Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Lisovic]

@Саня ну так це не DNS таку штуку провернути могли тільки в дата-центрі. І то я сумніваюсь що це правда, того як сильно палівно, якщо попадешся то повісять на тебе все, а попастись досить велика імовірність, та і жоден адмін при зоровому глузді таке робити не буде, того як велика імовірність закінчити свою кар'єру в посадці разом із родиною. Значно простіше і безпечніше сервак ломанути звідки апдейти медок бере.

 

11 хвилин тому, phantom сказано:

Цікаво чи витримали атаку компи з безкоштовним авастом ?

Безкоштовний аваст не витримав би точно, на момент атаки його ніхто не детектував. Втримати в теорїї могли ті в кого добре організований SandBox, типу Сomodo, але і то якшо закрита дірка MS17-010, того як через неї запуск буде з правами системи, і тут невідомо чи зреагує така штука на це.

[Yava]

Цікавий комент https://iwalker2000.com/2017/06/28/трагедия-и-фарс-украинские-cio-и-150доллар/

[laser]

35 хвилин тому, upi сказано:

У всіх 27/06/2017 Час 15,50. Файлів багато, деякі досить великі. Розмір приблизно збережений. Шифрує дуже швидко, що наводить на думку, що він їх просто псує.

я ось на дати в себе теж дивився. дати змінились не на всіх файлах... там вище згадувалось що петя вміло підтирає дані НТФС журналу , відтак достменно визначити які зміни відбулись з файлами не вийде.

але шиврувати таку кільк. дрібних і не дуже файлів без загрузки ЦП (а я бачив шо ЦП нічо не грузить, а вінт маслає як дурний) це треба реально вміти.

хоча ось я теж більше схиляюсь до думки що він просто перезаписував байти в файлах брєдом. хоча хз, я не криптолог.

по датах на наших компах проникнення було десь 13,30 +-, і в 14,10-14,20 масовий ребут.

дату проникнення (чи вірніше запуску) можна дізнатись по 3-4 файлах з тілом віруса, які він залишає після себ в папці "віндовс"

[dj_design]

31 минуту назад, Yava сказал:

Цікавий комент https://iwalker2000.com/2017/06/28/трагедия-и-фарс-украинские-cio-и-150доллар/

навіть не став читати до кінця ... когось він мені нагадав .. щоб не ругатись сильно .. а да .. Касперского .. которого Євгенія ... таке саме мурло яке сидить і роздумує про правильну безпеку на фірмах ... а насправді тупо пиляє досить не малі бюджети для створення видимості роботи і показує вумні картинки, щоб вразити начальство яке виділить ще бабла ... да да .. шифрувати все підряд .. тоді вірус не пройде .. для чого ? адже і так все зашифровано .. а да .. і ще Касперского не забути поставити .. тоді точно вірус не пролізе .. не тому що все захищено, а тому що тупо не вистачить системних ресурсів, які захапає вумний антивірус ....  

 

а да .. забув .. спіціально прогорнув до кінця .. думав може помилився .. але ні .. все правильно ... як по шаблону, в кінці куча вумних ссилок на курси .. платні .. і канали з вумним відео .. ну як же ж без цього .. він же спец .. він на цьому заробляє .. він навчає всіх .. і розказує як він заробив свій міліон на хомячках, які його слухали ... мега спец .. 

[laser]

да, чувак себе продвигає за 75 / годину в місяць. але загалом хід думок в нього правильний. нема чого жалітись якшо самі допустили такий стан речей. так що не погодитись з ним важко

[laser]

чесно кажучи - все життя вимикав віндовс апдейт. через його незграбність, глюкавість і геморойність. а тут в світлі останніх подій повірив в нього xD

сам з себе в шоці. тепер буду включати і апдейтити все і всюди йпрст.

[dj_design]

5 минут назад, laser сказал:

да, чувак себе продвигає за 75 євро в місяць. але загалом хід думок в нього правильний. нема чого жалітись якшо самі допустили такий стан речей. так що не погодитись з ним важко

75 євро в час ....

так .. в ціломо говорить правду .. але дуже вміло маніпулює поняттями і в той же час "змішуючи всіх ІТ України з лайном" .. а себе ставлячи мега крутим спецом ... ця стаття показує над чим треба думати, але от якщо прочитає її далека людина від ІТ .. особливо якесь керівництво .. то буде в нас "свій Касперський" і "Медок далі буде мега крута программа, яку заставлятимуть купувати" ... 

