Україною поширюється комп’ютерний вірус: атаковано десятки компаній та установ

[DSitni]

Цитата:

Но криптовымогатель оказался сам по себе не слишком хорошо защищен. Пользователь Твиттера с ником leostone разработал генератор ключей для Petya, который позволяет снять шифрование дисков. Ключ индивидуален, и на подбор уходит примерно 7 секунд.

Этот же пользователь создал сайт, который генерирует ключи для пользователей, чьи ПК пострадали из-за Petya. Для получения ключа нужно предоставить информацию с зараженного диска.
[Только зарегистрированные пользователи могут видеть ссылки. Регистрация!]

Никому не надо ?

[dedulik]

Цитата:

Сообщение от DSitni

Никому не надо ?

Всем компаниям, разработчикам антивирусов


Отправлено из моего iPad используя Tapatalk

[Migol]

Цитата:

Сообщение от DSitni

Цитата:

Никому не надо ?

Вероятнее всего, никому.
Это про "олдПетьЮ", первоисточник по ссылке за апрель.
А с "ньюПетья" всё печальнее, кирдык короче.
[Только зарегистрированные пользователи могут видеть ссылки. Регистрация!]

Цитата:

28 июн, 23:37
Вирус Petya, который поразил компании на Украине и в России, изначально не предполагал возвращения данных с зараженных компьютеров. Для этого необходим уникальный идентификатор, в этой версии вируса его нет.
Жертвы последней крупной кибератаки, которая была проведена с помощью вируса-вымогателя Petya не смогут вернуть свои файлы. Об этом говорится в записи на официальном сайте «Лаборатории Касперского».
Эксперты лаборатории, проведя анализ той части вируса Petya, которая связана с шифрованием файлов, выяснили, что после заражения и шифрования жесткого диска «у создателей вируса уже нет возможности расшифровать его обратно».
​Для расшифровки необходим уникальный идентификатор конкретной установки трояна, который не предусмотрен в этой версии вируса Petya. В других версиях шифровальщиков идентификатор содержал нужную для расшифровки информацию. «Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные», — говорится в сообщении.
В «Лаборатории Касперского» эту версию вируса Petya назвали Expetr (aka NotPetya).

[Дочкинамама]

Цитата:

Сообщение от Iceman

Оффтоп

Так дедуля и писал, что нефиг шариться на работе по неизвестным ресурсам.
Этот ресурс известный. Так что, на работе, по нему шариться можно

У меня на работе вообще нет выхода в интернет , только внутризаводской. Но сегодня придя на работу лицезрею черный экран
Ведомости теперь на бумажном бланке заполнять
Оффтоп

а вот на счет шариться , у меня время только на работе и находится , особенно летом

[Chopper]

Вирус это фигня. Главное чтобы электричество не пропало.

[Дочкинамама]

Цитата:

Сообщение от Chopper

Вирус это фигня. Главное чтобы электричество не пропало.

все оборудование в руине в основном наследство СССР. Сами знаете какая тогда была компьютеризация так что если и есть большая угроза , то только для учета электроэнергии . Даже на АЭС думаю, компьютеры используются как дублирующие для всяких амперметров, вольтметров и пр.

[Chopper]

Цитата:

Сообщение от Дочкинамама

все оборудование в руине в основном наследство СССР. Сами знаете какая тогда была компьютеризация

Ну дык наследство-то не вечное. Я как раз к этому и клоню. С такими темпами деиндустриализации как бы провода не порезали на цветмет.

[HING]

Цитата:

Сообщение от Chopper

Ну дык наследство-то не вечное. Я как раз к этому и клоню. С такими темпами деиндустриализации как бы провода не порезали на цветмет.

Да в них металла очень мало, поэтому и не режут до сих пор.

[dedulik]

Цитата:

Сообщение от RussianMan

Оказалось, что хакеры скомпрометировали бухгалтерское программное обеспечение M.E.Doc, внедрив вредонос в последнее обновление. Программой активно пользуются украинские компании, в том числе финансовые организации.

Цитата:

Експерти FireEye (і кіберполіції України) припустили, що вірус спочатку поширили по українським компаніям через оновлення бухгалтерської програми M.E.Doc. Творці програми стверджують, що це не так, оскільки останнє оновлення було розіслано клієнтам ще 22 червня - за п'ять днів до атаки.

[Только зарегистрированные пользователи могут видеть ссылки. Регистрация!]

Цитата:

Экс-сотрудник американских спецслужб Эдвард Сноуден заявил, что к появлению вируса причастны как раз его бывшие работодатели из агентства нацбезопасности США, что именно АНБ создало опасные инструменты для проведения подобных атак. Чуть позже эту версию подтвердят и влиятельнейшие западные СМИ. Washington Post опубликовала статью, в которой рассказывалось, что WannaCry был разработан по указу правительства Северной Кореи, но на основе американского кода. Информацию о том, что вредоносная программа - это модифицированная версия американского вируса, придуманного специалистами АНБ, разместила на своих страницах и Financial Times.

[Ostrich]

Цитата:

бухгалтерское программное обеспечение M.E.Doc

Подверждается, два компа (бодаюсь как раз) бухгалтерских использовали его.

[dedulik]

Цитата:

Сообщение от Ostrich

Подверждается, два компа (бодаюсь как раз) бухгалтерских использовали его.

