Украину частично парализована вирусной атакой.

[-electron-]

Ощад и Укргаз полегли. Местный банчок, принимающий коммунальные платежи,— тоже. Часть контрагентов полегла. Вчера с утра все заказчики при звонках первым делом спрашивают «А у Вас всё работает? Вас вирус не прибил?» Прибил, но не вирус.

Мені в УГ сказали що не лягли, а типа відрубили сервери, щоб не лягти. І сидять в відділеннях менегери і касири бамбук курять. Мали вчора в обід запускати їх.

Зберегти

[AOZ1]

Да-да-да, Линуксы не заражаются...

habrahabr.ru/company/cloud4y/blog/331266/

Пусть там были и необновленные сервера, однако никто не исключает и появления таких же дыр даже на кастомных сборках или более новых релизах. Просто винду легче атаковать пока, и масштабнее получается.

 

У медка 12 федора стоит. Linux medoc 2.6.32.26-175.fc12.x86_64 #1 SMP Wed Dec 1 21:39:34 UTC 2010 x86_64

На машине с www правда php новенький Jan 18 2016 18:08:04 Сюдой залезть тяжело.

 

Так что вполне возможно что и тупо все три бинда подломали.

А возможно только этот:

c ns.intelserv.kiev.ua:

VERSION.BIND. 0 CH TXT "9.5.1b2-RedHat-9.5.1-0.8.b2.fc10"

Вообще федора 10 то есть c 2009 года не пропатчена!!!

 

остальные 9.6.-ESV-R3. то есть здесь был админ В 13 году

 

Если это не cбу-шный honey pot и завтра за мной приедут, то в принципе тот же случай что и на хабре.

 

PS:

Например вот:

tools.cisco.com/security/center/viewAlert.x?alertId=19760

Почему нет.

PPS. Кстати phpinfo() так и не убрали.

Змінено 30 червня 2017 користувачем AOZ1

[Dr.Yura]

знайшов ось таку статтю.

 

netspider.com.ua/index.php/2017/06/30/new-ransomware-virus-petya/

 

 

 

NetSpider — персональный блог

июня 30, 2017

Комментариев 0

Вирус Petya или не Петя? И как защититься?

Вы наверняка уже слышали о вирусе Петя (Ransom:Win32/Petya). Новый вирус, который уже успели окрестить и NoPetya и NotPetya, официально носит название Petya.C. Этот вирус модифицирует MBR (Master Boot Record – главная загрузочная запись), прописывает в него свой код и при перезагрузке шифрует файлы, требуя выкуп. Но еще он “научился” распространяться по локальной сети и использовать существующие уязвимости. Подробнее можно почитать в статье компании Майкрософт, где рассматривается случай с распространением через обновление бухгалтерского ПО MeDoc.

 

Как же спасти свой ПК от заражения подобным вирусом? Можно ли защитить MBR от перезаписи или запретить удаленный запуск приложений на ПК под управлением ОС Windows? Короткий ответ — можно. Как именно – читайте далее.

 

N.B.

Ваши лучшие друзья – это лицензионное ПО, лицензионная ОС с регулярными обновлениями и хороший антивирус*.

 

Защита MBR

 

MBRFilter – это драйвер от компании Cisco, который запрещает изменение загрузчика программами если Виндовс работает в обычном, а не безопасном режиме (Safe Mode).

 

Для установки скачайте драйвер в зависимости от разрядности вашей ОС, распакуйте архив, кликните правой клавишей на файле MBRFilter.inf (файл меньшего размера) и выберите в меню пункт “Установить”. Виндовс потребует перезагрузки, перезагрузите ОС и все готово. От вирусов в целом вас это не спасет, но спасти данные от злобных шифровальщиков – вполне поможет.

 

Запрет удаленного запуска программ

 

Здесь вам придется воспользоваться командной строкой. Запустите cmd с правами администратора:

 

Нажмите значок поиска на Панели задач или кнопку Пуск

В строке поиска напечатайте cmd

В результатах поиска нажмите правую кнопку мыши на классическом приложении Командная строка

В открывшемся меню выберите пункт Запустить от имени администратора

Дальше наберите команду:

 

1

sc.exe sdshow scmanager

Вам выведется строчка из кучи разных непонятных букв, что-то типа D:(A;;CC;;;AU)(A;;CCLCRPRC;;;IU) и т.д. Это формат записи флагов и прав на файлы – SDDL. Вам нужно сохранить эту строчку! Чтобы ее скопировать: выделите весь текст, кликните правой клавишей, текст будет в буфере обмена. Далее вставьте этот текст в ваш любимый текстовый редактор. Т.к. строчка длинная, в командной оболочке она была разбита на две или три строки, в текстовом редакторе отредактируйте ее так, чтобы это была одна строчка, без переводов строки.

