Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[volucer]

Обратите внимание на дату:
http://rostyslav.com/571/
http://novynarnia.com/2017/05/20/virus-xda...emoyu-wannacry/
Были и другие статьи и именно про зараженный медок и почту. Но т.к. медок не юзаем, усилил фильтрацию почты, что похоже и спасло 80+ машин на 3х объектах По обновам винды мнения разошлись, скорее не спасли бы. Только блокировка портов сдержала бы распространие.
Получается сервер медка с бекдором еще с апреля если не раньше был, с обновами делали что хотели, тестили на нас разные моды троянов

Сообщение отредактировал volucer - Jul 2 2017, 22:42

[tamagochy]

Еще вести с полей. 10 винда со всеми патчами и включеным дефендером остановила вирус.
После вонакрая у нас никто практически по ходу не почесался в усилениях защит, и самое главное, офис микрософт украина не провел ниодной конференции и не выслал ни одного письма своим крупным покупателям, со ссылками на сайт микрософта с обьяснениями как защитится.
Есть еще мнение что петька на 10 винде не получил бы админские пароли, потому что они шифруются.
Ну и медок должен быть наказан за использование дырявого сервера для обновлений. Но судя по всему там такое лоби что они отмажутся в любом случае..

[Tiger]

После вонакрая у нас никто практически по ходу не почесался в усилениях защит, и самое главное, офис микрософт украина не провел ниодной конференции и не выслал ни одного письма своим крупным покупателям, со ссылками на сайт микрософта с обьяснениями как защитится.

Майкрософту уже более года плевать на все локальные сервера. Они продают облако своё. Начиная от серверов, сервисов и заканчивая бэкапами.
Всё что они могли написать типо "А вот юзали бы Azure - все было бы ок"

[volucer]

Еще вести с полей. 10 винда со всеми патчами и включеным дефендером остановила вирус.

Microsoft антивирь поймал уже после ШИФРОВАНИЯ ДАННЫХ, убил вирусню на момент попытки полезть с изменениями в MBR. Обновы стояли утренние (считай ночные) на тот день когда Петр l начал шествие!

Майкрософту уже более года плевать на все локальные сервера. Они продают облако своё. Начиная от серверов, сервисов и заканчивая бэкапами.
Всё что они могли написать типо "А вот юзали бы Azure - все было бы ок"

... все было бы в ажуре
Для меня облачные технологии никогда не заменят локальные. Что по безопасности, что по скорости, в основном это маркетинг
Судиться с ними нужно, коллективный иск, достаточно только misha и psexec указать. Т.к. про этерналблу отмазка есть типа обновы мартовские были и ваннакрай все дела

Сообщение отредактировал volucer - Jul 3 2017, 21:39

[vicodin]

Да, блин. Все так классно юзают тему. А толком может хоть кто сказать как побороть или вылечить эту тварь?

[moonlight]

Да, блин. Все так классно юзают тему. А толком может хоть кто сказать как побороть или вылечить эту тварь?

Ответить нечего, вот и не отвечают.
Программы восстановлялки по своей сути все одинаковы, находят файлы с нечитаемого раздела, но файлы закриптованы. 1 из 60 компов у нас восстановился таким способом..

А всякие fixmbr это бред.

Сообщение отредактировал moonlight - Jul 3 2017, 23:06

[TaPaKaH4er]

Заходил сегодня по делу в киевенерго,весь офис сидит и работает в режиме консультации.вот это я понимаю дно,с 27-го числа не возобновили работу

[vicodin]

Ответить нечего, вот и не отвечают.
Программы восстановлялки по своей сути все одинаковы, находят файлы с нечитаемого раздела, но файлы закриптованы. 1 из 60 компов у нас восстановился таким способом..

А всякие fixmbr это бред.

Пасиб за ответ. Тож пробывал и chkdsk Мелких, и boot-repair-disk от ЮбунTу. Ничего не помогло. Один случай был, сразу после атаки. Загрузился с Simplix Live CD 2013 года, а там GetDataBack for NTFS. Почти все к нормальному состоянию вернул. Мелкая часть уже была шифрована.

Сообщение отредактировал vicodin - Jul 4 2017, 0:24

[tedder]

https://habrahabr.ru/post/331762/
UPD11: MicroSoft наконец то выложили все детали и разбор вируса Petya на своем сайте с рекомендациями и патчами (Eng).

