Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Lisovic]

ще одна аналітика, на цей раз більш цікава https://habrahabr.ru/company/pt/blog/331858/

Впринципі, як я і думав, йому треба права адміна для роботи, відповідно якщо запустить звичайний користувач, то зашифрує тільки його файли, без заміни MBR.

Із поганого, після запуску буде пошук машин вразливих для експлойту  MS17-010, якщо така система буде знайдена і на ній був залогінений доменний адміністратор, тоді пісець, ляже все разом з КД, і патчі не спасуть(. Причому не обов'язково щоб адміністртор був залогінений в момент атаки, достатньо щоб він заходив на сервер раніше, майкрософт все одно буде зберігати пароль(

[laser]

тут певно варто уточнити, в кого не МБР а ГПТ, то теж шифрує файли, власне під моїм адмін акаунтом так і сталось. благо не вдома =)

так що ГПТ це своєрідний плюс до безпеки.

на роботі ХР злягли усі які були в відділі. деякі з лок-скріном, деякі не грузяться вже з біоса.

всі віндовс 10 з апдейтами вціліли. причому на них стоять лише дефендери

[Lisovic]

1 хвилина тому, laser сказано:

всі віндовс 10 з апдейтами вціліли. причому на них стоять лише дефендери

тут варто ще уточнити яка структура мережі, якщо немає домена, і на всіх компютерах різні паролі адміністратора, тоді да апдейти спасуть, якщо ж паролі адміна всюди однакові, чи мережа доменна і вірус запустився з правами адміна чи системи на компютері де логінився доменний адміністратор, то апдейти вже не спасуть, оце саме херове для великих мереж.

[Volyniaka]

Завтра зранку особисто запускатимуму всі компи. Кожен окремо. Уважно.

Особливо той, де стоїть МеДок.

ЗІ.Як вже писав, поки все ніби ніштяк

[Zheny@]

8 хвилин тому, Volyniaka сказано:

Завтра зранку особисто запускатимуму всі компи. Кожен окремо. Уважно.

Аналогічно!

[Zheny@]

8 хвилин тому, Volyniaka сказано:

Особливо той, де стоїть МеДок.

в мене на серваку 2012.

Онов НЕ БУЛО. і не ставив. Остання ,188. 16 метрова.

[Юріч]

Хлопаки, не сваріться. Прийшло сьогодні дружині на планшет отаке повідомлення (див.фото). Розумію, що це оновлення, але купили планшет в березні, то таке повідомлення прийшло вперше. І якось вже стрьомно, враховуючи останні події, щось встановлювати)).

Хто що скаже? Можна встановлювати?

 

 

[santa11]

Сьогодні "лемкались" з компами. Через відновлення MBR компи запускали. Були такі, що після відновлення навіть не було шифрованих файлів... але то одиниці. В основному файлам користувачів - гаплик. Причому користувачі були впевнені що в них все ОК бо ж вони компи встигли виключити.  Не знаю чи буде інфа по заражених ПК по Україні але думаю що 1 млн. реальних набереться.

[jack74]

4 годин тому, Slayer сказано:

Хто пробує відновити заражену систему шляхом перевстановлення на діску С, перевіряйте повністью всі логічні диски, тріпак залишає залишки на решту дисках, правда їх найти важко :). Тобто після перевстановлення він може активуватись знову.

перевіряти на ЩО і ЧИМ?!

[Ukrainec]

В мене в компі в момент атаки була встановлена флешка, на ній важливі дані. так як на ній фат система то мо її не зачепило? Думаю коли антивіри трішки оновлять бази провірити її. Чи є шанс, що він міг туди не відкласти "личинку" ?

[jack74]

та хто ж тобі щось скаже, як досі ніхто толком на 100% не впевнений в механізмі пролізання цього гада на компи...

