Украину частично парализована вирусной атакой.

Удаление шар не закрывает дырку в SMB протоколе! Более того, у данного вируса SMB - не единственный путь распространения, есть еще WMI. Так что либо обращайтесь к специалисту, либо разбирайтесь в инструкциях.

Ну да, конечно. Все специалисты.

 

- using file-shares to transfer the malicious file across machines on the same network

- using existing legitimate functionalities to execute the payload or abusing SMB vulnerabilities for unpatched machines

This ransomware also uses the Windows Management Instrumentation Command-line (WMIC) to find remote shares (using NetEnum/NetAdd) to spread to.

Ну да, конечно. Все специалисты.

 

- using file-shares to transfer the malicious file across machines on the same network

- using existing legitimate functionalities to execute the payload or abusing SMB vulnerabilities for unpatched machines

This ransomware also uses the Windows Management Instrumentation Command-line (WMIC) to find remote shares (using NetEnum/NetAdd) to spread to.

Специалисты, уж поверьте. Свои сети я защитил давно, и 27-го ничего не потерял. Даже сервер Медка ничего не смог сделать, покрутился сам в себе. Подняли вчера из бэкапа, и все...

Про #LSADump тоже прочитали, надеюсь? Сбор админ данных. Если сценарий с предварительным заражением еще 22-го и активизацией только вчера верен, то только использованием MimiCatz он мог успеть собрать данных на все сети. Иначе никак не объяснить одновременное поражение кучи хостов в сетях - меньше чем за 10 минут накрывало сетки по 100-200 хостов.

Мне вот интересно, почему все молчат что Украина одна из потерпевших. Сеть положили по всему миру,даже компании гиганты с бюджетом по более бюджета нашей страны пострадали -как минимум связь положили. А там целые структуры работают на безопастноть и все равно уже более суток связь не работает.

Потому что первой жертвой была именно Украина. И целью была именно она. А то что зацепило Роснефть и Maersk - побочный эффект.

На счет целей думаю пока рано высказыватся- Computer systems from Ukraine to the United States were struck on Tuesday in an international cyberattack that was similar to a recent assault that crippled tens of thousands of machines worldwide.

 

In Kiev, the capital of Ukraine, A.T.M.s stopped working. About 80 miles away, workers were forced to manually monitor radiation at the old Chernobyl nuclear plant when their computers failed. And tech managers at companies around the world — from Maersk, the Danish shipping conglomerate, to Merck, the drug giant in the United States — were scrambling to respond. Even an Australian factory for the chocolate giant Cadbury was affected.

 

It was unclear who was behind this cyberattack, and the extent of its impact was still hard to gauge Tuesday. It started as an attack on Ukrainian government and business computer systems — an assault that appeared to have been intended to hit the day before a holiday marking the adoption in 1996 of Ukraine’s first Constitution after its break from the Soviet Union. The attack spread from there, causing collateral damage around the world.

 

The outbreak was the latest and perhaps the most sophisticated in a series of attacks making use of dozens of hacking tools that were stolen from the National Security Agency and leaked online in April by a group called the Shadow Brokers.

 

Continue reading the main story

Like the WannaCry attacks in May, the latest global hacking took control of computers and demanded digital ransom from their owners to regain access. The new attack used the same National Security Agency hacking tool, Eternal Blue, that was used in the WannaCry episode, as well as two other methods to promote its spread, according to researchers at the computer security company Symantec.

 

The National Security Agency has not acknowledged its tools were used in WannaCry or other attacks. But computer security specialists are demanding that the agency help the rest of the world defend against the weapons it created.

 

“The N.S.A. needs to take a leadership role in working closely with security and operating system platform vendors such as Apple and Microsoft to address the plague that they’ve unleashed,” said Golan Ben-Oni, the global chief information officer at IDT, a Newark-based conglomerate hit by a separate attack in April that used the agency’s hacking tools. Mr. Ben-Oni warned federal officials that more serious attacks were probably on the horizon.

 

The vulnerability in Windows software used by Eternal Blue was patched by Microsoft in March, but as the WannaCry attacks demonstrated, hundreds of thousands of groups around the world failed to properly install the fix.

