Jump to content
Local
Berkut

#Petya.A Из-за масштабной вирусной атаки не работают банки, медиа, сервисы

Recommended Posts

Кстати, в контексте сегодняшнего шухера. Остались ли еще операторы/провайдеры, которые и далее намерены закупать и использовать российское железо? :D

Share this post


Link to post
Share on other sites

Кстати, в контексте сегодняшнего шухера. Остались ли еще операторы/провайдеры, которые и далее намерены закупать и использовать российское железо? :D

А что, в том железе что-то не работает?

Или оно стало дороже D-Link-a?

Share this post


Link to post
Share on other sites

 

 

Под шумок протянут DPI - 100%

 

его и безо всякого шума протянут

 

а это так, контрольный выстрел, типа, ну вы же видите, без ДПИ -- никак

 

и сейчас какой-нибудь "аналитик" типа Турчинова вырядится в камуфляж, запрыгнет в окоп и оттуда сделает авторитетное заявление про руку Кремля. 

Share this post


Link to post
Share on other sites

 

Под шумок протянут DPI - 100%

 

его и безо всякого шума протянут

 

а это так, контрольный выстрел, типа, ну вы же видите, без ДПИ -- никак

 

и сейчас какой-нибудь "аналитик" типа Турчинова вырядится в камуфляж, запрыгнет в окоп и оттуда сделает авторитетное заявление про руку Кремля. 

 

Заражение вирусом Petya началось с Украины, заявили в ESET.

На втором месте среди пострадавших стран находится Италия,

на третьем - Израиль. В первую десятку также вошли Сербия,

Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия

в данном списке занимает лишь 14-е место.

Правда что ли?

Share this post


Link to post
Share on other sites

 

 

Под шумок протянут DPI - 100%

 

его и безо всякого шума протянут

 

а это так, контрольный выстрел, типа, ну вы же видите, без ДПИ -- никак

 

и сейчас какой-нибудь "аналитик" типа Турчинова вырядится в камуфляж, запрыгнет в окоп и оттуда сделает авторитетное заявление про руку Кремля.

 

Заражение вирусом Petya началось с Украины, заявили в ESET.

На втором месте среди пострадавших стран находится Италия,

на третьем - Израиль. В первую десятку также вошли Сербия,

Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия

в данном списке занимает лишь 14-е место.

Правда что ли?

 

 

 

а вот и подробности, я был прав насчет Медка, ибо я лично обновлял эту машину -- источник заразы у нас, с флешки, куда были записаны обновления для ХР и 2003

 

и, между прочим, отечественный антивирус Зилля это дело пропустил (при том, что он постоянно срабатывает на что угодно, что на деле вирусом не является)

 

Департамент кіберполіції Національної поліції України

4 ч · 

#ВАЖЛИВО:

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)

Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".

Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.

Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.

Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:

- створено файл: rundll32.exe;

- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;

- створення файлу: perfc.bat;

- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;

- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;

- створення файлу: dllhost.dat.

В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).

Рекомендація:

- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;

Інформація оновлюється!

https://www.facebook.com/cyberpoliceua/posts/536947343096100

 

 

немедленно вычистить все российское ПО!

 

долой 1С, даешь отечественный продукт!

 

так победим!

Edited by zaborovsky

Share this post


Link to post
Share on other sites

 

Под шумок протянут DPI - 100%

 

его и безо всякого шума протянут

 

а это так, контрольный выстрел, типа, ну вы же видите, без ДПИ -- никак

 

и сейчас какой-нибудь "аналитик" типа Турчинова вырядится в камуфляж, запрыгнет в окоп и оттуда сделает авторитетное заявление про руку Кремля. 

 

 

Да запросто, если захотят. Причем, пройдет это все под полный всенародный одобрямс пересічних и всенародные благодарности истосковавшихся по твердой руке с просьбами подзатянуть гаечки потуже и добавить еще больше треша, угара и содомии в целях борьбы с вездесущими агентами Кремля.

Share this post


Link to post
Share on other sites

 

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc."

