Крупнейшая хакерская атака, распространяющая вирус, блокирующий работу компьютерных систем, поразила украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий. По информации СМИ, а также исходя из официальных заявлений, были атакованы компьютерные системы «Ощадбанка», «Укргазбанка», банка «Пивденный», банка «ОТР», «ТАСКомбанка». Кроме того, пострадали энергетические компании - ДТЭК, «Киевэнерго», «Укрэнерго», а также сети АЗС. О хакерских атаках сообщили также «Укртелеком», аэропорт «Борисполь», «Укрзализныця», госпредприятие «Антонов», «Укрпочта», «Киевводоканал» и киевский метрополитен.

Среди крупных компаний частного сектора от вируса пострадали также «Новая почта», сеть магазинов DIY «Эпицентр», промышленно-строительная группа «Ковальская», основные украинские сотовые операторы - «Киевстар», Vodafone и Lifecell. Пострадали также и медиаресурсы, в том числе - телерадиокомпания «Люкс» (24 канал, радио «Люкс»), канал ATR, медиаресурсы холдинга UMH. Кроме того, не работают компьютерные системы Кабинета министров и сайт правительства. При этом во многих случаях симптомы заражения вирусом сходны - компьютеры на операционной системе Windows перезагружаются, после чего пользователи либо просто теряют доступ к файлам, либо еще и получают сообщение о возможности разблокировать работу компьютера и сберечь файлы путем перечисления эквивалента 300 долл. США в криптовалюте Bitcoin.

Справка УНИАН: 12 мая 2017 года вирус с аналогичным принципом работы WannaCry начал распространяться по миру. При этом больше всего инфицированных компьютеров оказалось в Украине, России, Индии и Тайване. По установленным данным, от вируса пострадало более 500 тыс. компьютеров, а ущерб может составить около 1 млрд долл. Вирус использует уязвимость необновленных операционных систем, большинство инфицированных компьютеров работало под управлением операционных систем от Microsoft.

27 июня 2017

По материалам сайта: unian.net (https://www.unian.net/science/1999419-masshtabnaya-hakerskaya-ataka-v-ukraine-kto-popal-pod-udar-spisok.html)​
P.S. интересно узнать мнение ачатовцев по данному поводу

Есть мнение, что бы эта зараза не прилетела надо закрыть TCP-порты 1024-1035, 135 и 445. Да и заплатки от М$ надо все последние накатить и бэкапы сделать.

Эта малварь не только в\на Украине, но и в РФ тоже ползает.

user100 said:
↑ (https://antichat.live/posts/4100367/)
Есть мнение, что бы эта зараза не прилетела надо закрыть TCP-порты 1024-1035, 135 и 445. Да и заплатки от М$ надо все последние накатить и бэкапы сделать.
Эта малварь не только в\на Украине, но и в РФ тоже ползает.


Еще как ползает. Завтра читайте новости.

А про порты все верно написал, но сам же понимаешь - в масштабах организации это не реально.

Pomi said:
↑ (https://antichat.live/posts/4100368/)
Еще как ползает. Завтра читайте новости.
А про порты все верно написал, но сам же понимаешь - в масштабах организации это не реально.


Циску настроить можно же в организации...Или через что там инет идёт.

коротко о главном

16:26 Кіберполіція радить, як вберегтися від віруса-вимагача

16:41 Сайт департаменту кіберполіції Нацполіції України не працює.

user100 said:
↑ (https://antichat.live/posts/4100372/)
Циску настроить можно же в организации...Или через что там инет идёт.


Циску можно.

Но внутри ЛС организации к примеру 445 порт широко используется и разом перевести все сервисы нереально. А штука распространяется в т.ч. через эл. письма. Или думаешь Роснефть с внешки порты не заблокировала?

А я не понимаю как сервера задело. В офисах пусть хоть армагеддон творится, сервера должны быть защищены от офисов точно так же как и от наружного интернета.

Сами себе злые буратины.

LynXzp said:
↑ (https://antichat.live/posts/4100393/)
А я не понимаю как сервера задело. В офисах пусть хоть армагеддон творится, сервера должны быть защищены от офисов точно так же как и от наружного интернета.
Сами себе злые буратины.


Задело гораздо больше чем сервера...

Возможно были проэксплуатированы уязвимости маршрутизаторов. Циска она ж не отечественного происхождения. Либо предыдущий раз, когда была атака - в части воздействия она была выборочная, а ребята просто закреплялись в системах организаций. Тем более никто же не скажет точно - только ли шифровальщик это был. Тогда и сейчас.

