Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[AgentSmith13]

В 03.07.2017 at 14:38, Zheny@ сказал:

здається, чи точно ?

Бо це має значення.

 

можна було просто підключити готовий НТФС вінт із файлом і все.

А можна було форматнути в ztf.

В мене є FreeNAS і openmediavault, фс - ехt3 і btrfs, коли ще раніше  пусканули шифрувальника, не Петю, то шифрануло мені тільки одну папку на фрпінасі з доступом для всіх, і одну там же, доступну для одного з ПК, якого зачепив вірус Gen.Imposter2 (все було забекаплено + снапшоти). Решта все вціліло, на вінді (7) шари покоцало деякі, але незначні, типу папки з відео з ІР-камери. І два ПК в той же день ця зараза взагалі незрозуміло як завалила - 1) читали в той момент вордівський док локальний, з робочої папки да диску Д, навіть поштовий клієнт закритий був, ребут, щастя є; 2) Вранці  подзвонили, що "файли білі стали" (варіант запуску юзером нереальний - робочий день в 8 починається, шифрануло біля 7і там і ту мережеву вищезгадану папку, коли фізично нікого в кабінеті не було), комп був включений вночі - добре, бекап робочих даних встиг ще ввечері зробитися..

Першопочаткова причина - запустили на одному компі js з пошти.

[Lisovic]

1 година тому, SΩLΩMΩN сказано:

Доречі, якщо у вас медок 10.01.188 вірус петя вас оминув?

Так. Ми медок оновлюєм лише по пінку бугалтерії, якщо вони просять то оновлюємо, не просять не оновлюємо, автоматом він не оновлюється.

[AgentSmith13]

Теж відключив автооновлення Медка (Петя оминув).

[Єретик]

В киберполиции заявили, что M.E.Doc могут предъявить уголовные обвинения в связи с вирусом Petyа

http://gordonua.com/news/localnews/v-kiberpolicii-zayavili-chto-medoc-mogut-predyavit-ugolovnye-obvineniya-v-svyazi-s-virusom-petya-195959.html

[Lisovic]

Ой чим далі тим цікавіше стає, тут вже і із за поребрика специ підсуєтились і дали аналітику по медку https://habrahabr.ru/company/drweb/blog/332444/.e.doc-soderzhit-bekdor--d

Тут вже стає цікавіше, звід ноги?

[dj_design]

я так зрозумів, що сьогодні (вчора) було офіційне оновлення до Медка ... після якого Нод заблокував декілька файлів і фактично зупинив роботу програми ... телефонував сьогодні на підтримку по питанню відновлення бази і тому цього фактично не бачив...  таку інфу отримав від підтримки .. що вони мали сьогодні багато роботи по відновленню програми, перевстановку і т.д. .... я звичайно все розумію .. не буду звинувачувати що це був черговий вірус чи атака ... але ... !!!!!!!!!!!!!!!!!!!!!!!! (цензура) .... рекомендація сапорта закинути папку з програмою в "исключение" роботи антивіруса !!!!! .. після того що він наробив минулого тижня !!!!!! .... був би це сапорт біля мене - я б ого там і прикопав би ..... 

 

p/s  і саме головне, з його ж слів .. він саме так і робив сьогодні на багатьох фірмах,  які обслуговує .... "пі.....аси" !!!!

[Єретик]

З Медком все зрозуміло. Які аналоги Медка і 1С звіт використовуються у вас? іФін, Соната ?

[case_l]

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

[sergkots]

19 хвилин тому, case_l сказано:

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

А чому так швидко забрали? Могли ж не встигнути все видалити. 

[Єретик]

ESET вже офіційно назвав винним 1С Звіт і Медок

https://www.esetnod32.ru/company/press/center/eset-obnaruzhila-slozhnyy-bekdor-kotoryy-ispolzovalsya-dlya-ustanovki-shifratorov-petya-i-xdata-/

[Єретик]

1С звіт в фейсбуці написав таке:

 

Сьогодні останнє оновлення одного з антивірусів почало вказувати на наявність віруса в бібліотеці ZvitPublishedObjects.dll
Після видалення антивірусом цього файлу, програма, звичайно, не запускається.
Розробники проводять перевірку, готують оновлення. По можливості, не запускайте поки програму на виконання.
Сайт і пошта поки не доступні. Слідкуйте за новинами.

[Zheny@]

1 година тому, case_l сказано:

Кіберполіція забрала сервери M.E.Doc
http://expres.ua/news/2017/07/04/250646-kiberpoliciya-zabrala-servery-medoc

 

1 година тому, SΩLΩMΩN сказано:

ESET вже офіційно назвав винним 1С Звіт і Медок

Знайшли цапа-відбувайла. Щоб людей заспокоїти. І зараз різко чийсь стартап вистрелить. Типу альтернатива.