Ну т.е. проникли в медок и подложили вирус в апдейт, с чего все и началось.

Share this post


Link to post
Share on other sites

 

 

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc."

Ну т.е. проникли в медок и подложили вирус в апдейт, с чего все и началось.

 

 

 

дотянулся, проклятый... (с)

Share this post


Link to post
Share on other sites

 

 

Кстати, в контексте сегодняшнего шухера.

 

какая связь?

 

уже известно, что приехало оно, как я и говорил, с обновлениями от Медка

 

каким боком тут какое-либо железо? 

Share this post


Link to post
Share on other sites

(не завидую я ИТ-департаменту Медка.....)

Откуда у них ИТ департамент, они же разработчик. Им сейчас нужно имя вернуть, пригласить западных аудиторов и реально пофиксить проблемы безопасности. Не так:

 

http://www.me-doc.com.ua/vnimaniyu-polzovateley

Внимание!

 

На наши сервера осуществляется вирусная атака.

 

Просим прощения за временные неудобства!

каким боком тут какое-либо железо?

Никаким, можно хоть у ФСБ покупать, на ситуацию с безопасностью это никак не повлияет. Edited by ttttt

Share this post


Link to post
Share on other sites

ну, понеслась!
 
СНБО на линии

Подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.


Кровавый Пастор не отстает

 

 

По его словам, все государственные учреждения, которые выполняли рекомендации Национального координационного центра кибербезопасности и были включены в защищенный контур (защищенный узел интернет-доступа) не пострадали.

 

Кровавый Пастор и Купол Грома защищенный контур

Share this post


Link to post
Share on other sites
http://www.me-doc.co...yu-polzovateleyЦитата Внимание! На наши сервера осуществляется вирусная атака. Просим прощения за временные неудобства!

 

 

для пущего эффекта надо еще прибавить неизменное "благодарим за понимание" (с)

 

 

 

Откуда у них ИТ департамент, они же разработчик.
 

 

они и продажник вполне себе тоже -- оно денег стоит и немалых (сетевая версия особенно)

Edited by zaborovsky

Share this post


Link to post
Share on other sites

У нас помер только сервак с 1С и медком.

Вернее, остановили его на 0%. Другие серверы на винде, да и рабочие машины тоже, хоть и в одной сети, не пострадали.

Но клиентов, чьи сервера размещены в ДЦ, приехало много. Эти не успели :-)

Офисный админ говорит что обновы медка не ставил на этой неделе. Значит, наверное, как-то раньше пришло.

Смотрели диск с R-Studio, сразу ушли папки Program Files (и x86), Windows, ProgramData. Остальное, видать, не успело.

Edited by Zend

Share this post


Link to post
Share on other sites

UPD 6 :

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat

UPD10:

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными.

Загрузка с LiveCD или USB-диска даст доступ к файлам

 

Слито с https://habrahabr.ru/post/331762/

Share this post


Link to post
Share on other sites

 

 

Загрузка с LiveCD или USB-диска даст доступ к файлам
 \

Если процесс пошел, то уже не даст)

Share this post


Link to post
Share on other sites

 

 

Офисный админ говорит что обновы медка не ставил на этой неделе. Значит, наверное, как-то раньше пришло.

 

у нас машина с медком -- это просто клиентская машина с софтверным raid1, обновления на ней ставятся то ли автоматом, то ли девочка, ответственная за медок, согласилась с предложениями обновления автоматом (там, если не обновляться. бывают проблемы, что налоговые не отправляются, т.к. формы поменялись и т.д. -- поэтому наши всегда обновляются по команде) 

Share this post


Link to post
Share on other sites

Похоже криптуется не диск, а отдельные файлы, потому доступ будет к информации, что не успела зашифроваться, будет.

Кстати я правильно понимаю, что первый запуск на первом зараженном компьютере в сети должен быть с правами админа как минимум локального?

Share this post


Link to post
Share on other sites

 

 

Кстати я правильно понимаю, что первый запуск на первом зараженном компьютере в сети должен быть с правами админа как минимум локального?