Лучше написали какой антивирус спасает от зловреда

aka dexter said:
↑ (https://antichat.live/posts/4100376/)
коротко о главном
16:26 Кіберполіція радить, як вберегтися від віруса-вимагача

16:41 Сайт департаменту кіберполіції Нацполіції України не працює.


ГЕРАЩЕНКО: КІБЕРАТАКУ ПІД ВИДОМ ВІРУСУ-ЗДИРНИКА БУЛО ОРГАНІЗОВАНО З БОКУ СПЕЦСЛУЖБ РФ

https://ua.112.ua/golovni-novyni/he...rhanizovana-z-boku-spetssluzhb-rf-398161.html (https://ua.112.ua/golovni-novyni/herashchenko-kiberataka-pid-vydom-virusu-zdyrnyka-bula-orhanizovana-z-boku-spetssluzhb-rf-398161.html)


fire-dance said:
↑ (https://antichat.live/posts/4100407/)
Лучше написали какой антивирус спасает от зловреда


Антивирус не спасает, спасает закрытие вышеуказанных портов и своевременные бэкапы системы.

Мне другое интересует: не преувеличивают ли все СМИ? Хотя в тоже время работа Новой почты и Укрпочты была приостановлена, лежали и сайты фирм.

Сам вирус называется Petya A, который в свою очередь очень похож на WannaCry.

Енергокомпания DTEK точно не работала

Много компаний не работали. Кого жестко зацепило. Кто решил перебздеть. Повыдергивали все шнурки из компов и распустили работников.

Слышал, что и Беларусь зацепило. Чел по телефону сказал.

В пятницу, 23 июня, в 21 час 04 минуты (мск) с пусковой установки (ПУ) №?4 площадки №?43 Государственного испытательного космодрома Плесецк боевым расчетом Космических войск Воздушно-космических сил

успешно осуществлен пуск ракеты-носителя легкого класса «Союз-2.1В» с космическим аппаратом (КА) в интересах Минобороны России.

Работу нового спутника обкатывают

Ike said:
↑ (https://antichat.live/posts/4100423/)
Работу нового спутника обкатывают


А еще они подолбали дороги от Владика до Кенига, угощали всех боярышником, бюджет распилили и кой кому в штаны насрали.

Спутник тут причем? Уже если мечтать так по крупному?

Как так одновременно можно по портам он походу жестоко плодиться

fire-dance said:
↑ (https://antichat.live/posts/4100433/)
Как так одновременно можно по портам он походу жестоко плодиться


школьники на каникулах начали группами дедики брутить )

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения).

Разбор полетов по ситуации с заражением на Украине:

https://habrahabr.ru/post/331762/

А чувак уже почти десятку сбил! ))) Красава!

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

reds1993 said:
↑ (https://antichat.live/posts/4100512/)
А чувак уже почти десятку сбил! ))) Красава!
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX


маловато как для масштаба

CAESAR GREAT said:
↑ (https://antichat.live/posts/4100548/)
маловато как для масштаба


ну так за сутки десятка. Норм. Тем более многие вначале поумничают.... а потом все равно пойдут платить

reds1993 said:
↑ (https://antichat.live/posts/4100584/)
а потом все равно пойдут платить


Нууу... Не факт.

Хотя многие, да, заплатят.

uCryNet said:
↑ (https://antichat.live/posts/4100418/)
Сам вирус называется Petya A, который в свою очередь очень похож на WannaCry


Только правильнее сказать наоборот: WannaCry похож на Petya, ибо последний в разы старше.

Угрюмый said:
↑ (https://antichat.live/posts/4100640/)
Хотя многие, да, заплатят.


Бесполезно, почту на posteo.net заблокировали, то есть, жертва ключ не получит)

Тем не менее продолжают слать

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Что тут скажешь, если такой по сути нубо шифровальщик наделал беды проник в банки, страшно подумать какой зв*здец может наступить, если некоторые страны встающие с колен получат шифровальщика от анб\цру и.т.д ну или минимум серьезной хакерской группировки. Все что происходит последние месяцы выглядит как "ох щас срублю битков по бырику", а шум делают СМИ. 4 битка это смех, да и ваннакрай вроде бы тоже мелочь заработал, слезы.

