Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Саня]

А могли створити фейковий upd.me-doc.com.ua ? Ну там підміною DNS, маршрутизацією?

[case_l]

Щойно, rl72 сказано:

Всю уражену вірусом техніку можна просто викинути на смітник. Від вірусу вилікувати комп’ютери нереально.

що за брєд?

[Гість rl72]

Щойно, case_l сказано:

що за брєд?

куди і в скільки несеш викидати?))

[Lisovic]

3 хвилин тому, Саня сказано:

А могли створити фейковий upd.me-doc.com.ua ? Ну там підміною DNS, маршрутизацією?

Ні, точно такий самий не могли, могли похожий, але тоді медок туда не ломився б.

[Volyniaka]

Щойно, case_l сказано:

що за брєд?

Вони забули сказати адресу, куди той "мотлох" скидати... Там вже бусики стоять ..)))

[Natik]

9 хвилин тому, charlie сказано:

коротше кажучи мені подобається цей вірус, розумні хлопці  працювали   

ага. І заробили вони вже 3.27744736 BTC (150 000 грн приблизно). І це тільки початок

[Ukrainec]

17 хвилин тому, Lisovic сказано:

може, якшо не стоїть патч MS17-010 то вірус використовує дірку в смб-протоколі і запускається від імені системи, тобто користувачу взагалі нетреба нічого робити.

Є ще одна дірка, (не памятаю номер), яка дозволяє запущеному фалу отримати права адміністратора на машині. Можуть бути і ще дірки про які нема інформації

Попередні рази 7ка в мене "вмирала" якраз після оновлень. Тому стоїть вибір: або систему і файли вб"є вірус, або лише ризик вбити систему оновленням  

 

[phantom]

7 hours ago, sergkots said:

Може на лінукс хто захоче перейти. 

 

Лінукс не менш дірявий ніж Віндоуз ...

[Lisovic]

Щойно, Ukrainec сказано:

Попередні рази 7ка в мене "вмирала" якраз після оновлень. Тому стоїть вибір: або систему і файли вб"є вірус, або лише ризик вбити систему оновленням  

Ніразу жодна з моїх систем в мене не вмирала від оновлень, значить вибір явно не між оновленням і вірусом ;-)

[sergkots]

1 хвилина тому, phantom сказано:

 

Лінукс не менш дірявий ніж Віндоуз ...

пруф?

[case_l]

Щойно, Lisovic сказано:

Ніразу жодна з моїх систем в мене не вмирала від оновлень, значить вибір явно не між оновленням і вірусом ;-)

мабуть оновлював якусь кацапську збірку

[charlie]

Щойно, case_l сказано:

мабуть оновлював якусь кацапську збірку

там просто треба було ставити оновлення почергово, і якщо якогось попереднього оновлення не було, то вінда крешилась

[Lisovic]

1 хвилина тому, case_l сказано:

мабуть оновлював якусь кацапську збірку

кейс на відміну від тебе я використовую лише оригінальні MSDN образы ;-)

[Lisovic]

4 хвилин тому, charlie сказано:

там просто треба було ставити оновлення почергово, і якщо якогось попереднього оновлення не було, то вінда крешилась

Це якщо ставити вручну, якщо ставиш через автоапдейт, то система сама розрулює, і нічого не крашиться.

[jack74]

38 хвилин тому, charlie сказано:

цікаво що з тими ПК, що не накрило. І невже данний вірус міг почати якісь дії (напр в system32) на windows 8/10 без прав адміна, зі звичайним обліковим записом ?

Я писав, що в нас з 3-х два пошкодило, а один вцілів. Так от коли  я приїхав до компів він, вцілілий, теж був перезавантажений (чекав вводу паролю). Тобто з ним теж щось робилось, але... вижив ... поки принаймні

[Саня]

3 хвилин тому, Lisovic сказано:

Ні, точно такий самий не могли, могли похожий, але тоді медок туда не ломився б.

А якщо при спробі доступу до адреси upd.me-doc.com.ua підміняють відповідь DNS і IP вже "лєва" і сервак готовий з потрібною структурою каталогів і файликом "поновлення"??

