Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[youman91]

2 минуты назад, Lisovic сказал:

12 минуты назад, youman91 сказал:

Підтримую ліцензійний оновлений NOD ніяким чином не допоміг.

Ти ж здається казав шо в тебе symantec?

Грьобаний ESET NOD. Безкорисна штука. Хз за що там бабки платяться за лінцезію.

[Volyniaka]

4 хвилин тому, jack74 сказано:

про 2. - на моїх компах ніякої бухгалтерії навіть близько не було.

про 3. - повір, Я - достатньо "навчений персонал", по твоїй термінології. Не врятувало.

 

Пролізло, думаю, якось по внутрішній мережі. ПДФники, звичайно, теж відкривались, але ніяких "лівих" чи незрозумілих... Хіба що та гидота навчилася сама ховатися в нормальні ПДФники

Наразі в мене ніц не вилізло, але... Тьху-тьху-тьху...

[KotMatros]

51 хвилин тому, charlie сказано:

коротше кажучи мені подобається цей вірус, розумні хлопці  працювали   

ідентифікувати і стратити

 

[Lisovic]

7 хвилин тому, youman91 сказано:

Грьобаний ESET NOD. Безкорисна штука. Хз за що там бабки платяться за лінцезію.

та да в нас така ж хрень стоїть, коли осінню бухгалтер зловив шифровальщика, то ця падла одна з останніх його почала детектити, хоча я і семпли їм відсилав.

[jack74]

такі віруси показують, наскільки ми стали залежні від комп'ютерів. Цей сьогодняшній "судний день" можливо багато кого змусить задуматись

[valuzk]

На 17.24 тільки 2 антивіруса індентифікували його

https://www.virustotal.com/en/file/c7aedd026b9cda41daca11cd9ac216e8ac5b54fddd5cb4df655325318366988a/analysis/1498577070/

На 19.21 уже 6

https://www.virustotal.com/en/file/c7aedd026b9cda41daca11cd9ac216e8ac5b54fddd5cb4df655325318366988a/analysis/

так що більшість антивірусів з оновленими базами ніяк не реагували на поширення віруса в мережі. 

 

[Lisovic]

3 хвилин тому, valuzk сказано:

так що більшість антивірусів з оновленими базами ніяк не реагували на поширення віруса в мережі.

на жаль на сьогоднішній день це є нормально, антивірус це не панацея а лише один із елементів захисту. Зараз багато вірусів навчились обходити навіть корпоративний SandBox.

[jack74]

шо ви гоните на ЕСЕТ. Дирка Віндова, а в Майкрософт каміння ніхто не жбурляє. Крім того, в Вінди 7-ки (і далі) вже "вмонтований" їхній же мєлкософтовський антивірус - Security Essential, і що?

 

ПиСи: Каспер теж пропустив

Цитувати

Потеряль сегодня весь домен(ws2008r2+w7+xp), выжыли только тонкие клиенты на линуксе и сервера на линуксе.
Стоял каспер, стояли все обновления от микрософта по 20тое мая, развернуты политики APPLocker и Software restriction policy. печаль.

 

 

ПиСи: на сайті Мєлкософта взагалі спокій. Реклама нового і ніякої згадки про якісь проблеми

[Lisovic]

@jack74 есет таки реально херня, майкрософ тоже та ще дира, але справедливості ради, патч вони випустили вже давно, хто винен що людей минула біда не навчила?

[youman91]

6 минут назад, Lisovic сказал:

@jack74 есет таки реально херня, майкрософ тоже та ще дира, але справедливості ради, патч вони випустили вже давно, хто винен що людей минула біда не навчила?

Згоден, не поставити оновлення тримісячної давності і продовжувати гнати на розробників вінди ну це якось...

[jack74]

7 хвилин тому, Lisovic сказано:

@jack74 есет таки реально херня, майкрософ тоже та ще дира, але справедливості ради, патч вони випустили вже давно, хто винен що людей минула біда не навчила?

ЕСЕТ хєрня - шо не хєрня?

 

2 хвилин тому, youman91 сказано:

Згоден, не поставитионовлення тримісячної давності і продовжувати гнати на розроників вінди ну це якось...

а хто сказав, що не поставили?

 

 

Гарно ж зара СБУшники з кіберполіцією виглядають, стверджуючи, що винен МЕДок Тобто, поки вони боролись з "фе-ес-бе-шним" 1С-ом, в них під носом вітчизняний МЕДок теракт влаштував! Гарні ж Донкіхоти

[youman91]

10 минут назад, jack74 сказал:

11 минуту назад, youman91 сказал:

Згоден, не поставитионовлення тримісячної давності і продовжувати гнати на розроників вінди ну це якось...

