Kriptovīruss Petya.A - kiberuzbrukuma nianses

Moderatori: janis.wd, Vecākie lietotāji

User avatar
samurajs
Administrators
Atbildes: 14988
Pievienojies: 06 Mar 2007, 15:04
Reputācija: 0
Atrodas: Liepājas anomālā zona

Kriptovīruss Petya.A - kiberuzbrukuma nianses

Post no samurajs » 28 Jūn 2017, 17:36

Vakar pasaulē sākās jauna, ļoti plaša kiberuzbrukumu sērija, kurā visvairāk cieta Ukraina. Vēlāk pienāca ziņas arī par inficētiem PC arī ASV, Krievijā un Eiropā. Sākotnēji infekcija pienāk kā phishing e-pasts ar failu Petya.apx vai kā grāmatvedības programmas atjauninājums M.E.doc; vēlāk tas pa lokālajiem tīkliem izplatās tāpat kā WannaCry; t.i. ar eksploitu DoublePulsar un EternalBlue palīdzību.

Līdz 27. jūnija 17.00 bija cietuši:

Ukrainas Ministru Kabinets
Ukrainas Pasts
Mobilie operatori Vodafone un KievStar
5 Ukrainas bankas
Kijevas metro
Ukrainas dzelzceļš
Ukrtelecom
un daudzi citi...

Precīza vīrusa versija nav noteikta, avoti raksta par modifikāciju «Petya.A». Kriptovīruss pieprasa 300 USD par failu atšifrēšanu. Vai izpirkuma maksas samaksāšana dod atšifrēšanas atslēgu - nav zināms. Vēlāk pienāca ziņas arī par Krievijas kompāniju "Krievijas Nafta" un Home Bank inficēšanu. Vīrusu saķēruši arī daži ÄŒernobiļas AES datori, bet tos atslēdza, lai novērstu izplatīšanos. Katastrofas briesmu nav, vienīgi atomelektrostacijā nedarbojas elektroniskā dokumentu aprite.

Attēlā: lielveikalu nācās slēgt, jo nestrādāja neviena kase
Image

Ko darīt ja ir aizdomas par infekciju?

Š obrīd atšifrēt vīrusa sabojātos failus nav ar ko. Positive Technologies speciālisti atraduši paņēmienu kā lokāli apturēt Petya.A darbību (kill switch). Jāizveido tukšs fails bez paplašinājuma C:\Windows\perfc .
Ja PC pats no sevis restartējies un pēc tam palaiž komandu CHKDSK, tūlīt jāizslēdz barošana. Pēc tam var iebūtoties no jebkura LiveCD vai zibatmiņas un piekļūt failiem - ir cerība, ka liela daļa būs palikusi nenošifrēta.

Attēlā: inficētas bankas nepatīkamākā daļa...
Image

Avoti: 1, 2, 3.
Image

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 28 Jūn 2017, 19:18

Jācer ka kādu pedaradmineļparodiju iz3,14sīs abos ānusos, jaunajā un vecajā :-D
[s]Krievijā cerams admineļparodija neizspruks sveikā, kā pedaru valstīs.[/s]

Oho, izrādās ka šitas ir mērķēts, visu tikai ne Krieviju! NOOOIS DŽÄ€B! Respect koderiem!
Gaidam ziņas par pirmo, grupā izvaroto, sisadmineļa parodiju!

User avatar
usins
Vecākais lietotājs
Atbildes: 2870
Pievienojies: 26 Feb 2007, 08:51
Reputācija: 0

Post no usins » 28 Jūn 2017, 21:40

Nu pasaki Organizācijai, kura izmanto AD, lai administrētu 1000+ lietotājus, lai noslēdz iekšējā tīklānost 445 portu. Pakārties ir vieglāk. Nu **dritvai kociņ** vienā diršanā, vienīgie,kuri ir jākar aiz olām ir Microsoft izstrādātāji, kuri šo caurumu no win 2000 tur vaļā priekš NSA

Latvijā arī ir cietuši uzņēmumi, pārsvarā, kuriem filiāles ukrainā/krievijā un ir ar vpn file sharings pieļauts.