 

Как вариант, можете выполнить следующий код:

 

1

sc.exe sdshow scmanager > c:\scm.backup.txt

Т.о. строчка сохранится в файл c:\scm.backup.txt

 

Далее сделайте копию файла, в строчку после D: добавьте следующее:

 

1

(D;;GA;;;NU)

Чтобы начало строчки у вас выглядело так:

 

1

D:(D;;GA;;;NU)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)

Далее всю длинную строчку вставьте после команды:

 

1

sc.exe sdset scmanager D:(D;;GA;;;NU)(A;;CC;;;AU)(A;;C.....(все остальные буквы)

И проверьте правильность (если не выдало ошибок):

 

1

sc.exe sdshow scmanager

Начало строки может выглядеть вот так:

 

1

D:(D;;KA;;;NU)(A;;CC;;;AU)(A;;CCLCRPRC;;;IU)

Это нормально, не переживайте. Главное, чтобы все остальные буквы совпадали.

 

Все, теперь хакер или вирус не сможет при помощи p***ec запустить вирус или программу на вашем ПК под управлением ОС Виндовс.

 

* P.S.

Настоятельно не рекомендую использовать российские антивирусы (касперский, др.веб…): санкции, связи с ФСБ, подмена bgp локальными провайдерами (Ростелеком…) – это далеко не полный список “подарков”, которые вам совсем ни к чему.

 

 

наскільки ця інформація вірна і які будуть наслідки я незнаю.

[Dr.Yura]

me-doc.dp.ua/index.php?option=com_content&view=article&id=97

 

сайт вже непрацює, лише в гнуглкеші є.

 

 

webcache.googleusercontent.com/search?q=cache:yH4bMXhzvikJ:me-doc.dp.ua/index.php%3Foption%3Dcom_content%26view%3Darticle%26id%3D97+&cd=1&hl=uk&ct=clnk&gl=ua

 

 

 

 

В данной теме покажем, как добавить Медок в "Исключения".

 

1) Безусловным лидером (среди бесплатных) является Avast!:

.......

 

 

 

 

наскільки цей сайт офіційний я незнаю.

 

сайт me-doc.com.ua теж непрацює.

[Dr.Yura]

тут є ще цікаві статті

 

habrahabr.ru/company/eset/blog/332058/

[samson.ua]

Цензурных слов не хватает.

ain.ua/2017/05/24/vse-pro-xdata-poka

 

Скорее всего таки да, никаких логов, никаких следов. Идеальный взлом. Снимаю шляпу.

medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73

 

Вывод, храните доступ к DNS очень далеко.

 

PS. На моей памяти в Украине уже третий. И все с одинаковыми последствиями, выведение из строя

 

Цікава стаття про ДНС. Як на мене дуже велика вірогідність такої атаки, при цьому M.E.Doc можливо навіть би не дізнався про це, хіба що системи моніторингу показали б відсутність трафіку з клієнтів (якщо таке там моніториться)

 

Розкажу цікаву історію яка відбулась зі мною років 12-13 тому коли я ще був студентом 4-5 курсу і пішов на свою першу роботу в ІТ - черговим інженером технічної підтримки. Працював в одному із відомих українських ISP (на той час) у м. Київ. Не буду вдаватись у деталі де саме. На той час (це був здається 2004 рік) у всіх людей був діалап (1-2 мегабітна "виделенка" коштувала 100500 доларів і таке могли дозволити собі тільки компанії). Під час чергової зміни я був на роботі. Роздається дзвінок, таких за зміну у мене було сотні, практично всі це абоненти не могли підключитись до діалапу (нема грошей, забитий пул на нашій цисці, погана якісь модемного з"єднання і не в"язались модем і т.д.) Очікував чергового ("помогите, у меня не подключается") але почув впевнений голос із відчутним російським акцентом якогось технаря. Він попросив мене пустити трасу на один із dns імен однієї відомої російської системи електронних розрахунків (webmoney здається). Я запустив з свого робочого компа tracert, продиктував йому куди, що пішло і на тому ми з ним розпрощались.

 

Через декілька годин до нас стали телефонувати користувачі і казати що їхні аккаунти у webmoney були заблоковані і тех. підтримка вебмані ссилається на нас, що ми винуваті. Ми (інженери тех підтримки) звісно ні сном ні духом, але ще через пару годин (це вже була ніч) в офіс приїхало начальство і security інженери і стало все зрозуміло.