а хто сказав, що не поставили?

Думаю зі встановленими - маштаби були б набагато менші. Крім бухгалтерії  ще багато інших відділів, які могли б не постраждати.

[Юріч]

Вчасно я ремонт дома затіяв...всі компи з розеток ще у вихідні вирубив нафіг (діти в селі, а ми з дружиною на андроїдах)... 

[jack74]

6 хвилин тому, Юріч сказано:

Вчасно я ремонт дома затіяв...всі компи з розеток ще у вихідні вирубив нафіг

а якщо цей вірус дійсно давно на компах, просто чекав годину "х"? То він на твоїх компах просто чекає, коли ти їх увімкнеш...

[Юріч]

1 минуту назад, jack74 сказал:

а якщо цей вірус дійсно давно на компах, просто чекав годину "х"? То він на твоїх компах просто чекає, коли ти їх увімкнеш...

 

Тобто, якщо я зараз ввімкну комп, вийду в інет - піпец компу? В мене нема ніяких там програм, типу медок чи 1С... Взагалі ніяких "робочих" програм. Пошту також не буду відкривати через комп чи ноут. Для цього є андроїд. Чи все одно є ризик?

[jack74]

Я не стверджував, це просто припущення, котре  спирається на інше припущення. Досі поки толком ніхто (ну, крім розробників) достеменно не знає, як ця гидота так розповзлася і в один день поклала Україну.

[Oli]

7 хвилин тому, Юріч сказано:

Чи все одно є ризик?

 

 

ризик є, невідомо кудою воно лізе....

[Юріч]

1 минуту назад, Oli сказал:

 

 

ризик є, невідомо кудою воно лізе....

 

Значить, буде як в тому фільмі

 

 

[jack74]

5 годин тому, Lisovic сказано:

Дивно шо на хабрі тишина, (хоча що тут дивного), хоча деякі статті таки є і деяка цікава інформація там є, хоча того що насправді цікавить як ця гадость пролазить поки ніде не знайшов, є тільки здогадки.

https://habrahabr.ru/post/331762/

сам пишеш і сам заперечуєш

 

Але потрібно ж було головне з тієї статті сюди закопіпастити

Цитувати

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам

 

А є ще одна стаття, де якраз розписано як ця гидота потрапляє на компи (можливо один з варіантів). І в ній теж є "рецепти":

Цитувати

Как защититься от шифрования данных?

Первым делом необходимо обновить сигнатуры антивирусного ПО на серверах и рабочих станциях (в случае наличия антивирусного ПО) — база сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч). Вот перечень вредоносных файлов и их хеш-значений:

 

• файл Order-20062017.doc, размер 6215 байт, SHA1: 101CC1CB56C407D5B9149F2C3B8523350D23BA84, MD5: 415FE69BF
• 32634CA98FA07633F4118E1, SHA256: FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206;
• файл myguy.xls, размер 13893 байт, SHA1: 736752744122A0B5EE4B95DDAD634DD225DC0F73, MD5: 0487382A4DAF8EB9660F1C67E30F8B25, EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6;
• файл BCA9D6.exe, размер 275968 байт, SHA1: 9288FB8E96D419586FC8C595DD95353D48E8A060, MD5: A1D5895F85751DFE67D19CCCB51B051A, SHA256: 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF1FBD.

На уже зараженных системах указанные файлы располагаются в файловой системе в следующих папках:

 

• C:\Windows\perfc.dat
• C:\myguy.xls.hta
• %APPDATA%\10807.exe

В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:\Windows\perfc.dll с помощью стандартного Блокнота.

Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:

 

• Вручную осуществить блокировку запросов к ресурсам в сети Интернет (скобки возле точек вставлены, чтобы не было гиперссылок):
  — 84.200.16[.]242
  — 84.200.16[.]242/myguy.xls
  — french-cooking[.]com/myguy.exe
  — 111.90.139[.]247
  — COFFEINOFFICE[.]XYZ
• Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
• Если рабочая станция уже заражена и пользователь видит «синий экран смерти Windows», компьютер самостоятельно начинает перезагружаться с запуском утилиты Check Disk, необходимо срочно отключить его по питанию, в этом случае данные на жестком диске не будут зашифрованы.
• Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке: technet.microsoft.com/en-us/library/security/ms17-010.aspx.
  На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
  Windows XP SP3: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
  Windows Server 2003 x86: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
  Windows Server 2003 x64:
  download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
• Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
• В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
• В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010)

Что делать по факту заражения?

Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО:

 

• Отключить зараженную машину от локальной сети;
• При заражении MBR в отдельных случаях удается восстановиться с помощью bootrec /RebuildBcd, bootrec /fixMbr, bootrec /fixboot;
• В случае отсутствия резервной копии сделать резервную копию зашифрованного диска (в случае появления дешифратора, данные можно будет восстановить. Надежду вселяет история с предыдущей крупномасштабной атакой на территории Украины вредоносного вымогательского ПО XData — создатель вируса опубликовал ключи шифрования через несколько дней после распространения вируса, оперативно появилось ПО для дешифрования данных);
• Загрузиться с загрузочного диска / флешки, установить систему, полностью отформатировав зашифрованный жесткий диск;
• Установить актуальные обновления безопасности Windows (обязательна установка KB4013389, technet.microsoft.com/en-us/library/security/ms17-010.aspx);
• Установить антивирусное ПО, обновить базу данных сигнатур;
• Восстановить данные из резервной копии (в случае наличия резервной копии незашифрованных данных, до заражения).

Данные с жестких дисков, зашифрованных старым вирусом Petya, восстанавливались следующим образом: www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released
Сам дешифратор для старой версии Petya был опубликован на Github: github.com/leo-stone/hack-petya
Дешифратора для новой версии Petya.C еще нет.
 

Обнаружение распространения вируса по сети  

В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.
Существует SIGMA-правило для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch:
title: PsExec tool execution on destination host
status: experimental
description: Detects PsExec service installation and execution events (service and Sysmon)
author: Thomas Patzke
reference: www.jpcert.or.jp/english/pub/sr/ir_research.html
logsource:
product: windows
detection:
service_installation:
EventID: 7045
ServiceName: 'PSEXESVC'
ServiceFileName: '*\PSEXESVC.exe'
service_execution:
EventID: 7036
ServiceName: 'PSEXESVC'
sysmon_processcreation:
EventID: 1
Image: '*\PSEXESVC.exe'
User: 'NT AUTHORITY\SYSTEM'
condition: service_installation or service_execution or sysmon_processcreation
falsepositives:
— unknown
level: low

Hide  

 

[jack74]

До речі, про "непоставили_оновлення" - он люди валом стверджують, що ставили, а "Петя" все-одно їх поклав. Звідси більшість робить висновок, що ті заплатки працювали від WannaCry, а від Петі не захищають

[Oli]

13 хвилин тому, Юріч сказано:

Значить, буде як в тому фільмі

 

ну ти ж начитався що і як, головне швидко вимикай з розетки

[Юріч]

Только что, Oli сказал:

 

ну ти ж начитався що і як, головне швидко вимикай з розетки

 

Та шо я там начитався, я тут в темі 95% цих матюків ніц не розумію. Я краще не буду взагалі комп в розетку тикати))). Поки поїзд не піде...

[jack74]

Теж людина пише, підтверджуючи слова мого київського адміна, що шифрує лише диск С

Цитувати

По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.

 

інший

Цитувати

Потеряль сегодня весь домен(ws2008r2+w7+xp), выжыли только тонкие клиенты на линуксе и сервера на линуксе.
Стоял каспер, стояли все обновления от микрософта по 20тое мая, развернуты политики APPLocker и Software restriction policy. печаль…
Зашифровало только диски С.

 

Тобто народ, тримайте всі свої дані не на диску С (я так з-покон-віків роблю)

[jack74]

Стосується припущення про "годинникову бомбу"

Цитувати

У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.

* * *

Дополнение к моим сообщениям выше:
1) Развернул резервные копии на утро 27 июня, в них нет трояна, подозрение на заранее установленный зловред и часовую бомбу снимается.
2) На одном из серверов не зашифровался диск D (при этом везде C зашифрован и у него «неизвестная ФС»), однако большинство самих файлов зашифрованы без смены имён. Это видно по дате и при сравнении с файлами в бекапе.
3) На одном из серверов Медка не было вообще, при этом стояли последние обновления и были урезаны права пользователям. Так что оно распространяется не только Медком, предположение о 0-day остаётся в силе, хотя публичного подтверждения ещё нет.
4) На другой организации из всей локальной сети пострадал один рядовой компьютер и там был Медок.

хоча все-одно не факт... "в них нет трояна" - не може бути 100% істинним твердженням, так як невідомо якого "трояна" шукав...

[jack74]

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX - це, наскільки я розумію, біткоін-гаманець тих гівнюків, де можна спостерігати, як він поповнюється