Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[moonlight]

а мне вот, интересно, почему у меня компы на которых стоят тотал 360 выжили.. чем он там крут что отбил?

Сообщение отредактировал moonlight - Jul 1 2017, 18:57

[977_ReX_977]

Забавная статья по теме, на сайте с забавным названием

https://ebanoe.it/2017/06/30/shastitko-on-virus-attack/

[Powh3d]

Таки проследили цепочку.
Еще раз подтверждает логику: "хороший сосед - мертвый сосед"
Нам нужно дать ответку "русскому миру" или быть получателями удовольствий и дальше.
Нас уничтожить желают, а мы все тянем и тянем.

Откуда вброс ?

[Linh]

Боюсь предположить что червь еще и использовал бекдор doublepulsar некое время, особенно где есть что вытянуть
Хороший девайс, в мгновение отработал вложенные средства на 1000% . И напрашивается вывод, что макаффи таки детектил зловред.
Предполагаю разрабы каспера и/или др.веба, которые уже давно под фсб, его и написали
Уж очень много уязвимостей и технологий использовано.

Есть очень достоверная инфа что в в разработке вируса ЛИЧНО принимал участие Путин. Откуда инфа - большой секрет.

[ЫЫЫ]

Есть очень достоверная инфа что в в разработке вируса ЛИЧНО принимал участие Путин. Откуда инфа - большой секрет.

Хорошая шутеечка, братан

[roleg]

Откуда вброс ?

https://ssu.gov.ua/ua/news/1/category/2/vie...h.cI66BTlL.dpbs

[andruk464]

(Powh3d @ Jul 1 2017, 19:50) *

Откуда вброс ?

https://ssu.gov.ua/ua/news/1/category/2/vie...h.cI66BTlL.dpbs

Кто б сомневался.

[tyoma]

за что ? в любом пользовательском соглашении написано мелкими буквами * не несем отвественности*

я уже не говорю про то, что каждая фирма покупает медок у разных фопов и чп, которые с некоей переодичностью закрываются и открываются. при чем очень хитро - уходят от налогов и ответственности за свой продукт. тоже касается и ключей эцп. на самом деле ключи стоят не 200-300 грн, а 10. а остальные 180 грн стоит их "обработка и выдача".

тут супер крутые программисты радуются что их не пробило
а по сути не пробило только тех у кого топология сети не позволяет комп-комп и те у кого медка нет
windows 10 со всеми патчами и крутейшим платным антивирусом посасывает против вири которая вылезла с медка под локальным админом и через мимикатз подняла себя до администратора сети и поперла во все стороны

а медок с правами юзера и не работает, все бухи сидят под админом на сколько я понял.

[volucer]

Есть очень достоверная инфа что в в разработке вируса ЛИЧНО принимал участие Путин. Откуда инфа - большой секрет.

Вата, тебя слово ПРЕДПОЛАГАЮ не смущает?

Как по мне самая боль и мигрень как раз не в пете, а в мише:

В случае, если вирусу Petya.A не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске Mischa

То-есть прав админа на запуск хрен-знает чего, в частности шифровальщика не нужно.
Тут подробно изучено что да как: https://habrahabr.ru/company/bizone/blog/331854/

а медок с правами юзера и не работает, все бухи сидят под админом на сколько я понял.

то как обновляется медок просто таки приглашение для троянцев с правами админа, да еще и на исполение
у меня бухи под юзерами сидят, но некоторый особо упоротый софт пришлось допиливать

Ходят слухи что петя 1 был продан и куплен неизвестными, потом доработан и запущен в нашу сторону

Сообщение отредактировал volucer - Jul 2 2017, 17:39

[Dred]

так шкиряк вроде сказал что это точно путен
без всяких предположений

[southman]

Небезызвестная фирма продолжает пиариться на чужом горе, аплодируем стоя

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

«ЕПОС» может частично восстановить данные, зашифрованные Petya.A ...


При анализе пострадавших накопителей выяснилось, что в результате действия вируса шифруются файлы и файловые таблицы. Также вносятся изменения в загрузочные области накопителя Master Boot Record (MBR). На первый взгляд может показаться, что информация на пострадавших устройствах потеряна безвозвратно, но, к счастью, это не совсем так. На сегодня, «Центру восстановления информации ЕПОС» в большинстве случаев удалось восстановить необходимые файлы (более 65%).

ссылка

подозреваю, что 65% - это или те системные файлы, которые вирус не трогает в принципе + файлы, которые не успело зацепить или это даже те сектора, которые не подверглись шифрованию..
правда, считать, что вы восстановили после криптора файлы, которые в первом мегабайте имеют мусор - глупо, т.к. весь файл (практически любого формата и любого размера) после этого непригоден для чтения.
Исключением являются файлы, которые поддерживают стримминг и содержат заголовок в каждом своем блоке данных (в основном, это мультимедиа контент).

