Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

ще одна аналітика, на цей раз більш цікава https://habrahabr.ru/company/pt/blog/331858/

Впринципі, як я і думав, йому треба права адміна для роботи, відповідно якщо запустить звичайний користувач, то зашифрує тільки його файли, без заміни MBR.

Із поганого, після запуску буде пошук машин вразливих для експлойту  MS17-010, якщо така система буде знайдена і на ній був залогінений доменний адміністратор, тоді пісець, ляже все разом з КД, і патчі не спасуть(. Причому не обов'язково щоб адміністртор був залогінений в момент атаки, достатньо щоб він заходив на сервер раніше, майкрософт все одно буде зберігати пароль(

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь

тут певно варто уточнити, в кого не МБР а ГПТ, то теж шифрує файли, власне під моїм адмін акаунтом так і сталось. благо не вдома =)

так що ГПТ це своєрідний плюс до безпеки.

на роботі ХР злягли усі які були в відділі. деякі з лок-скріном, деякі не грузяться вже з біоса.

всі віндовс 10 з апдейтами вціліли. причому на них стоять лише дефендери

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, laser сказано:

всі віндовс 10 з апдейтами вціліли. причому на них стоять лише дефендери

тут варто ще уточнити яка структура мережі, якщо немає домена, і на всіх компютерах різні паролі адміністратора, тоді да апдейти спасуть, якщо ж паролі адміна всюди однакові, чи мережа доменна і вірус запустився з правами адміна чи системи на компютері де логінився доменний адміністратор, то апдейти вже не спасуть, оце саме херове для великих мереж.

Посилання на коментар
Поділитись на інші сайти

Завтра зранку особисто запускатимуму всі компи. Кожен окремо. Уважно.

Особливо той, де стоїть МеДок.

ЗІ.Як вже писав, поки все ніби ніштяк

stuk.jpg

Посилання на коментар
Поділитись на інші сайти

8 хвилин тому, Volyniaka сказано:

Завтра зранку особисто запускатимуму всі компи. Кожен окремо. Уважно.

Аналогічно!

Посилання на коментар
Поділитись на інші сайти

8 хвилин тому, Volyniaka сказано:

Особливо той, де стоїть МеДок.

в мене на серваку 2012.

Онов НЕ БУЛО. і не ставив. Остання ,188. 16 метрова.

Посилання на коментар
Поділитись на інші сайти

Хлопаки, не сваріться. Прийшло сьогодні дружині на планшет отаке повідомлення (див.фото). Розумію, що це оновлення, але купили планшет в березні, то таке повідомлення прийшло вперше. І якось вже стрьомно, враховуючи останні події, щось встановлювати)).

Хто що скаже? Можна встановлювати?

 

 

IMG_2017-06-28_214955_HDR.jpg

Посилання на коментар
Поділитись на інші сайти

Сьогодні "лемкались" з компами. Через відновлення MBR компи запускали. Були такі, що після відновлення навіть не було шифрованих файлів... але то одиниці. В основному файлам користувачів - гаплик. Причому користувачі були впевнені що в них все ОК бо ж вони компи встигли виключити.  Не знаю чи буде інфа по заражених ПК по Україні але думаю що 1 млн. реальних набереться.

Посилання на коментар
Поділитись на інші сайти

4 годин тому, Slayer сказано:

Хто пробує відновити заражену систему шляхом перевстановлення на діску С, перевіряйте повністью всі логічні диски, тріпак залишає залишки на решту дисках, правда їх найти важко :). Тобто після перевстановлення він може активуватись знову.

перевіряти на ЩО і ЧИМ?!

Посилання на коментар
Поділитись на інші сайти

В мене в компі в момент атаки була встановлена флешка, на ній важливі дані. так як на ній фат система то мо її не зачепило? Думаю коли антивіри трішки оновлять бази провірити її. Чи є шанс, що він міг туди не відкласти "личинку" ?

Посилання на коментар
Поділитись на інші сайти

та хто ж тобі щось скаже, як досі ніхто толком на 100% не впевнений в механізмі пролізання цього гада на компи...