 

[jack74]

2 годин тому, Lisovic сказано:

Ой чим далі тим цікавіше стає, тут вже і із за поребрика специ підсуєтились і дали аналітику по медку https://habrahabr.ru/company/drweb/blog/332444/.e.doc-soderzhit-bekdor--d

Тут вже стає цікавіше, звід ноги?

За кибератакой Petya.A стоит российская компания Lucky Labs

стаття  

Организатором масштабной хакерской атаки, которая началась в Украине, а затем произошла в 64 странах, оказалась российская компания Lucky Labs (Лаки Лабс), тесно сотрудничающая со спецслужбами Российской Федерации.

Как стало известно из достоверных источников в органах национальной безопасности и борьбы с киберпреступностью в деле, внесенном в ЕРДР под номером 12017100010005710, фигурируют акционеры Lucky Labs, Сергей Токарев и Рустам Гильфанов.

Эксперты из отдела по кибербезопасности склоняются к тому, что указанные лица предоставили ресурсы для развёртывания вируса и доставки его носителям для поражения сетей Укрпочты. Установлено, что ранее сотрудники Lucky Labs получили доступ к сетям стратегических служб, в частности Укрпочты, и используя свои технические ресурсы и полученные данные, специалисты компании произвели заражение сетей и обеспечили распространение вируса.

Предполагаемая цель данной атаки - дискредитация Президента Украины Петра Порошенко, нивелирование его достижений в сфере государственной политики и реформирования, а также имиджевый удар всей правоохранительной системе накануне государственного праздника – Дня конституции Украины. Стоит отметить, что, как сообщают источники в органах национальной безопасности, подобный символизм нравится Владимиру Путину. В то же время, правоохранители не исключают наличие и других мотивов у киберпреступников.

Ранее Lucky Labs обрела известность в результате скандала связанного с организацией нелегального игорного онлайн-бизнеса. Данный факт был установлен правоохранительными органами Украины еще в апреле 2016 года. Помимо этого, Служба безопасности Украины подозревает компанию и ее акционеров в спонсировании террористических организаций ДНР/ЛНР.

В связи с этими обвинениями, а также потенциальной угрозой национальной безопасности Украины, решением Совета национальной безопасности и обороны, а также соответствующим Указом Президента Украины, в октябре 2016 года компания Lucky Labs была включена в санкционный список под номером 666. Фактические акционеры Lucky Labs, которыми являются Сергей Токарев, а также братья Роман и Рустам Гильфановы, граждане РФ, также попали под санкции.

В настоящее время уже начато 23 уголовных производства по фактам несанкционированного вмешательства в электронно-вычислительные системы как государственных, так и частных учреждений, организаций и предприятий. Еще по 47 фактам решается вопрос о внесении сведений в ЕРДР. В том числе правоохранительные органы активно работают над установлением причастности Lucky Labs к каждому из указанных эпизодов, чтобы в будущем привлечь к ответственности представителей компании.

Hide  

[Zheny@]

Нічого нового...

то як вберегтися в майбутньому?

[Lisovic]

3 хвилин тому, Zheny@ сказано:

то як вберегтися в майбутньому?

Тут більш правильно буде: як вберегтися при обмеженому бюджеті. Сам задаюсь цим питанням.

[natalka)]

16 минут назад, Zheny@ сказал:

...Знайшли цапа-відбувайла. Щоб людей заспокоїти. І зараз різко чийсь стартап вистрелить. Типу альтернатива...

а я не згідна  Всі заспокоїлись? Навпаки паніка, так як медок фактично монополіст. Народ не знає чи заходити, чи оновлюватись, як працювати і що робити взагалі далі. І що ще може вилізти...Я все таки прихильник версії про співучасть...

Доречі  багато експертів вважать що вірус "закинутий" давно...  

Ще оця інформація з ESET насторожує: "программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв."

Для чого їх ідентифікувати?

[Zheny@]

1 хвилина тому, natalka) сказано:

Для чого їх ідентифікувати?

ІР сервера. і цілеспрямована ддос атака.

 

[sens]

Нашу бухгалтерію оминула біда. Але не знаю що головніше:

а) ми користуємось якоюсь старенькою windows xp.

б) ми оновлюємо медок лише тоді, коли вийде два поспіль оновлення.

по пункту Б. Десь читав таку пораду, не оновлювати медок свіжими оновленнями, а почекати кілька днів або ще одне оновлення. Так як медок часто випускає одне за одним оновлення (з проміжком до дня). Причиною є те, що перше оновлення буває кривим, а в другому вже виправляли помилки попереднього. 