[Dr.Sydorenko]

так медиа-файлы и не шифруются - их и восстанавливают

[southman]

так медиа-файлы и не шифруются - их и восстанавливают

согласен, список расширений которые попадают неПете (или точнее Мише):

3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip

rtf вполне легко, кстати, репейрится (если не зашифрован полностью) добавлением заголовка, т.к. по-сути это текстовый файл.

еще полезные ссылки чтоб подытожить:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://habrahabr.ru/company/bizone/blog/331854/
https://www.malwaretech.com/2017/06/petya-r...hats-known.html

Сообщение отредактировал southman - Jul 2 2017, 11:53

[sword]

Небезызвестная фирма продолжает пиариться на чужом горе, аплодируем стоя

Плавали знаем, отвез в эту говноконтору директор с старой работы бук сони (стоимость бука по тем временам около 20кгрн при старом курсе) ни с кем не посоветовавшись. Нужно было восстановить данные с диска, в принципе на месте было решаемо но он решил мол там ну вообще суперпрофи и сделают быстрее, в итоге ни данных ни бук больше никто не видел, директор человек не конфликтный они ему лет пять по ушам ездили мол уже вот вот, потом начали морозится что данные извлекли но отдать могут только когда бук отремонтируют но в бук нового харда 1,8" нет у них, надо ждать, в общем по сей день ждут...
Одним словом если кто еще не в курсе то такую контору как Эпос лучше обойти десятой дорогой.

Сообщение отредактировал sword - Jul 2 2017, 11:58

[placebo]

У нас fixmbr не восстанавливает.

Выработали такой алгоритм:

- отключаем от локалки
- загружаем liveCD с линухом и смотрим что из файлов живо на системном диске (в 90% случаев ничего)
- ставим новую ОС (Win10 1703 ибо она со встроенной заплаткой от МС), с удалением системного раздела и созданием нового, форматируем новый системный раздел
- создаем файлы perfc, perfc.dat, perfc.dll в C:\Windows и C:\Windows\Temp
- если ОС не W10 1703, ставим патч от МС. Если W7, то ставим MS Security Essentials
- подключаем к локалке, в настройках подключения отключаем "шаринг файлов и принтеров по сети", обновляем базы Win Defender.
- сканируем машину Win Defenderом (ничего не находит, но на всякий)
- заводим машину в домен

Подняли сеть на следующий день, пока полет нормальный. Не претендую на безупречную правильность действий, просто не нашел детальной инструкции как поднять зараженные машины, решил поделиться.

Сообщение отредактировал placebo - Jul 2 2017, 12:00

[Console]

Народ нужен совет, с NAS мало имел дела... подскажите насколько в таких случаях он ефективен?
Или нужно "напильником" доробатовать.
Или исключительно зависит от настроек?

[volucer]

- создаем файлы perfc, perfc.dat, perfc.dll в C:\Windows и C:\Windows\Temp

на чтение, чтобы наверняка, и это только от пети.а спасет

ставим MS Security Essentials

я бы макафии ставил, уже не первый раз он ловит, то что другие в упор не видят

про права юзера, мбр, порты, вланы и много чего другого забыл

Народ нужен совет, с NAS мало имел дела... подскажите насколько в таких случаях он ефективен?
Или нужно "напильником" доробатовать.
Или исключительно зависит от настроек?

Из описания логики пети/мишы он шифрует все шары какие доступны

Сообщение отредактировал volucer - Jul 2 2017, 12:18

[placebo]

на чтение, чтобы наверняка, и это только от пети.а спасет

Да, конечно.

я бы макафии ставил, уже не первый раз он ловит, то что другие в упор не видят

про права юзера, мбр, порты, вланы и много чего другого забыл

Возможно. ESET щедро пропустил, например.

Права юзера, порты и прочее регулируется на уровне доменной политики. Доменную логику не пишу, т.к. не сисадмин. В связи с авралом привлекли, как типа "ты же что-то понимаешь, придумай как поднять юзеров".

Сообщение отредактировал placebo - Jul 2 2017, 12:21

[tiss]

Одним словом если кто еще не в курсе то такую контору как Эпос лучше обойти десятой дорогой.

С Єпосом имел дело три раза. Во всех трех случаях они восстанавливали информацию.

«ЕПОС» может частично восстановить данные, зашифрованные Petya.A ...

подозреваю, что 65% - это или те системные файлы, которые вирус не трогает в принципе + файлы,

Те же базы данных, так как ПетяА шифрует .дбф файлы - если в момент срабатывания они были открыты, то их не шифрануло. Далее просто вытягиваются данные и все на месте. Но когда убиты конфиги секас истчо тот.

[sword]

С Єпосом имел дело три раза. Во всех трех случаях они восстанавливали информацию.

Может и в этом случае восстановили, просто решили не выдавать клиенту данные ну и бук пригодился видимо
Причем по данной конторе это не единичный случай, может человеческий фактор... но я к ним ни ногой как и знакомые мои.

Сообщение отредактировал sword - Jul 2 2017, 15:30