Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[armageddon]

Вот такое вот письмо только что пришло

Уважаемые пользователи!
Сообщаем Вам, что с целью обезвреживания вируса и безопасной работы пользователей в дальнейшем, временно недоступны сервисы М.Е.Док и 1С:Звит.
В настоящее время разработчики сервисов совместно с Киберполицией проводят мероприятия по стабилизации ситуации. На сейчас более подробной информации об итогах и сроках не предоставлены.

Вчера было проведено обновление антивирусных программ, в результате чего удаляется файл ZvitPublishedObjects.dll , в результате сервисы М.Е.Док и 1С:Звит не запускаются.
Разработчики антивирусных программ рекомендуют:
1. не добавлять данные сервисы в исключение антивирусных программ 2.отключить ПК, на которых установлены сервисы, от общей сети 3. по-возможности, не запускать сервисы М.Е.Док и 1С:Звит 4. изменить пароль для прокси-серверов, а также для учетных записей электронной почты для всех пользователей

Также информируем, что временно не работает сайт Медка, 1С-Звита, СОТЫ, ключей АЦСК Украина, сервер статистики и с перебоями работает сервер налоговой.

При получении дополнительной информации будем оперативно вас информировать



Вообще не понятно сколько эта зараза уже сидит времени в медке и что она успела за это время сделать

[wintersun]

Вот такое вот письмо только что пришло

Интересно, кто отправитель данного письма?

Сообщение отредактировал wintersun - Jul 5 2017, 13:18

[armageddon]

Интересно, кто отправитель данного письма?

Орбіс-Т, 1с когда-то у них покупали

[esslMIK]

Была удалена NODом ZvitPublishedObjects.dll (на ПК локальная версия) и все медок не стартует, при этом все компы в сети не пострадали (более 50-ти). Сетевой медок тоже нашел длл, выключил его пока от греха, бекап свежий с тойже длл...

[southman]

То, что сейчас все научились детектировать потенциальную опасность в dll медока, это конечно хорошо.
Плохо, что этого не случилось ДО активизации вируса.
Более того, абсолютно неясно зачем было включать этот механизм вируса (вероятно, ожидалось, что упадет вообще вся и все и урон будет на много еще больше денег), что в последствии дало возможность найти и закрыть дыру в обновлялке.

PS: на тему рекавери - самый печальный исход, когда вирус отработал до этапа шифрования MFT, а не только перезаписи MBR.
В этом случае сигнатурный поиск возможен, но базы того же 1С и медока приходится собирать почти в ручном режиме, что долго и соотв. дорого. Пообщавшись с коллегами "по цеху", стало ясно, что реального решения нет, все именно так и работают.

Сообщение отредактировал southman - Jul 5 2017, 13:49

[woodsman]

уахахахаа
Департамент кіберполіції Національної поліції України
зловмисники підмінили конфіг nginx на сервері медок, та зробили редірект на сторонній IP.
на сервер в хостингу OVH.

[Console]

Есть бекапы на машинах с вирусом, в .rar большие овер 10 ГБ... казалось, все в шеколаде...
Но вот только одна проблема... пароль на архиве....

ну да.
скорее это просто демо какой-то хак группировки, показать способности

Ниче так демка..., как же выглядит полная версия?)))

Бухгалтера юзают это причём некоторые начали до истории с "Петей"
Ключи подойдут от медка, нужен ещё пароль к ключу (если я правильно понимаю тот который вводится в Медке при подписи и отправке отчетности). Вообще ключи от медка - это не ключи именно для этой программы - это ЕЦП.
Ещё можно посмотреть в сторону приват24, через него тоже можно это делать.

Большая вероятность что ключи (ецп), если они были не на системном диске - рабочие, с системного тоже можно достать, например R-studio.

Используйте аппаратные хранилище ключей ЕЦП.., и если что я не о usb флешках.

[Nagrik]

Аналитики ESET: Вирус Petya был создан специально для Украины

Изучив зараженный модуль программы, эксперты пришли к выводу, что вирус писали именно для нападения на украинское государство: выяснилось, что в одном из дополнительных классов этого модуля находится переменная под названием EDRPOU, куда записывается код ЕДРПОУ — Код Єдиного державного реєстру підприємств та організацій України. Последний существует только в Украине.