Оффтоп

Подожду жалоб своих клиентов работающих с этой софтинкой, для окончательного вывода. Как только я научил работодателей как морально форматировать подобных работников, проблемы прекратились.

[HING]

Цитата:

Сообщение от dedulik

Как только я научил работодателей как морально форматировать подобных работников, проблемы прекратились.

Оффтоп

А этот момент не могли бы по подробней осветить.

[almari]

Добавлю немного симптомов болезни в эпикриз: даже на тех машинах система которых продолжает грузиться, в течении пары дней перестают открываться любые файлы офиса: сначала просто показывают "кракозяблы", а потом появляется сообщение о "несовместимом формате". Это касается и вордовских, и экселлевских, и пдф-файлов.

[brodiaga]

Мнение человека, достаточно много понимающего в вопросе, о причинах всей этой лабуды. Понимаю, что большинство беспокоит вопрос - как из этого г-на вылазить. Но это пока мало кто себе представляет.

Скрытый текст:

На Украине популярна программа для составления бухгалтерской отчётности М.Е.Doc. Этот медок - продукт украинских мега-программистов существует с 2010 года в пику москальской 1С.
Данный медок обладает очень интересными особенностями:
1. Клиентская часть работает только с правами администратора. Укропрограммисты до сих пор не в курсе, что на дворе уже 21-й век и в операционках бывает разделение прав.
2. Как другие "большие" компании, медок выпускает обновления, выкладывая их на сайте upd.me-doc.com.ua (92.60.184.55).
3. Обновления не имеют цифровой подписи. Это, ребята, просто 3.14здец.
4. Распространяются и устанавливаются обновления используя механизмы Psexec и WMIC, которые, мягко говоря, ... как бы сформулировать, то... опасны они. Можно удалённо устанавливать и запускать что угодно.
А дальше всё просто. Некие умельцы установили указанный выше IP-адрес на свой сайт, на который выложили "как бы обновление" этого самого медка. Подписи-то нет. Проверить легальность невозможно. Скачиваются обновления не по шедулеру, а как попало. Соответственно, N-ное число компов слазило за обновлениями и их установило. Так произошло первичное инфицирование. В локалке распространение произошло мгновенно, как я понимаю, используя уязвимость EternalBlue, которую Майкрософт закрыла ещё в апреле и даже выпустила патчи для WinXP и Win2000
И вот вам результат - осталось пять негритят...

Кстати, вирус Петя этой модификации явно допиливался второпях. Обычно шифровальщики не трогают систему, а шифруют файлы данных (это быстрее - достаточно зашифровать только самое начало файла), но при этом шифруют файлы на ВСЕХ дисках и всех доступных сетевых шарах. В последнем же случае шифровался только системный диск, включая MBR. Ну, кто хранит свои документы и почту на системном диске (в своём профиле по умолчанию и на рабочем столе), тот сам себе Злобный Буратино...
Первейшая заповедь: система отдельно, данные отдельно. Это даже не для защиты от вирусов. Это базовый принцип. Система, как правило, несёт гораздо бОльшую нагрузку и, соответственно, выше вероятность выхода носителя из строя...

Так что, судя по всему, грабли, на который наступили потомки протоукров, заботливо разложены на дороге самими этими потомками. А другие потомки протоукров заботливо посыпали дорожки с граблями травкой и песочком, чтобы грабли были не очень заметны.

Я, кстати, за последние 3 года раз 5 сталкивался с шифровальщиками (начиная с директора, который в мое отсутствие на моем компьютере в типографии решил прочитать резюме, пришедшее на почту Правда, там и мой косяк был в виде Каспера, закончившего триальный период и забытого в этом состоянии) и заканчивая менеджерами, которые, несмотря на предупреждения, таки скачали файл с угрозами по бухотчетности, пришедший с незнакомого адреса в 3 часа ночи. Действительно, систему до сих пор никто никогда не трогал. Да, файлы разные долбили, начиная с doc, xls, jpg и постепенно присоединяя pdf, psd, tif....

[Ostrich]

Цитата:

В последнем же случае шифровался только системный диск, включая MBR

Некоторые источники пишут, что шифруются документы только на первом локальном диске, но не дальше...не могу ни опровергуть, ни потвердить, у моих пациентов был только один HDD.
Из моего опыта: В бухгалтерской системе с WinXP были зашифрованы документы и на втором разделе, системный-же раздел был приведен в такое состояние, что извлечь оттуда полезного почти не удалось.
В двух системах с Win7 зашифрованы были документы на системном и разделах для хранения документов, загрузочный раздел вовсе оказался пуст (форматирование?).
На всех разделах (кроме случая с вторым разделом WinXP) - каша из затертых/живых цепочек MFT, как Мамай прошелся.
И - да, везде Medoc...в одном случае удалось найти последнее обновление программы от 27(!!!, хотя авторы Medoc утверждают, что последнее обновление было 22) июня, нечто на VisualBasic. И - зарубежный анализ утверждает, что шифрование происходит по случайному ключу, а значит - не удастся расшифровать ни за донат авторам вируса, ни другим способом.
Файлы изображений не шифровались, jpg/gif/bmp точно целы.

Всё это похоже на целенаправленную атаку по бизнесу...может конкуренты, может враги-друзья, правды не узнаем.

P.S. Интересно, как обстоит дело на системах с GPT/UEFI...