Хакерская атака, «Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» Опции

[Суничка]

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

«Киевэнерго», «Ощадбанк», «Нова пошта» и «Укртелеком» подверглись хакерской атаке. Волна идет по всей Украине
Энергетические компании Украины подверглись массированной атаке вируса-шифровальщика – аналога WannaCry

Вирус называется очень просто и оригинально – Petya.
Подробнее про WannaCry:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://ru.wikipedia.org/wiki/WannaCry
Вредоносная программа сканирует в Интернете узлы в поисках компьютеров с открытым TCP-портом 445, который отвечает за обслуживание протокола SMBv1. Обнаружив такой компьютер, программа предпринимает несколько попыток проэксплуатировать на нём уязвимость EternalBlue и, в случае успеха, устанавливает бэкдор DoublePulsar[9], через который загружается и запускается исполняемый код программы WannaCry. При каждой попытке эксплуатации вредоносная программа проверяет наличие на целевом компьютере DoublePulsar, и в случае обнаружения загружается непосредственно через этот бэкдор.

Проверить, подвержены ли вы атаке: https://2ip.ru/check-port/?port=445
Порт должен быть закрыт.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

Список павших:
Медиа: ATR, 24 канал, , УМХ (football.ua), Корреспондент, Радио "Люкс", Подробности, Тонис, edipresse.
Связь: Vodafone, Киевстар, Астелит (lifecell) – к-к-комбо; Датагруп (Воля), Укртелеком.
Коммерция: Эпицентр, Новая линия, Новус, Фоззи, Synevo, Укрпочта, Мист-Экспресс, Киевводоканал, Цитрус, Film.ua, СтарМедиа, ДТЭК (Метинвест).
Транспорт: а/п «Борисполь», WOG, KLO, Укрзалізниця, Антонов.
Государство: Кабинет Министров Украины, Министерство инфраструктуры Украины, Чернобыльская АЭС.
Нацбанк тоже зацепило. Список, судя по всему, будет пополняться.
Имхо, убытки будут на десятки миллионов.

Тем временем подзалетели не только мы:
Український вірус поширюється по світу - The Independent
На даний момент відомо про ураження систем судноплавної компанії Maersk і британської рекламної компанії WPP.

Возможное лечение:

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые.

Сообщение отредактировал DemirelUA - Jun 28 2017, 12:26

[Console]

игра слов от bad habbit..?

OLE, AUTODDE... это все круто - ведь если заплатки на Win мы ставим, то на офис это уже сверх наших сил, чего уж там))

Как ни странно, но у меня активней всего с домена прилетают обновы на офис

[Koka-ftp]

http://cert.gov.ua/?p=2950

[wintersun]

http://cert.gov.ua/?p=2950

Если кто-то захочет реализовать пункт "Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%" - Блокировка вирусов и шифровальщиков с помощью Software Restriction Policies

[roleg]

в прошлый раз медком залетело которому были права админа
а сейчас все мимо... fail

[Console]

в прошлый раз медком залетело которому были права админа
а сейчас все мимо... fail

Ну не такие маштабы, но как видно, жертвы есть..
Все можно идти пивас спокойно пить...
В СБУ заявили о блокировании кибератаки

Співробітники Служби безпеки України оперативно проаналізували та блокували нові випадки ураження комп’ютерів вітчизняного сегменту мережі Інтернет шкідливим програмним забезпеченням.
Фахівці СБ України встановили, що доставка вірусу відбувається з використанням фішингових листів електронної пошти зі зворотною адресою, яка асоціюється зі службою технічної підтримки компанії Майкрософт. Сьогодні, 24 жовтня, кібератаки за цією схемою, зокрема, зазнав київський метрополітен та одеський аеропорт, де внаслідок дії вірусу типу шифрувальника було заблоковано функціонування служби реєстрації пасажирів. Наразі подальше розповсюдження вірусу припинено, загроз безпеці руху немає.