Kā arī Windows mapē liekamo failu saraksts ir audzis. vēl vajag ar paplašinājumu .dat un .dll
Kā arī gan jau būs mutācija, kas šito pasargās.

Un atkal pierādās, ka grāmatveži ir uzņēmumuvājās vietas kiberdrošībā...
Cietumā nesēž tik ilgi, cik jūs internetā!

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 28 Jūn 2017, 22:47

:-D
Tātad ja tu nezini ka mašīnā jāielej benzīns, un tā vairs nestrādā, vainīgs ir autoražotājs, ceļi...

User avatar
usins
Vecākais lietotājs
Atbildes: 2870
Pievienojies: 26 Feb 2007, 08:51
Reputācija: 0

Post no usins » 29 Jūn 2017, 00:07

Esmu gatavs Tev samaksāt, lai naktīs mierīgi gulētu: kā man Aktīvo direktoriju uzturēt bez SMB un 445 porta kuru lieto šī ievainojamība. Š o portu lieto GPO un Kerberos, kad paroles jāmaina....
Pagaidām cenšos izglītot darbiniekus, ka nefig vērt vaļā epastus ar pielikumiem, ja tie nav pieteikti iepriekš.
Gudri runāt nav reālus risinājumus zināt. Pagaidām man ir tas šudainais variants ar failu %systemroot% mapē....
Cietumā nesēž tik ilgi, cik jūs internetā!

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 29 Jūn 2017, 01:43

Tu gribi samaksāt, lai mašīna atkal strādā, bet bez benzīna ieliešanas.

Jādara ir tā:
1. Es izpētu tavu bardaku.
2. Es uzrakstu reportu ar pareizo variantu.
Bet tā kā es būšu jau izdarijis pusi no darba - tas nemaksās to ko tu esi iedomājies.

User avatar
ruukjis
Reģistrēts lietotājs
Atbildes: 1981
Pievienojies: 16 Apr 2009, 15:39
Reputācija: 0

Post no ruukjis » 29 Jūn 2017, 09:57

Es jau zinu Betona risinājumu - benzīna vietā piedāvās ieliet dīzeli - nomainīt visu uz Linux, jo tikai nedap**teņi lieto win šāres. Cirvis, mļe.

theluckymike
Reģistrēts lietotājs
Atbildes: 37
Pievienojies: 24 Mai 2011, 15:59
Reputācija: 0

Post no theluckymike » 29 Jūn 2017, 10:23

Usins, tak viss ko vaig atslegt ir smb1.0, paarejaas versijas ir ok..

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 29 Jūn 2017, 13:54

Tas ir tavs risinājums.
Mans' risinājums' teu nekad mūžā neizprast, jo smadzeņupgreid vel nau iespējam.

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 29 Jūn 2017, 13:59

Arī tas ir ÄŒŽ risinājums. Neticu ka tas nostrādās, tad ir jātestē, bet man slinkums + negribas lieku elektrības rēķinu.

Pateikšu priekšā bezmaksas - jūs mēģinat risināt no nepareizā gala.
Padomājiet, varbūt kādam pat pieleks...

User avatar
KristoZ
Vecākais lietotājs
Atbildes: 761
Pievienojies: 17 Nov 2008, 15:17
Reputācija: 0
Atrodas: Latvija

Post no KristoZ » 29 Jūn 2017, 14:31

Petya nešifrē pašus failus, vismaz ne uzreiz, bet gan tikai MFT, kā rezultātā nobrūk MBR. Tāpat arī izspiedēju e-pasts ir bloķēts, tādēļ nav viņiem vērts neko sūtīt. Sīkāk te:
http://thehackernews.com/2017/06/petya- ... ttack.html
"Unix is user-friendly. It just isn't promiscuous about which users it's friendly with." - Steven King

User avatar
MeistarsUnVergs
Reģistrēts lietotājs
Atbildes: 1389
Pievienojies: 22 Aug 2014, 15:14
Reputācija: 1

Post no MeistarsUnVergs » 29 Jūn 2017, 14:57

Runā ka sākumā Petya ticis izplatīts caur auto apdeitiem grāmatvedības programmai. Vēl viens iemesls atslēgt auto apdeitus pilnīgi visur.