 

“Just because you roll out a patch doesn’t mean it’ll be put in place quickly,” said Carl Herberger, vice president for security at Radware. “The more bureaucratic an organization is, the higher chance it won’t have updated its software.”

 

Because the ransomware used at least two other ways to spread on Tuesday — including stealing victims’ credentials — even those who used the Microsoft patch could be vulnerable and potential targets for later attacks, according to researchers at F-Secure, a Finnish cybersecurity firm, and others.

 

A Microsoft spokesman said the company’s latest antivirus software should protect against the attack.

Мелкософт еще в марте прошлого года выпустил патч, устраняющий уязвимость, которой и пользуется вирус.

Мелкософту пора завязывать с привычкой делать в ОС дыр, шо в сыре. Сначал они делают люки, затем спешно эти люки закрывают, когда ими начинают пользоваться не «текомунадо». Добром не кончится. Ведроид, кстати, ничем не лучше.

И мелкософтовский Windows Defender на одной из машин всё это время в упор не видел зверушку. Несмотря на все патчи. Вылезла она только на прошлой неделе. CureIt! эту гадость вылечил сразу.

Вобще-то первая публикация, да в марте, но 2016 года. Я своим глазам не поверил.

Первые версии троянца, через который происходит заражение машины, известны с 2009-го года. По терминологии Dr.Web — Trojan.PWS.Panda.

На форуме касперыча овер 95% тем — изгнание трояна-шифровальщика-вымогателя.

Главное, самому вирусы не запускать.

Я уже хренадцать лет утверждаю: основная причина заражения компутера вируснёй — ошибка в ДНК его пользователя. Устраинить эту уязвимость не может и не сможет никогда ни один антивирус.

Госорганы именно так и "защищались"...

В «госорганах» рассадник вирусни ещё тот. После посещения ПФ/налоговой флэшку проще отформатировать, чем вылечить. При этом в сих богоспасаемых конторах, при малейшем намёке на зверинец в их компах, начинается форменная истерика. Вместо проверки машин на зверьё.

Короче:

1. Не пользуйтесь вендой.

2. Бейте юзвергов по рукам.

3. Юзайте нормальные антивирусы.

ПС. Нужно один раз потратиться на файл-сервер в офисе и закрыть все шары на рабочих компах и всё.

Расскажите, как без активных шар сохранять пользовательские файлы из терминальной сессии. При этом клиент и сервер вообще могут быть в разных местах. Печать по сети тоже реализуется в винде через шары. Часто — даже если железка имеет встроенный сетевой интерфейс (неустраиныме особенности некоего софта заставляют делать и такие извраты).

Короче:

1. Не пользуйтесь вендой.

2. ..........

3. .........

Дома так и есть - только iOS и macOS - все Apple - и телефоны, и компы и планшет. Не так уж все кстати и дорого, если не гнаться за последними моделями, но зато спокойно.

А вот на работе?

Тот же iBank - винда, МЕДОК - винда.

И шо...?

ЗЫ. Спасло в этот раз, что бух ушла в декрет и все по почте - базу 1С - с непроведенными документами - ей, она по почте ту же базу, но все проведеное с запретеом на внос изменений.

Обновление МЕДКА к счастью просто протупили - сами не решились ставить, а она должна была в сб приехать и все обновить.

Надеюсь, к сб все поприбивают.

А на работе?

Пункты 2 и 3.

Ещё не помешает лишний раз пройтись CureIt! со свежими базами. Ну, или AVZ и HiJackThis!, но там надо мозги включать. Т.к. многие антивирусы на самом деле перед вируснёй беззащитны и беспощадно выпиливаются из системы при заражении.

 

Добавлено через 13 минут

Надеюсь, к сб все поприбивают.

Дащаз. Следи за руками:

1. МС чёртикада посадила в выньдах (начиная с ХП, а это 2002-й год!) люк, который используется для заражения.

2. Данные о люке были переданы «комунада». Т.е. — АНБ.

3. Данные о люке «утекли» «комуненада» от тех «комунада».

4. С 2009-го года (8 лет!) известен эксплоит, заражающий машины через этот люк.

