Petya.A атакує Кароч, на фірмі лягли всі компи. Шо дєлать?

Разговоры обо всем
Ответить
Автор
Сообщение
Scoffer
Member
Аватара пользователя

Сообщение

Департамент кіберполіції Національної поліції України
#ВАЖЛИВО:
На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)
Це програмне забезпечення має вбудовану функцію оновлення, яка періодично звертається до серверу: "upd.me-doc.com.ua" (92.60.184.55) за допомогою User Agent "medoc1001189".
Оновлення має хеш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54.
Більшість легітимниг "пінгів" (звернень до серверу) дорівнює приблизно 300 байт.
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
-створення файлу: perfc.bat;
- запуск cmd.exe з наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\system32\shutdown.exe /r /f" /ST 14:35”;
- створення файлу: ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) та його подальший запуск;
- створення файлу: dllhost.dat.
В подальшому, шкідливе програмне забезпечення розповсюджувалось за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).
Рекомендація:
- тимчасово не застосовувати оновлення, які пропонує програмне забезпечення "M.E.doc." при запуску;
Інформація оновлюється!
https://www.facebook.com/cyberpoliceua/ ... NE&fref=nf
Последний раз редактировалось Scoffer 27.06.2017 22:16, всего редактировалось 1 раз.
Corey666
Member
Аватара пользователя

Сообщение

А я то думал, что в Mr. Robot фантастику показывали, но после того как знакомый не смог заправится на 3-х заправках из-за этого вируса... задумался :lamer:
viperest1
Member
Аватара пользователя

Сообщение

Greeder:viperest1 а он тут причём ?
Просто молодець , що повідомив про цього ітьйота ( ідіота :gigi: ) ;) :beer: :super:
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

139 и 445 полностью выпилить из винды :up:
Васильович
Member
Аватара пользователя

Сообщение

anatolikostis: вы читать умеете?!
Так.
anatolikostis: цитирую для танкистов еще раз
І хто тут танкіст???
simplix 27 июня 2017 в 19:21 +1
Почему-то автор на ПМ не отвечает, так что пишу публично — ссылки на обновления бесполезны, они закрывают уязвимость от WannaCry, но не от Пети. Последний заражает даже обновлённые машины.
Фейспалми прибережіть для себе.
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

anatolikostis
при том, что сам признался, что порты по сети все пооткрыты, у вас сработала отличная от всех редакция этой дряни.
С удовольствием послушаю, как работать без самбы на предприятии :rolleyes:
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Васильович
Вы будете переписку анонов бездумно цитировать или включите мозг?
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
- створено файл: rundll32.exe;
- звернення до локальних IP-адрес на порт 139 TCP та порт 445 TCP;
Ваш выбор?
без уязвимости SMB, которую закрывает заплатка, хотя предлагали просто службу выключить (как сделал я после установки заплатки) схема заражения сегодняшнего не работает - точка, большая и жирная.
С удовольствием послушаю, как работать без самбы на предприятии
С апреля месяца 2017 года можно было устроить не один мозговой штурм и перенастроить не одну сеть. Но принцип работы в нашей стране - "до первого пожара", дальше пойдут обсуждения и пр. и будет выработан механизм.
Scoffer
Member
Аватара пользователя

Сообщение

anatolikostis
Неправильно. Це лише один вектор атаки.
Першочергово завантажилось оновлення на медок на всі компи бухгалтерів, вразливості вінди для цього не потрібні, медок має права оновлювати свої exe-шники. І лише в другу чергу хробак пішов по самбі до інших компів. Але і це ще не все, впридачу він використовує вразливість CVE-2017-0199 в офісах і вордпадах, всучуючи свій код в документи, котрі користувач далі своїми руками розповсюдить серед колег.
Васильович
Member
Аватара пользователя

Сообщение

anatolikostis:ананонимов
Серйозно? Ви не знаєте, хто такий simplix?
anatolikostis:или включите мозг?
Боюся, мій пульт для вашого не підійде.
anatolikostis: без уязвимости SMB, которую закрывает заплатка, хотя предлагали просто службу выключить (как сделал я после установки заплатки) схема заражения сегодняшнего не работает - точка, большая и жирная.
А ще без компа вона теж не працює. І без електрики. І без матерії.
Це полуміра всеодно, я не знаю, наприклад, як моя контора буде працювати без мережевих шар. Пасьянси складатимуть і "ютубчик втикатимуть".
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Scoffer
Верно, m.e.doc в ProgramData, по сути, юзерский скоуп и права админа ему не нужны.
Что с этой самбой делать? :mad:
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Scoffer
еще один камень в огород макросов ворда, ведь без него тоже не один офис не может обойтись - я угадал?
Scoffer
Member
Аватара пользователя

Сообщение

anatolikostis
Нє, тут просто вразливість в ПЗ, без врахування макросів, котрі теж випилювати треба при першій ліпшій нагоді.

