Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[AgentSmith13]

6 минут назад, Ukrainec сказал:

Це для кого гарна?

По моєму багато для кого це можливість "очиститись" і почати все з чистого листа. Не здивуюсь що і його вклад є до цієї ситуації

Ну, якщо те падло втратить пару лям на відновлення і пару десятків під час простою фірми, то вже непогано. З чистого листа там почати ніяк не вийде, та і фіскальна служба і слухати не буде відмазок "звіту нема, все вірус пошифрував", а вліпить штраф, і немаленький, сподіваюсь.

[Zheny@]

10 хвилин тому, iralasch сказано:

Хто знає що робити,якщо таке вже сталося?І чи можливо відновити дані?

Яка Операційна Система?

 

[Volyniaka]

8 хвилин тому, iralasch сказано:

Хто знає що робити,якщо таке вже сталося?І чи можливо відновити дані?

 

Нє, як для новачка борди, може й норм...;)

А взагалі спочатку читають попередніх сторінок зо п'ять теми...

[AgentSmith13]

Новий прикол - смс-ка прийшла:

Operator za zmist SMS ne vidpovidaye

Vash telefon zashufrovano, zaplatit 300 USD na bitcoin adres 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX i shufryvannia byde zniato.

Прийшла, відправлена з сайту Водафона через інет.

Зрозуміло, що нічого з Андроїдом не сталося, і на кого вони розраховують? На "чайників" повних? Так вони і що таке біткоін не знають!

[vaz75]

8 минут назад, AgentSmith13 сказал:

Новий прикол - смс-ка прийшла:

Operator za zmist SMS ne vidpovidaye

Vash telefon zashufrovano, zaplatit 300 USD na bitcoin adres 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX i shufryvannia byde zniato.

Прийшла, відправлена з сайту Водафона через інет.

Зрозуміло, що нічого з Андроїдом не сталося, і на кого вони розраховують? На "чайників" повних? Так вони і що таке біткоін не знають!

Паніку слід підживлювати

[dj_design]

13 минуты назад, vaz75 сказал:

Паніку слід підживлювати

вам смішно .. а мені теж прийшла СМС-ка така ж сама ... а от саме смішне це те, що 

- я не можі нікому відправити смс (мені приходить)

- в мене телефон на Він 10  ... все працює крім смс  

[AgentSmith13]

Хз, хз... Все працює, і СМС з обох операторів відсилаються. То може збій мережі який?

[Oli]

@AgentSmith13  шо за фірма в тебе?

 

 

 

П.с. мені смс теж прийшла, ще зранку.

Щойно прочитав пробую відправити "помилка 38" хм?

Андро6.0 цианоген

[AgentSmith13]

2 минуты назад, Oli сказал:

@AgentSmith13  шо за фірма в тебе?

 

 

 

П.с. мені смс теж прийшла, ще зранку.

Щойно прочитав пробую відправити "помилка 38" хм?

Волинська ОДА, тьху-тьху, не лягли поки і не збираємось.

ОС на телефоні яка?

[Oli]

Напевно якийсь троль з форуму, номерів нашукав в темах і шле.

Всі з Водафон сайту

[AgentSmith13]

Або БД з номерами телефонів в якогось банку чи Нової пошти сперли...

[Natik]

Пошту ([email protected]), на яку теба було звертатись для розшифрування файлів після оплати, закрили. Тобто, люди продовжують платити на бінктоін гаманець, а відписатись уже не зможуть, відповідно і не отримають пароль для декодування файлів

[vaz75]

15 минут назад, Natik сказал:

Пошту ([email protected]), на яку теба було звертатись для розшифрування файлів після оплати, закрили. Тобто, люди продовжують платити на бінктоін гаманець, а відписатись уже не зможуть, відповідно і не отримають пароль для декодування файлів

Вони що так, що так ніякого паролю не отримають.

