Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение > Windows

Петя и Миша атаковали Украину (но, похоже, не только её) : Windows

29.03.2024 10:29


28.06.2017 17:08
termit68ru
 
У меня у дома утром не заправляли на тнк. Но в новостях сказали что с петей это не связано.
28.06.2017 21:20
DEeMON
 
У нас в Рязани два дня заправки ТНК не работают, не знаю все или частично, но на конкурирующих АЗС неплохой приток клиентов.
29.06.2017 06:46
Mtirt
 
Передо мной сегодня кассирша на заправке Башнефти сильно извинялась, что не может начислить бонусы.
Остальное работало.
29.06.2017 07:45
Radik
 
Сегодня касперский прислал:

НОВАЯ МАСШТАБНАЯ АТАКА ПРОГРАММЫ-ВЫМОГАТЕЛЯ

Уважаемые клиенты!

Чуть больше месяца назад случилась атака шифровальщика WannaCry, а сегодня «Лаборатория Касперского» вынуждена информировать вас о масштабной атаке программы-вымогателя, начавшейся 27 июня. Наши эксперты продолжают расследование последней волны заражений программой-шифровальщиком, жертвами которой стали организации по всему миру. По имеющимся у нас предварительным данным, этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.



По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

На данный момент эксперты «Лаборатории Касперского» предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.


Продукты «Лаборатории Касперского» детектируют данное вредоносное ПО с вердиктом:
• UDS:DangerousObject.Multi.Generic
• Trojan-Ransom.Win32.ExPetr.a
• HEUR:Trojan-Ransom.Win32.ExPetr.gen

Поведенческий анализатор «Мониторинг системы» (System Watcher) детектирует это вредоносное ПО с вердиктом:
• PDM:Trojan.Win32.Generic
• PDM:Exploit.Win32.Generic



В большинстве случаев продукты «Лаборатории Касперского» успешно проактивно блокировали начальный вектор атаки данного шифровальщика с помощью поведенческого анализатора «Мониторинг системы» (System Watcher). Мы работаем над улучшениями поведенческого анализа по обнаружению шифровальщиков для детектирования возможных будущих модификаций данного вымогателя.

Наши эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.


Мы настоятельно рекомендуем всем корпоративным пользователям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010.

Мы также рекомендуем всем организациям убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы даже если они были зашифрованы вредоносным ПО.
30.06.2017 14:35
OlegON
 
Особенности вируса Petya (или его последователей)

1. Файлы меньше 1 Мб (0x100000) шифруются полностью. Больше — шифруется только 1-й мегабайт
2. Каждый логический том в системе шифруется своим ключом. В корне каждого диска создается файл README.TXT с содержимым тем же, что и выводится на экран по окончании шифровки и после перезагрузки, как я понимаю (лично не видел экрана). Но вот ключ разный на двух разделах диска который я ковырял.
3. Подключенные по USB диски не шифровались
4. Ключи никуда не отправлялись, управляющего сервера, который хотя бы ключи хранил, тоже нет


Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:

путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
путем направленной отправки вредоносного ПО по электронной почте
использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199
использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue


При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84.200.16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:\. После загрузки происходят следующие операции:
открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe;
загрузка шифровальщика по адресу french-cooking[.]com;
на компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta
подключение зараженного компьютера к адресам 111.90.139[.]247, coffeeinoffice[.]xyz;
распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — Check Disk.

В коде вредоносного ПО специалисты обнаружили интересную возможность защититься от Petya.C путем ручного создания файла C:\Windows\perfc.dll с помощью стандартного Блокнота.
Часовой пояс GMT +3, время: 10:29.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.