так, нам не повезло ... і це була спланована атака саме на країну ... думаю якби на нашому місці була Росія - мовчав би в тряпочку той спец ... 

[laser]

dj_design, дякую шо поправив. він як фізик-теоретик =)

[Zheny@]

біда в тому, що ні 150, ні 500 -доларові адміни - не справилися.

тут не компетенції справа.

Буває, що "халявний" приходящий адмін за 1500 в місяць зможе зробити більше корисного, аніж постійний за 3500.

А буває, що 300-баксовий адмін реально творить чудеса, бо попередній 400-баксовий налажав.

 

1) комп'ютерна грамотність персоналу.

мало знати як зайти в 1С і забульбенити звіт чи АБЦ аналіз. Варто ще вміти відрізнити монітор від системника (для початку), а згодом знати, що таке ОС розрізнити doc від XLS і jpg від pdf.

2) регулярні навчання і підвищення кваліфікації. Пожежні чи ПВО навчання можна провести, то можна і комп'ютерні влаштувати "тести".

3) навчити керівництво "не забувати" про ІТ.

Якщо ІТ-шник каже, потрібен Сервак, бо старий скоро здохне і бази нагнуться, + зовнішній мережевий клауд - то так потрібно!

 

 

[jack74]

10 хвилин тому, laser сказано:

чесно кажучи - все життя вимикав віндовс апдейт. через його незграбність, глюкавість і геморойність. а тут в світлі останніх подій повірив в нього xD

сам з себе в шоці. тепер буду включати і апдейтити все і всюди йпрст.

коли після чергового апдейту Вінда почне вимагати в тебе "ти мене вкрав, купи!" - знову вимкнеш

[LSD]

7 хвилин тому, laser сказано:

чесно кажучи - все життя вимикав віндовс апдейт. через його незграбність, глюкавість і геморойність. а тут в світлі останніх подій повірив в нього xD

сам з себе в шоці. тепер буду включати і апдейтити все і всюди йпрст.

 

Ну як бачиш багато компаній це не спасло, в кого був закритий протокол смб1 і файрволи стояли  прилетіло груповими політиками ектів діректорі  

[Lisovic]

6 хвилин тому, dj_design сказано:

так .. в ціломо говорить правду ..

Да фігню він говорить, так на рівні що і так всі знають, там вся стаття фактично з двох тез: який я крутий, дивиться мої виступи, і які українці лохи, і все.

[Саня]

1 година тому, Lisovic сказано:

@Саня ну так це не DNS таку штуку провернути могли тільки в дата-центрі. І то я сумніваюсь що це правда, того як сильно палівно, якщо попадешся то повісять на тебе все, а попастись досить велика імовірність, та і жоден адмін при зоровому глузді таке робити не буде, того як велика імовірність закінчити свою кар'єру в посадці разом із родиною. Значно простіше і безпечніше сервак ломанути звідки апдейти медок бере.

Так в дата-центрі й провернули. Є ознаки, які на це вказують.

В мене зараз upd.me-doc.com.ua не пінгується, хоча позавчора точно пінгувався.

https://dns.com.ua/whois#92.60.184.55 - все ок

Wnet вже засвітився у сумнівній історії кримським трафіком

[Lisovic]

4 хвилин тому, jack74 сказано:

коли після чергового апдейту Вінда почне вимагати в тебе "ти мене вкрав, купи!" - знову вимкнеш

Ну в мене за більш як 10 років оновлень, з того часу як з'явився нормальний інет, ні разу не було проблем через оновлення. А от баги часто зникали. Хоча ні брешу, минулорічне оновлення на КД, поламало групові політики, ну тут я сам винуватий треба було частіше заходити вумні статті на майкрософті читати.

 

4 хвилин тому, LSD сказано:

прилетіло груповими політиками ектів діректорі  

Хто прилетів через групові політики? Вірус? Кому прилетів? Не пиши дурниць

[Lisovic]

@Саня міняти ДНСи це саме палівне що може бути, того як на інших ДНС серверах можна підняти логи і глянути чи були зміни і коли, і тоді ж першим ділом прийдуть до хостера який цю зону тримає, це вже проще на тому ж дата центрі підняти такий же сервак з таким же ІР і в потрібний момент завернути туда трафік, ну знов таки це палівно.

