Petya.A атакує Кароч, на фірмі лягли всі компи. Шо дєлать?

Разговоры обо всем
Ответить
Автор
Сообщение
Jumper007
Member
Аватара пользователя
Откуда: Чернигов

Сообщение

Таки да, цели этих злоумышленников выглядят довольно странно.

Заразили мелких частников - да там такое жлобье, какие 300 баксов :laugh: (вот если б 30 попросили был бы смысл)
Заразили большие конторы - там админы есть, будут до утра все восстанавливать и ни кто им 300 баксов не даст.
Гос конторы - без комментариев.
Частные лица - медок не юзают.

Вопрос - зачем все это, для чего ?
Scoffer
Member
Аватара пользователя

Сообщение

anatolikostis: а по делу: на этом механизме работает уже несколько реальных шифраторов, майнер, и еще черт знает что 2 месяца - всем пофиг, ведь "у меня все нормально".
В великих компаніях, я маю на увазі ті, що з тисячами юзерів, бізнеспроцеси за 2 місяці не змінити навіть при дуже-дуже сильному бажанні. Там накоплені тони софту, іноді за десятиліття, котрі навіть при заміні на свіжі покупні софти доведеться пару років тримати доки плавно не переїде все в нове. Свого часу приват з усіма його можливостями переїжджав овер рік і дуже болісно.
Последний раз редактировалось Scoffer 27.06.2017 23:19, всего редактировалось 1 раз.
LeoLogicDnepr
Junior
Аватара пользователя

Сообщение

Вопрос - зачем все это, для чего ?
тю, делов то: сорвать админам празднования Дня Конституции Украины :)
з.ы. Теперь пива не выпить..
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Scoffer
я не про это: я про "что делать с самбой, если нам вместо нее шаринг больше нечем делать"
skype упал - :laugh:
в центре города начал мигать свет.
Scoffer
Member
Аватара пользователя

Сообщение

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
wotan
Junior
Аватара пользователя
Откуда: Украіна Запоріжжя

Сообщение

LostBoy:
LeoLogicDnepr:Hi, All!
читаю, многое не сходится:

что у нас - из 8-ми серваков уронено 2 - все упавшие с 2008 виндой. Сервера с Вин-2003 , Вин-2012, и Вин2016 в домене не пострадали. Виртуалки с Вин8.1 есть убитые...
потом непонятное еще:
- у нас, и клиентов начало атаки зафиксировано в 14:05. Пересмотрел все таймеры - никаких заданий на это время не было;
- бух.машинка с Медком есть, но была выключена;
- ладно не будем говорить о компаниях из РФ, НО! как можно объяснить массовые проблемы с компами в Испании, Индии? Они тоже пользуются медком???
Нет никакой такой корреляции - у нас слегли от 7 и 2008R2 до 10.1703 и 2016 (все апдейты, включая мартовский патч от воннакрай, но он сегодня не был панацеей). Есть пару терминальных на 2003R2 для древней версии 1С, но было не до них сегодня, даже не смотрел их с гипервизора.
У нас все началось в 13:14, в 13:15 зашифровалась уже моя машина (работал из-под обычного юзера, но с правами админа были кое-какие оснастки запущены).
Сеть была заражена мгновенно, как я уже говорил, прошло по всем vlan'ам.
Какая KB в базе знаний MS по второй уязвимости, дайте ссылку, а то уже голова распухла.
У нас в конторе тоже самое, один в один! Накрыло только раньше около 10.30. На моем компе убит раздел С, D живой но все файлы .xlsx .doc .dbf убиты шифровальщиком. По сетке накрыло моментально. Пролезла "хламидия" через медок! Серваки легли все....Полный Армагеддон!

Отправлено спустя 2 минуты 7 секунд:
Scoffer:
anatolikostis: а по делу: на этом механизме работает уже несколько реальных шифраторов, майнер, и еще черт знает что 2 месяца - всем пофиг, ведь "у меня все нормально".
В великих компаніях, я маю на увазі ті, що з тисячами юзерів, бізнеспроцеси за 2 місяці не змінити навіть при дуже-дуже сильному бажанні. Там накоплені тони софту, іноді за десятиліття, котрі навіть при заміні на свіжі покупні софти доведеться пару років тримати доки плавно не переїде все в нове. Свого часу приват з усіма його можливостями переїжджав овер рік і дуже болісно.

Именно так!!!
Bomchik
Member
Аватара пользователя
Откуда: Кам'янець-Подільський

Сообщение

Кто-то пол часа тому задонатил почти 8к долларов(так же есть по 4, 5 и 6 тысяч проплаты).
https://twitter.com/petya_payments?s=09
спойлер
Безымянный.jpg
Последний раз редактировалось Bomchik 27.06.2017 23:34, всего редактировалось 1 раз.
Martix
Member
Откуда: из прошлого...

