Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[wintersun]

Show must go on

[Console]

Специалисты ISSP Labs 22 августа зафиксировали новую волну распространения вируса с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium

На данный момент доступ на сайт невозможен. Вместо него стоит заглушка, что ресурс заблокирован администратором хостинг-провайдера Besthosting.

Украинские IT-эксперты сообщают о массовых фишинг-рассылках и предупреждают о возможной атаке нового вируса

Последние два часа нам поступают сообщения о массовых почтовых рассылках, содержащих вредоносный код, как правило в одном из архивных форматов: ARJ, ZIP, 7-ZIP и др. Утром наша система защиты электронной почты перехватила подобные сообщения со вложением 7-ZIP, маскирующимися под вложенные счета. Содержимое сейчас анализируется, но уже ясно, что оно содержит активную часть, которая пытается установить интернет-соединение

– говорится в сообщении Кардакова

Сообщение отредактировал Console - Aug 22 2017, 23:17

[roleg]

3 дня подряд бэкапы всего делаю на линукс сервант, к атаке готов! )

[wintersun]

Crystal Finance Millennium CyberAttack

Сообщение отредактировал wintersun - Aug 23 2017, 11:41

[P.L.U.R.]

Ну по-ходу, таки да, на праздники запустят как в тот раз.

[Vitaliy_y]

Crystal Finance Millennium CyberAttack

Ну такое, сам скрипт лежал в архиве просто рядом, архив обычный 7zip,
load.exe качается с
194.28.172.73
176.114.0.20
47.88.52.220
занятная картинко, что то будет не хорошее после этой даты, до этой даты троянец запускается.


Тут подробней, стянул с ФБ

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Alexander Kardakov
13 хв. ·
ВЧЕРАШНЯЯ ХАКЕРСКАЯ АТАКА: что это было?
Как я сообщал, вчера прошла рассылка фишинговых писем, нацеленных на бухгалтеров и финансистов коммерческих компаний с зловредным вложением в архиве 7-zip.
Из 3-х файлов архива (Довідка.pdf, Рахунок.js, реквізити.doc) второй является вредоносным – это JavaScript – дропер, скачивающий «боевую часть».
На VirusTotal этот дропер был зарегистрирован 21.08 – за день до того, как мы зафиксировали рассылку – т.е. модификация, судя по всему, свежая. Большей частью антивирусов js-дропер не определялся.
При прогоне в тестовой виртуальной машине и песочницах дропер скачивает исполняемый файл load.exe:
http:// cfm[.]com[.]ua:80/awstats/load.exe
http:// nolovenolivethiiswarinworld[.]com:80/ico/load.exe
Что интересно, сайт cfm.com.ua – это сайт украинского производителя бухгалтерского ПО для бюджетников Crystal Finance Millennium, в настоящее время он заблокирован хостером.
Затем загружались файлы jisgivdt.exe (зарегистрирован на reverse.it / PayLoad Security примерно месяц назад - 19.07.2017)
Эти файлы обнаруживались уже примерно половиной антивирусов (см.скрин)
Затем загруженные файлы проводили модификацию Windows-файлов Windows Script Host и Проводник:
WScript.exe - \Users\Administrator\Desktop\947.exe
WScript.exe - \Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\40DVD2HR\load[1].exe
explorer.exe - \Users\Administrator\AppData\Roaming\Microsoft\thwfucic\jisgivdt.exe
И, наконец, запуск на исполнение:
cmd /c cd C:\Users\Administrator\Desktop\ & start 947.exe
Естественно, это краткое описание – там было еще много всякого интересного – изменения ключей Windows Registry, разнообразные сетевые подключения и пр.
ВЫВОДЫ:
За вчера и сегодня мы выловили 14 писем 5 модификаций (две из них новые). Все – рассчитаны на бухгалтеров-финансистов. Цель – паралич коммерческого сектора страны. Это – наш улов. А сколько дошло до беспечных адресатов? И когда они сработают?

название файлов генерируется рандомно.

Сообщение отредактировал Vitaliy_y - Aug 23 2017, 13:53

[roleg]

Crystal Finance Millennium какой софт производят? название?
и как JS стартует то, его просто так не запустить двойным кликом

[Console]

Crystal Finance Millennium какой софт производят? название?
и как JS стартует то, его просто так не запустить двойным кликом

Могло быть что это JSник ждал другой части вирусни?

[roleg]

Могло быть что это JSник ждал другой части вирусни?

что-то не вяжется, с праздником Всех!

[Ахwell]

СБУ попереджає про можливу масштабну кібератаку на державні структури та приватні компанії
https://ssu.gov.ua/ua/news/1/category/2/vie...#.zKlNyFQS.dpbs

Служба безпеки України попереджає про підготовку нової хвилі масштабної кібератаки на державні структури та приватні компанії.

За інформацією спецслужби, цілями зловмисників визначені великі державні та приватні компанії. Основна мета ‒ порушити штатне функціонування інформаційних систем, що може дестабілізувати ситуацію в країні.

Фахівці СБ України отримали дані, що атака може бути здійснена з використанням оновлень, у тому числі загальнодоступного прикладного програмного забезпечення. Механізм її реалізації буде подібним до кібератаки, проведеної в червні 2017 року.

Для попередження несанкціонованого блокування інформаційних систем необхідно дотримуватись таких рекомендацій:

- оновити сигнатури антивірусного ПЗ на серверах і робочих станціях;

- здійснити резервування інформації, що оброблюється на комп’ютерному обладнанні;

- забезпечити щоденне оновлення системного програмного забезпечення, у т.ч. OS Windows усіх без винятку версій.

[Dr.Sydorenko]

опять медок?

[Koful]

СБУ попереджає про можливу масштабну кібератаку на державні структури та приватні компанії
https://ssu.gov.ua/ua/news/1/category/2/vie...#.zKlNyFQS.dpbs

подстраховываются ...типа "чтобы потом не было что мы вам не говорили"

[Vitaliy_y]

опять медок?

хз, Лига подозрительно письма рассылает, типа мы сервера на всяк случай вырубаем с 13-го по 16-е, наверное что то знают

[Siberius]

Чиним Avaya админским бубном

[public@]

Что это за лютый п...ец?!

[roleg]

хз, Лига подозрительно письма рассылает, типа мы сервера на всяк случай вырубаем с 13-го по 16-е, наверное что то знают

винда уже 4-й день обновляется и потом тормозит, вот это действительно подозрительно
снял снимки всех серверов еще раз на всякий

[Banish]

Всех обошло стороной?

[Tiger]

Всех обошло стороной?

А было что?

[Console]

Не хочу нагнетать, но у нас рецедив есть 1 машина...
ОС Win 10 актуальные обновления
Нод 32 корп актуальные обновления
Машина доменная...


Сообщение отредактировал Console - Oct 18 2017, 10:47

[Tiger]

Не хочу нагнетать, но у нас рецедив есть 1 машина...
ОС Win 10 актуальные обновления
Нод 32 корп актуальные обновления
Машина доменная...

Петя или другое что-то? Ну и источник догадываетесь? Лига, Медок?