5. Шухер в МС подымается в конце марта. Выпускается «заплатка». В реальности к тому времени уже была пропасть заражённых машин. В 7, 8, 10 виндах, в случае заражения, «заплатка» не давала ровным счётом ничего, т.к. «Защитник Виндовс» сам оказался беззащитен перед вирусом и ничего не смог сделать. В ХП заплатка ставится только на СП3, который стоит далеко не у всех, и официально более недоступен.

5. Вирус сидит в засаде. Первый крупный шухер — WonnaCry. После этого второй крупный шухер — вторник. Хотя более мелкие шухеры происходят регулярно, просто не попадают в новости.

6. В общем, запасаемся попкорном. «Шоу маст гоу он!» ©

Ну и создайте в папке с:\Windows файл с именем perfc (без расширения).

 

Уже в жежешечке кто-то предлагал такое. Тут же получил ответ (цитирую):

net_razmena 27 июня, 18:04

О рандомном суфиксе в имени файла мы позаботились

Понятно, что какбе шутка, ник имеет реальную страничку в жж, не бот...

 

Кста, в других местах писали, что путь с:\Windows жестко зашит у того вируса,

и нахождение в других папках того файла — не говорит об опасности, верно ли?

То есть, с таким именем это может быть и какой-то нужный файл или же нет?

Кста, в других местах писали, что путь с:\Windows жестко зашит у того вируса,

и нахождение в других папках того файла — не говорит об опасности, верно ли?

Говорит. Экзешники вирусни очень любят сидеть в темпах, например. Сам шифровальщик ничего не заражает, скорее всего. Уже давно отработаны многокомпонентные вирусы: один компонент заражает, второй даёт управление машиной, третий ставит новые модули и т.п.

Говорит. Экзешники вирусни очень любят сидеть в темпах, например. Сам шифровальщик ничего не заражает, скорее всего. Уже давно отработаны многокомпонентные вирусы: один компонент заражает, второй даёт управление машиной, третий ставит новые модули и т.п.

Ну тогда что — удалять все файлы, в названии которых есть perfc?

Я не смог нагуглить, что бы это мог быть за файл «легальный», потому что в выдаче гугла по «perfc» одни новости про вирус, может такого файла вообще не должно быть в винде? Или попробовать на отдельный диск поставить винду с нуля, и поиском поглядеть, будет ли ставить что-то с этим именем хоть где или же нет?

Я не смог нагуглить, что бы это мог быть за файл «легальный»

Может быть легальный файл с таким именем.

ЗЫ Скачайте CureIt! и натравите на машину. Эта хрень им вылечивается сразу. Вот расшифровать не сможет, расшифровщик пока не написан.

Расскажите, как без активных шар сохранять пользовательские файлы из терминальной сессии. При этом клиент и сервер вообще могут быть в разных местах.

Файл-сервер (NAS) - это как раз и есть активная многопользовательская шара.

 

Я уже хренадцать лет утверждаю: основная причина заражения компутера вируснёй — ошибка в ДНК его пользователя. Устраинить эту уязвимость не может и не сможет никогда ни один антивирус.

100%

Змінено 29 червня 2017 користувачем deemage

Может быть легальный файл с таким именем.

ЗЫ Скачайте CureIt! и натравите на машину. Эта хрень им вылечивается сразу. Вот расшифровать не сможет, расшифровщик пока не написан.

Хорошо, попробую.

Цензурных слов не хватает.

ain.ua/2017/05/24/vse-pro-xdata-poka

 

Скорее всего таки да, никаких логов, никаких следов. Идеальный взлом. Снимаю шляпу.

medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73

 

Вывод, храните доступ к DNS очень далеко.

 

PS. На моей памяти в Украине уже третий. И все с одинаковыми последствиями, выведение из строя

Змінено 29 червня 2017 користувачем AOZ1

Первый крупный шухер — WonnaCry. После этого второй крупный шухер — вторник.

 

Сегодня дали ссылку на форум Медка - я охерел. Оказывается, левые обновления с вирусами внутри - это не впервой: в начале месяца часть пользователей получила обновление, зараженное трояном. Но тогда быстро отреагировали на жалобы пользователей и обновление удалили.

