Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Lisovic]

Одне із джерел зараженя це був лист з вордовським документом в ньому, я десь вище давав ссилку на аналіз цього способу.

[sergkots]

1 хвилина тому, Volyniaka сказано:

МеДок як один з варіантів проникнення. Заразились і без оного.

Панацея одна з...:  завтра, після вихідного, загружати компи почергово і дивитьись, що робиться. Далі приймати рішення.

Ну і, само собою, в пошті і т.п. не відкривати ЖОДНИХ вкладень, якщо ТОЧНО не знаєш, від кого вони.

А не краще із LiveCD чи флешки загрузитись і подивитись чи немає описаних вище файлів? Вистачить навіть Убунту качнути.

[sashalu]

Всі компи в локалці... 

[sashalu]

Всі компи в локалці,

2 минуты назад, sergkots сказал:

А не краще із LiveCD чи флешки загрузитись і подивитись чи немає описаних вище файлів? Вистачить навіть Убунту качнути.

зі свого ноута порбував (зараз пишу) нема, все добре....

 

[Zheny@]

0) вимкнути комп з локалки!

1) Сейф-бут, якщо немає червоного тексту! (або одразу із Лайв флешки / диска)

2) перевірити наявність в корені С:\ "лівих" файлів.

Про всяк випадок створити файл в корені С (навіть порожній) perfc або perfc.dll і дати дозвіл лише на читання.

3) руцями пошукати в темп-ах "ліві" файли .exe / .com / .xls / .doc

Ймовірно документи мають назву myguy.

Якщо файли ехе / сом , (версія про медок) то може бути типу medoc.update.10.01.189 чи якось так. Або якась інша абракадабра.

Все "Стрьомне" грохати.

4) chkdsk d: /f /r  (по аналогії диски e / f і т.д.)

5) загрузка нормальна.

6) перевірка файлів на шифрування.

 

Це мій алгоритм, може в когось є зауваження ?

 

7) Серваки вмикатимуться в останню чергу.

8) інет сервак самий останній!

 

[sashalu]

2 минуты назад, Zheny@ сказал:

0) вимкнути комп з локалки!

1) Сейф-бут, якщо немає червоного тексту! (або одразу із Лайв флешки / диска)

2) перевірити наявність в корені С:\ "лівих" файлів.

Про всяк випадок створити файл в корені С (навіть порожній) perfc або perfc.dll і дати дозвіл лише на читання.

3) руцями пошукати в темп-ах "ліві" файли .exe / .com / .xls / .doc

Ймовірно документи мають назву myguy.

Якщо файли ехе / сом , (версія про медок) то може бути типу medoc.update.10.01.189 чи якось так. Або якась інша абракадабра.

Все "Стрьомне" грохати.

4) chkdsk d: /f /r  (по аналогії диски e / f і т.д.)

5) загрузка нормальна.

6) перевірка файлів на шифрування.

 

Це мій алгоритм, може в когось є зауваження ?

 

7) Серваки вмикатимуться в останню чергу.

8) інет сервак самий останній!

 

Комп який ліг завтра перевірю і відпишу, сьогодні пишу з тих які були разом і вистояли...

[nickel]

3 минуты назад, Zheny@ сказал:

2) перевірити наявність в корені С:\ "лівих" файлів.

Про всяк випадок створити файл в корені С (навіть порожній) perfc або perfc.dll і дати дозвіл лише на читання.

Чому "С", а не "С/Windows"?

[Zheny@]

Щойно, nickel сказано:

Чому "С", а не "С/Windows"?

можу плутати. Думаю ні там ні там не завадить

 

Ще було десь  в посиланні, вписати в ДЛЛ-ку перелік  ІР адрес.

[Zheny@]

Цитувати

На уже зараженных системах указанные файлы располагаются в файловой системе в следующих папках:
 

• C:\Windows\perfc.dat
• C:\myguy.xls.hta
• %APPDATA%\10807.exe

В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:\Windows\perfc.dll с помощью стандартного Блокнота.

Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:

 

 

• Вручную осуществить блокировку запросов к ресурсам в сети Интернет (скобки возле точек вставлены, чтобы не было гиперссылок):
  
  — 84.200.16[.]242
  — 84.200.16[.]242/myguy.xls
  — french-cooking[.]com/myguy.exe
  — 111.90.139[.]247
  — COFFEINOFFICE[.]XYZ

про корінь С зплутав з майгай.