Сообщение отредактировал Console - Oct 24 2017, 20:58

[roleg]

гг) письма от Мелкософта вообще не читаю, лесом сразу идут...
удивлен что кто-то их открывает )

P.S. пишут ребята с роиси, компы пачками днем приносили, офисные с разных мест

Сообщение отредактировал roleg - Oct 24 2017, 21:09

[Koka-ftp]

гг) письма от Мелкософта вообще не читаю, лесом сразу идут...
удивлен что кто-то их открывает )

P.S. пишут ребята с роиси, компы пачками днем приносили, офисные с разных мест

угу, но иногда полезно иметь промежуточный релей с фильтрацией от мелокософт)

[roleg]

готовят новую атаку к запуску ТЭЦ
уже СБУ и министерства отзвонили

[mak_v_]

готовят новую атаку к запуску ТЭЦ
уже СБУ и министерства отзвонили

Так что, СБУ и министерство атакует предупреждая?

[roleg]

Так что, СБУ и министерство атакует предупреждая?

дружище, я только что фильтр L7 на горячую делал
летело от серверов обновлений майкрософт
как выяснилось фэйк а внутри JS скрипт с обфускацией, Нод и Каспер пропустили, разследуем
ты вообще про что?

[Console]

дружище, я только что фильтр L7 на горячую делал
летело от серверов обновлений майкрософт
как выяснилось фэйк а внутри JS скрипт с обфускацией, Нод и Каспер пропустили, разследуем
ты вообще про что?

Во сколько началось?

[roleg]

Во сколько началось?

около 23:00
уже разобрались, кое-где пароли не сменили после пети

[mak_v_]

Т.е паразиный трафик от серверов майкрософта?

[roleg]

Т.е паразиный трафик от серверов майкрософта?

у меня разрешено на прямую в инет только по белому листу (доверенные домены), остальные идут через защищенную проксю
так вот, на одной рабочей машине через вложение к письму запустился дроппер и к моему изумлению скачал тело вируса! и зашифровал файло на компе
мы в непонятках, смотрим логи шейпера, не из астрала же оно скачалось
оказалось что файло было загружено по HTTP с сервера обновлений майкрософт
в итоге, оказалось что роутер который стоял выше шейпера подменял DNS, с старым паролем

[mak_v_]

дружище, я только что фильтр L7 на горячую делал
летело от серверов обновлений майкрософт

у меня разрешено на прямую в инет только по белому листу (доверенные домены), остальные идут через защищенную проксю
так вот, на одной рабочей машине через вложение к письму запустился дроппер и к моему изумлению скачал тело вируса! и зашифровал файло на компе
мы в непонятках, смотрим логи шейпера, не из астрала же оно скачалось
оказалось что файло было загружено по HTTP с сервера обновлений майкрософт
в итоге, оказалось что

Так это не атака, а /dev/hands тогда
роутер резолвер который стоял выше шейпера подменял DNS, с старым паролем....пароль-то тут при чем-с?

Сообщение отредактировал mak_v_ - Nov 1 2017, 16:38

[roleg]

Так это не атака, а /dev/hands тогда
роутер резолвер который стоял выше шейпера подменял DNS, с старым паролем....пароль-то тут при чем-с?

вы пытаетесь думать или просто строчите комментарии?
после пети сменили везде пароли но пропустили один роутер организующий переключение на резервный канал
кому нужно было вписывать статический маршрут в DNS резолвер?
явно же использовали украденные пароли для доступа к нему
понятное дело, пароль сменили, порт удаленного доступа закрыли за VPN

[mak_v_]

Украденные пароли к роутеру? Мдауж. Я вам не завидую.

Сообщение отредактировал mak_v_ - Nov 2 2017, 8:19

[Console]

А откудаж они их украли?
Они где-то в блокноте хранились?

[roleg]

совпадали

[Console]

совпадали

Беда..

Киберполиция: Одновременно с Bad Rabbit также велась скрытая атака на украинских пользователей 1С


Двойное дно:

Иронично, что «в связи с возрастающим количеством атак на программный продукт «1C Enterprise», авторы предлагали бесплатно поставить обновление, «позволяющее закрыть найденные бреши и повысить защищенность продукта». Архив с «обновлением» размещался на GitHub, но теперь заблокирован по DMCA-запросу.

Сообщение отредактировал Console - Nov 3 2017, 20:29