Имея к нему доступ, преступники могут точно идентифицировать организацию, которая теперь использует зараженную версию M.E.Doc, и использовать против ее компьютерной сети самые разные тактики. Наряду с кодами ЕДРПОУ бэкдор собирает параметры прокси и электронной почты, включая имена пользователей и пароли от приложения M.E.Doc. Зараженный модуль не использует никакие внешние серверы: он использует регулярные запросы проверки программного обеспечения M.E.Doc на официальный сервер M.E.Doc upd.me-doc.com [.] Ua.

[wintersun]

МиДок все таки признал вину

http://itc.ua/news/kompaniya-razrabotchik-...pisat-zaplatku/

[Console]

МиДок все таки признал вину

http://itc.ua/news/kompaniya-razrabotchik-...pisat-zaplatku/

предложила Киберполиции Украины совместно написать «заплатку»

ненене Девид Блейн, больше не нужно....хватило той...

Сообщение отредактировал Console - Jul 5 2017, 15:07

[tarantul-x2]

МиДок все таки признал вину

Таки да - всех сажать, с конфискацией!

https://www.facebook.com/medoc.ua/posts/1908536359433942

[F@N]

Не знаю была ссылочка или нет.

Не все так просто с Petya

Сообщение отредактировал F@N - Jul 5 2017, 15:29

[wintersun]

Не знаю была ссылочка или нет.

Не все так просто с Petya

Расследования все печальнее и печальнее....

"Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости."

[southman]

Читаем между строк или Гибридная война в киберпространстве

немного сумбурно описан механизм шифрования отдельных файлов (новость 2)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Вторая новость:

Зловред подразумевает, что получит достаточно привилегий пользуясь «ядерным» эксплоитом, однако при недостатке прав, всё же пытается нанести урон, шифруя файлы на диске. Как оказалось, он заботливо выкладывает файл README.TXT в корневом каталоге диска, либо относительно своего расположения. В который, как оказалось, в текстовом виде попадает ключ шифрования файлов. Также его можно найти в бинарном виде в теле трояна:

... MIIBCgKCAQEAxP/VqKc0yLe9JhVqFMQGwUITO6W ...

Так как ключ используется в симметричном варианте, то им же можно зашифрованные файлы и расшифровать, но это при условии, что не выполнится финальная часть шифрования (в бутсекторе).

вот множество вариантов, где бутсектор нетронутый, а файло пошифровано и что-то никто дешифратор не слепил.. ах, пардон.. ключ в теле вируса и тот, которым происходит шифрование - не одно и то же. облом.

Более того, ключей несколько - приватный и публичный (AES). Публичный - в текстовике имеет другой вид, чем тот, что на экране (эта "фича" вируса), а приватный генерируется, шифруется по алгоритму RSA и.и.иии.... удаляется из памяти без передачи по сети. Соотв. расшифровать не получится.

Хотя частей крипто-вируса несколько - шифровка MBR/MFT и отдельных файлов возможно имеет разные алгоритмы.. Но печально, что на одной машине файлы на разных дисках шифрует по-разному - вывод ключ новый или срабатывает глюк когда переменная в крипто-алгоритме не обнуляется (писали раньше) при шифровании части файла (более 1Мб), а не целиком.

Сообщение отредактировал southman - Jul 5 2017, 16:17

[Console]

Прикриттям наймасштабнішої кібератаки в історії України став вірус Diskcoder.C
А серверная зачет....

[armageddon]

А серверная зачет....

Да, китайский вентилятор и счетчик банкнот рулят

[Midnight)sky]

Вентилятор в серверной...

[Console]

Вентилятор в серверной...

нет нет, это просто стойки в комнате с кондишенами, вентилятор как раз там где должен быть..

[Федор Сумкин]

И это все при 900 грн в год абоплаты.... И клиентов под 500.000 тысяч...

[Kto_Ya]

И это все при 900 грн в год абоплаты.... И клиентов под 500.000 тысяч...

А материнской конторе в Рашку надо отправить если не все то хотя бы половину.

http://www.tadviser.ru/index.php/%D0%9A%D0...%B2%D0%B8%D1%81