перфц - в Віндовс.

А ІР - вписати в hosts.

 

[Mikola2205]

Сцука голова ощадбанку заставляє скачати рекламки для вивішування на відділеннях через домашні компи це ж підстава для домашніх компів.

[Zheny@]

Щойно, Mikola2205 сказано:

Сцука голова ощадбанку заставляє скачати рекламки для вивішування на відділеннях через домашні компи це ж підстава для домашніх компів.

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Тримай коми ,мені не шкода!  Я ніхєра не зрозумів! Окрім того, що голова нацбанку сцука і щось там когось заставляє.

 

[Mikola2205]

2 хвилин тому, Mikola2205 сказано:

Сцука голова ощадбанку, заставляє скачати рекламки для вивішування на відділеннях через домашні компи, це ж підстава для домашніх компів.

 

[Mikola2205]

Дякую за підказку.

[Zheny@]

15 хвилин тому, Mikola2205 сказано:

Сцука голова ощадбанку, заставляє скачати рекламки для вивішування на відділеннях через домашні компи, це ж підстава для домашніх компів.

Я все одно нічого не зрозумів.

Які рекламки? В чому саме підстава?

 

[vaz75]

18 минут назад, Zheny@ сказал:

,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

Тримай коми ,мені не шкода!  Я ніхєра не зрозумів! Окрім того, що голова нацбанку сцука і щось там когось заставляє.

 

Голова НАЦбанку теж сцука ще та...

[jack74]

37 хвилин тому, sashalu сказано:

додаю фото бухгалтерського компу...

фото  

Hide  

нашо? таких фото в неті вже валом

 

 

52 хвилин тому, nickel сказано:

В кого Медок не стоїть на компі і немає в локалці, можна вважати у відносній безпеці? Чи хтось таки підхватив Петю без Медка?

я вже писав, на моїх двох "вбитих" ніякої бухгалтерії навіть близько не було

 

[Zheny@]

Щойно, jack74 сказано:

я вже писав, на моїх двох "вбитих" ніякої бухгалтерії навіть близько не було

Є якась корпоративна мережа?

ВПН ?

 

[dj_design]

41 минуту назад, sashalu сказал:

 Тому виникає питання чи не хотіли автори (Цього чуда) показати дійсно беззахистність мереж перед нашими сучаснимми адмінами які діють 'по книжці/?

і до чого це ? це ви так тонко звинуватили адмінів в некомпетентності ? тоді вже пишіть про всіх .. адже лягли системи де "кустарні анікейщики" і "сертифіковані спеціалісти" ...

 

що хотіли показати автори ?

- МС злила баг, який використали .. або сама допомогла щоб знову підкреслити перевагу ліцензійного софта, але щось пішло не так .. або навпаки - щоб не палитись добили і ліцензії деякі ...

- атор явно не любить розробників МеДок .. і я його розумію в деякій мірі .... можлив мав за мету показати всю тупість даного софта ...

 

а взагалі, писати про те що думав автор не варто .. він міг думати будь що ... або навпаки - зовсім не думати ...

[jack74]

1 хвилина тому, Zheny@ сказано:

Є якась корпоративна мережа?

ВПН ?

так, корпоративна по Україні (я теж про це писав). ВіПіеН піднімає Циска

[Zheny@]

Щойно, jack74 сказано:

так, корпоративна по Україні (я теж про це писав). ВіПіеН піднімає Циска

звідти й могло прилетіти.

"вчепитися" до чогось. Або ж якщо ВПН, як локалка, - тоді ще простіше.

[natalka)]

#техническое
В связи с тем, что многие указали, что petya пришел с апдейтом M.E.Doc, я решил посмотреть на чем же этот самый сервер апдейтов сделан.
Простейший скан (92.60.184.55) показал, что на сервере стоит FreeBSD 7, поддержка которой закончилась в 2013 году (и новые порты банально не собираются).
Кроме того, вишенкой на торте, там стоит ProFTPD 1.3.4c. Proftpd мало того, что дыряв как решето, так еще и доисторической версии, все того же 2013 года (деньги на админа закончились?), и скорее всего контроль над сервером и был получен через него. Надеюсь, это информация будет полезна тем, кто исследует проблему, а компании M.E.Doc я желаю как можно скорее уйти с рынка, навсегда.
...