А ДНС-імя не резолвиться скоріш за все через те що датацентр змінили, в нас так же було коли переводили домен з одного реестранта на другий, пів дня сайт і почта були недоступні, хоча ІР не мінялись. Або може спецслужби заставили видалити запис, шоб чергової хвилі не було.

[LSD]

20 хвилин тому, Lisovic сказано:

Не пиши дурниць

Ок  А то затролите мене демони як колись!

[AgentSmith13]

9 часов назад, phantom сказал:

 

Цікаво чи витримали атаку компи з безкоштовним авастом ?

Є в мене на роботі ноут резервний, на якому "експерименти" всякі проводяться, антивіруса немає, атаки - теж.

Безплатна Панда вже навчилася того Петю ловити.

Там доречі Кабмін вчора заявляв про "другу хвилю атаки"...

А з Медком могло бути і простіше (якщо "хакери" - якісь наші "вітчизняні" любителі заробити багато, палець об палець не стукнувши) - 1) знайшли людину з доступом до сервака, 2) дали чи пообіцяли 1-2 штуки баксів (невдоволених ЗП вистачає), і файлик на флешці, щоб тихенько "підклав свинку", 3) PROFIT... Вони ж заробили більше 10 000 $, могли і поділитися. Ну і хтось тут вже писав, ніби за розповсюдження цього людям гроші пропонували.

Плюс цікавили їх не держустанови, а бізнес - як державна установа може заплатити за розшифровку? А постраждали державні через тотальну економію на безпеці + величезні штати з купою людей, які монітор від системника не відрізняють, і тим більше не читають, від кого прийшов лист, підписаний, наприклад "Кабінет міністрів України".

P.S. Сьогодні вранці знов почали листи з вкладеннями валити, і щоразу з різних адрес + формат вкладення різний - то rar, то zip, то tar, то 7z, то pdf, то взагалі ISO. А заблокувати на серваку листи з архівами ніяк - користувачі, котрі стабільно перед відлправкою файлів звикли їх архівувати, мозок ложечкою виїдять. Пдф - аналогічно.

[jack74]

Опис механізму проникнення і дії ньюПеті - аналіз від Майкрософт

 

Теж підтверджують про МЕДок

[laser]

ссилка на майкрософт була вже кілька разів раніше

[ForZa]

NYT дізналася, якими інструментами хакери атакували Україну

 

[Slayer]

Бистро прочитав чуток нові повідомлення, здається хтось писав про відновлення Рстудіо:

Так дійсно вже пару знайомих, так відновили. Використовували утиліти для відновлення видалених файлів, виявилось що Петька файли коли шифрував, він робив копію а оригінал просто видаляв

Піднімаєм сервера по тихеньку, і замітив один бонус - коли 2 рейда створено, на 1 система, на 2ому бази/бекапи/файли, короче одним словов 2 рейд не ципляв відновили багацько інфи

[santa11]

Просто на замітку. На одній із підмереж в якості шарового диску (використовується мережеве сховище d-link 325 http://www.dlink.ru/ua/products/120/1400.html)

і хоча для всіх користувачів був підключений мережевий диск жодного!!! на сьогодні  шифрованого файлу виявлено не було хоча компів заразилось більше десятка.

Підозрюю в цьому 2 причини.

1.  На самому сховищі стоїть лінукс. https://habrahabr.ru/post/304008/  - тут народ навіть цим скористався для створення сервера.

2. Хоча мережевий диск і був підключений  (все для всіх)  пароль адміна і права були тільки в мене і до групової політики ніяким боком не привязаний. за що в свій час на мене обіжались.

[IropS]

Або це різні модифікації,  чи залежно від обставин, але в мене на робочому компі пошифрувало 99% документів, і шифрувало на льоту з записом точно на місце файлу, тому відновлювачі видалених файлів нічого не бачать, і таблицю розділів побив. Але є одна хороша новина: НЕ шифрувало програми, профіль сандербьорд, і *xlsm, xlsb, dotm, тобто з вода і ексель шифрувало лише doc, docx, xls, xlsx. Дехто стверджує,  що це.  вайпер,  а не шифратор

 

 

 

Пруф на хабрі код частково розглядали, то пишуть що лише локал диски шифрував

 

 

 

 

[jack74]

Просто цей НьюПетя віртуоз і майстер варіацій - пакості робив різні і по-різному в залежності від конкретної машини, від запущених на ній процесів та  наданих їм привілеїв, от в кожного і різні наслідки.