Сообщение

А у меня все норм, сижу со встроенным антивирем под учеткой админа и не парюсь, правда GPT уже лет 5 юзаю, с момента появления UEFI. Если зашифрует – пофиг, есть бекап всего самого важного в облаке, не зря ж я за него плачу? :laugh:
Scoffer:Викуп там для галочки, тут явні сліди фсб: цілеспрямована атака на українські компанії через наймасовіший говнософт, що їх об'єднує. Краще і не вигадаєш.
Кончайте бредить. Взаимосвязи никакой нет кроме домыслов. Показать несостоятельность нашего правительства - Ха! Реально? :lol: Выгодно это хакерам? На сколько мне известно такие ребята как правило работают по заказу за очень большие деньги, а не за убеждения :lamer: :laugh: , а бабло собирают с дескрипторов уже третьи лица, если хотите - заказчики, если их это всерьёз интересует, в чем я сомневаюсь. Даже если предположить что правительство РФ выделит деньги на такие дела то бабло в ФСБ быстрей растворится по карманам чем дойдет до хакеров в полном объеме :laugh: . Выгодно это ФСБ? Если да то в чем выгода? Я выгоды не вижу, разве что замарать себя еще сильней, но логика и здравый смысл у них в таком случае должна отсутствовать напрочь, действуют себе во вред пытаясь ходить по грязи, остаться чистыми и при этом лезут все глубже. С другой стороны выгодно ли это нашим? - выгодно, можно бабло списать в кругленькие суммы — на восстановление, реабилитацию, плюс потом окажется что под шумок украли лярды с приматбанка или еще что-нить, пускай будет бредово, но пипл схавает, но я ни в коем случае это не утверждаю, т.к. это может быть банальное запутывание следов. Мне кажется просто что цель не Украина, а просто дело в нашей не защищенной сети и экономии на безопасности, как результат - у нас самый большой ущерб. В любом случае нужно быть ПОЛНЫМ дебилом чтоб так прямо палиться, а тот кто может так нагнуть систему врядли страдает от нехватки извилин :apes:

В общем правду мы все равно не узнаем, каждый будет щебетать то что ему выгодно.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Bomchik
подтягиваем знания языка - это общая сумма "выкупа", поступившая на кошелек, по-состоянию на сейчас от 30 человек, кто не выключил 445/139 порты и не выключил службу.
Bomchik
Member
Аватара пользователя
Откуда: Кам'янець-Подільський

Сообщение

anatolikostis
Пардон. Только на цифры смотрел :(
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Scoffer:
Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
У меня есть этот файл, только что проверил. Я его сам не создавал.
Дата и время создания - 27.06.2017 13:15, как раз когда вылетела моя машина.
Восстановил загрузку, кстати, банальным /fixboot, но все офисовские файлы - в трэш, кое-какие тестовые конфиги нагиоса - туда же (.cfg), ipsec-лист (.conf). Диск размечен в GPT, SecureBoot=On.
Gavri1a
Member
Аватара пользователя
Откуда: Харків-Полтава

Сообщение

LostBoy: У меня есть этот файл, только что проверил. Я его сам не создавал.
Дата и время создания - 27.06.2017 13:15, как раз когда вылетела моя машина.
а размер у него какой?
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Gavri1a
0 байт.
Martix
Member
Откуда: из прошлого...

Сообщение

LostBoy:Диск размечен в GPT, SecureBoot=On.
:laugh: Жесть. Может поэтому и удалось восстановить загрузчик, но шифровке это не поможет. У кого еще комп не заражен лучше копируйте все самое важное на облако или отключайте диск с файлопомойкой от материнки - наверное самый надежный способ :rotate:

Отправлено спустя 2 минуты 34 секунды:
LostBoy
Как я понимаю это может быть просто файл для того чтоб остановить этот шифровальщик до того как он убьет все файлы и возможно он им-же и создается когда работа уже выполнена. Надо себе сего положить с запретом на перезапись, может поможет в случае чего.
Scoffer
Member
Аватара пользователя

Сообщение

LostBoy
Це просто свіч для уникнення повторного зараження самого себе. Видалиш - перешифрує заново, якщо знову добереться до компа.
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Scoffer
Я понимаю, я лишь констатирую 2 факта - файл есть и я этот файл не создавал. Возможно, какая-то особенность SecureBoot.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

Изображение
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Да, кстати, виндовый дефендер, смешно сказать, детектировал, тоже об этом читал :rotate:
Fishnya
Alex
Аватара пользователя
Откуда: Мариуполь

Сообщение

LostBoy
сразу подхватил, когда подключил зараженный винт
Panasi
Member
Аватара пользователя
Откуда: Киев

Сообщение

Ребята, есть случаи заражения обычных домашних пк? Или только корпоративный сегмент?
Ответить