Es brīnos, bet šeit Ukrainā par šo gadījumu neviens īpaši nerunā. Iespējams ka tas te ir normāli ka kaut kas ik pa laikam nestrādā. Un panikas cēlāji citās valstīs to dara citu mērķu vadīti, piemēram, lai sētu cilvēkos bailes un attaisnotu vēl lielāku Lielā brāļā cenzūru internetam.
Legālās programmatūras lietotāji ir vēl lielāki stulbeņi par legālo narkotiku lietotājiem

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 29 Jūn 2017, 17:07

Runā arī ka esot Š…eftGaz inficējis, tikai ja palasa citur ziņas, tad RosŠ…eftGaz (kā viņu tur...) esot paši ziņojuši, ka viņu serverus esot inficējis. Kādus serverus? Windows serveri ar 445 portu uz āru?
Viņiem pēdējā laikā ne 135, ne 445 uz āru nav bijuši atvērti.
Pēdējais laiks sodīt par nepatiesu ziņu izplatīšanu, tikpat strikti kā adminparodijas.

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 29 Jūn 2017, 17:09

Jā, un MFT šifrēšanas rezultātā nobrūk BIOSā HECI, kas savukārt noved pie MEI pārperpendikulācijas.
Nu ja tu ne sūda nesaproti kompjos tad sāc mācīties, nevis vervelē.

User avatar
oyo
Reģistrēts lietotājs
Atbildes: 69
Pievienojies: 30 Mai 2011, 14:40
Reputācija: 0

Post no oyo » 30 Jūn 2017, 00:46

nav gan risinājums, bet var papildus atslēgt auto restaru pēc bsod.

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 30 Jūn 2017, 01:23

Kurā **dritvai kociņ** dabuji programmētāja diplomu?

User avatar
MeistarsUnVergs
Reģistrēts lietotājs
Atbildes: 1389
Pievienojies: 22 Aug 2014, 15:14
Reputācija: 1

Post no MeistarsUnVergs » 30 Jūn 2017, 02:24

Tak izplatās ne tikai caur SMB1 ievainojamībām, bet arī dokumentiem. Tu tā kā tāds šiziks tik par portu konfigurācijām cepies, bet par citiem izplatiishanaas celjiem neintereseejies.
Legālās programmatūras lietotāji ir vēl lielāki stulbeņi par legālo narkotiku lietotājiem

Lcs006
Reģistrēts lietotājs
Atbildes: 171
Pievienojies: 13 Jūn 2014, 17:29
Reputācija: 0

Post no Lcs006 » 30 Jūn 2017, 09:55


User avatar
ruukjis
Reģistrēts lietotājs
Atbildes: 1981
Pievienojies: 16 Apr 2009, 15:39
Reputācija: 0

Post no ruukjis » 30 Jūn 2017, 11:11

Beton tu esi fenomenāls cirvis. Tu vispār zini par ko ir runa? Tu zini, kas ir NotPetya un kā viņš strādā?
Bet par vienu gan tev taisnība, ja šis sūds sāk izplatīties lokālajā tīklā, tad adminam jānocērt rokas, jāizkaltē tās un jāpiekar serveru telpā kā bieds viņa pēctecim. Š i draza var izplatīties tikai tad, ja viņai ir admin tiesības uz tīkla servisiem jebšu citiem vārdiem - admins ir tas, kurš inficēja savu kompi pirmais.

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 01 Jūl 2017, 03:52

Lohs.

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 01 Jūl 2017, 03:54

KO TU ESI PAVEICIS?!

User avatar
macbeton
Reģistrēts lietotājs
Atbildes: 3510
Pievienojies: 01 Nov 2008, 18:43
Reputācija: 1
Atrodas: Libau

Post no macbeton » 01 Jūl 2017, 03:58


User avatar
ruukjis
Reģistrēts lietotājs
Atbildes: 1981
Pievienojies: 16 Apr 2009, 15:39
Reputācija: 0

Post no ruukjis » 01 Jūl 2017, 10:27

Pompozā daiļdi**anā, protams, nevaru ar tevi konkurēt.

Pievienot atbildi

Return to “IT ziņas”