Відповідно, вірусне останнє оновлення ми ще не планували оновляти, що нас і спасло.

Але з відпустки все одно прибіг на годину, щоб перевірити наочно що все чисто і скопіювати базу ще й собі на флешку.

[Zheny@]

2 хвилин тому, sens сказано:

по пункту Б. Десь читав таку пораду, не оновлювати медок свіжими оновленнями, а почекати кілька днів або ще одне оновлення. Так як медок часто випускає одне за одним оновлення (з проміжком до дня). Причиною є те, що перше оновлення буває кривим, а в другому вже виправляли помилки попереднього. 

ага. +1. Тільки є "але", якщо немає останнього оновлення - ніфіга не відправляється

І бухи кіпішують. Бо штрафи такі, що йоманарот.

 

[sens]

Сьогодні статистика відразу сказала - приносьте наручно. Може тоже підвязана до медка (ще з бестзвіту по старому).

А взагалі, оффтоп, підрив електронного документообігу спостерігається звідусіль, і на кожному кроці. 

[jack74]

Кабмін схвалив скасування відповідальності за порушення термінів подання звітності через кібератаки

Цитувати

Уряд направив на розгляд Ради законопроект про продовження строків подання звітності

Кабінет міністрів схвалив і направив на розгляд Верховної Ради законопроект про скасування відповідальності бізнесу за порушення термінів подання звітності у зв'язку з кібератаками. Відповідне рішення було прийнято в ході сьогоднішнього засідання уряду, повідомляє прес-служба Кабміну.

"Уряд запропонував рішення, яке дозволить врегулювати питання справляння з підприємств штрафів за несвоєчасну подачу звітності через масштабну хакерську атаку на корпоративні і державні мережі, яка відбулася в кінці червня", - йдеться в повідомленні.

Як зазначив прем'єр-міністр України Володимир Гройсман, відповідні рішення оформлено в спеціальний законопроект, прийняття якого дозволить захистити підприємства. "Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності всім тим, хто в результаті хакерської атаки, яка пішла по Україні і всьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому", - сказав він.

Як уточнив міністр фінансів Олександр Данилюк в ході засідання, законопроектом передбачено продовження строків подання звітності, а також реєстрації податкових накладних для суб'єктів господарювання, які піддалися атаці хакерів.

 

 

52 хвилин тому, natalka) сказано:

Ще оця інформація з ESET насторожує: "программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв."

Для чого їх ідентифікувати?

щоб "своїх" не завалити

[case_l]

хай би кабмін зробив собі харакірі, спочатку вводять електронне адміністрування пдв, але програмне забезпечення для цього хз де і як робиться.

[vaz75]

7 часов назад, case_l сказал:

хай би кабмін зробив собі харакірі, спочатку вводять електронне адміністрування пдв, але програмне забезпечення для цього хз де і як робиться.

Де більше можна "відкатити", там і робиться. Зручність і безпека - вторинне.

[Lisovic]

9 годин тому, Zheny@ сказано:

ага. +1. Тільки є "але", якщо немає останнього оновлення - ніфіга не відправляється

І бухи кіпішують. Бо штрафи такі, що йоманарот.

Не завжди, якщо оновлення не стосується виду діяльності організації, то все відправляється. Якщо оновились бланки і які використовує бухгалтерія чи відділ кадрів тоді так, потрібно оновлюватись, бо відправлятись не буде.

Ми бувало і по три оновлення підряд не оновлювались, поки бухгалтерія або кадровики не попросять.

9 годин тому, natalka) сказано:

Для чого їх ідентифікувати?

Для того щоб знати куди попав бекдор, із наступною фільтрацією по критичності об'єктів і відповідно по методу подальшої дії.

Наприклад якщо ідентифікували що це якийсь маленький підприємець, то його системи цінносіт не мають, а якщо попали у велику енергетичну або фінансову компанію, то відповідно можна і данні звідти викачати і паролі зняти, і ще багато всього, тобто на такі компанії можна і більше сил потратити.

[laser]

ну ви тут і флейм податковий розвели %)

 

у кого пошкодило архіви, можна пробувати їх частково відновити.

вірус не шифрує файли повністю а затирає перші кілобайти файлу.

відтак наприклад WinRar дозволяє відновлювати пошкоджені архіви.

укажіть в провіднику архіватора потрібний архів і натисніть кнопавку "виправити".

ті файли, які були перші в архіві, не відновляться. всі наступні повинні успішно відновитись.

даний метод не буде працювати, якщо у архіві 1 файл. перший файл, або кілька перших (залежно від їх розміру) завжди невідновні.

цей метод працює з РАР файликами. з іншими не пробував.