З флешкою, думаю, все простіше. Можна втикнути її, наприклад, до планшета чи смартфона і глянути, що там на ній, в якому стані файли. Всі зайві незнайомі файли чи автозапуск (Autorun.inf ) - ДЕЛЕТЕ!

[Oli]

4 годин тому, Slayer сказано:

Хто пробує відновити заражену систему шляхом перевстановлення на діску С, перевіряйте повністью всі логічні диски, тріпак залишає

 

 

В оперативці в буфері може бути?

[Slayer]

10 минут назад, jack74 сказал:

перевіряти на ЩО і ЧИМ?

незнаю немає інфи - просто нуль

 

приблизно так - сервіси, підозрілі, апдейти незрозумілі....

один з варіантів ще є, від чого лягли 2012 сервакі з оновленям - дирка майкрософта (в апдейтах не памятаю номера, суть така шо інфа відправлялась на сервера майкрософта)

а на 2000 і 2003 серваках ці патчі не випускали.

ще один нюанс - якщо на Вінді служба шифрування була виключенна то вірус тількі міняв мбр

[jack74]

17 хвилин тому, Slayer сказано:

незнаю немає інфи - просто нуль

ото ж то!

Всі "перевірки" на даний момент не дадуть 100% гарантії, допоки не розкусять механізм розповсюдження. А механізм крутий, раз вже другий день не можуть повністю розкусити, як цей гад зміг попролазити крізь купу "броньованих дверей".

 

З Хабра

Цитувати

У нас стоял антивирус корп уровня на всех машинах, так что все порты точно закрыты и открыть с обычного компа нельзя. В инет через только через прокси с фильтрацией контента, закрыта адресация по ип, стоял opendns c ограниченным контентом. Стоят самые последние обновления для виндовс.
В сети возможно ARP-spoofing, в сети есть выход нат на вайбер.
Пострадали даже хранилище от кластера (закрытая отдельная сеть), куда уж точно никто не мог отправить что то.
В офисе остались живы в основном те компы которые не в АД, (серваки были в АД).

Цитувати

В двух словах — на сервере были все обновления и урезанные права у пользователей, пароль админа сложный, Медка не было, все порты извне закрыты, всё равно пролезло. Как — остаётся только гадать.

 

Цитувати

есть у меня пару ВМ на Windows 2016 с последними апдетами. я успел их выключить до появления заставки.
Сейчас включил в песочнице вижу:
1) файл C:\Windows\perfc и файлы README.txt в корне каждого логического диска.
2) задание в шеддулере на ребут в 14-39 которое еще не запускалось
3) по логах видно что в 14-36 была неожиданная перезагрузка сервера и логи до 14-36 отсутствуют
4) все ВМ грузятся нормально. доступность файлов — в процессе проверки.

 

Цитувати

Ребята!!! Пишу с мобильного, потому заранее сорри. Возможно уже писали.
У кого красный текст на экране- тому повезло. Вирус не зашифровал диск, а побил таблицу разделов. Успешно восстанавливается тестдиском или минитулз партишн меджик. То что гарантированно работает. Вируса на компе
Вроде уже нет. Сегодняшний симантек не видит. Далее перезаписывается mbr и у вас рабочая машина с целыми файлами. Там где красного текста нет, а просто boot missing там печальнее, там файлы шифрованы.

в мене на одному червоний... побачу завтра.

 

Цитувати

Про «шифрует только диск С» — не правда. Имеется комп где С вообще потерял файловую систему, а Д целый, но 99% файлов зашифрованы.

І це перевірю, бо один і такий є

[laser]

19 хвилин тому, jack74 сказано:

та хто ж тобі щось скаже, як досі ніхто толком на 100% не впевнений в механізмі пролізання цього гада на компи...

З флешкою, думаю, все простіше. Можна втикнути її, наприклад, до планшета чи смартфона і глянути, що там на ній, в якому стані файли. Всі зайві незнайомі файли чи автозапуск (Autorun.inf ) - ДЕЛЕТЕ!

