Petya.A атакує Кароч, на фірмі лягли всі компи. Шо дєлать?

Разговоры обо всем
Ответить
Автор
Сообщение
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

просьба к модераторам свалить несколько веток с темами о Wannacry+Petya.A+Misha в одну :beer:
gehka3
Катярко
Аватара пользователя
Откуда: Днепр

Сообщение

anatolikostis
Зачем?
Тут тема для потрындеть, там - возможно для реальных рецептов
Ту почистить - другое дело, закинул сюда оттудова "вумных" мыслей
fhntv_smart
Member
Откуда: Харьков

Сообщение

Из новостей я понял что реально никто ничего не знает, все только копипастят друг у друга и более старые новости.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

fhntv_smart
никто тебе сейчас ничего и не скажет: на 99% методика wannacry + свой блек-джек с путанами для шифрования в виде Petya.A+Misha
я очень сомневаюсь, что кто-то вообще получит от дельцов коды разблокировки.
- обновлять систему - регулярно
- выбросить мусор в виде WinXP или Win7 без последних апдейтов - навсегда и больше не вспоминать о нем
- пользоваться файерволом - и на роутере и на локальной машине
- пользоваться ав-решением класса InterenetSecurity - есть много бесплатных или с вариантами получения длинных ключей
- пользоваться anti-spam - в гугле даже по-умолчанию много писем и так улетает в мусор

Что касается госструктур, то пока откаты за покупку WinServer платятся, ничего кардинально не изменится, весь мир сидит на GNU, но им же виднее в КМУ и т.д. по списку упавших серверов.
В сервисе, где пользуюсь VPS, winserver вообще на последнем месте по списку предлагаемых машин к развертыванию и к тому же самая дорогая, при этом CentOS/Debian/Ubuntu/Fedora дешевле в несколько раз и начинка мощнее :facepalm:
Последний раз редактировалось anatolikostis 27.06.2017 19:11, всего редактировалось 1 раз.
alexvvv
Member
Откуда: Луцьк

Сообщение

anatolikostis: - пользоваться файерволом - и на роутере и на локальной машине
- пользоваться ав-решением класса InterenetSecurity - есть много бесплатных или с вариантами получения длинных ключей
- пользоваться anti-spam - в гугле даже по-умолчанию много писем и так улетает в мусор
краще лінукс поставити, ніж такі тормоза вмикати
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

alexvvv
вы сейчас на какой оси находитесь? :rotate:
mint с окружением xfce/lxde?
вот ваш роутер (если он у вас есть) крутится на GNU - за его тормоза не стоит переживать.
mumu
Member
Аватара пользователя
Откуда: Житомир

Сообщение

СБУ рекомендує:
спойлер
Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача
18:41, 27-06-2017
За даними СБУ, переважна більшість інфікувань операційних систем відбувалася через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів.
Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.
Рекомендації:
Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
В залежності від версії ОС Windows встановити патч з ресурсу...
Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/s ... 7-010.aspx
5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
7. Зробити резервні копії усіх критично важливих даних.
Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.
Додатково до зазначених рекомендацій можливо скористатися рекомендаціями антивірусних компаній.
https://eset.ua/ua/news/view/507/-Eset-Guidelines
a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".
c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Збирати (Собрать).
e). Надішліть архів з журналами.
Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання
п. 3 для збору інформації, яка допоможе написати декодер,
п. 4 для лікування системи.
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть <enter>
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть <enter> (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.

©The Security Service of Ukraine
https://www.facebook.com/SecurSerUkrain ... 7667671562
jimbo
Member
Аватара пользователя

Сообщение

alexvvv:краще лінукс поставити, ніж такі тормоза вмикати
000028-linuks_doma.jpg
Scoffer
Member
Аватара пользователя

Сообщение

alexvvv:краще лінукс поставити, ніж такі тормоза вмикати
Я всіма руками і ногами за нікси, але якщо їх бездумно використовувати як це зазвичай роблять з віндами - абсолютно не допоможе.

