Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Yaroslav]

А вот интересно заразился кто у кого были патчи MS17-010. У жены вся контора пала тоже. Расшифровать диски кто-то смог? )))

Да (Обновление Медка).
Нет.

Сообщение отредактировал Yaroslav - Jul 1 2017, 11:15

[volucer]

тут супер крутые программисты радуются что их не пробило
а по сути не пробило только тех у кого топология сети не позволяет комп-комп и те у кого медка нет
windows 10 со всеми патчами и крутейшим платным антивирусом посасывает против вири которая вылезла с медка под локальным админом и через мимикатз подняла себя до администратора сети и поперла во все стороны

Кто мешал порты распространения заражения блокировать после ваннакрай, до которого еще уйма вирусов-шифровальщиков было.
И идея ставить на контроллеры домена или ключевые серверы сервер медокса или еще какой другой тоже бред сам по себе. Как вариант на виртуалку все вынести, как я например сделал с динаем, артзвитом и др бух прогами
Если хотя бы порты заблочили, то заразились бы по сути только компы, которые были в контакте с червем
Опять же вопрос к Микрософту, что пароли админов делают в памяти и почему еще это не прикрыли патчем?
Я бы судился с Микрософтом в первую очередь, они должны покрывать все затраты. За лицуху они бабла не мало дерут, пусть теперь отвечают
И еще на заметку, я вот не ленюсь делаю полные образы дисков всех ключевых компов периодически, особенно после крупных изменений. В случае заражения или еще чего (например диск посыпался у баха ) 1 система восстанавливается за +/- 20 мин + внести изменения, которые не попали в образ.

Деловский UTM

Можно поподробнее

Кстати, на серверах разделы GPT стоят, никто не в курсе, им Петя не страшен?

Погуглил:
При использовании на зараженном компьютере GPT вместо MBR, NotPetya записывает произвольные данные на место первых десяти секторов, и таблица разделов в этом случае будет потеряна навсегда. Однако в этом случае главная файловая таблица не шифруется, а смещение раздела можно найти по сигнатуре раздела NTFS (R-Studio автоматически выполняет такую задачу).

Сообщение отредактировал volucer - Jul 1 2017, 11:56

[lipky]

За бугром тоже медок используют? Или всех собак на медок решили повесить?
Только машины на Винде полетели?

[tiss]

А вот интересно заразился кто у кого были патчи MS17-010.

Да.

У жены вся контора пала тоже.

Сочувствую.

Расшифровать диски кто-то смог? )))

Нет.

Вытянули инфу в Эпосе с убитого диска (базу данных), но поскольку конфигурационные файлы были закриптованы у меня был секас (хммм... и мне еще за него заплатили!) с запуском БД (горжусь собой!).

а по сути не пробило только тех у кого топология сети не позволяет комп-комп и те у кого медка нет

Или у кого нет винды

За бугром тоже медок используют?

Да

Или всех собак на медок решили повесить?

Ты не понял - у нас пострадало так много организаций, потому что бы централизованый орган заражения (читай медок), за границей тоже есть пострадавшие. Один из путей проникновения - фейковые резюме со ссылкой на скачивание антивируса.

Только машины на Винде полетели?

Да.

[lipky]

В Украине Медок был выбран в качестве транспорта, так как его используют 95% украинских компаний.
За бурном его не используют, у них ДФС нет. И поэтому там причины распространения другие.
Вся проблема в дырявой Винде и пользователях (это я про заражение через емаил).
Масштабы проблемы- на совести админов и их жлобах фин.директорах.

[roleg]

Кто мешал порты распространения заражения блокировать после ваннакрай, до которого еще уйма вирусов-шифровальщиков было.
И идея ставить на контроллеры домена или ключевые серверы сервер медокса или еще какой другой тоже бред сам по себе. Как вариант на виртуалку все вынести, как я например сделал с динаем, артзвитом и др бух прогами
Если хотя бы порты заблочили, то заразились бы по сути только компы, которые были в контакте с червем

ванакрай не ванакрай а юзверям SMB шары подавай (так что блокировать 139, 445 вообще не вариант), медок был не на контроллере, на финансовом сервере но админская сессия там естесно была, каждый день по 100 раз туда заходим
мне друган с СБУ рассказал что НотПетя собирает все токены с памяти и потом от их привилегий делает psexec, а с моими правами psexec на домен самое оно, а там повышение привилегий и пошло поехало =(

красиво так нас нагнули...
аж ответку захотелось дать, но блина на поиски новой дырки в винде у меня пол жизни уйдет =(

[drone]

А никто не смотрел логи роутеров? После того как зараза обживалась в бухгалтерии она не отправляла данные обратно в инет? Бухгалтерские книги - это ж просто кладезь ценнейшей информации.

[roleg]

Если кому нужно то GetDataBack Simple все данные отлично вытягивает с убитых разделов под Level 3. Уже пару десятков компов через неё прогнали.

Сообщение отредактировал roleg - Jul 1 2017, 12:46

[claus]

Если кому нужно то GetDataBack Simple все данные отлично вытягивает с убитых разделов под Level 3. Уже пару десятков компов через неё прогнали.

Вытянутое не факт что работоспособное. Чем моложе файл, тем больше вероятность, что его шифронуло.

[roleg]

Вытянутое не факт что работоспособное. Чем моложе файл, тем больше вероятность, что его шифронуло.