Версія з M.E.Doc цікава, але не дає відповіді на всі запитання. Наприклад, чому інші підприємства які користуються даним ПЗ зі всіма останніми оновленнями не піддались атаці (на бух.фоумах пишуть)? Інфікування (надсилання файлів) відбувалось вибірково? А що тоді з зараженими закордоном, яким боком до них M.E.Doc?

Адже M.E.Doc можна вважати монополістом на ринку України. Понад 90% всіх юридичних структур України користуються їх програмою для подачі звітності в ДФС та іншими модулями як то "електронний документообіг" між п-вами, але в той же час відсутня інформація про зараження аналогічної кількості юр.осіб. Оновлення фактично всі встановлюють регулярно, так як без них інколи і звіт не можна здати і заповнити.

 

І ще трохи офтопу про M.E.Doc. А хто знає чий він? В 2013-у році, його дуже серйозно, можна сказати примусово "просували" і пов'язували з сімєю Януковича, Клименком (другом сімї) тодішнім Головою ДФС і т.д. Там навіть до рейдерських захоплень конкурентів доходило. Здається "Соната" тоді ледве вижила... 

І на рах. "уйти с рынка". Якщо з 01.07.2017 запровадять все те що "прописано" в податковому кодексі, на рахунок електронного кабінету, то все за що ці "фірмочки" беруть гроші можна буде робити безкоштовно в "електронному кабінеті платника" ДФСУ. 

[jack74]

1 хвилина тому, Zheny@ сказано:

звідти й могло прилетіти.

та зрозуміло, що звідти, з "центру"

[Гість rl72]

1 хвилина тому, natalka) сказано:

Версія з M.E.Doc цікава, але не дає відповіді на всі запитання. Наприклад, чому інші підприємства які користуються даним ПЗ зі всіма останніми оновленнями не піддались атаці (на бух.фоумах пишуть)? Інфікування (надсилання файлів) відбувалось вибірково? А що тоді з зараженими закордоном, яким боком до них M.E.Doc?

Адже M.E.Doc можна вважати монополістом на ринку України. Понад 90% всіх юридичних структур України користуються їх програмою для подачі звітності в ДФС та іншими модулями як то "електронний документообіг" між п-вами, але в той же час відсутня інформація про зараження аналогічної кількості юр.осіб. Оновлення фактично всі встановлюють регулярно, так як без них інколи і звіт не можна здати і заповнити.

 

І ще трохи офтопу про M.E.Doc. А хто знає чий він? В 2013-у році, його дуже серйозно, можна сказати примусово "просували" і пов'язували з сімєю Януковича, Клименком (другом сімї) тодішнім Головою ДФС і т.д. Там навіть до рейдерських захоплень конкурентів доходило. Здається "Соната" тоді ледве вижила... 

І на рах. "уйти с рынка". Якщо з 01.07.2017 запровадять все те що "прописано" в податковому кодексі, на рахунок електронного кабінету, то все за що ці "фірмочки" беруть гроші можна буде робити безкоштовно в "електронному кабінеті платника" ДФСУ. 

 

звичайно, це лише одна із версій зараження, але якщо там дійсно те, що написано, - то тоді пічалька

 

п.с. електронний кабінет навіть зараз має певний функціонал, правда, я ще звіти через нього не подавав

[Zheny@]

ще одна ідея проскочила (надихнула чужа)

 

1) скільк домашніх машин лягло?

2) Чому тільки бізнес / держ структури?

 

може атака велася по пулу (білих) ІР адрес, які юзають великі провайдери?

 

 

 

 

[natalka)]

2 часа назад, Ukrainec сказал:

В мене в компі в момент атаки була встановлена флешка, на ній важливі дані. так як на ній фат система то мо її не зачепило? Думаю коли антивіри трішки оновлять бази провірити її. Чи є шанс, що він міг туди не відкласти "личинку" ?

в мене аналогічно.

В домашній комп не ризикнула її вставляти. Постраждала вона на роботі, значить завтра на роботі на перевстановленій вінді і відключеному від мережі  і буду пробувати.