Знову вірус-шифрувальник на цей раз під покровом Приватбанку

[Oli]

хм... щойно хотів оплатити

збирають активні ящики?

 

 

Шановний клієнт. У Вас не вказаний фінансовий e-mail.

Проведення платежів може бути недоступне з міркувань безпеки.

Вкажіть, будь-ласка, Ваш e-mail в формі нижче.

[Гість rl72]

Хтось знає код?)

 

Российские банкоматы атаковал новый вирус

сегодня 15:20

В России появился новый вирус, который позволяет злоумышленникам извлекать наличные деньги в обход банковских счетов, сообщает "Коммерсант".
Новый способ атаки был описан в специальном письме Центробанка РФ, разосланном участникам рынка. По словам источников издания, вирус находится в оперативной памяти банкомата, не обладая формой файла. Поэтому его не могут засечь антивирусные программы.
При введении специального кода вирус выдает деньги из кассеты, в которой находятся самые крупные купюры (обычно номиналом в одну или пять тысяч рублей, всего до 40 штук).
Такие программы появились за рубежом, в российских банкоматах он замечен впервые. Под угрозой находится большинство устройств в РФ, так как они работают с операционной системой Windows.
Специалисты пока не нашли простого и эффективного способа борьбы с новым вирусом. Он не затрагивает базы данных со счетами клиентов, поэтому, как считают эксперты, небольшим банкам будет проще застраховать наличные деньги, чем совершенствовать способы защиты. А это будет стимулировать мошенников и далее распространять новый вирус.

Источник: segodnya.ua

[Revolver]

25 minutes ago, rl72 said:

По словам источников издания, вирус находится в оперативной памяти банкомата, не обладая формой файла. Поэтому его не могут засечь антивирусные программы.

Quote

Так как вирус не имеет файлового тела, его не видят антивирусы и он может жить в зараженном банкомате сколь угодно долго, поясняет один из собеседников "Ъ".

Quote

"Выявленная уязвимость нехарактерна для конкретного производителя, так как все банкоматы работают под Windows",— говорит один из собеседников "Ъ"

Quote

"При перезагрузке банкомата вирус, по идее, должен без следа удаляться из оперативной памяти,— отмечает начальник управления информационной безопасности ОТП-банка Сергей Чернокозинский.— Однако он может прописывать себя в специальный раздел автозагрузки операционной системы и при каждом перезапуске компьютера "возрождаться" вновь".

Quote

к тому же банкомату, как и любому компьютеру, частые перезагрузки вредны.

спеціалістів зразу видно по цитатам, такий офігенний триллер, спочатку подумав фейк, а тепер бачу, що поспішили на 11 днів, або просто прибрехали http://www.kommersant.ru/doc/3247346

не обладая формой файла антивіруси ж оперативку не сканують, а руткіти то ж взагалі небесні технології, гадаю тут простіше, або мав місце злом конкретної мережі або ж кількох одиниць, ясно що без адмінів, що це обслуговували, більш усього не обійшлось, платили мало от і поплатились)

[Гість rl72]

Найпотужніша всесвітня кібератака: вірус дістався до МВС Росії

12 травня 2017, 20:23191

Вірус, який поступово атакує комп'ютери по всьому світу дістався і до внутрішньої комп'ютерної системи російського МВС.

Про це на своєму сайті пише блогер Ілля Варламов із посиланням на свої джерела.

Зазначається, що постраждали комп'ютери відразу в декількох регіонах РФ.

Деякі користувачі на спеціалізованих форумах пишуть, що, можливо, мова йде про вірус WCry (також відомий як WannaCry або WannaCryptor), який шифрує файли користувача, змінює їх розширення (імовірно на .WNCRY), а потім просить купити спеціальний розшифровщик за біткоіни під загрозою, що інакше файли будуть видалені.

"Вперше з'явився у лютому 2017 року, але був оновлений і тепер виглядає інакше, ніж попередні версії", - написав один із користувачів.

Вірус вже виявили в Липецькій, Пензенській і Калузькій областях Росії.

Крім того, Медуза з посиланням на анонімні джерела пише, що кібератакам 12 травня піддалася також компанія "Мегафон". Директор компанії зі зв'язків з громадськістю Петро Лідов розповів, що "все це виглядає, як в Англії", де 12 травня атакували лікарні.

"Комп'ютери шифрувалися і просили викуп. Оформлення таке ж", - сказав він.

Подібний вірус виявили і в іспанській компанії Telefonica. Експерти в області кібербезпеки заявили про як мінімум 36 тисяч виявлених випадків зараження по всьому світу.

Як повідомляв "Обозреватель", лікарні Великобританії, що діють під егідою Національної служби охорони здоров'я, атакували хакери: деякі госпіталі обмежили прийом пацієнтів.

[kalyanuc]

В мене цей вірус сьогодні зашифрував 4К файлів ( фото, відео, та документи).

[Lisovic]

@kalyanuc як підхопив вірус?

[kalyanuc]

Сьогодні відкрив почту(gmail) щоб провірити, і комп'ютер перезагрузився. Після того як включився на роб.столі було багато різних файлів вже зашифрованих, і текстовий документ в якому сказано:

Q: Що сталося з моїми файлами?
A: Оп, ваші важливі файли зашифровані. Це означає, що ви не зможете отримати доступ до них більше, поки вони не будуть розшифровані.
     Якщо ви будете слідувати нашим інструкціям, ми гарантуємо, що ви можете розшифрувати всі ваші файли швидко і безпечно!
     Давайте почнемо дешифрування!
Q: Що мені робити?
A: По-перше, вам потрібно сплатити збір за послуги дешифрування.
     Будь ласка, надішліть $ 300 на суму Bitcoin на цей Bitcoin адреса: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
 Далі, будь ласка, знайти файл програми з ім'ям «@ WanaDecryptor @ .exe». Це програмне забезпечення розшифровувати.
     Виконати й дотримуйтесь інструкцій! (Ви, можливо, буде потрібно відключити антивірус на деякий час.)
    Q: Як я можу довіряти?
A: Не турбуйтеся про розшифровку.
     Ми будемо розшифровувати файли, звичайно, тому що ніхто не буде довіряти нам, якщо ми обдурити користувачів.
    * Якщо вам потрібна наша допомога, відправити повідомлення, натиснувши кнопку <Контакти> у вікні декріптор.