Отправлено спустя 1 минуту 2 секунды:
jimbo
Лінукс вдома - прекрасна штука, вже років 6 основна система, в вінду заходжу рідко і лише за деякими іграшками, причому не всіми.
alexvvv
Member
Откуда: Луцьк

Сообщение

anatolikostis:alexvvv
вы сейчас на какой оси находитесь? :rotate:
на 2003

Отправлено спустя 2 минуты 41 секунду:
anatolikostis: вот ваш роутер (если он у вас есть) крутится на GNU - за его тормоза не стоит переживать.
вдома на openwrt, на роботі kerio
jimbo
Member
Аватара пользователя

Сообщение

Scoffer:Лінукс вдома - прекрасна штука, вже років 6 основна система, в вінду заходжу рідко і лише за деякими іграшками, причому не всіми.
я эту красноглазую сказку уже больше 10 лет слушаю :laugh:
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

alexvvv
проблему, просто убежав на другую ось, чего вы не сделали, не решить.

если авторы Petya.A+Misha оказались людьми из нашего круга, то могли спокойно дополнить код шифрования документов еще кодом на шифрование *tib и тогда :gigi:
Jumper007
Member
Аватара пользователя
Откуда: Чернигов

Сообщение

На работе 2 сервера рядом стоят в один свич воткнутые, вин 2003 и 2008, и 8 рипнулся а 3 работает как ни в чем не бывало :gigi:
еще в локалке десятка под 3 разного хлама, от хп до 10, все живые, пока что ...

*
Уверуйте в бекап животворящий :nunu: :nunu: :nunu:
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

Моя контора тоже слегла, разворачиваемся из бэкапов. Сервера были все обновленные, корп. ESET с актуальными базами - не помогло. Распространился по сети мгновенно, судя по всему, через SMB (внутри сети порты самбы не закрыты).
Вроде прилетело через MEDOC.
viperest1
Member
Аватара пользователя

Сообщение

Був на роботі до 17 год. В друг сказав, що таке робиться,- очканув, думаю малі сидять за ноутом і мабуть вже все є " як треба" . Но провайдер красава - відключений інтернет ( якщо сам не ліг :gigi: ) .
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

LostBoy
ЧТД - заброшенные по обновкам машины никакой IS не спасет :rotate:
тем более, если куча "нужных" портов типа 445, 138, 139 и т.д. открыты
Уязвимость обнаружена в марте, применена массово в мае, но я в танке и в июне рассчитываю проскочить мимо - пожалуй главный лозунг всех потерпевших сегодня и в мае.
Последний раз редактировалось anatolikostis 27.06.2017 19:52, всего редактировалось 1 раз.
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

anatolikostis
WSUS отрабатывает нормально, политика обновляет ПО оперативно. EAV обновляется с сервера управления каждые 3 часа. Звонили в ESET - в 16:00 они не внесли еще сигнатуру Пети в свои базы, а у нас машины начали валиться в 13:15.
По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.
https://habrahabr.ru/post/331762/#comment_10286022
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

LostBoy
если вы надеетесь на сигнатурный анализ от ESET (поставить любого вендора вместо ESET), то ваших админов пороть розгами, пока сознание не потеряют. :down:

напоминаю
https://technet.microsoft.com/en-us/lib ... 7-010.aspx
could allow remote code execution if an attacker sends specially crafted messages to a Microsoft Server Message Block 1.0 (SMBv1) server.
Published: March 14, 2017 :facepalm:
LostBoy
Member
Аватара пользователя
Откуда: Оккупированный Донецк - Киев

Сообщение

anatolikostis
Прости, у меня нервы на пределе, но если ты не в курсе дела, то "краще жувати" - это кумулятивный патч от Воннакрая, который к текущему рамсонваре вообще никакого отношения не имеет. И еще раз повторяю - попадали полностью обновленные машины с актуальной базой антивируса.
anatolikostis
Member
Аватара пользователя
Откуда: EAST

Сообщение

LostBoy
А ты не подумал, как именно файлы Petya.A+Misha попали на комп?
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A використовувала мережеву вразливість MS17-010, у результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, використовуваних зловмисниками для запуску згаданого шифрувальника файлів.
Прости но не верю тебе я, просто я никогда не поверю, что при известном механизме работы нового wannacry, при том, что сам признался, что порты по сети все пооткрыты, у вас сработала отличная от всех редакция этой дряни.
Последний раз редактировалось anatolikostis 27.06.2017 20:03, всего редактировалось 1 раз.
Ответить