[HWman]

 

Слать биткоины бесполезно: автору Petya заблокировали почтовый ящик

Немецкий почтовый провайдер Posteo закрыл почтовый ящик [email protected] хакера, ответственного за вирусную эпидемию криптовымогателя Petya/PetrWrap. Со вчерашнего дня вирус поразил тысячи компьютеров на предприятиях и у частных пользователей в Украине, России, Польше, Италии, Германии, Беларуси (страны указаны в порядке уменьшения количества заражений) и других странах. Таким образом, жертва даже отправив запрошенную сумму в биткоинах, не сможет сообщить об этом хакеру — и не сможет получить от него ключ. 

«Мы не терпим злоупотреблений нашей платформой: немедленная блокировка почтовых аккунтов со злоупотреблениями — необходимая мера со стороны провайдеров в таких случаях», — сказано в сообщении Posteo.

Согласно инструкции криптовымогателя, жертва должна отправить биткоины стоимостью около $300 на указанный адрес 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX и сообщить автору по электронной почте свой идентификатор кошелька и «персональный ключ установки». Теперь связаться с ним невозможно.

https://geektimes.ru/post/290557/

[Volyniaka]

СМС-ка така теж прийшла, але була тут же видалена. Поки ніяких проблем.

ЗІ Попередив усіх знайомих, щоб і не пробували відкривати.

[Lisovic]

ще один цікавий аналіз, http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Цікавий механіз зараження якщо нема експлойта EternalBlue, якщо в двох словах то в такому випадку використовуються штатні інструменти вінди. Хоча поки не все вияснили, наприклад невідомо як він отримує логін і пароль поточного користувача. Ну і мені ще досі не зрозуміло як він отримує привілейований доступ.

Показати прихований контент  

The malware has three mechanisms used to propagate once a device is infected:

1. EternalBlue - the same exploit used by WannaCry.
2. Psexec - a legitimate Windows administration tool.
3. WMI - Windows Management Instrumentation, a legitimate Windows component.

These mechanisms are used to attempt installation and execution of perfc.dat on other devices to spread laterally.

For systems that have not had MS17-010 applied, the EternalBlue exploit is leveraged to compromise systems. We have written about this previously in our coverage of WannaCry.

Hide  

Ну і поки не зрозуміло як ця штука попадає всередину, цисковці тоже думають шо через медок, але поки підтвердження нема.

[Natik]

1 хвилина тому, Lisovic сказано:

Хоча поки не все вияснили, наприклад невідомо як він отримує логін і пароль поточного користувача. Ну і мені ще досі не зрозуміло як він отримує привілейований доступ.

Бібліотека (perfc.dat) намагається отримати права адміністратора (SeShutdowPrivilege і SeDebugPrivilege) для поточного користувача через API AdjustTokenPrivileges Windows. У разі успіху, вірус перезаписує (MBR) на  PhysicalDrive 0 в Windows.Незалежно від того, чи є успішним в перезапис MBR чи ні вірус приступить до створення запланованого завдання для перезавантаження системи через годину після зараження через SchTasks.

 

[Natik]

21 хвилин тому, Lisovic сказано:

Ну і поки не зрозуміло як ця штука попадає всередину, цисковці тоже думають шо через медок, але поки підтвердження нема.

Я вже давав вище посилання на блог Microsoft https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/#comment-64115

Думаю, не довіряти співробітникам Microsoft  немає причин 

[Oli]

Епіцентр працює? До якоі години сьогодні?

[laser]

А хібасьогодні не державний вихідний?

[Arttomov]

Нова атака на викрадення апаратів призвела до знищення комп'ютерів у великій кількості компаній та організацій по всій Європі після зараження систем, а власникам потрібно було сплатити 300 доларів США в Bitcoin для отримання розшифрувального ключа.

У поглибленому аналізі цієї інфекції корпорація Майкрософт пояснює, що новий видобуток - це форма вже відомих можливостей Petya з підтримкою хробака, підкреслюючи, що сучасні системи Windows повністю захищені.