Resources:

MSRC blog: https://blogs.technet.microsoft.com/msrc/20...alware-attacks/

Next-generation ransomware protection with Windows 10 Creators Update: https://blogs.technet.microsoft.com/mmpc/20...xt-gen-defense/

Download English language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

Download localized language security updates: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64

MS17-010 Security Update: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

General information on ransomware: https://www.microsoft.com/en-us/security/po...ransomware.aspx

Security for IT Pros: https://technet.microsoft.com/en-us/security/default

Сообщение отредактировал tedder - Jul 4 2017, 7:25

[Yevgeniy!!!]

Сегодня с утра начало бомбить опять https://virustotal.com/ru/file/5f90cab905fe...5035a/analysis/
будьте аккуратны и бухгалтеров предупредите, а то опять по открывают.
Адресаты уже в Украине:
"ТОВ "Полікарснаб"" <[email protected]>
Розшифровка заробітної плати за червень 2017р.
Рахунки співробітників для нарахування заробітної плати.
C повагою, Наталія
ТОВ "Полікарснаб"
10001, м. Житомир, пр-т Незалежності (вул. Ватутіна), 75
тел / факс: (0412) 41-40-37, (0412) 41-40-40

[woodsman]

это жесть какая-то....
https://www.welivesecurity.com/2017/07/04/a...nning-backdoor/
они по ходу с апреля юзали эти дыры в медке
если я правильно понял

воровали данные исходя из ЕДРПОУ.
с апреля.
в общем могли делать что хотят.
а потом когда своих целей достигли просто все похерили

Сообщение отредактировал woodsman - Jul 4 2017, 11:10

[volucer]

Сегодня с утра начало бомбить опять https://virustotal.com/ru/file/5f90cab905fe...5035a/analysis/

В следующий раз сканируй то, что внутри архива (7z, ace, cab, arj, rar и т.д.), если антивирь пропустит, информативнее будет
Эти рассылки на постоянной основе удут, причем антивири по началу зловреда в них не видят

Сообщение отредактировал volucer - Jul 4 2017, 13:35

[Nazgul]

Никто случаем не видел патч для Windows 7 starter?

[Yevgeniy!!!]

Внутри были два файла
зарплата 06._2017.xls
Список рахунків до оплати.js
первый https://virustotal.com/ru/file/f30f426e867b...7dd57/analysis/
второй
https://virustotal.com/ru/file/105e383260c1...1dc6e/analysis/
ничем не отличается от сканирования архива, который прислали.

[woodsman]

наконец-то. почти через неделю.
https://www.virustotal.com/ru/file/2fd2863d...00277/analysis/
и пока только eset
еще и вроде было доступно сегодня какое-то время обнова
ezvit.10.01.188-10.01.189.exe
в которой все тот же длл

Сообщение отредактировал woodsman - Jul 4 2017, 14:50

[-13-]

Kaspersky Anti-Ransomware Tool - защитит от повторного заражения
https://virusinfo.info/showthread.php?t=203022

Проверил на сэмплах отсюда https://gist.github.com/vulnersCom/65fe44d2...e4c176baba45759
Kaspersky Anti-Ransomware Tool их детектит и блочит
в отличии от битдефендера

[vrough]

Никто случаем не видел патч для Windows 7 starter?

а разве они по редакциям патчатся? вроде ж только архитектура 32 или 64...

[Nazgul]

а разве они по редакциям патчатся? вроде ж только архитектура 32 или 64...

Не хочет становиться(((.
Просто пришлось поблочить порты.

Сообщение отредактировал Nazgul - Jul 4 2017, 16:13

[vrough]

Не хочет становиться(((.
Просто пришлось поблочить порты.

а чего ругается? гранаты не той системы? )))
а через виндовс апдейт? 4012215 или 4012212.

[Console]

«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру Хабра..

Запрошенный с зараженной машины файл ZvitPublishedObjects.dll имел тот же хэш, что и исследованный в вирусной лаборатории «Доктор Веб» образец. Таким образом, наши аналитики пришли к выводу, что модуль обновления программы M.E.Doc, реализованный в виде динамической библиотеки ZvitPublishedObjects.dll, содержит бэкдор. Дальнейшее исследование показало, что этот бэкдор может выполнять в инфицированной системе следующие функции:

сбор данных для доступа к почтовым серверам;
выполнение произвольных команд в инфицированной системе;
загрузка на зараженный компьютер произвольных файлов;
загрузка, сохранение и запуск любых исполняемых файлов;
выгрузка произвольных файлов на удаленный сервер.