Отправлено спустя 2 минуты 33 секунды:
LostBoy: Что с этой самбой делать? :mad:
Випилювати.. Принтери в мережеві замість локальних, шари хоча б в ftp перевести.
В ідеалі випилити прозору аутентифікацію всюди де тільки можливо, це корінь всіх зол в віндах.
Последний раз редактировалось Scoffer 27.06.2017 22:49, всего редактировалось 1 раз.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

LostBoy:Что с этой самбой делать? :mad:
Тут форум немного другой направленности, и все равно эту уязвимость будут эксплуатировать и затирать носители до дыр.
полистал интеренеты: на самбе живут не только шифровальщики, но еще и майнеры монеро, а я думаю, че это с мая сеть монеро на 30% подросла, а оно вон оно че, Михалыч.
Последний раз редактировалось anatolikostis 27.06.2017 22:59, всего редактировалось 1 раз.
LeoLogicDnepr
Junior
Аватара пользователя

Сообщение

Hi, All!
читаю, многое не сходится:
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
что у нас - из 8-ми серваков уронено 2 - все упавшие с 2008 виндой. Сервера с Вин-2003 , Вин-2012, и Вин2016 в домене не пострадали. Виртуалки с Вин8.1 есть убитые...
потом непонятное еще:
- у нас, и клиентов начало атаки зафиксировано в 13:55 - 14:05 (по времени создания файла README.TXT). Восстановил из бекапа системы - пересмотрел все таймеры, никаких заданий на это время не было;
- единственное непонятно - на всех павших машинах, в корне диска С находятся файлы с именем ualoc.inf (пока не знаю что это)
- бух.машинка с Медком есть, но была выключена;
- ладно не будем говорить о компаниях из РФ, НО! как можно объяснить массовые проблемы с компами в Испании, Индии? Они тоже пользуются медком???
Последний раз редактировалось LeoLogicDnepr 27.06.2017 23:07, всего редактировалось 1 раз.
Scoffer
Member
Аватара пользователя

Сообщение

LeoLogicDnepr
Вразливості в самбі і офісах ніхто не відміняв. Індуси і іспанці - чиїсь контрагенти.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

LeoLogicDnepr
да кому интересна в качестве выкупа UA-аудитория?
эти группировки - интернациональны, поэтому через ломанные легитимное ПО будет все больше шифровок и майнеров XMR, и другого пути, как полностью выпилить службу из ОС просто нет.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Scoffer
ну, касперский вне подозрений, я точно знаю :D
а по делу: на этом механизме работает уже несколько реальных шифраторов, майнер, и еще черт знает что 2 месяца - всем пофиг, ведь "у меня все нормально".
Последний раз редактировалось anatolikostis 27.06.2017 23:09, всего редактировалось 1 раз.
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

LeoLogicDnepr:Hi, All!
читаю, многое не сходится:
Цього ранку, о 10.30, програму M.E.doc. було оновлено. Воно складало приблизно 333кб, та після його завантаження відбувались наступні дії:
что у нас - из 8-ми серваков уронено 2 - все упавшие с 2008 виндой. Сервера с Вин-2003 , Вин-2012, и Вин2016 в домене не пострадали. Виртуалки с Вин8.1 есть убитые...
потом непонятное еще:
- у нас, и клиентов начало атаки зафиксировано в 14:05. Пересмотрел все таймеры - никаких заданий на это время не было;
- бух.машинка с Медком есть, но была выключена;
- ладно не будем говорить о компаниях из РФ, НО! как можно объяснить массовые проблемы с компами в Испании, Индии? Они тоже пользуются медком???
Нет никакой такой корреляции - у нас слегли от 7 и 2008R2 до 10.1703 и 2016 (все апдейты, включая мартовский патч от воннакрай, но он сегодня не был панацеей). Есть пару терминальных на 2003R2 для древней версии 1С, но было не до них сегодня, даже не смотрел их с гипервизора.
У нас все началось в 13:14, в 13:15 зашифровалась уже моя машина (работал из-под обычного юзера, но с правами админа были кое-какие оснастки запущены).
Сеть была заражена мгновенно, как я уже говорил, прошло по всем vlan'ам.
Какая KB в базе знаний MS по второй уязвимости, дайте ссылку, а то уже голова распухла.
LeoLogicDnepr
Junior
Аватара пользователя

Сообщение

Scoffer, а Башнефть попала под раздачу потому что плохо себя вела?
Scoffer
Member
Аватара пользователя

Сообщение

LeoLogicDnepr
Знаєш правило 6 рукостискань?)
Ответить