Петя и Миша атаковали Украину (но, похоже, не только её) : Windows

У меня у дома утром не заправляли на тнк. Но в новостях сказали что с петей это не связано.

У нас в Рязани два дня заправки ТНК не работают, не знаю все или частично, но на конкурирующих АЗС неплохой приток клиентов.

Передо мной сегодня кассирша на заправке Башнефти сильно извинялась, что не может начислить бонусы.
Остальное работало.

Сегодня касперский прислал:

НОВАЯ МАСШТАБНАЯ АТАКА ПРОГРАММЫ-ВЫМОГАТЕЛЯ

Уважаемые клиенты!

Чуть больше месяца назад случилась атака шифровальщика WannaCry, а сегодня «Лаборатория Касперского» вынуждена информировать вас о масштабной атаке программы-вымогателя, начавшейся 27 июня. Наши эксперты продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.



По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.


Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом:
• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:
• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic



В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.


Мы настоятельно рекомендуем всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Мы также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.

Особенности вируса Petya (или его последователей)

1. Файлы меньше 1 Мб (0x100000) шифруются полностью. Больше — шифруется только 1-й мегабайт
2. Каждый логический том в системе шифруется своим ключом. В корне каждого диска создается файл README.TXT с содержимым тем же, что и выводится на экран по окончании шифровки и после перезагрузки, как я понимаю (лично не видел экрана). Но вот ключ разный на двух разделах диска который я ковырял.
3. Подключенные по USB диски не шифровались
4. Ключи никуда не отправлялись, управляющего сервера, который хотя бы ключи хранил, тоже нет


Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:

путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
путем направленной отправки вредоносного ПО по электронной почте
использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199
использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue


При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:
открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe;
загрузка шифровальщика по адресу french-cooking[.]com;
на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta
подключение зараженного компьютера к адресам 111.90.139[.]247, coffeeinoffice[.]xyz;
распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.

В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:\Windows\perfc.dll с помощью стандартного Блокнота.