[Volyniaka]

Роблю (попередньо) для себе висновок (я майже "чайник"): 1) Юніксоїди не постраждали ?; 2) не задіяні в руцкіх бухгалтерських, бізнесових і т.п. платформах теж; 3) МОЖЕ ГОЛОВНЕ! Там, де персонал навчений не відкривати всіляку гидоту, що приходить з поштою з х.з. мейлів проскочили, чи мають прикрість заразитись пізніше?

[jack74]

з сайту НОДу:

Масова атака програми-вимагача в Україні може досягти глобальних масштабів  

Нова атака програми-вимагача в Україні, яка може бути пов'язана з сімейством шкідливих програм Petya, стала топовою темою на сторінках численних ЗМІ та соціальних медіа. На даний час продукти ESET виявлять загрозу як Win32/Diskcoder.C Trojan. У разі успішного інфікування MBR, шкідлива програма шифрує весь диск комп’ютера. В інших випадках загроза зашифровує файли, як Mischa.

Для розповсюдження загроза, ймовірно, використовує експлойт SMB (EternalBlue), який був застосований для проникнення в мережу загрозою WannaCry, а потім поширюється через PsExec всередині мережі.

Ця небезпечна комбінація може бути причиною швидкості розповсюдження Win32/Diskcoder.C Trojan, навіть попри те, що попередні інфікування з використанням експлойту широко висвітлювалися в ЗМІ, а більшість уразливостей було виправлено. Для проникнення в мережу Win32/Diskcoder.C Trojan достатньо лише одного комп'ютера без відповідного виправлення, а далі шкідливе програмне забезпечення може отримати права адміністратора та поширюватися на інші комп'ютери.

Після шифрування файлів на екрані жертви відображається відповідне повідомлення з вимогою про викуп: «Якщо ви бачите цей текст, то ваші файли не доступні, тому що вони були зашифровані... Ми гарантуємо, що ви можете відновити всі ваші файли безпечним і легким способом. Все, що вам потрібно зробити, це надіслати платіж [$300 біткойн] і придбати ключ дешифрування».

Ймовірно, програми-вимагача інфікувала комп’ютери не лише українських користувачів. Видання «The Independent» зазначає, що також могли постраждати Іспанія та Індія, датська судноплавна компанія та британська рекламна компанія.

Нагадаємо, ще у 2016 році компанія ESET повідомляла, що Petya здійснює шифрування не окремих файлів, а інфікує файлову систему. Основною метою шкідливої програми є головний завантажувальний запис (MBR), який відповідає за завантаження операційної системи.

У зв’язку з масових поширенням шкідливої програми спеціалісти ESET рекомендують використовувати актуальні версії антивірусного та іншого програмного забезпечення, а також налаштувати сегментацію мережі, що може допомогти запобігти розповсюдженню загрози в корпоративній мережі. Детальніші рекомендації та інструкції у випадку інфікування Win32/Diskcoder.C Trojan можна знайти за посиланням.

У разі якщо Ваш комп’ютер вже інфіковано, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу [email protected] та виконайте інфструкції, подані у документі, доступному за посиланням.

Hide  

Win32/Diskcoder.C: рекомендації спеціалістів ESET  

Компанія ESET — лідер у галузі проактивного виявлення — повідомляє про високу активність та масове розповсюдження шкідливої програми-шифратора, яку продукти ESET виявляють як Win32/Diskcoder.C trojan.

У зв’язку з цим спеціалісти ESET звертають увагу всіх користувачів, як корпоративних, так і домашніх, на основні правила безпеки для забезпечення необхідного захисту:

• На комп'ютерах користувачів обов'язково повинно бути встановлене антивірусне програмне забезпечення актуальної версії та з актуальними оновленнями (у продуктах ESET не нижче 15653).
• У налаштуваннях антивірусного програмного забезпечення має бути увімкнене виявлення потенційно небезпечного програмного забезпечення, а також хмарний репутаційний сервіс ESET Live Grid.
• Оскільки розповсюдження відбувається з використанням PsExec та уразливостей мережевих протоколів, необхідно ретельно контролювати використання PsExec в середині організації та встановити усі необхідні оновлення операційної системи.
• Додаткову увагу необхідно звернути на наявність актуальних резервних копій, а також їх захист від несанкціонованого доступу.