Майкрософт описав це. Тобто вірус десь шифрував файли, а десь не чіпав; десь шифрував повністю, а десь лише тер перші 10секторів, десь перезаписував інше МБР і створював в планувальнику перезапуск, а десь просто намагався знищити певні сектори VBR та MBR...

Якщо привілеї йому дозволяли, то він намагався шифрувати на всіх доступних йому дисках файли з розширеннями

Показати прихований контент  

.3ds	.7z	.accdb	.ai
.asp	.aspx	.avhd	.back
.bak	.c	.cfg	.conf
.cpp	.cs	.ctl	.dbf
.disk	.djvu	.doc	.docx
.dwg	.eml	.fdb	.gz
.h	.hdd	.kdbx	.mail
.mdb	.msg	.nrg	.ora
.ost	.ova	.ovf	.pdf
.php	.pmf	.ppt	.pptx
.pst	.pvi	.py	.pyc
.rar	.rtf	.sln	.sql
.tar	.vbox	.vbs	.vcb
.vdi	.vfd	.vmc	.vmdk
.vmsd	.vmx	.vsdx	.vsv
.work	.xls	.xlsx	.xvd
.zip

Hide  

крім файлів в папці C:\Windows

 

Мені, схоже, відносно повезло.

На одному компі він просто змарнував MBR (відповідно і таблицю розділів вінта) і, схоже, VBR - комп взагалі не загружався, писав про  відсутність диску. Системи з ЛавСіДі теж дисків не бачили, звичайно. Відновити МБР мені не вдалося (bootrec /fixmbr), та я йособо не намагався, так як вже до цього побачив, що Р-Студіо гарно відсканував і витягує файли. Тобто, тут витягнув всі потрібні файли і по-новому перевстановлю ОС.

На другому компі при завантаженні був "червоний вимагач 300$", системи ЛавСіДі гарно бачили неушкоджений диск "Д", диска "С" не бачили. Р-Студіо гарно відсканував диск "С" і гарно витягнув файли. Правда я їх ще не пробував відкрити (ну, jpg хіба, але їх і не мало шифрувати, якщо вірити Майкрософту), але там мені потрібно було лише закладки та історія Хрома, тому втрата буде не надто критичною.

На третьому - ноут лише був перезавантажений чомусь, але ні пошкоджень, ні слідів віруса виявлено не було.

На всіх компах стояла 7-ка, всі в інте ходили через Циску, яка разом з тим піднімала і ВПН корпоративної мережі.

 

"Робочі столи", як виявилось, на моїх всіх компах ще до того перенесені були на диски "Д" (навіть не пам'ятаю, коли я це "машинально" зробив, але я молодець ), тому втрати дисків "С" мені вилились, по суті, лише в зайвий гемор по перевстановлені ОС. Ну, але в цьому теж можна побачити "плюси" - буде свіженька чистенька ОС і тепер вже 10-ку буду пробувати (це забаганка не моя, а вказівка від начальства з Кийова)

 

В колег з Рівного на одному компі (котрий був той день увімкнений) знайшов сліди Петі - в папці C:\Windows вже були файли perfc з нульовим розміром і perfc.dll з ненульовим розміром, але ніяких ушкоджень теж нема. Тут теж Вінда 7-ка, але ВПН піднімався програмкою на компі, котрий часто відвалювався в них. Поки там позакривав порти, перестворив порожні "перфси", важливі файли покопіювали на інший, але Вінду теж, певно, перевстановим, від біди подалі.

 

До речі, про порти. В попередніх "рецептах", взятих з Хабра, рекомендували закривати 135-й, 445-й, 1024-1035-ті, а Майкрософт говорить про 139-й і 445-й. Ще десь в рекомендаціях на просторах інету мені зустрілись в добавок 137-й і 138-й. Тому я в себе позакривав 135, 137-139, 445, 1024-1035.

 

Народ, підкажіть як закривати порти на ХР. Без сторонніх програм-примочок, а засобами самої ВіндовсХР це можна?

[laser]

Диски, які не бачаться, можна повнвстю відновити, без витягування файлів в два кліка. От тільки я непомню якою конретно штукою від акронікс це зробив...

Порти в хр закриваються штатним браундмаєром, тобіш фаєрволом помоєму http://www.ixbt.com/soft/windows-xp-sp2-firewall.shtml 

Але краще поставити щось нормальне на мою думку