок

Сообщение отредактировал Shel - Jun 30 2017, 17:58

[PSL]

Что скажут специалисты по этим размышлениям?

[mak_v_]

Да видели уже-ж...."Я овладел магией dig и whois"

[SSSK0]

Что скажут специалисты по этим размышлениям?

Какие-то странные размышления Из доказательств только странная фраза:
Ба, знакомые все лица — это же WNet, которого недавно трусило СБУ ))) - я так понимаю, что все к кому "заходило" СБУ автоматически записываются во враги народа? Не вижу никаких доказательств про ФСБ - и не вижу никаких опровержений... имхо, наш привычный бардак

Или есть и такое:

Хакеры атаковали Украину инструментами, разработанными АНБ США - NYT

https://zn.ua/WORLD/hakery-atakovali-ukrain...yt-252868_.html



Сообщение отредактировал SSSK0 - Jun 30 2017, 18:31

[imenno]

Теперь все более-менее норм ИТ в конторах с сотнями машин порежет все обновления и сделает через свой сервер. Кто-то будет следить за апдейтами, качать их и проверять, а потом кидай на свой сервак и от туда другие машины будут обновлятся. Или забьют болт и останется как и было. Этот червь как троянский конь с обновлениями пролез. Думаю, еще не мало атак будет в таком духе, чтобы пролезть в защищенную сеть с апдейтом чего-то там.

Сообщение отредактировал imenno - Jun 30 2017, 18:28

[volucer]

Скрипт формируется ключ для шифрования и запускает шифрования файлов. Не выполняется распространение по сети, просто он ищет файлы документа на локальной машине и на всех доступных расшаренных ресурсах.

Выходит что на шифрование не нужны права админа, бред еще тот.. Как вариант нужно будет посмотреть можно ли запретить шифрование где-то, например, в гпо для всех юзеров.. ну и запрет на изменение мбр в обязательном порядке стоит давно

Думаю, еще не мало атак будет в таком духе, чтобы пролезть в защищенную сеть с апдейтом чего-то там..

С апдейтом винды

Сообщение отредактировал volucer - Jun 30 2017, 18:42

[cezuc]

Скоро начнутся для поднятия зарплат... сам Турчинов сказал

Кіберфахівцям, які не змогли відбити атаку вірусу "Петя", хочуть підвищити зарплати

Секретар Ради національної безпеки і оборони України Олександр Турчинов заявив про низький рівень фахівців у сфері кібербезпеки і закликає посилити фінансування захисту кіберпростору та інформаційного простору України.

Крім того, він заявив, що хакерська атака, яка відбулася 27 червня, продемонструвала дуже низький рівень фахівців з кібербезпеки, які працюють в державних установах. За словами Турчинова, низький рівень зарплати державних службовців, не дозволяє залучати до цієї роботи висококласних професіоналів.

http://ua1.com.ua/society/kiberspecialista...lati-32310.html

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился. То есть зарплату мне не повысят?