• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Информация Петя разбушевался, или опять Петя (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
221


Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.

Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5).

Что случилось? И о развитии ситуации под катом.

То, о чем все кибер эксперты, включая меня, говорили днями и ночами! Украина не защищена от кибератак, но сейчас не об этом.

Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.

На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Не отрицаю что некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Ситуация динамически развивается и мы будем освещать. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…

Теперь о технических деталях

Первые версии Petya были обнаружены существенно ранее. Однако на сегодняшний день в сети свирепствует новая модификация Petya. Пока что известно, что «Новый Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, егу друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске (не всегда). Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.

В интренете уже были попытки написания дешифровщиков которые подходят только к старым версиям Petya.

Однако, их работоспособность не подтверждена.

Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, «паническое нажатие кнопки выкл» я бы назвал это так.

Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM) (спасибо 4eyes за уточнение), с отключением от интернета при любых обстоятельствах.

Личные предположения:

Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.

Инструменты:

На сайте мы создадим раздел Petya and Misha Decrypt, где будем выкладывать все найденные инструменты для дешифровки, которые самостоятельно проверять не успеваем. Просим остальных экспертов и специалистов в области информационной безопасности присылать информацию в личные сообщения для эффективной коммуникации. Так же смотрите UPD №6 и UPD №7


UPD1: Дешифровальщиков пока нет, те что выложены в интернете, подходят только к старым версиям.

UPD2: Сайт министерства внутренних дел Украины отключен. Силовики переходят в экстренный режим.


UPD3: Прошу не считать за рекламу, кто пострадал от атаки, пришлите образцы зашифрованных файлов или самого шифровальщика на почту info@protectmaster.org для разработки дешифровальщика. Мы в свою очередь готовы предоставить информацию любым ИБ компаниям по данному кейсу.

UPD4: Крупные супермаркеты харькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):



UPD5: Список сайтов и структур, подвергшихся кибератаке:
Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК

UPD 6 :

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat

В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно вот тут на сайте Microsoft.

UPD7: Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)

Вы можете скачать актуальный патч от MicroSoft и еще один.

UPD8: В сети уже появился бот, который мониторит выкупы за дешифрование файлов, зараженных Petya

UPD9: Согласно информации из фейсбука Киберполиции Украины (не проверено), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками однако эта информация еще не проверена.

UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам.

Оригинал:Украина подверглась самой крупной в истории кибератаки вирусом Petya
 

MisterX

Житель форума
Форумчанин
Регистрация
22.06.2017
Сообщения
56
Репутация
3
Да уж петя точно разбушевался! Капец даже супермаркеты разгромил. Похоже на спланированную атаку.
 

Unown

Анубис
Форумчанин
Регистрация
25.06.2017
Сообщения
23
Сейчас рашку будут обвинять инфа сотка
 

Rustam

Министерство любви.
Форумчанин
Регистрация
31.08.2016
Сообщения
71
Репутация
11
Наблюдал в живую, как эта заверюга работает.
Аваст и Каспер с последними базами только ругнулись на какой-то файлик в папке темп, затем удалили его. Но это не помешало благополучно зашифровать ПК. Eset не отреагировал никак.
 
G

ginn

Гость
Даа, Петя разгулялся на славу)