З флешкою, думаю, все простіше. Можна втикнути її, наприклад, до планшета чи смартфона і глянути, що там на ній, в якому стані файли. Всі зайві незнайомі файли чи автозапуск (Autorun.inf ) - ДЕЛЕТЕ!

Посилання на коментар
Поділитись на інші сайти

4 годин тому, Slayer сказано:

Хто пробує відновити заражену систему шляхом перевстановлення на діску С, перевіряйте повністью всі логічні диски, тріпак залишає

 

 

В оперативці в буфері може бути?

Посилання на коментар
Поділитись на інші сайти

10 минут назад, jack74 сказал:

перевіряти на ЩО і ЧИМ?

незнаю :) немає інфи - просто нуль

 

приблизно так - сервіси, підозрілі, апдейти незрозумілі....

один з варіантів ще є, від чого лягли 2012 сервакі з оновленям - дирка майкрософта (в апдейтах не памятаю номера, суть така шо інфа відправлялась на сервера майкрософта)

а на 2000 і 2003 серваках ці патчі не випускали.

ще один нюанс - якщо на Вінді служба шифрування була виключенна то вірус тількі міняв мбр

Посилання на коментар
Поділитись на інші сайти

17 хвилин тому, Slayer сказано:

незнаю :) немає інфи - просто нуль

ото ж то!

Всі "перевірки" на даний момент не дадуть 100% гарантії, допоки не розкусять механізм розповсюдження. А механізм крутий, раз вже другий день не можуть повністю розкусити, як цей гад зміг попролазити крізь купу "броньованих дверей".

 

З Хабра

Цитувати

У нас стоял антивирус корп уровня на всех машинах, так что все порты точно закрыты и открыть с обычного компа нельзя. В инет через только через прокси с фильтрацией контента, закрыта адресация по ип, стоял opendns c ограниченным контентом. Стоят самые последние обновления для виндовс.
В сети возможно ARP-spoofing, в сети есть выход нат на вайбер.
Пострадали даже хранилище от кластера (закрытая отдельная сеть), куда уж точно никто не мог отправить что то.
В офисе остались живы в основном те компы которые не в АД, (серваки были в АД).

Цитувати

В двух словах — на сервере были все обновления и урезанные права у пользователей, пароль админа сложный, Медка не было, все порты извне закрыты, всё равно пролезло. Как — остаётся только гадать.

 

Цитувати

есть у меня пару ВМ на Windows 2016 с последними апдетами. я успел их выключить до появления заставки.
Сейчас включил в песочнице вижу:
1) файл C:\Windows\perfc и файлы README.txt в корне каждого логического диска.
2) задание в шеддулере на ребут в 14-39 которое еще не запускалось
3) по логах видно что в 14-36 была неожиданная перезагрузка сервера и логи до 14-36 отсутствуют
4) все ВМ грузятся нормально. доступность файлов — в процессе проверки.

 

Цитувати

Ребята!!! Пишу с мобильного, потому заранее сорри. Возможно уже писали.
У кого красный текст на экране- тому повезло. Вирус не зашифровал диск, а побил таблицу разделов. Успешно восстанавливается тестдиском или минитулз партишн меджик. То что гарантированно работает. Вируса на компе
Вроде уже нет. Сегодняшний симантек не видит. Далее перезаписывается mbr и у вас рабочая машина с целыми файлами. Там где красного текста нет, а просто boot missing там печальнее, там файлы шифрованы.

в мене на одному червоний... побачу завтра.

 

Цитувати

Про «шифрует только диск С» — не правда. Имеется комп где С вообще потерял файловую систему, а Д целый, но 99% файлов зашифрованы.

І це перевірю, бо один і такий є

Посилання на коментар
Поділитись на інші сайти

19 хвилин тому, jack74 сказано:

та хто ж тобі щось скаже, як досі ніхто толком на 100% не впевнений в механізмі пролізання цього гада на компи...

З флешкою, думаю, все простіше. Можна втикнути її, наприклад, до планшета чи смартфона і глянути, що там на ній, в якому стані файли. Всі зайві незнайомі файли чи автозапуск (Autorun.inf ) - ДЕЛЕТЕ!