Вот полезла инфа, что виной всему M.E.Doc: gordonua.com (http://gordonua.com/news/money/gendirektor-rozetka-kak-minimum-transportom-dlya-virusa-petya-stal-medoc-stukachik-kotorogo-vsuchil-nam-klimenko-195127.html)

.SpoilerTarget" type="button">Spoiler: Описание программы
«M.E.Doc» – полнофункциональное и универсальное средство для работы с электронными документами на предприятиях любого масштаба, независимо от формы собственности и сферы деятельности. Среди наших клиентов – представители и малого бизнеса, и крупнейшие игроки рынка.

Но журнал "Хакер" подсказывает, да и не только он, что данный вирус был еще в прошлом году:

https://xakep.ru/2016/03/25/petya-locker/

позитивы чуть написали про петю

https://habrahabr.ru/company/pt/blog/331858/

Их правда обосрали в комментах, выяснилось, что “kill-switch” выявили совсем другие, а они скопипастили

ну как по мне цель была экономическая - распространение Битка и манипуляции с курсом Битка

Единственные люди кто поимел с этого выгоду - это трейдеры. А те 4 битка которые как бы заработали "вымогатели", это только иллюзия вымогательства.

короче беда ребята только в том что обратной расшифровки не предусмотрено и в первые сектора где происходил холд ключа в конце перезаписываются вымогателем

это не шифровальщик, это деструктор который косит под шифровальщика-вымогателя

я уже оцениваю масштабы, и у меня глаза хотят с орбит выпасть

из 5 фирм которые я обслуживаю - 4 просто потеряли все документы

ОСи были с последними обновами под WSUS, антивирусы платные, пробило нах

каспер пропустил, нод задержал перезагруз но все равно файло в мясорубку ушло 0_0

изначально летели фейк письма от (якобы) налоговой службы, потом начался лютый писдес с кучей 0 дейев и обильно обфусцированным кодом

не, спасибо конечно за подгончик халтуры.... но это малость бесчеловечно и подло

\/IRUS said:
↑ (https://antichat.live/posts/4100962/)
спасибо конечно за подгончик халтуры.... но это малость бесчеловечно и подло


http://i.imgur.com/V6UDG9U.jpg

\/IRUS said:
↑ (https://antichat.live/posts/4100962/)
короче беда ребята только в том что обратной расшифровки не предусмотрено и в первые сектора где происходил холд ключа в конце перезаписываются вымогателем
это не шифровальщик, это деструктор который косит под шифровальщика-вымогателя
я уже оцениваю масштабы, и у меня глаза хотят с орбит выпасть
из 5 фирм которые я обслуживаю - 4 просто потеряли все документы
ОСи были с последними обновами под WSUS, антивирусы платные, пробило нах
каспер пропустил, нод задержал перезагруз но все равно файло в мясорубку ушло 0_0
изначально летели фейк письма от (якобы) налоговой службы, потом начался лютый писдес с кучей 0 дейев и обильно обфусцированным кодом
не, спасибо конечно за подгончик халтуры.... но это малость бесчеловечно и подло


Нет там никаких 0day, просто много векторов распространения по сети использовано, + задействован mimikatz для выдергиаания паролей админа, запилен функционал pasexec, те же EternalBlue. Ползает по сети он с помощью служб SMB и WMI.

Semwize вон выше хорошую ссылку дал про этого Петю.

мне непонятно одно, вот пишут Каспер пропустил. КАК КАРЛ? у меня каспер агрится на программу которая тупо файл с паролями сплитит по длинам, а тут массовый заход по файлам с определенными расширениями и все пролетело мимо. Тут либо дядя Женя опять косячит по черному, либо кто-то свистит про антивирусы.


За безопасность необходимо платить, а за ее отсутствие расплачиваться.

/Уинстон Черчилль/

-=Cerberus=- said:
↑ (https://antichat.live/posts/4100974/)
мне непонятно одно, вот пишут Каспер пропустил. КАК КАРЛ? у меня каспер агрится на программу которая тупо файл с паролями сплитит по длинам, а тут массовый заход по файлам с определенными расширениями и все пролетело мимо. Тут либо дядя Женя опять косячит по черному, либо кто-то свистит про антивирусы.

За безопасность необходимо платить, а за ее отсутствие расплачиваться.

/Уинстон Черчилль/



Потому как Кашмарыча тоже нужно настроить правильно.

