27.06.2017 20:43
KirillHome
 
Хабр

Цитата:
Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.

Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой (полный список в UPD5)

Что случилось? И о развитии ситуации под катом.

То, о чем все кибер эксперты, включая меня, говорили днями и ночами! Украина не защищена от кибератак, но сейчас не об этом.

Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.

На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Ситуация динамически развивается и мы будем освещать. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…

Теперь о технических деталях

Пока что известно, что #Petya шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является новинкой в мире Ransomware, егу друг #Misha, который прибывает чуть позже, шифрует уже все файлы на диске. Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании.

В интренете уже начали появляться попытки написания дешифровщиков: github.com/leo-stone/hack-petya (UPD: подходит только для старых версий шифровальщиков до 26.06.17)

Однако, их работоспособность не подтверждена.

Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, «паническое нажатие кнопки выкл» я бы назвал это так.

Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM) (спасибо 4eyes за уточнение), с отключением от интернета при любых обстоятельствах.

Личные предположения:

Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.

Инструменты:

На сайте мы создадим раздел Petya and Misha Decrypt, где будем выкладывать все найденные инструменты для дешифровки, которые самостоятельно проверять не успеваем. Просим остальных экспертов и специалистов в области информационной безопасности присылать информацию в личные сообщения для эффективной коммуникации. Так же смотрите UPD №6 и UPD №7


UPD1: Дешифровальщиков пока нет, те что выложены в интернете, подходят только к старым версиям.

UPD2: Сайт министерства внутренних дел Украины отключен. Силовики переходят в экстренный режим.

image
UPD3: Прошу не считать за рекламу, кто пострадал от атаки, пришлите образцы зашифрованных файлов или самого шифровальщика на почту (с. Новые алкаши, главпочтамт, представителю клуба сексуальных меньшинств, до востребования) для разработки дешифровальщика. Мы в свою очередь готовы предоставить информацию любым ИБ компаниям по данному кейсу.

UPD4: Крупные супермаркеты харькова тоже подверглись шифрованию, фото супермаркета «РОСТ» очереди на кассе из за шифровальщика. (Фото из соц сетей):

image

UPD5: Список сайтов и структур, подвергшихся кибератаке:
Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК

UPD 6 :

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat

В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно вот тут на сайте Microsoft.

UPD7: Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)
РБК - о Британии и Франции
Цитата:
Хакерской атаке подверглись компании в Британии и Франции
Хакерской атаке были подвергнуты несколько предприятий во Франции, а также компания в Великобритании. Об атаке на свои серверы заявила британская рекламная компания WPP. В Twitter компании сообщается, что в данный момент принимаются «соответствующие меры».
Ещё с РБК
Цитата:
По данным Group-IB, жертвами кибератаки стали сети «Башнефти», «Роснефти»
27.06.2017 20:46
KirillHome
 
Ведомости
Цитата:
Кто пострадавший?
Во вторник 27 июня ряд компаний мира и России подверглись атаке вируса-вымогателя. В их числе - российская «Роснефть», крупнейший контейнерный оператор Maersk, Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold). Изначально вирус идентифицировали как WannaCry и Petya, однако позднее «Лаборатория Касперского» и «Доктор Веб» выделили его в отдельный штамм. Вирус блокирует компьютер и предлагает заплатить $300 в биткоинах за код разблокировки.
Компания Evraz подверглась хакерской атаке
Нарушение работы из-за кибератаки подтвердил российский Хоум кредит банк (ХКФ банк) - он не проводит операции из-за кибератак. Банк подчеркнул, что заметил признаки нестабильности и решил провести проверку всех систем безопасности. «На фоне массовых сообщений в СМИ об атаках на различные компании мы приняли решение в превентивном порядке провести проверку безопасности всех наших систем», - сообщил «Ведомостям» представитель банка.
Отделения ХКФ банка открыты, но работают в консультационном режиме, операции не проводятся, но банкоматы и колл-центры работают. Кроме того, корреспондент «Ведомостей» дважды оплатил услуги одного из сотовых операторов через интернет с карты ХКФ-банка, и протокол 3-D Secure дважды не сработал - он не получил sms с кодом подтверждения операции. Операция, тем не менее, прошла. «Действительно, 3-D Secure сейчас не работает», - подтвердил представитель банка.
Сайт ХКФ-банка не работает примерно с 16.45 мск, около 19.30 мск на сайте появилась заглушка с текстом «Из-за технических проблем сайт банка временно недоступен. Мы будем рады ответить на ваши вопросы в социальных сетях. Также вы можете позвонить в call-центр банка по телефону 495-785-8222. Скоро все заработает!».
27.06.2017 21:06
OlegON
 
Когда уже эту недоос закопают... Только что было, что винду 10 со всеми патчами поломали, подняли привилегии с юзера до админа макросами вроде вордовых.
27.06.2017 22:20
KirillHome
 
На хабре дополнение к статье

Цитата:
UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
То есть Украину в таком количестве зацепило, похоже, из-за проблемного сервиса сдачи отчётности...
27.06.2017 23:13
KirillHome
 
Продолжение
Цитата:
UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — фал без расширения)
27.06.2017 23:45
baggio
 
Имхо Башнефть просто притянули...
Для отвода глаз...
28.06.2017 08:10
BotMan
 
Вот с каждой такой новостью в голове появляются мысли: Олег - Линукс.
28.06.2017 14:01
Kryukov
 
Цитата:
baggio Имхо Башнефть просто притянули...
Для отвода глаз...
смотришь украинское телевидение ? у них на всех каналах
28.06.2017 14:14
baggio
 
нет
я просто знаю как устроено в ТНК(роснефть)
там такое не возможно чтоб все положилось сразу...
там ОЧЕНЬ сурьзная безопасность..
28.06.2017 16:50
-Den-
 
Ща вроде слушок пошел, что тнкашные заправки встали

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.