Станом на сьогодні вже детально розжовано кількома сайтами. Особливо детально від а до я майкрософтом!!. Там навіть сам програмний код пєті наведений. Почитайте. Сам 'тріпак' досить розумний тому так серйозно покосив. На сьогодні якшо поставити всі апдейти майкрософт і оновити антивіруски, які вже додали петю в сигнатури а ір в браундмаєри можна не переживати. Думаю не пройде повторно. Принаймі найближчим часом.

Але щалишається відкритим питання по дешифровку. Чомусь майкрософт нічого не сказали чи закладені механізми дешифровки в вірус. Тобто чи вийде розшифруватись якшо отримати заповітний ключ.

Але впевнений що 90% розшифруватись не вийде. Або якшо вийде, то до того часу пройде стільки часу що буде не актуально.

Посилання на коментар
Поділитись на інші сайти

Так, розжовано (напр, тут), але, схоже, не всі методи вирахували, тому що люди пишуть що в них були позакривані ці "двері" і все-одно пролізло.

Посилання на коментар
Поділитись на інші сайти

10 хвилин тому, laser сказано:

Тобто чи вийде розшифруватись якшо отримати заповітний ключ

 

Якщо ключа нема...?

Посилання на коментар
Поділитись на інші сайти

мене цікавить запитання: чи шифрувала ця бяка шару, яка не віндова і не ntfs ?

Наприклад є в мене якийсь FreeNAS із ZFS на борту. Чи грозить мені шифрування?

Посилання на коментар
Поділитись на інші сайти

3 минуты назад, Zheny@ сказал:

мене цікавить запитання: чи шифрувала ця бяка шару, яка не віндова і не ntfs ?

Наприклад є в мене якийсь FreeNAS із ZFS на борту. Чи грозить мені шифрування?

якщо в системі вона підключена як диск - велика вірогідність що "так" ...

краще створити ярлик на мережеву папку на робочому столі і ніяких замаплених дисків ....

 

Посилання на коментар
Поділитись на інші сайти

В кого Медок не стоїть на компі і немає в локалці, можна вважати у відносній безпеці? Чи хтось таки підхватив Петю без Медка?

Посилання на коментар
Поділитись на інші сайти

У мене поки все тьху-тьху-тьху.

От переживаю за завтрашній запуск компів: х.з. чи десь воно не забурилось?

Посилання на коментар
Поділитись на інші сайти

Дійсно інфи нуль. Пишу як є:, на фірмі компів більше але в кабінеті є три компа і опишу їх (ноут з ХР і один з 7 і ХР комп) ХР комп бухгалтера 1С і медок, має розшарену папку з ХЗ ноутом, На сьогодні  залишились живі ноути з ХР і 7 (пишу з нього), але ці (ноути) що залишились живі не мали жодного антивірусу (хоча на бухгалтерськом який зловив це.. був з оновленим AVAST), на моєму ноуті чиста 7 без оновлень і антивірусів більше троьх років. Офісом користуюсь постійно (вісі оновлення вимкнуті) і з пошти і з флешок постійно + пошта JPG і PDF (така робота і зараз пишу  цього ноута на 7). .Дома комп з він 10  (діти граються в майнкрафт по інету і інші іграшки (STEAM) + youtube постійно дивляться (нема антивірусу , тому як систему переставити швидше чим відновлювати)).  Тому виникає питання чи не хотіли автори (Цього чуда) показати дійсно беззахистність мереж перед нашими сучаснимми адмінами які діють 'по книжці/?

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, nickel сказано:

В кого Медок не стоїть на компі і немає в локалці, можна вважати у відносній безпеці? Чи хтось таки підхватив Петю без Медка?

МеДок як один з варіантів проникнення. Заразились і без оного.

Панацея одна з...:  завтра, після вихідного, загружати компи почергово і дивитьись, що робиться. Далі приймати рішення.

Ну і, само собою, в пошті і т.п. не відкривати ЖОДНИХ вкладень, якщо ТОЧНО не знаєш, від кого вони.

Посилання на коментар
Поділитись на інші сайти

додаю фото бухгалтерського компу...

20170627_153431.jpg

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.




×
×
  • Створити...