Вот они тут дали рекомендации:

http://www.kaspersky.ru/about/news/business/2017/bus27062017

А вообще доменные правила надо в сетке нормально настраивать, права юзерам не раздавать на право и налево, бэкапы делать и теневое копирование включить. Тогда пофиг на Петю.

user100 said:
↑ (https://antichat.live/posts/4100971/)
Нет там никаких 0day, просто много векторов распространения по сети использовано, + задействован mimikatz для выдергиаания паролей админа, запилен функционал pasexec, те же EternalBlue. Ползает по сети он с помощью служб SMB и WMI.
Semwize вон выше хорошую ссылку дал про этого Петю.


в PDF и SMB1 нулевые были, не было (на тот момент) заплаток

это первая атака что использовала мимик, псеэкзек это всего-лишь удобный инструмент с малым кодом естественно

-=Cerberus=- said:
↑ (https://antichat.live/posts/4100974/)
мне непонятно одно, вот пишут Каспер пропустил. КАК КАРЛ? у меня каспер агрится на программу которая тупо файл с паролями сплитит по длинам, а тут массовый заход по файлам с определенными расширениями и все пролетело мимо. Тут либо дядя Женя опять косячит по черному, либо кто-то свистит про антивирусы.

За безопасность необходимо платить, а за ее отсутствие расплачиваться.

/Уинстон Черчилль/



дам подсказку для начинающих: поднять привилегии до системы )))

\/IRUS said:
↑ (https://antichat.live/posts/4100976/)
в PDF и SMB1 нулевые были, не было (на тот момент) заплаток


Пруфы, Билли, нам нужны пруфы.

SMB тот же что и у ВанаКрай, т.е. известный.

Опять криптовалюты взлетят?

\/IRUS said:
↑ (https://antichat.live/posts/4100962/)
из 5 фирм которые я обслуживаю - 4 просто потеряли все документы


А эти самые фирмы не использовали программу M.E.Doc? Интересно, есть ли смысл в словах гендиректора Розетки или нет.

http://img.pravda.com/images/doc/4/6/465f1e0-----.jpg

Судя по этой карте, это не мировые новости, а новости отдельно взятой территории.

Semwize said:
↑ (https://antichat.live/posts/4101154/)
http://img.pravda.com/images/doc/4/6/465f1e0-----.jpg
Судя по этой карте, это не мировые новости, а новости отдельно взятой территории.


Совпадение ...На Крым тоже попало .

V777 said:
↑ (https://antichat.live/posts/4101273/)
Совпадение ...


Ты там хоть не пострадал?

ms13 said:
↑ (https://antichat.live/posts/4101274/)
Ты там хоть не пострадал?


хе хе , привет друг . Мне пофиг .

V777 said:
↑ (https://antichat.live/posts/4101275/)
Мне пофиг .


...значит, всё-таки пострадал...

Кто?

Петя?

Плакальщики?

ms13 said:
↑ (https://antichat.live/posts/4101278/)
...значит, всё-таки пострадал...
Кто?
Петя?
Плакальщики?


неа . Все ок , не переживай за меня .

V777 said:
↑ (https://antichat.live/posts/4101281/)
неа . Все ок , не переживай за меня .


Ну Слава Богам!

кошерный и несомненно правдивый источник «УкроПравда" докладывает


вирус Petya, который недавно нанес ущерб ряду украинских компаний, разработали в агентстве национальной безопасности США


http://www.pravda.com.ua/rus/news/2017/06/30/7148326/

Надо было сразу заморить , что виноваты спецслужбы РФ. Без этого никак и никогда не проходит.

Если от 1С в Украине отказались, спецы 1С обладая данными уничтожили другую бухгалтерию.

Когда в голове бардак, виноваты одни и те же. (c) Фемида.

Между тем как есть угроза вирусов и уничтожение данных, все продолжается тема Украина- Россия, самим то не позорно?

https://geektimes.ru/post/290623/

Мальчишки и девчонки, не ссортесь

Тема номер один на рос. телеканалах - Плохая Украина, тема номер один на укр. каналах - Плохая Россия.

Тема номер один в Европе - Свадьба Месси и браки геев в Германии. Почувствуйте разницу...

Кто-то в первых двух странах знатно врёт, причем с обоих сторон ибо тот же совок с другой стороны вывернутый.

Тошнотье кошмарное....

Я тут был (ц)

Корешки - не уподобляйтесь вершкам. Не здесь.

Закрыто ибо нефиг.