Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[DemirelUA]

Кого нагибать? Ложатся разнообразные сети, а это значит что они были уязвимыми еще на стадии проекта. Кто ищет подрядчиков "подешевле"? Кто одобряет проект? Кто оптимизирует расходы на ИТ нанимая аутсорсеров? И вы предлагаете нагибать этих уважаемых людей?

Если сказать просто – нагибать сисадминов, которые не способны настроить безопасность сети. Директор не способен проконтролировать плохую работу сисадмина – вина на нём. Не шарит – не оправдание. Начальник по умолчанию отвечает за всё и если он нанял пару КПИшников с 4 курса для того, чтобы они ему сделали "безопасную"™ сеть – это его личные проблемы.
То, что у нас такие сети оказались в большинстве корпораций...ну вы поняли, чья вина.
Почему компании, у которых просто-напросто закрыт 445 порт, живут себе спокойно?
Вот и ответ на вопрос.

[jurа_k]

Почему компании, у которых просто-напросто закрыт 445 порт, живут себе спокойно?
Вот и ответ на вопрос.

445 уже минимум лет 10-15 как разная зараза лезет, там где он не закрыт, просто нет админов, лол

[SSSK0]

Кого нагибать? Ложатся разнообразные сети, а это значит что они были уязвимыми еще на стадии проекта. Кто ищет подрядчиков "подешевле"? Кто одобряет проект? Кто оптимизирует расходы на ИТ нанимая аутсорсеров? И вы предлагаете нагибать этих уважаемых людей?

На стадии проекта - все было хорошо. А потом просто не дали денег... казначейство не перечислило... в бюджете не предусмотрено... и вообще у нас "война" - запускайте всю сеть как есть. Запустили... работает... в штатном расписании НЕТ ни сисадминов, ни безопасников... пока работало, но тут настал "день Х" и спрашивать не с кого Ну не нагибать же Гройсмана, который в бюджете вообще не предусмотрел расходы на безопасность и сопровождение крупных гос.систем

[Midnight)sky]

ты хочешь чтобы твой работодатель понес убытки ради того, чтобы ты пошел домой?

Класть я хотел на своего работодателя.

Сообщение отредактировал Midnight)sky - Jun 27 2017, 17:38

[lD1PS1l]

поподробнее?

Десятку, мак и Линукс не тронуло. Работают в штатном режиме

[woloshin]

Из инфорезиста.
Специалист по кибербезопасности Владимир Стыран рассказал в своем Facebook про вирус Petya, который атаковал Украину.
Стыран пишет, что заражение произошло из-за программы M.E.doc.
«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry»6 — пишет он.
По словам киберэксперта некоторые антивирусы могут вылечить компьютер.
Вирус Petya видят следующие антивирусники:
— Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A.
— Symantec будто поймал (прим. — только последняя версия АВ)
— McAfee во всех известных случаях облажался.
— Eset не реагирует».

Индикатором компрометации может быть наличие файла C:\Windows\perfc.dat», – пишет он.

Vlad Styran

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Здається, сьогодні багато людей в банківській та енергетичній галузях взнають, як було б добре патчитись, бекапитись і не клацати каку. Бережіться.
Факти і спекуляції відомі на даний момент (будь-ласка, виправляйте або підтверджуйте). Маєте уточнення, семпли, сигнатури – буду вдячний.
- Зараження
Початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам #WannaCry.
- Антивіруси
Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.
Symantec ніби зловив (прим. – лише остання версія АВ)
McAfee у всіх відомих випадках облажався.
Eset не реагує.
- IoC
Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat
Хеші деяких семплів:
101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc
e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg
9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe
736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls

[[DyuKT]_Toha]

Хоть один из заразившихся может отраблшутить и сказать как происходит заражение ? Почта/Открыл файл/Сосед принес флешку/Использование уязвимостей

[drone]

На стадии проекта - все было хорошо. А потом просто не дали денег... казначейство не перечислило... в бюджете не предусмотрено... и вообще у нас "война" - запускайте всю сеть как есть. Запустили... работает... в штатном расписании НЕТ ни сисадминов, ни безопасников... пока работало, но тут настал "день Х" и спрашивать не с кого Ну не нагибать же Гройсмана, который в бюджете вообще не предусмотрел расходы на безопасность и сопровождение крупных гос.систем

Ну ладно гос. системы. А что с ультраэффективными сетевыми аптеками/магазинами? А телекомпании? А связь? Это совсем не бедствующие компании.

[Суничка]

"Нова пошта" уже вроде восстановились.

[DemirelUA]

_Toha' date='Jun 27 2017, 16:33' post='6050532']
Хоть один из заразившихся может отраблшутить и сказать как происходит заражение ? Почта/Открыл файл/Сосед принес флешку/Использование уязвимостей

Если я правильно понимаю, оно не сразу ложит системы.
Причинно-следственную связь сложнее установить.

[Ахwell]

"Нова пошта" уже вроде восстановились.

Сайт, но не отправки.

[jurа_k]

307 чел. читают эту тему (101 Гостей и 4 Скрытых Пользователей)

четко

[DemirelUA]

307 чел. читают эту тему (101 Гостей и 4 Скрытых Пользователей)

четко

345 чел. читают эту тему (116 Гостей и 8 Скрытых Пользователей)
Надо мне было топикстартером заделаться

Сообщение отредактировал DemirelUA - Jun 27 2017, 15:39

[jurа_k]

344 чел. читают эту тему (116 Гостей и 8 Скрытых Пользователей)

[SSSK0]

А что с ультраэффективными сетевыми аптеками/магазинами? А телекомпании? А связь? Это совсем не бедствующие компании.

Жлобов и нищебродов в руководстве крупных компаний достаточно... "кризис - экономить надо"... схлынет пена эмоций и станет ясно: кто не жлобился на з/п айтишникам, а у кого "все пропало"

Большинство фирм, компаний, сайтов - спокойно продолжают работать. По не проверенным сведениям 10-ка с последними обновлениями на заражается этим вирусов - если насильно не заталкивать его с почтовика...

[jurа_k]

Жлобов и нищебродов в руководстве крупных компаний достаточно... "кризис - экономить надо"... схлынет пена эмоций и станет ясно: кто не жлобился на з/п айтишникам, а у кого "все пропало"

Большинство фирм, компаний, сайтов - спокойно продолжают работать. По не проверенным сведениям 10-ка с последними обновлениями на заражается этим вирусов - если насильно не заталкивать его с почтовика...

не жлобов, а экономов, завтра спрос на админку повысится

[drone]

не жлобов, а экономов, завтра спрос на админку повысится

А должен бы повысится спрос на пентестеров

[DemirelUA]

не жлобов, а экономов, завтра спрос на админку повысится

В первом сообщении список, куда можно резюме с завтрашнего дня отправлять

[SyntaxError]

Класть я хотел на своего работодателя.

зачем ты пашешь на него тогда?

[jurа_k]

А должен бы повысится спрос на пентестеров

еще скажи на поливальщиков вазонов, лол