Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Zheny@]

Щойно, fenmix сказано:

щоб ще й сервери шифрувало?

Грамотно налаштований сервер із груповими політиками, бекапами, оновами  - буде жити.

1 хвилина тому, fenmix сказано:

Краще вже Сервак unix - клієнти Mac)

Не смішно. 99,9% ПЗ - віндове!

[Oli]

3 хвилин тому, Lisovic сказано:

інакше б його вже б хтось та знайшов.

 Лише сьогодні знайшли

[Lisovic]

1 хвилина тому, Zheny@ сказано:

Грамотно налаштований сервер із груповими політиками, бекапами, оновами  - буде жити.

не все так просто.

2 хвилин тому, Zheny@ сказано:

3 хвилин тому, fenmix сказано:

Краще вже Сервак unix - клієнти Mac)

Не смішно. 99,9% ПЗ - віндове!

Бліьше того вже і під мас і під лінукс вже є шифрувальники, поки кривуваті, але це діло часу.

[sergkots]

7 хвилин тому, Lisovic сказано:

Бліьше того вже і під мас і під лінукс вже є шифрувальники, поки кривуваті, але це діло часу.

Samba? Закрили вже.

[fenmix]

1 минуту назад, Lisovic сказал:

не все так просто.

Бліьше того вже і під мас і під лінукс вже є шифрувальники, поки кривуваті, але це діло часу.

 

Вони то є, але справа у методах поширення. На вінді критичною в даному випадку була вразливість поширення в локальних мережах (SMB), нещодавно десь читав, що таку знайшли в інтерпретації smb для Unix. Arch, Debian і Gentoo + OS X рулять все ж таки, похідні від убунти теж в небезпеці

[flashmax]

26 хвилин тому, Oli сказано:

 

Я щось так і думав, вище писав щось типу таймера.

 

 

Не буду описувати подробиць, але систематично приходили листи з вірусом, найдавніший місяць тому

В листах .ехе був ? Чи що ?

[Natik]

Переважна більшість інфікувань операційних систем вірусом Petya.A відбувалася через відкриття шкідливих додатків - документів Word, PDF-файлів, які були надіслані на електронні адреси комерційних та державних структур.

Про це повідомили в прес-службі СБУ, оприлюднивши рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача.

 

"Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів", - сказано у повідомленні.

 

http://www.pravda.com.ua/news/2017/06/27/7148102/

[Lisovic]

@sergkots @fenmix там діло не втому закрили чи ні, на вінді тоже закрили але то не всім помогло. Тут діло в поширеності системи і відношені затрат до отриманого результату, як десктоп вінда більш поширена, відповідно і сенс під неї писати значно вищий, як тільки лінукс стане більш поширеним то почнуть писати під нього. І останні знайдені дирки показують шо лінукс теж небездоганий

[Oli]

10 хвилин тому, flashmax сказано:

В листах .ехе був ? Чи що ?

 

По різному, навіть картинки з base64 

[jack74]

В нас на роботі корпоративна мережа. Всеукраїнська, так як офіси по всій Україні. Безпосередньо в нас в Луцьку 3 компа, 2 ноута і 1 десктоп. На всіх 7-ка. Все ліцензоване. Всі три були увімкнені зранку і залишені без нагляду (ми всі поїхали). Вже в дорозі всім прийшло повідомлення сисадміна повирубати компи, бо вже купа наших по Україні ушкоджені. Коли ми приїхали на офіс (десь біля 16:00) з 3-х наших компів 2 вже фсьо. На одному не знаходить системного диска взагалі, отже не завантажується, а на моєму десктопі ще чЕкав діска (chkdsk). Я вирубив, але вже було пізно, вже вимагає 300$. 

Можу з 100% впевністю заявити, що точно ніяких лівих пдфників, екзешників чи будь-якої іншої срані я не відкривав. Навіть листи невідомі відразу видаляю, без відкривання. Так що справа десь в іншій дірці

[Zheny@]

1 хвилина тому, jack74 сказано:

Можу з 100% впевністю заявити, що точно ніяких лівих пдфників, екзешників чи будь-якої іншої срані я не відкривав. Навіть листи невідомі відразу видаляю, без відкривання. Так що справа десь в іншій дірці

мережа.

Ти не відкривав, а колеги на інших ПК ?

Коли приходить щось *@*.gov.ua недовіра відступає.

 

[Jack]

1 година тому, Zheny@ сказано:

Чому Вірус зветься Пєтя?

І чому перед Днем Конституції?

 

Співпадіння??

"Соупадєніє? Не думаву!"

 

 

[igorgame]

Криптовымогатель Petya денег не получит

[case_l]

Щойно, igorgame сказано:

Криптовымогатель Petya денег не получит

11 апреля 2016 

[Jack]

2 хвилин тому, igorgame сказано:

Криптовымогатель Petya денег не получит

як постиш то перевіряй

 

[Lisovic]

18 хвилин тому, flashmax сказано:

В листах .ехе був ? Чи що ?

малоімовірно шо ехе. Скоріш шось із "легального", знаючи із середини одну із постраждалих компаній ехе і решта небезпечних файлів пролізти не могло.

[Lisovic]

@jack74 в середині мережі захисту ніякого, якщо вірус пройшов периметр то далі, якщо не стоять патчі, вже не врятує нічого.

Ми, на всяк випадок, погасили основні сервера і центральний впн хаб, фактично повністю вимкнули мережу, апдейти стоять, але поки нема точної інформації про механізм зараження, краще "перебздіти" чим "недобздіти".

[igorgame]

11 минуту назад, Jack сказал:

як постиш то перевіряй

Все перевіряв і знаю що 2016 але може чимось допоможе от і все. Так що не гнівайтесь

[Oli]

5 хвилин тому, Lisovic сказано:

але поки нема точної інформації про механізм зараження

 

оце і є головною проблемою

[dj_design]

Украина подверглась самой крупной в истории кибератаки вирусом Petya

https://m.habrahabr.ru/post/331762/

 

 

[vaz75]

в мене нічого не "впало", але я стрімаюся клацати ваші пруфи.

[Lisovic]

11 хвилин тому, igorgame сказано:

Все перевіряв і знаю що 2016 але може чимось допоможе от і все. Так що не гнівайтесь

Поміняти ключ шифрування це одна строка в коді, а судячи по інтенсивності атаці, і переліку заражених компаній, то вірус писали явно не дилетанти, тому старі дешифровальщики не підійдуть. Мало того антивіруси цю гадость на момент атаки не відловили, в том числі ліцензійні і повністю оновлені.

[Lisovic]

Для розрядки трохи гумору по темі https://twitter.com/thedivision1916/status/879718440826789888/photo/1

[santa11]

Що тут говорити. Вірус написаний грамотно. Поширений через "дірку" яку і досі остаточно не встановили. Шифрує основні офісні файли. фотки не чіпає. Толку з того що відновив загружчик... компи працюють, а файли то шифровані. Шифрування по мережі взагалі вище всіх похвал. Накрило більше 90% ПК, причому причини чому не накрило 10% так і не виявили. Роботи по самі вуха... навіть із бекапами поки не бачу шляху, як відновити нормальну роботу раніше, як за кілька днів. І що саме дурне на сьогодні як запобігти повторенню. Антивіруси, групові політики - виявились неефективними. 

[Natik]

«Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска.

По корпоративной сети он распространялся при помощи служебной программы PsExec. При этом уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office» — считают IT-специалисты БАКОТЕК.

 

Ще одні спеціалісти вказують зовсім інший метод інфікування