Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[imenno]

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился. То есть зарплату мне не повысят?

Еще не поздно заразить машины и выбивать больше бюджет

[sTELLs]

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился.

Точно отбил? Или повезло?

[Era5er]

Знает кто какие антивирусы словили петю до обновления сигнатур в день заражения? Такие черви по сути только эвристикой можно выявить. Мелкософтовый точно словил, пишут Симантек последний словил. Есет и Каспер похоже в пролете, но сигнатуры быстро обновили, что некоторых спасло) Но лично у меня Есет отфильтровал все письма с червем, возможно повышенные настройки помогли.

Microsoft антивирь поймал уже после ШИФРОВАНИЯ ДАННЫХ, убил вирусню на момент попытки полезть с изменениями в MBR. Обновы стояли утренние (считай ночные) на тот день когда Петр l начал шествие!

[sTELLs]

Microsoft антивирь поймал уже после ШИФРОВАНИЯ ДАННЫХ, убил вирусню на момент попытки полезть с изменениями в MBR. Обновы стояли утренние (считай ночные) на тот день когда Петр l начал шествие!

А у меня на работе стоит NOD32 v10, новые сигнатуры мониторятся каждый час. Во время атаки выскочил "синий экран", ребутнул ПК и все норм а бухгалтерия накрылась. Из банковских программ юзаю только "АртЗвіт"...быть может его не затронуло просто.

[Inferno2008]

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился. То есть зарплату мне не повысят?

у Лени Черновецкого ?

[drocha]

ощадовские терминалы работают?

[ProoF]

ощадовские терминалы работают?

А сколько градусов за окном?
Поднять свой зад и пойти проверить не? Это же не чат

[southman]

еще немного фактов про неПетю собранных по собственным наблюдениям + открытые источники:
1) вирус действительно "неПетя", хотя и очень похож (даже пытается быть очень похожим), имеются отличия в логике работы шифровщика по сравнению с вариантом 2016 года, заимствование кода не особо просматривается.
2) механизмов обратной связи, где злоумышленникам передается приватный ключ (RSA) нет, это дает повод думать, что даже если они получили оплату и публичный ключ с экрана - они ничего не вышлют в ответ принципиально, т.к. недостаточно входных данных
3) лог. и физ. диски шифруются в параллель и с разными ключами - еще одно доказательство, что расшифровывать никто ничего не собирается
4) файлы объемом более 1Мб перезаписываются не полностью (хотя это, возможно, относится к конкретно проверенному экземпляру/модификации вируса) - шифруются только первые 2048 секторов (=1Мб). Это объясняет быстроту работы крипто-модуля - чтоб перезаписать 1Мб требуется максимум 0.05 сек.

Пока что радости мало исходя из всего этого, есть сильные основания полагать, что дешифратора не появится в ближайшем будущем, но удалять порченные файлы и Readme.txt с полным ключом (хотя многие успели заявить, что ключ этот обычный рэндом) я бы пока не советовал - вдруг решение найдется.

Сообщение отредактировал southman - Jun 30 2017, 23:42

[Pixel]

ощадовские терминалы работают?

Работают.

[Aspid]

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился. То есть зарплату мне не повысят?

Видимо, речь шла о том, что нужно сделать зарплаты выше (в тех гос. установах, где мало платят) чтобы привлечь грамотных специалистов, которые не хотят идти работать за копейки. Но некоторые журналисты предпочли в очередной раз выставить Пастора клоуном... у них наверное тоже маленькие зарплаты...

Сообщение отредактировал Aspid - Jul 1 2017, 0:38

[Banish]

Наша компания тоже пострадала от этой заразы

Имхо, сам заголовок новости - весьма смешной, т.к. повышать з/п надо там спецам, кто смог "отбить" атаку и оперативно восстановить работоспособность системы, а не тем, кто НЕ смог...

При условии, что изначально все корректно настроено.

Так шоб спрашивали уже со следующего)

Это не есть хорошо.
Норм админы так не поступают.

Сами себя обманули, а теперь ноете.

Сами отказались от российских антивирусов, а теперь...

Все же надеюсь, что это не они.

[dima_21]

При условии, что изначально все корректно настроено.
Это не есть хорошо.
Норм админы так не поступают.
Сами отказались от российских антивирусов, а теперь...

Все же надеюсь, что это не они.

а антивирус касперский лицензионный изначально пропустил все

[volucer]

Microsoft антивирь поймал уже после ШИФРОВАНИЯ ДАННЫХ, убил вирусню на момент попытки полезть с изменениями в MBR. Обновы стояли утренние (считай ночные) на тот день когда Петр l начал шествие!

Фуфел тоже получается

еще немного фактов про неПетю собранных по собственным наблюдениям + открытые источники

Это типичный деструктор, а не вымагатель. По разбору кода очевидно, что дешифратора не будет, считай отформатили диски и перезаписали данные. Вопрос в другом: как защититься от нового мода вируса, а он появится рано или поздно к гадалке не ходи. Тоже не понятно куда спецы смотрели, когда ваннакрай по всему миру расползался, а это было еще в мае..
С мартовскими обновами заразилось бы на порядок меньше компов

Сообщение отредактировал volucer - Jul 1 2017, 9:23

[rombel]

Сами отказались от российских антивирусов, а теперь...

хорошая попытка

[Пупка]

А вот интересно заразился кто у кого были патчи MS17-010. У жены вся контора пала тоже. Расшифровать диски кто-то смог? )))

[God_Of_war]

Работаю в Державном космическом агентстве Украины, отбил атаку. Не один пк не заразился. То есть зарплату мне не повысят?

Да у нас тут не иначе потомок бабы Ванги, заранее знал что в обнове медка вирус будет.
Кстати, на медок еще никто в суд не подал?

[Inferno2008]

Да у нас тут не иначе потомок бабы Ванги, заранее знал что в обнове медка вирус будет.
Кстати, на медок еще никто в суд не подал?

за что ? в любом пользовательском соглашении написано мелкими буквами * не несем отвественности*

[armageddon]

А вот интересно заразился кто у кого были патчи MS17-010. У жены вся контора пала тоже. Расшифровать диски кто-то смог? )))

Ну тут 100% проскакивали сообщения что даже 12 и 16 вин патченные до упора падали
ЗЫ Так а в чем, собсно, проблема ? MS17-010 это всего лишь путь распостранения

Сообщение отредактировал armageddon - Jul 1 2017, 10:37

[roleg]

тут супер крутые программисты радуются что их не пробило
а по сути не пробило только тех у кого топология сети не позволяет комп-комп и те у кого медка нет
windows 10 со всеми патчами и крутейшим платным антивирусом посасывает против вири которая вылезла с медка под локальным админом и через мимикатз подняла себя до администратора сети и поперла во все стороны

[LEXX_Gruzovik]

У нас в конторе Деловский UTM в тот роковой день в упор рвал соединение при закачке того обновления M.E.Doc. Думал ложное срабанывание) времени не было разбиратся, думал вечером отключить и скачать) но новости разлетелись быстрее.
Кстати, на серверах разделы GPT стоят, никто не в курсе, им Петя не страшен?

P.S. В UTM сигнатура от макафи срабатывала.

Сообщение отредактировал LEXX_Gruzovik - Jul 1 2017, 11:23