У разі якщо Ваш комп’ютер вже інфіковано, будь ласка, напишіть запит до служби технічної підтримки ESET в Україні на електронну адресу [email protected] та виконайте інструкції, подані у документі, доступному за посиланням.

Hide  

[Slayer]

Про % зараження - сервера з останніми оновленнями і з ЕСЕТ лягли як добрий день. Компи спаслись на яких забули поставити есет а стояв дефендер, і компи в яких був включений параноидальный контроль учетних записів це те що замітив.Спрацював бистро Петя. Покі розбирались з файлсервером чого ліг, за 20 хвилин багато какі наробив....

Неповірите сервер 2000 і 2003 вистояли :))))))))))

[jack74]

Так і ХР стійкіші виявилися, ніж молодші.

[youman91]

1 минуту назад, Slayer сказал:

Про % зараження - сервера з останніми оновленнями і з ЕСЕТ лягли як добрий день. Компи спаслись на яких забули поставити есет а стояв дефендер, і компи в яких був включений параноидальный контроль учетних записів це те що замітив.Спрацював бистро Петя. Покі розбирались з файлсервером чого ліг, за 20 хвилин багато какі наробив....

Неповірите сервер 2000 і 2003 вистояли :))))))))))

Підтримую ліцензійний оновлений NOD ніяким чином не допоміг. Тому вони можуть своє застереження залишити собі.

[Lisovic]

2 хвилин тому, Саня сказано:

А якщо при спробі доступу до адреси upd.me-doc.com.ua підміняють відповідь DNS і IP вже "лєва" і сервак готовий з потрібною структурою каталогів і файликом "поновлення"??

Це насправді досить складно, DNS-захищені від несанкційованої зміни записів, тут хіба що зламати адмінку на сайті реестранта і там поміняти адресу. Але знов таки процедура зміни DNS не швидка.

[jack74]

4 хвилин тому, Volyniaka сказано:

Роблю (попередньо) для себе висновок (я майже "чайник"): 1) Юніксоїди не постраждали ?; 2) не задіяні в руцкіх бухгалтерських, бізнесових і т.п. платформах теж; 3) МОЖЕ ГОЛВНЕ! Там, де персонал навчений не відкривати всіляку гидоту, що приходить з поштою з х.з. мейлів проскочили, чи мають прикрість заразитись пізніше?

про 2. - на моїх компах ніякої бухгалтерії навіть близько не було.

про 3. - повір, Я - достатньо "навчений персонал", по твоїй термінології. Не врятувало.

 

Пролізло, думаю, якось по внутрішній мережі. ПДФники, звичайно, теж відкривались, але ніяких "лівих" чи незрозумілих... Хіба що та гидота навчилася сама ховатися в нормальні ПДФники

[flashmax]

1 година тому, Zheny@ сказано:

 

У людей заразилися компи, які навіть в нет не ходять!

Який медок?

а до  мережі підключені?

можлив давнішній вірус був у сплячці

[Lisovic]

 

11 хвилин тому, Volyniaka сказано:

Роблю (попередньо) для себе висновок (майже "чайник"): 1) Юніксоїди не постраждали ?; 2) не задіяні в руцкіх бухгалтерських, бізнесових і т.п. платформах теж; 3) МОЖЕ ГОЛВНЕ! Там, де персонал навчений не відкривати всіляку гидоту, що приходить з поштою з х.з. мейлів проскочили, чи мають прикрість заразитись пізніше?

1. атака ішла на windows машини, чого так я писав на попередніх сторінках.

2.ні

3. недопоможе, із останьої інформації зараження проходило через файли .doc, .xls, тобто у відділ HR приходить лист резюме_вася_пупкін.doc його відкриють всі.

 

 

9 хвилин тому, jack74 сказано:

Так і ХР стійкіші виявилися, ніж молодші.

Судячи по наявній інформації лягли так само швидко як і решта. В кого стояли патчі ті вижили.

 

9 хвилин тому, youman91 сказано:

Підтримую ліцензійний оновлений NOD ніяким чином не допоміг.

Ти ж здається казав шо в тебе symantec?