Вирусы-вымогатели

[Stowmaster]

Проверь s3000308.xsd здесь https://virustotal.com/ и покажи ссылку, плизз..
Malwarebytes дело конечно хорошее, но для этого Пети, которого еще вчера никто не определял - особого доверия не вызывает.

С карантина проверял, пусто. Но там он шифрованый. А восстановить и проверить смогу чуть позже, сейчас резервное копирование делаю.

 

[Mirage]

что лучше скачать для проверки компа перед перезагрузкой а то авасту не доверяю?

 

[Stowmaster]

Проверь s3000308.xsd здесь https://virustotal.com/ и покажи ссылку, плизз..
Malwarebytes дело конечно хорошее, но для этого Пети, которого еще вчера никто не определял - особого доверия не вызывает.

Лови
https://prnt.sc/fpamwe
https://prnt.sc/fpamhm
https://prnt.sc/fpam7b

https://www.virustotal.com/ru/file/...afbc61f2242c8ece6bbe1260/analysis/1498677984/

 

[Qwertивый]

Дай ссылку на https://virustotal.com/, плиззз...
В логах этого Медка можно увидеть когда файл обновился/пришел?

 

[Stowmaster]

Дай ссылку на https://virustotal.com/, плиззз...
В логах этого Медка можно увидеть когда файл обновился/пришел?

https://www.virustotal.com/ru/file/...afbc61f2242c8ece6bbe1260/analysis/1498677984/
Если интересно, все сохранившиеся логи вышлю на мыло, мыло в личку, я там ничего не нашел. Может плохо искал.

 

[Maxxx]

Petya.EB

Самое актуальное название вируса, как по мне.. Именно это он делает, с мозгами особенно..

 

[Maxxx]

Одна из версий, пост с обсуждения на форуме 0day.kiev.ua, якобы от какого-то эксперта, Литреева, первоначального источника нет, публикую "as is"..

Спойлер

Худшие опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.
К сожалению, (был) единственный способ спасти данные — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый, энергетический сектор и гос. аппарат.

Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.

Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришла со стороны одной из стран СНГ.

 

[Андрюх@dp.ua]

Maxxx, та при любых раскладах хорошего нет! У нас люди нервничают, что и как будет с ЗП! В глобальном смысле пока мало до кого доходят масштабы бедствия И, что самое страшное, нет вменяемых мыслей от компетентных людей и структур, только гадание на кофейной гуще...

 

[Menwyy]

Maxxx, та при любых раскладах хорошего нет! У нас люди нервничают, что и как будет с ЗП! В глобальном смысле пока мало до кого доходят масштабы бедствия И, что самое страшное, нет вменяемых мыслей от компетентных людей и структур, только гадание на кофейной гуще...

А какие должны быть мысли? Текущая ситуация лишь подчеркивает, что на сегменте обработки, защиты и хранения данных не стоит экономить.

На данный момент тот крупный бизнес, который "лег" показал также, что не только гос органы забивают на данные. Была тотальная эконлмия на всем...от людей до оборудования. После первой волны ваннакрай-я было просто глупо не создать план Б на подобный случай.

Отмечу, что в 80+% виноват именно бизнес так как я почти не встречал компаний, где ИТ деп настолько деградировал, чтобы ни один ИТшник не вышел с предложением того как можно все улучшить.

Также это показывает ситуацию, что может быть с нашими данными, которые могут храниться в единственном экземпляре, например, в медицинском секторе.

 

[Alex]

Моя история: работал в гуглдоке, ничего нехарактерного не делал, через 5 мин - характерный синий экран.
Админ сидит рядом, грит - "выключай".
Сегодня пришел - все работает.
По его словам загрузился со спец.флешки, в консоли ввел 3 команды.
Правда активация винды слетела, но то такое..

 

[Янус]

Алекс, похоже это не Петяа

 

[Kritik]

А что с Медком? Бух на работе реально готова админа линчевать .

Медок клянется и божится, что у них все ок, можно работать. Но веры им нет - на сертификате сэкономили, обновы приходят неизвестно от кого.

 

[plebis]

Про медок уже в блоге майкрософта написали

 

[Kritik]

Медок клянется и божится, что у них все ок, можно работать

Это я на фейсбуке у них вычитал. Они там еще написали, что Microsoft - ламеры и вообще зря обвинения выдвинули. А потом прочитал комментарии - ничего у них не работает. Короче, бухам привет.

 

[FastRunner]

Microsoft невольно созналась, что их чудная шпионская телеметрия, как минимум, фиксирует все процессы запускаемые на компьютерах пользователей. Кто, когда и что запускал.
"Мы, конечно, помочь ничем не могли, но следили до последнего вздоха"

 

[GAS]

По его словам загрузился со спец.флешки, в консоли ввел 3 команды.

Алекс, похоже это не Петяа

Это он, у нас похожая инструкция - загружаться с флешки, только не в консоли команды вводить, а загрузочная лечащая утилита с последней базой против Пети сканирует.

 

[Prorab]

Меня на работе от Пети бог пока миловал. Но на всякий случай инет всем отрубил. Патчи накатил, медок до понедельника запускать запретил, антивирусы на всех тазах обновил.

 

[Kritik]

Но на всякий случай инет всем отрубил.

Бухи ничего насчет квартальной отчетности/регистрации налоговых не говорят?

 

[GAS]

Другая проблемка в связи с атакой нарисовалась - не работает клиент-банк, а это значит, что зряплаты не видать

 

[Alex]

Алекс, похоже это не Петяа

ты с ним лично знаком?
Если что - фото мое.