 

(Текст був на англ.мові)

[Lisovic]

Щойно, kalyanuc сказано:

Сьогодні відкрив почту(gmail) щоб провірити

Тобто вірус прийшов листом на жимейл? В листі було вкладення чи посилання?

[kalyanuc]

Було вкладення, після відкриття листа комп'ютер перезагрузився. Вкладення не відкривав. Можливо вірус і не в листі був, але на пк 3-4 дні нічого не скачував.

[Natik]

Співчуваю.

Уже більше 57 000 інфікованих ПК. 

Вірус відносно старий, ще з весни 2016 року. Використовує дірку в протоколі служби SMB (якщо вона у вас включена). Підхопити можна різними способами: js скріпт (перехід по посиланнях), перехід на сайт-двійник, завантаження exe і тд. Microsoft закрила цю дірку ще у березні з оновленнями. Майже всі антивіруси розпізнають його.

19 хвилин тому, kalyanuc сказано:

Сьогодні відкрив почту(gmail) щоб провірити, і комп'ютер перезагрузився

просто співпало. Йому потрібен певний час щоб зашифрувати всі файли, особливо велике навантаженння на вінчестер, звідси і час.

Наприклад:

https://www.virustotal.com/en/file/2aa4c7708a49a6f1f462f96002dd2ce6fd27c7daf69647162116919b2df5abcd/analysis/

https://www.virustotal.com/en/file/24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c/analysis/

 

Щосекунди - 100 нових інфікованих комп'ютерів, тут можна слідкувати:

https://intel.malwaretech.com/botnet/wcrypt

[kalyanuc]

Касперский за сьогодні знайшов дуже багато троянских програм, останній раз повністю провіряв систему 05.05.17 вірусів не було.

[SunSeth]

8 minutes ago, Natik said:

Microsoft закрила цю дірку ще у березні з оновленнями.

Після цього згадую радісні крики: "а я оновлення вирубую відразу після встановлення вінди"

[kalyanuc]

На ФБ навіть пряма трансляція зараження в світі цим вірусом іде

[Lisovic]

@Natik а є де почитати про механізм зараження?

 

14 хвилин тому, Natik сказано:

Щосекунди - 100 нових інфікованих комп'ютерів, тут можна слідкувати:

https://intel.malwaretech.com/botnet/wcrypt

Цікаво звідки вони беруть інформацію про випадки зараження?

[Zheny@]

17 хвилин тому, Natik сказано:

особливо велике навантаженння на вінчестер

І процесор.

 

[Lisovic]

7 хвилин тому, SunSeth сказано:

Після цього згадую радісні крики: "а я оновлення вирубую відразу після встановлення вінди"

Тут є ще одна біда, стара добра ХР, а на неї вже ніякі оновлення не виходять.

[kalyanuc]

Напевно з зашифрованими файлами можна вже прощатися

[Natik]

99,9%

або платити 300$

або пройтись якоюсь програмою по відновленню видалений файлів, можливо якісь файли відновляться 

 

П.С, Хто не встановив ще оновлення, інсталюйте: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[Lisovic]

Щойно, kalyanuc сказано:

Напевно з зашифрованими файлами можна вже прощатися

Я б не спішив поки, якшо є можливість то злий їх десь на окремий диск. Зараження масове, значить імовірність що напишуть програму для розшифровки досить велика, особливо враховуючи шо "попали" і держвані структури москалів, значить для фсб-шного касперського буде більший стимул зайнятись пошуком способу розшифровки.

Ще дуже рекомендую знайти незашифровану копію якогось файлу, а бажано декілька, і відкласти їх парами з зашифрованим.

 

Ще є якісь спосіб відновити з тіньових копій, але тут не підкажу, про це лише чув але не цікавився.

[Natik]

Ось інфа по одному з гаманців, на які приходять кошти від жертв за дешифрування:

https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

 

На першому місці по інфікованих ПК - Росія:

[kalyanuc]

Деякі файли зміг все таки повернути через програму 7-Data Recovery Suite. З 4К файлів, 9 фото тільки

[Zevs_Isver]

1 година тому, Lisovic сказано:

Зараження масове, значить імовірність що напишуть програму для розшифровки досить велика

швидко-швидко напишуть програми для розшифровки "асиметричних алгоритмів" і буде нам щастя, якось так?

ці ж "шифрователі" вже пару років живуть, але чужий досвід людей не вчить

[Lisovic]

@Zevs_Isver я не казав що швидко, я казав що є імовірність. Під багато шо написали, тут можна подивитись для чого вже є дешифровщики https://www.nomoreransom.org/ru/index.html

[Lisovic]

Тут можна почитати про механізм зараження https://geektimes.ru/post/289115/

Теоретично якщо сидиш за роутером і нема прокинутих портів, то не підцепиш.

 

@kalyanuc в тебе яке підключення було, через роутер, чи кабель напряму в комп'ютер?

[8a8asik]

Можливо є в когось патчі на 2008 r2  і windows 7 x64?