Станом на сьогодні вже детально розжовано кількома сайтами. Особливо детально від а до я майкрософтом!!. Там навіть сам програмний код пєті наведений. Почитайте. Сам 'тріпак' досить розумний тому так серйозно покосив. На сьогодні якшо поставити всі апдейти майкрософт і оновити антивіруски, які вже додали петю в сигнатури а ір в браундмаєри можна не переживати. Думаю не пройде повторно. Принаймі найближчим часом.

Але щалишається відкритим питання по дешифровку. Чомусь майкрософт нічого не сказали чи закладені механізми дешифровки в вірус. Тобто чи вийде розшифруватись якшо отримати заповітний ключ.

Але впевнений що 90% розшифруватись не вийде. Або якшо вийде, то до того часу пройде стільки часу що буде не актуально.

[jack74]

Так, розжовано (напр, тут), але, схоже, не всі методи вирахували, тому що люди пишуть що в них були позакривані ці "двері" і все-одно пролізло.

[Oli]

10 хвилин тому, laser сказано:

Тобто чи вийде розшифруватись якшо отримати заповітний ключ

 

Якщо ключа нема...?

[Zheny@]

мене цікавить запитання: чи шифрувала ця бяка шару, яка не віндова і не ntfs ?

Наприклад є в мене якийсь FreeNAS із ZFS на борту. Чи грозить мені шифрування?

[dj_design]

3 минуты назад, Zheny@ сказал:

мене цікавить запитання: чи шифрувала ця бяка шару, яка не віндова і не ntfs ?

Наприклад є в мене якийсь FreeNAS із ZFS на борту. Чи грозить мені шифрування?

якщо в системі вона підключена як диск - велика вірогідність що "так" ...

краще створити ярлик на мережеву папку на робочому столі і ніяких замаплених дисків ....

 

[nickel]

В кого Медок не стоїть на компі і немає в локалці, можна вважати у відносній безпеці? Чи хтось таки підхватив Петю без Медка?

[Саня]

[Volyniaka]

У мене поки все тьху-тьху-тьху.

От переживаю за завтрашній запуск компів: х.з. чи десь воно не забурилось?

[sashalu]

Дійсно інфи нуль. Пишу як є:, на фірмі компів більше але в кабінеті є три компа і опишу їх (ноут з ХР і один з 7 і ХР комп) ХР комп бухгалтера 1С і медок, має розшарену папку з ХЗ ноутом, На сьогодні  залишились живі ноути з ХР і 7 (пишу з нього), але ці (ноути) що залишились живі не мали жодного антивірусу (хоча на бухгалтерськом який зловив це.. був з оновленим AVAST), на моєму ноуті чиста 7 без оновлень і антивірусів більше троьх років. Офісом користуюсь постійно (вісі оновлення вимкнуті) і з пошти і з флешок постійно + пошта JPG і PDF (така робота і зараз пишу  цього ноута на 7). .Дома комп з він 10  (діти граються в майнкрафт по інету і інші іграшки (STEAM) + youtube постійно дивляться (нема антивірусу , тому як систему переставити швидше чим відновлювати)).  Тому виникає питання чи не хотіли автори (Цього чуда) показати дійсно беззахистність мереж перед нашими сучаснимми адмінами які діють 'по книжці/?

[Volyniaka]

5 хвилин тому, nickel сказано:

В кого Медок не стоїть на компі і немає в локалці, можна вважати у відносній безпеці? Чи хтось таки підхватив Петю без Медка?

МеДок як один з варіантів проникнення. Заразились і без оного.

Панацея одна з...:  завтра, після вихідного, загружати компи почергово і дивитьись, що робиться. Далі приймати рішення.

Ну і, само собою, в пошті і т.п. не відкривати ЖОДНИХ вкладень, якщо ТОЧНО не знаєш, від кого вони.

[sashalu]

додаю фото бухгалтерського компу...