 

Як виявилось я розмовляв із security інженером вебмані, який просив пустити трасу до своїх серверів через те, що у них виявилась підозра, що трафік який іде через нас не доходить до них, а перенаправляється кудись в інше місце. Так і було, один із наших primary DNS тупо похачили і підмінили лише один запис який стосувався webmoney. В результаті всі dialup клієнти які підключались до нас і намагались зайти на сторінку webmoney - отримували підмінний IP і їм відкривалась підмінна сторінка-клон яка збирала їхні дані які вони вводили у поле логін-пароль. Тоді https напевно був не таких розповсюджений, або можливо броузери клієнтів не так реагували на підміну чи відсутність сертифікату, чесно не знаю. Але факт залишається фактом, простим взломом DNS сервера ISP - і*всі клієнти виявились під загрозою втратити свої гроші. Короче довго ще можна писати, що було далі і як пінімали резервний DNS і т.д. але на мене (тоді ще молодого студента) ця ситуація справила велике враження (так само як і відмінна робота секуріті відділа вебмані) вони продіагностували, що нас взламали раніше нас самих (включаючи дзвінок в іншу країну і прохання пустити трасу і т.д) і тимчасово заблокували всіх клієнтів які хоч колись заходили з нашого пулу IP адрес

Розблокування клієнтів теж було тривалим напевно, чергових інженерів у ці деталі вже не посвячували

 

Сорі за довгий текст, повертаючись до петі, не можна виключати і те, що були задіяні і wnet чи хто там тримає DNS для medoc

[Dr.Yura]

про підміну трафіку в WNet я теж читав.

 

але маю ще скачані кілька файлів оновлень, так якщо їх перевірити через онлайн антивіруси то показує що мають ті файли вірусяки.

[InSAn]

про підміну трафіку в WNet я теж читав.

 

але маю ще скачані кілька файлів оновлень, так якщо їх перевірити через онлайн антивіруси то показує що мають ті файли вірусяки.

 

Якраз і питання в тому - звідки ти їх скачав: чи з реального сервера Медка, чи з підміненого...

[Dr.Yura]

Якраз і питання в тому - звідки ти їх скачав: чи з реального сервера Медка, чи з підміненого...

 

28/06/2017 11:55 вже після тих подій, якраз перевірити на віруси через онлайн сервіс

 

ezvit.10.01.169-10.01.170.exe

www.virustotal.com/uk/file/a279028d09be66bcbb5897ce40558c999023ce238b0bf11f7f05b1452c3657d7/analysis/1499010570/

 

ezvit.10.01.187-10.01.188.exe

www.virustotal.com/uk/file/315adb9e7ade01c0e72c3afdf3f0ddd56cf1ae521f2fc10c710774a06fc68015/analysis/1499010526/

 

 

ezvit.10.01.188-10.01.189.exe

www.virustotal.com/uk/file/7127714a5517c434d0cc550385934c3d5760736ad04842d10528d444a7f07051/analysis/1499010440/

 

качав з сайту me-doc.com.ua

 

перевіряв через онлайн сервіс www.virustotal.com

 

там щось познаходило, але це якісь маловідомі антивіруси, але 2 рази в списку був антивірус McAfee

[InSAn]

Охренеть!

Оказывается этот вирус еще и перебирал по ЕДРПОУ кого заражать!

 

В трех последних обновлениях медка был бэкдор TeleBot (отчет ESET), он передавал всю инфу на C&C, роль C&C выполнял сам сервер обновлений, и там уже можно было задать, что кому грузить. Уязвимый сервер 1с-Медка до сих пор работает.

 

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

 

(с) Sean Brian Townsend

 

[ozzy]

Может это был " пробный полет" , а основная часть ещё впереди?

[AndyAntonov]

Может это был " пробный полет" , а основная часть ещё впереди?

Я уже давно писал: запасаемся попкорном. Бэкдоры могут сидеть в засаде месяцами и годами.

[InSAn]

Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

 

Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.

 

cyberpolice.gov.ua/news/prykryttyam-najmasshtabnishoyi-kiberataky-v-istoriyi-ukrayiny-stav-virus-diskcoderc-881/

 

[AndyAntonov]

Прикольно. Они хоть понимают, ЧТО требуют?

[MaksymS]

Все они правильно требуют. А по хорошему те компы, на которых этот медок стоял, под форматирование надо и чистая установка по новой (кроме медка, который теперь недоступен).

[AndyAntonov]

Все они правильно требуют.

Всего навсего остановить работу. Потому что регистрация НН идёт сейчас только через Медок.

Надо объяснять, чем грозит покупану отсутствие зарегистрированной вовремя НН? Фискалов мелочи вроде Петь, Кать и прочей шушеры не волнуют.

Также некоторые формы отчётов в электронном виде есть только там.

[MaksymS]

Всего навсего остановить работу.

Именно! Остановить работу по распространению заразы дальше.

Потому что регистрация НН идёт сейчас только через Медок.

У них же сервера забрали. Куда оно сейчас шлет информацию о НН? Сразу в Кремль?