ну это понятно, просто профили, закладки, почту и т.д. что не пошифровало

[southman]

Если кому нужно то GetDataBack Simple все данные отлично вытягивает с убитых разделов под Level 3. Уже пару десятков компов через неё прогнали.

да, поддерживаю, рабочий совет, как и варианты с Р-студио. Сам пользую DMDE.

зачем за этим же идти в (горе-)известную контору, не понятно..
наверное, потому что данные высокой секретности и, конечно, никто их не должен видеть?

Вытянули инфу в Эпосе с убитого диска (базу данных), но поскольку конфигурационные файлы были закриптованы у меня был секас (хммм... и мне еще за него заплатили!) с запуском БД (горжусь собой!).

что по ценовой политике - за работу после неПетя ценник норм еще более норм впаяли?

[roleg]

уже налабался разделы подымать к 30-му компу )
без переустановки вылетают в работу

[SSSK0]

Масштабы проблемы- на совести админов и их жлобах фин.директорах.

Бесполезно объяснять очевидные вещи, т.к. "денегнет" и "путинвовсемвиноват"

[Пупка]

В Украине Медок был выбран в качестве транспорта, так как его используют 95% украинских компаний.
За бурном его не используют, у них ДФС нет.

Я слышал что международная "MARS" (батончики и прочее) заразилась у нас, далее пошло распространятся по всей их международной сети. Так что не только мы, но через нас.

[LEXX_Gruzovik]

Можно поподробнее

В двух словах: роль шлюза выполняет бывший Sonicwall, на сегодня Dell UTM, модель NSA 240. С рабочей подпиской на обновление сигнатур и глубокой проверкой пакетов. Железке уже больше 5 лет. В роковой день эта балалайка во время закачки обновления для Медок дропала соединение, думал ложное срабатывание. Фаервол отправлял семплы в облако - тот же результат. Писал "высокая вероятность", что есть что-то внутри. Фаервол мониторит трафик налету. Ну я честно думал, что ложное. Он часто на Приватовские корпоративные ключи срабатывал. Приходилось вносить в белый список. Думал вечером отключить нахрен защиту и закачать обновление на виртуалку, где Медок стоит.
Фаервол тянет сигнатуры Макаффи и Касперского. Сработали Макаффи.

[roleg]

возможно каспера заставили замолчать

[wintersun]

На olx ушлые ребята уже предлагаю расшифровку данных за 500 -300 убитых еноотов. Пахнет лохотроном

https://www.olx.ua/obyavlenie/vosstanovleni...ya-IDti6hK.html


Сообщение отредактировал wintersun - Jul 1 2017, 17:54

[roleg]

На olx ушлые ребята уже предлагаю расшифровку данных за 500 -300 убитых еноотов. Пахнет лохотроном

https://www.olx.ua/obyavlenie/vosstanovleni...ya-IDti6hK.html

если бы ключ дешифрации был в коде вируса, в памяти или на диске то его найти было бы не проблема
он же был в перезаписаном вирусом секторе и восстановлению не подлежит так как генерировался из рандомной последовательности
разве что эти ребята знают как взломать рандомный генератор или могут быстро подобрать 2-х килобайтный ключ

[woloshin]

так и должно быть?
https://www.virustotal.com/ru/file/d0167cfb...726d0/analysis/

та нормально конечно, сигнатура вируса в экзешнике-то прописывается, поэтому он на вирустотале и числится

У меня у буха 2 рейд1 массива, оба зашифрованы

я бы удивился, если бы было по-другому

А кото анализировал зараженные и не зараженные машины на наличие MBR и GPT?
Вроде как если GPT то все ок с ними даже при контакте с зараженными машинами.

вот именно, что вроде, в GPT все равно есть есть защитная MBR, на которую и реагирует означенная зараза

[volucer]

А никто не смотрел логи роутеров? После того как зараза обживалась в бухгалтерии она не отправляла данные обратно в инет? Бухгалтерские книги - это ж просто кладезь ценнейшей информации.

Боюсь предположить что червь еще и использовал бекдор doublepulsar некое время, особенно где есть что вытянуть

В двух словах: роль шлюза выполняет бывший Sonicwall, на сегодня Dell UTM, модель NSA 240. С рабочей подпиской на обновление сигнатур и глубокой проверкой пакетов. Железке уже больше 5 лет. В роковой день эта балалайка во время закачки обновления для Медок дропала соединение, думал ложное срабатывание. Фаервол отправлял семплы в облако - тот же результат. Писал "высокая вероятность", что есть что-то внутри. Фаервол мониторит трафик налету. Ну я честно думал, что ложное. Он часто на Приватовские корпоративные ключи срабатывал. Приходилось вносить в белый список. Думал вечером отключить нахрен защиту и закачать обновление на виртуалку, где Медок стоит.
Фаервол тянет сигнатуры Макаффи и Касперского. Сработали Макаффи.

Хороший девайс, в мгновение отработал вложенные средства на 1000% . И напрашивается вывод, что макаффи таки детектил зловред.

возможно каспера заставили замолчать

Предполагаю разрабы каспера и/или др.веба, которые уже давно под фсб, его и написали
Уж очень много уязвимостей и технологий использовано.

Сообщение отредактировал volucer - Jul 1 2017, 18:55