Microsoft стверджує, що сучасний варіант Ransom: Win32 / Petya був вперше помічений в процесі оновлення програмного забезпечення MEDoc, програмного рішення для податкового обліку, розробленого українською фірмою під назвою M.E.Doc. Зловмисникам вдалося доставити вилучення через процес оновлення, і це пояснює, чому так багато комп'ютерів в Україні постраждали, у тому числі у лікарнях, аеропортах і навіть на Чорнобильському заводі.

Процес EzVit.exe був виявлений під час виконання шкідливої командної рядки у вівторок, 27 червня, о 10:30 за Гринвічем, повідомляє Microsoft. Після того як система дійшла до системи, ransomware намагався поставити під загрозу інші комп'ютери в мережі.

Користувачі Windows повністю захищені
Microsoft продовжує казати, що користувачі Windows повністю захищені одним із умов: запускати повністю оновлену копію операційної системи з найновішими визначеннями вірусів для Windows Defender.

Ransomware також може поширюватися за допомогою SMB-уразливості (під кодовою назвою EternalBlue), який використовував WannaCrypt, а також другий експлойт, відомий як EternalRomance. Обидва вони були виправлені корпорацією Майкрософт з оновленням безпеки MS17-010 у березні, тому це перше оновлення для встановлення, щоб залишатися захищеним.

Користувачам Windows, очевидно, рекомендується якнайшвидше оновлювати свої системи, а також продукти безпеки, що працюють на їх комп'ютерах. Windows Defender виявляє нову форму ransomware як Ransom: Win32 / Petya, і вам потрібно буде запустити версію 1.247.197.0, щоб антивірус заблокував загрозу.

На комп'ютерах, де розгортання останніх патчів поки що неможливо, користувачам рекомендується відключити SMBv1 та додати правило на маршрутизатор або брандмауер для блокування вхідного SMB-трафіку на порту 445.

"Оскільки загроза орієнтована на порти 139 і 445, клієнти можуть блокувати будь-який трафік на цих портах, щоб запобігти поширенню в мережі або поза ним. Ви також можете відключити віддалене спільне використання WMI та файлів. Вони можуть мати великі наслідки для можливостей вашої мережі, але вони можуть бути запропоновані протягом дуже короткого періоду часу, коли ви оцінюєте вплив і застосовуєте визначення визначення ", пояснює корпорація Майкрософт.

Цього разу не було опубліковано жодних інших аварійних оновлень, оскільки комп'ютери Windows захищені від Petya.

Текст перекладено з допомогою translate.google.

 

Посилання на статтю:

http://news.softpedia.com/news/microsoft-fully-up-to-date-windows-secure-against-petya-ransomware-516715.shtml

[Slayer]

Хто пробує відновити заражену систему шляхом перевстановлення на діску С, перевіряйте повністью всі логічні диски, тріпак залишає залишки на решту дисках, правда їх найти важко :). Тобто після перевстановлення він може активуватись знову.

[dj_design]

всі так впевнено пишуть про те, що потрібно блокувати 445 порт ... але ні один не написав що цей порт відповідає за шарінг папок по мережі ... блокуйте .. а потім не задавайте дурних питань чому немає доступу до спільної папки ...  як на мене - блокування портів це не вихід ...

 

https://ru.wikipedia.org/wiki/Список_портов_TCP_и_UDP

 

139/TCP,UDP NETBIOS-SSN (NetBIOS Session Service)

445/TCP,UDP MICROSOFT-DS — используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory)

[SunSeth]

1 hour ago, Arttomov said:

Текст перекладено з допомогою translate.google.

Дякую, ми помітили.

[Гість rl72]

#техническое
В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан.
Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7, поддержка которой закончилась в 2013 году (и новые порты банально не собираются).
Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года (деньги на админа закончились?), и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему, а компании M.E.Doc я желаю как можно скорее уйти с рынка, навсегда.

Із ФБ Олексій Саморуков