 

если судить по тому, что написала киберполиция про Медок -- то да

 

но это ж не спасет, потому как Медок спрашивает, мол, доступны обновления -- обновить?

 

и налоговый бухгалтер (тот, кто отвечает за отправку налоговых накладных в налоговую) отвечает "да"

 

и иначе и быть не может, потому что отказ от обновления Медка череват тем, что могут быть не приняты налоговые (если форма изменилась, а она меняется часто, поэтому все всегда соглашаются)

Share this post


Link to post
Share on other sites

На всякий случай, мож кому пригодится. Софтинка, сканит на предмет уязвимости к WannaCry.

https://github.com/ptresearch/Pentest-Detections/tree/master/WannaCry_Petya_FastDetect

 

Нашлись несколько машин, в т.ч., с хр, но, как ни странно, никаких проблем с ними :)

Share this post


Link to post
Share on other sites

Дампы с HDD после заражения машины 

 

У кого есть зараженные компы - плиз сделайте бэкапчики первые 0-63 сектора диска или , лучше , первые 1-4 мб данных  :)

hdd_0-100sector.zip

hdd_0-4096.zip

Edited by mixeysan

Share this post


Link to post
Share on other sites

Дампы с HDD после заражения машины 

 

У кого есть зараженные компы - плиз сделайте бэкапчики первые 0-63 сектора диска или , лучше , первые 1-4 мб данных  :)

А толку. Дядьки из PT его уже ковыряли.

Все ж одинаковое будет.

Share this post


Link to post
Share on other sites

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

 

 

post-13019-0-87365700-1498639291_thumb.jpg

Edited by masterzep

Share this post


Link to post
Share on other sites

На ваши дампы секторов HDD успешно реагирует Microsoft Security Essentials ...

Уже реагирует?  :D  Почему раньше не было никакой реакции?  :)

Share this post


Link to post
Share on other sites

Сегодня Uber пополнился большим количеством премиум машин с водителями, начинающими свой рассказ с фразы "а раньше я был IT директором в одной крупной конторе"...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Дмитро
      Скажите может кто то сталкивался, в последнее время от многих абонентов идет большой исходящий трафик. Как правило такое происходит ночью и на всю скорость тарифного плана. Редко днем. Сначала думал торент, но это не от него, у большинства таких абонентов есть телефоны или планшеты эпл. Трафик идет как правило гугловский cdn 172.217.22.176,  173.194.221.128 lm-in-f128.1e100.net (173.194.221.128)
       
       
      Что это может быть и что делать?
       
       
       
       
       
       
       
       



    • By Туйон
      Доброго дня. 
      Начали твориться интересные вещи.
      Заявки от клиентов, у которых (пока что так) соблюдаются 2 условия:
      1. Роутер 340 или 740.
      2. PPTP подключение.
      Заявка - нет интернета.
      По приходу обнаруживается, что в роутере сбит профиль PPTP а так же юзаются какие-то левые ДНС.
      Приходится сбрасывать роутер, после чего настраивать и ставить свои логин/пароль и порт на админку.
      Поискал чуть-чуть в интернете, понял, что это какая-то кака заражает клиентский комп.
       
      Кто сталкивался?
      Можно ли принять какие-то меры (ну, например, заблокировать какой-то ай-пи), дабы эта зараза не положила сотню роутеров?
      А, да. IP адреса у клиентов серые. Так что это кака попадает таки изнутри.
    • By BALTAR
      Сегодня ночью Ubiquiti, в связи с "массовым" заражением ОС своей продукции выпустили обновление AirControl 2 с встроенным антивирусом, который исправляет все поправки в AirOs, но у меня часть оборудования зашита на XW v5.5.10-u2, эту прошивку выкопал на форуме, устройства под ее управлением отсылают логи с данными о своем ip на неизвестный адрес и перепрошить себя не дают, обновленный AirControl не видит в прошивке изменений, как быть?
      P.S. Прошивку и скрин прилагаюXW-v5_5_10-u2_28005_150723_1358.zip
×