[Dr.Yura]

Уряд врегулював питання накладання штрафів на бізнес за несвоєчасну подачу звітності через хакерську атаку

04.07.2017 | 12:35

ДЕПАРТАМЕНТ ІНФОРМАЦІЇ ТА КОМУНІКАЦІЙ З ГРОМАДСЬКІСТЮ СЕКРЕТАРІАТУ КМУ

 

Кабінет Міністрів України на своєму засіданні у вівторок, 4 липня, запропонував рішення, що дозволить врегулювати питання стягування з підприємств штрафів за несвоєчасну подачу звітності через масштабну хакерську атаку на корпоративні та державні мережі, яка сталася наприкінці червня. Представляючи відповідне рішення Прем’єр-міністр України Володимир Гройсман відзначив, що рішення оформлене в спеціальний законопроект, ухвалення якого дозволить захистити підприємства.

«Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності усім тим, хто внаслідок хакерської атаки, яка пішла по Україні та усьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому», - зазначив Глава Уряду.

 

 

 

 

www.kmu.gov.ua/control/uk/publish/article?art_id=250107596&cat_id=244276429

[AndyAntonov]

Остановить работу предприятий, использующих Медок. Т.е. всех плательщиков НДС чохом. Почти весь белый бизнес (по оборотам).

У них же сервера забрали.

Сервера обновлений. И это ничего не даст, если взлом был через подмену в DNS, как пишут. Для этого надо забрать контроль над DNS-серверами, хранящими NS-записи о сервере обновлений. Сервера регистрации НН — у фискалов и так.

ЗЫ Напоминаю, что «заряженный» сервер Медка — не единственный путь распространения вируса. И даже вирус там далеко не один.

 

Добавлено через 1 минуту

«Будемо вносити короткий закон, який дасть можливість уникнути цієї відповідальності усім тим, хто внаслідок хакерської атаки, яка пішла по Україні та усьому світу, не зміг вчасно подати звітність. Маємо захищати бізнес і допомагати йому»

Интересно посмотреть формулировки закона, если его ваще примут.

[MaksymS]

И это ничего не даст, если взлом был через подмену в DNS, как пишут.

Поэтому и не нужно использовать этот медок. А что делать с НН - хороший вопрос. Надо искать альтернативные решения. Использовать настолько себя скомпроментировавший софт - не выход. Даже без подмены ДНС там уровень защиты околонулевой.

Сервера регистрации НН — у фискалов и так.

Значит нужно написать новую вебморду, чтобы регистрировать НН у фискалов без медков. И вообще, ДМСУ работают в Хроме (да-да, оформление паспортов), ЕДЭБО работает в Хроме (поступление абитуриентов). Зачем этот костыль в виде медка, если и НН можно подавать в онлайн через обычный браузер без привлечения кривого софта? Нужно просто сделать по человечески и все.

[AndyAntonov]

А что делать с НН - хороший вопрос. Надо искать альтернативные решения.

Их нет на сейчас. Рынка ПО регистрации НН не было — его полностью монополизировал ИС, пользуясь близостью к власти. Написать такое ПО с нуля другой группой разрабов — месяцы, в лучшем случае.

Использовать настолько себя скомпроментировавший софт - не выход.

Скажите всем пользователям отказаться от венды. Потому что в ней дыр шо в сыре, и она себя давно скомпрометировала. Причём дыр умышленно посаженных разрабами, что даже никем не скрывается и не отрицается.

[MaksymS]

его полностью монополизировал ИС, пользуясь близостью к власти

Результат, как говорится, на лице.

Написать такое ПО с нуля другой группой разрабов — месяцы, в лучшем случае.

Но это необходимо.

[AndyAntonov]

Но это необходимо.

Ессно. Но работать надо уже сейчас, а не через неопределённое время, когда (и если) появятся конкурентные продукты.

Результат, как говорится, на лице.

Не факт, что дОлжные выводы будут сделаны. У нас же страна чудес. Обычно чудеса с уклоном в трэш или хоррор.

 

Добавлено через 1 час 50 минут

По внутренней рассылке приползло:

biz.liga.net/all/it/novosti/3699954-u-m-e-doc-izyaty-servera-rabota-kompanii-zablokirovana.htm

[-Xeon-]

Если есть апи, то по идее можно и без стороннего по отправлять все нн

 

Sent from the mobile client - Forum Talker

[AndyAntonov]

Если есть апи

Есть описание протокола и описание электронного формата. Но они постоянно меняются (фискалы вечно что-то новое выдумывают). Обычно: под конец отчётного периода.

 

Добавлено через 1 час 27 минут

www.bbc.com/ukrainian/news-40507729

ЧТД. Учитывая подозрения, что бэкдор впервые через обновление медка запустили 2017-05-15.

Итого: заражены все компы с медками, все компы в локалках с такими компами. А что их не шифрануло — вопрос времени.