Kriptovīruss Petya.A – kiberuzbrukuma nianses

[samurajs]

Vakar pasaulē sākās jauna, ļoti plaša kiberuzbrukumu sērija, kurā visvairāk cieta Ukraina. Vēlāk pienāca ziņas arī par inficētiem PC arī ASV, Krievijā un Eiropā. Sākotnēji infekcija pienāk kā phishing e-pasts ar failu Petya.apx vai kā grāmatvedības programmas atjauninājums M.E.doc; vēlāk tas pa lokālajiem tīkliem izplatās tāpat kā WannaCry; t.i. ar eksploitu DoublePulsar un EternalBlue palīdzību.

Līdz 27. jūnija 17.00 bija cietuši:

Ukrainas Ministru Kabinets

Ukrainas Pasts

Mobilie operatori Vodafone un KievStar

5 Ukrainas bankas

Kijevas metro

Ukrainas dzelzceļš

Ukrtelecom

un daudzi citi…

Precīza vīrusa versija nav noteikta, avoti raksta par modifikāciju «Petya.A». Kriptovīruss pieprasa 300 USD par failu atšifrēšanu. Vai izpirkuma maksas samaksāšana dod atšifrēšanas atslēgu – nav zināms. Vēlāk pienāca ziņas arī par Krievijas kompāniju “Krievijas Nafta” un Home Bank inficēšanu. Vīrusu saķēruši arī daži ÄŒernobiļas AES datori, bet tos atslēdza, lai novērstu izplatīšanos. Katastrofas briesmu nav, vienīgi atomelektrostacijā nedarbojas elektroniskā dokumentu aprite.

[img]https://notepad.lv/userpix/28_c1c76b04253bd31a09d6a1b23c8fe06e_1.jpg[/img]

Ko darīt ja ir aizdomas par infekciju?

Š obrīd atšifrēt vīrusa sabojātos failus nav ar ko. Positive Technologies speciālisti atraduši paņēmienu kā lokāli apturēt Petya.A darbību (kill switch). Jāizveido tukšs fails bez paplašinājuma C:Windowsperfc .

Ja PC pats no sevis restartējies un pēc tam palaiž komandu CHKDSK, tūlīt jāizslēdz barošana. Pēc tam var iebūtoties no jebkura LiveCD vai zibatmiņas un piekļūt failiem – ir cerība, ka liela daļa būs palikusi nenošifrēta.

[img]https://notepad.lv/userpix/28_33b4d8896e1c4a7dbddd8308ad2c2e87_1.jpg[/img]

Avoti: 1, 2, 3.

[Andron MacBeton]

Jācer ka kādu pedaradmineļparodiju iz3,14sīs abos ānusos, jaunajā un vecajā 😀

Krievijā cerams admineļparodija neizspruks sveikā, kā pedaru valstīs.

Oho, izrādās ka šitas ir mērķēts, visu tikai ne Krieviju! NOOOIS DŽÄ€B! Respect koderiem!

Gaidam ziņas par pirmo, grupā izvaroto, sisadmineļa parodiju!

[usins]

Nu pasaki Organizācijai, kura izmanto AD, lai administrētu 1000+ lietotājus, lai noslēdz iekšējā tīklānost 445 portu. Pakārties ir vieglāk. Nu dirs vienā diršanā, vienīgie,kuri ir jākar aiz olām ir Microsoft izstrādātāji, kuri šo caurumu no win 2000 tur vaļā priekš NSA

Latvijā arī ir cietuši uzņēmumi, pārsvarā, kuriem filiāles ukrainā/krievijā un ir ar vpn file sharings pieļauts.

Kā arī Windows mapē liekamo failu saraksts ir audzis. vēl vajag ar paplašinājumu .dat un .dll

Kā arī gan jau būs mutācija, kas šito pasargās.

Un atkal pierādās, ka grāmatveži ir uzņēmumuvājās vietas kiberdrošībā…

[Andron MacBeton]

😀

Tātad ja tu nezini ka mašīnā jāielej benzīns, un tā vairs nestrādā, vainīgs ir autoražotājs, ceļi…

[usins]

Esmu gatavs Tev samaksāt, lai naktīs mierīgi gulētu: kā man Aktīvo direktoriju uzturēt bez SMB un 445 porta kuru lieto šī ievainojamība. Š o portu lieto GPO un Kerberos, kad paroles jāmaina….

Pagaidām cenšos izglītot darbiniekus, ka nefig vērt vaļā epastus ar pielikumiem, ja tie nav pieteikti iepriekš.