 

в других местах писали, что путь с:\Windows жестко зашит у того вируса,

и нахождение в других папках того файла — не говорит об опасности, верно ли?

То есть, с таким именем это может быть и какой-то нужный файл или же нет?

Верно. Симантек вчера подробно описывал.

Сегодня дали ссылку на форум Медка - я охерел. Оказывается, левые обновления с вирусами внутри - это не впервой: в начале месяца часть пользователей получила обновление, зараженное трояном. Но тогда быстро отреагировали на жалобы пользователей и обновление удалили.

 

www.stroimdom.com.ua/forum/showpost.php?p=4327581&postcount=40

Не моё!

Скачал вирусов себе на линух.

Распаковал.

Поставил под root.

 

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

 

В сердцах открыл исходники вируса, grep’нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

Не моё!

Скачал вирусов себе на линух.

Распаковал.

Поставил под root.

 

Не завелись. Два часа гуглил, оказалось, вместо /usr/local/bin вирусы стали в папку /usr/bin на которую у юзера malware нет прав на запись, поэтому вирус не может создать файл процесса. Нашел на китайском сайте патченый .configure и .make, пересобрал, переустановил.

Вирус заявил, что ему необходима библиотека cmalw-lib-2.0. Оказалось cmalw-lib-2.0 идет под CentOS, а под убунту ее не было. Гуглил два часа, нашел инструкцию как собрать .deb пакет либы из исходников. Собрал, поставил, вирус радостно запустился, пискнул в спикер и сделал core dump.

Час чтения syslog показал, что вирус думал, что у меня ext4 и вызывал ее api для шифрования диска. В btrfs это api deprecated поэтому линукс, заметив это непотребство, перевел раздел в рид-онли.

 

В сердцах открыл исходники вируса, grep’нул bitcoin кошелек, отправил туда $5 из жалости и пошел спать...

 

Да-да-да, Линуксы не заражаются...

habrahabr.ru/company/cloud4y/blog/331266/

Пусть там были и необновленные сервера, однако никто не исключает и появления таких же дыр даже на кастомных сборках или более новых релизах. Просто винду легче атаковать пока, и масштабнее получается.

Вывод, храните доступ к DNS очень далеко.

А толку? NS-сервера обычно пользуют хостера. А тут именно хостера в подставе обвиняют.

 

Добавлено через 2 минуты

Просто винду легче атаковать пока, и масштабнее получается.

Ога. И дыр больше, их же всю историю винды туда целенаправленно подсаживают, и пользователей винды на порядок больше всех прочих вместе взятых.

Мелкософту пора завязывать с привычкой делать в ОС дыр, шо в сыре.

Что и требовалось доказать. Опять заражение через оставленный в венде люк.

Експерти також розповіли виданню, що АНБ навряд, чи відмовиться від розвитку вразливостей операційного забезпечення Microsoft, хоч кіберзброя США і потрапила у погані руки.

Знакомые бухи сидят и трясутся: шифранёт машину при обновлении медка или нет?

ЗЫ Шлапак предложил всем госорганам поставить PrivatLinux (разработка Приватбанка на ядре лялиха) вместо венды.

Шлапак предложил всем госорганам поставить PrivatLinux[/url] (разработка Приватбанка на ядре лялиха) вместо венды.

Кстати, вчера во второй раз пытался заплатить по квитанциям в Ощадбанке - терминал не работает, касса не работает (в первый раз 27 было то же самое). Развернулся и пошел в Приват. Там все работало.

Ощад и Укргаз полегли. Местный банчок, принимающий коммунальные платежи,— тоже. Часть контрагентов полегла. Вчера с утра все заказчики при звонках первым делом спрашивают «А у Вас всё работает? Вас вирус не прибил?» Прибил, но не вирус.

А толку? NS-сервера обычно пользуют хостера. А тут именно хостера в подставе обвиняют.

 

Хостер там невменяемый. Ну директор по крайней мере. Народ, кого знавал из даблов вполне адекватные.

Но сламать хостера проблема, а вот сдернуть пароли от web админки для dns это на раз два. И фсе. С 60 секундным TTL клацай не хочу никто ничего не заметит.