Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Koful]

ппц..."медок" закрыли
Это жесть, теперь новую прогу покупай, иди в налоговую регай ключи

Нацполіція вилучила сервери компанії M.E.Doc, що розробляє програмне забезпечення з обліку та документообігу, в рамках розслідування атаки 64 країни і 12,5 тисяч заражених комп'ютерів: у Microsoft підтвердили провину M.E.Doc 64 країни і 12,5 тисяч заражених комп'ютерів: у Microsoft підтвердили провину M.E.Doc вірусу Petya.A. Про це повідомляє Reuters з посиланням на коментар Голови департаменту кіберполіції Сергія Демедюка.

Більше читайте тут: https://tsn.ua/ukrayina/policiya-viluchila-serveri-kompaniyi-m-e-doc-cherez-rozsliduvannya-kiberataki-955888.html

[SyntaxError]

EDRPOU: string



Сообщение отредактировал SyntaxError - Jul 5 2017, 11:21

[-RC-]

стрингой проще

[SyntaxError]

стрингой проще

тут не в стринге дело, а в названии самой проперти))) писалось спецом под нас.

[-RC-]

чет не пойму, а что не так?

[VeteR_OK]

EDRPOU: string

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Сообщение отредактировал VeteR_OK - Jul 5 2017, 11:20

[wintersun]

Сегодня запустили у себя на конторе сервер с мидком, ESET Nod зарубил его за запуск на корню. Где ж он был неделю назад

Альтернативы хоть какие мидку есть?

Сообщение отредактировал wintersun - Jul 5 2017, 11:23

[SyntaxError]

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

поправил. сраный хостинг картинок ссылку на себя влепил, вместо оригинала

чет не пойму, а что не так?

да все так. просто прямое доказательство того,что вирус писался спецом для Украины.

Сообщение отредактировал SyntaxError - Jul 5 2017, 11:24

[-RC-]

ну да.
скорее это просто демо какой-то хак группировки, показать способности

[sir]

Позвонили пол часа назад, сказали: "гаси медок! вторая волна идет."

[F@N]

Позвонили пол часа назад, сказали: "гаси медок! вторая волна идет."

Есть такое. Товарищь с Гос.которы тоже отписал. Что на их сервера, вторая волна пошла.

[kym]

Позвонили пол часа назад, сказали: "гаси медок! вторая волна идет."

как же так?
ВЧЕРА аваков лично грудью остановил вторую волну
а вы СЕГОДНЯ паникуете.......

[ety]

ппц..."медок" закрыли
Это жесть, теперь новую прогу покупай, иди в налоговую регай ключи

Бухгалтера юзают это причём некоторые начали до истории с "Петей"
Ключи подойдут от медка, нужен ещё пароль к ключу (если я правильно понимаю тот который вводится в Медке при подписи и отправке отчетности). Вообще ключи от медка - это не ключи именно для этой программы - это ЕЦП.
Ещё можно посмотреть в сторону приват24, через него тоже можно это делать.

Большая вероятность что ключи (ецп), если они были не на системном диске - рабочие, с системного тоже можно достать, например R-studio.

[Koful]

Альтернативы хоть какие мидку есть?

sonata.biz.ua/
art-zvit.com.ua
Но ЭЦП уже сейчас регать надо бежать, думаю ажиотаж будет не хилый ))

Бухгалтера юзают это причём некоторые начали до истории с "Петей"
Ключи подойдут от медка, нужен ещё пароль к ключу (если я правильно понимаю тот который вводится в Медке при подписи и отправке отчетности). Вообще ключи от медка - это не ключи именно для этой программы - это ЕЦП.
Ещё можно посмотреть в сторону приват24, через него тоже можно это делать.

Большая вероятность что ключи (ецп), если они были не на системном диске - рабочие, с системного тоже можно достать, например R-studio.

Спасибо, но ключи мы просрали. Доступ к ПК восстановить не удалось и пришлось ставить систему с нуля.

[sir]

Бухгалтера юзают это причём некоторые начали до истории с "Петей"
Ключи подойдут от медка, нужен ещё пароль к ключу (если я правильно понимаю тот который вводится в Медке при подписи и отправке отчетности). Вообще ключи от медка - это не ключи именно для этой программы - это ЕЦП.
Ещё можно посмотреть в сторону приват24, через него тоже можно это делать.

Большая вероятность что ключи (ецп), если они были не на системном диске - рабочие, с системного тоже можно достать, например R-studio.

ЕЦП вообще изначально нужно было хранить на сьемном носителе, или хотя бы ее копию.

[Koka-ftp]

https://report.ligazakon.net/

[sir]

Спасибо, но ключи мы просрали.

Если не госструктура, то посмотрите ключи от привата, 3 минуты на получение, при условии, что вы клиент банка.

[Freelancer_mac]

Читаем между строк или Гибридная война в киберпространстве

[Marlevich]

+1, робіт кабінет

зашел сейчас с 2-х аккаунтов. заходит, но данных по электричеству нету. написано "регламентные работы"
долги покойной бабушки за электричество списались ?

Сообщение отредактировал Marlevich - Jul 5 2017, 12:52

[tamagochy]

Судя по расследованию эсета, все ключи нужно перевыпускать потому что этот вирус утащил все что мог за два месяца...
Медок как наказывать будут за дырявый сервер с котрого утащили исходники и написали бэкдор? Или лобисты опять отмажут и скажут рафик не уиноват ))