Gudri runāt nav reālus risinājumus zināt. Pagaidām man ir tas šudainais variants ar failu %systemroot% mapē….

[Andron MacBeton]

Tu gribi samaksāt, lai mašīna atkal strādā, bet bez benzīna ieliešanas.

Jādara ir tā:

1. Es izpētu tavu bardaku.

2. Es uzrakstu reportu ar pareizo variantu.

Bet tā kā es būšu jau izdarijis pusi no darba – tas nemaksās to ko tu esi iedomājies.

[ruukjis]

Es jau zinu Betona risinājumu – benzīna vietā piedāvās ieliet dīzeli – nomainīt visu uz Linux, jo tikai nedap**teņi lieto win šāres. Cirvis, mļe.

[theluckymike]

Usins, tak viss ko vaig atslegt ir smb1.0, paarejaas versijas ir ok..

[Andron MacBeton]

Tas ir tavs risinājums.

Mans’ risinājums’ teu nekad mūžā neizprast, jo smadzeņupgreid vel nau iespējam.

[Andron MacBeton]

Arī tas ir ÄŒŽ risinājums. Neticu ka tas nostrādās, tad ir jātestē, bet man slinkums + negribas lieku elektrības rēķinu.

Pateikšu priekšā bezmaksas – jūs mēģinat risināt no nepareizā gala.

Padomājiet, varbūt kādam pat pieleks…

[KristoZ]

Petya nešifrē pašus failus, vismaz ne uzreiz, bet gan tikai MFT, kā rezultātā nobrūk MBR. Tāpat arī izspiedēju e-pasts ir bloķēts, tādēļ nav viņiem vērts neko sūtīt. Sīkāk te:

https://thehackernews.com/2017/06/petya-ransomware-attack.html

[MeistarsUnVergs]

Runā ka sākumā Petya ticis izplatīts caur auto apdeitiem grāmatvedības programmai. Vēl viens iemesls atslēgt auto apdeitus pilnīgi visur.

Es brīnos, bet šeit Ukrainā par šo gadījumu neviens īpaši nerunā. Iespējams ka tas te ir normāli ka kaut kas ik pa laikam nestrādā. Un panikas cēlāji citās valstīs to dara citu mērķu vadīti, piemēram, lai sētu cilvēkos bailes un attaisnotu vēl lielāku Lielā brāļā cenzūru internetam.

[Andron MacBeton]

Runā arī ka esot Š…eftGaz inficējis, tikai ja palasa citur ziņas, tad RosŠ…eftGaz (kā viņu tur…) esot paši ziņojuši, ka viņu serverus esot inficējis. Kādus serverus? Windows serveri ar 445 portu uz āru?

Viņiem pēdējā laikā ne 135, ne 445 uz āru nav bijuši atvērti.

Pēdējais laiks sodīt par nepatiesu ziņu izplatīšanu, tikpat strikti kā adminparodijas.

[Andron MacBeton]

Jā, un MFT šifrēšanas rezultātā nobrūk BIOSā HECI, kas savukārt noved pie MEI pārperpendikulācijas.

Nu ja tu ne sūda nesaproti kompjos tad sāc mācīties, nevis vervelē.

[oyo]

nav gan risinājums, bet var papildus atslēgt auto restaru pēc bsod.

[Andron MacBeton]

Kurā pajolskolā dabuji programmētāja diplomu?

[MeistarsUnVergs]

Tak izplatās ne tikai caur SMB1 ievainojamībām, bet arī dokumentiem. Tu tā kā tāds šiziks tik par portu konfigurācijām cepies, bet par citiem izplatiishanaas celjiem neintereseejies.

[Lcs006]

https://www.pcworld.com/article/3199106/linux/the-sambacry-scare-gives-linux-users-a-taste-of-wannacry-petya-problems.html

[ruukjis]

Beton tu esi fenomenāls cirvis. Tu vispār zini par ko ir runa? Tu zini, kas ir NotPetya un kā viņš strādā?

Bet par vienu gan tev taisnība, ja šis sūds sāk izplatīties lokālajā tīklā, tad adminam jānocērt rokas, jāizkaltē tās un jāpiekar serveru telpā kā bieds viņa pēctecim. Š i draza var izplatīties tikai tad, ja viņai ir admin tiesības uz tīkla servisiem jebšu citiem vārdiem – admins ir tas, kurš inficēja savu kompi pirmais.

[Andron MacBeton]

Lohs.

[Autors]

Ieraksti