Перейти к содержимому


Фотография

Украина: События и отношения с Россией.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11356

#11341 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 20:10

Вирус Petya победил сайт киберполиции Украины

В настоящее время сайт работает в оффлайн-режиме

 

ИСТОЧНИК



#11342 Levad

Levad

    Пью,курю,ругаюсь матом

  • Пользователи
  • 1675 сообщений
  • ГородДярЕвня

Отправлено 27 June 2017 - 20:13

Во вторник, 27 июня, серверы компании "Роснефть" и "Башнефть" подверглись хакерской атаке. По словам специалистов по кибербезопасности причиной масштабной атаки стал вирус-вымогатель Petya.

"На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами. По факту кибератаки компания обратилась в правоохранительные органы", - цитирует ТАСС сообщение, распространенное пресс-службой компании.

По информации ТАСС, компания перешла на резервную систему управления производственными процессами, добыча и подготовка нефти не были остановлены.

--------
До аэропорта Борисполя добрался Петяаааааа

#11343 Мадам Грицацуев

Мадам Грицацуев

    Бывалый

  • Форумчане
  • 11122 сообщений

Отправлено 27 June 2017 - 20:25

Вряд ли банки пользовались антивирь с купленного на базаре диска. У разработчиков антивиря грядёт большая анальная боль, это без порно.

#11344 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 20:29

19430108_465220007172066_384624483579276



#11345 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 20:38

Вряд ли банки пользовались антивирь с купленного на базаре диска. У разработчиков антивиря грядёт большая анальная боль, это без порно.

Сначала она будет у безопасников с кривыми руками. WannaCry - это червь, червей антивирусы в массе своей не ловят, а для сети тем более нужна комплексная защита. Но это совершенно не защитит от социального фактора, ибо вирусы цепляют там, где порнуха, непонятная реклама и прочий шлак-контент интернета. А дальше вирусняк просто мигрирует по сети.

В общем, не знаю, за что платят безопасникам вышеупомянутых контор. Имхо, за красивые глаза.



#11346 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 21:34

А вообще конечно причина этого всего кипиша кроется в одном: жлобстве предприятий, которых атаковал вирус.

Почему? Да потому что у таких политика "не буду нанимать дорогостоящего специалиста, найму за копейки студента, он мне сделает то же самое". Да никогда студент даже 5 курса не сделает то, что может специалист в области безопасности с 10+ летним стажем. Разве что если этот студент - гений. Но таких очень быстро подбирают профильные компании, о чём все остальные узнают уже после того, как студент полноценно занят и ему нафиг не надо работа на какого-то там директора курятника.

Вот не знаю, откуда пошла эта тупорылая кампания по поводу специалист или студент, но я её видела очень много раз и там, и здесь, в России, в том числе на ТВ.

А студент... ну а чо студент может сделать на свои знания? Да ничего.

Плюс надо понимать, что нормальные компании для безопасности покупают и устанавливают написанное под них ПО + набирают обслуживающих специалистов по данному профилю с сертификатами и прочим приданным. Да, не дёшево. Но дешевле, чем терпеть убытки от всяких Петь-вымогателей.

Вот блин, свою дорогую тачку такие коммерсы почему-то не везут ремонтировать таджикам на авто-свалку, а непосредственно в дорогой салон. Им не кажется это странным. А нанять спеца по комп.безопасности - типа бесполезные вложения.

Ну вот сейчас мы наблюдаем результаты этой политики.



#11347 Levad

Levad

    Пью,курю,ругаюсь матом

  • Пользователи
  • 1675 сообщений
  • ГородДярЕвня

Отправлено 27 June 2017 - 21:38

Все уверены что поймали из вне ?
Как на курорте?
Может изнутри помогли.

#11348 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 21:46

То что это была прицельная атака - в принципе похоже. Но никто не будет ломать и пробивать бреши, если можно использовать социальный фактор - сотрудников любой из вышеупомянутых компаний. Это весьма распространённая практика: через соцсети задружиться с кем-то из сотрудников, к примеру, банка, втереться в доверие, слабать сайтик с нужным там скриптом и когда сотрудник откроет ссылку - вуаля.

Но чтобы пресечь дальнейшее распространение вредоносного кода - нужны хорошие безопасники. Которые стоят дорого. Но их нет. Ибо "студент сделает то же самое, но дешевле". Я ж говорю, весьма частое явление.



#11349 Levad

Levad

    Пью,курю,ругаюсь матом

  • Пользователи
  • 1675 сообщений
  • ГородДярЕвня

Отправлено 27 June 2017 - 22:20

Снимаю вопрос с внутренним пособники вируса.



Вирус-вымогатель Petya атаковал компьютеры в Израиле
По информации 2-го канала израильского телевидения, хакерская атака, которой подверглись компании в России и Украине, имеет глобальный характер. Случая заражения компьютеров с помощью вируса-вымогателя зарегистрированы в США, Дании и Израиле.
По информации "Мако", вечером 27 июня стало известно о том, что жертвами атаки стали три израильские компании (данные верны на 19:00 по израильскому времени).
Штаб по борьбе с киберугрозами при канцелярии главы правительства призвал компании, ставшие жертвами хакеров, не платить "выкуп", а обратиться к специалистам штаба за помощью.

Ранее 27 июня стало известно, что хакерской атаке подверглись частные и государственные компании в России и на Украине.

#11350 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 27 June 2017 - 22:56

Такие вирусы распространяются методом отправки на почту письма со вложением с неизвестного адреса. Или с известного. Но прежде чем что-то открывать - надо хотя бы вдуматься, что вам прислали. Т.е. или чуточку поднять уровень компьютерной грамотности, или плакать от подобных проблем.

Вообще вирусы распространяются чисто благодаря человеческому фактору. Взломы систем защиты той или иной конторы и внедрение вируса во взломанную сеть - случаи редкие и уникальные. В основном всё делается через ничего не подозревающих сотрудников. А умные еще и следы подтирают, чтоб непонятно было через кого оно попало.

И да, повторюсь, деньги платить бесполезно. Распространители вируса при всём желании не вышлют вам код разблокировки, у этой части кода вируса плавающая ошибка.



#11351 Levad

Levad

    Пью,курю,ругаюсь матом

  • Пользователи
  • 1675 сообщений
  • ГородДярЕвня

Отправлено 28 June 2017 - 00:26

Что гадать. Подождем , скоро скажут.

#11352 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 28 June 2017 - 00:32

Украина подверглась самой крупной в истории кибератаки вирусом Petya

Сегодня утром ко мне обратились мои клиенты с паническим криком «Никита, у нас все зашифровано. Как это произошло?». Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.

Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что «Ощадбанк», «УкрПочта», «ТАСКомерцбанк», «ОТР банк» под атакой.

 

Список сайтов и структур, подвергшихся кибератаке:
Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк
Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.
Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця
СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»
Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»
Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,
Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,
Автозаправки: Shell, WOG, Klo, ТНК

Что случилось? И о развитии ситуации под катом.

То, о чем все кибер эксперты, включая меня, говорили днями и ночами! Украина не защищена от кибератак, но сейчас не об этом.

Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как «Київенерго» и «Укренерго», думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.

На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Не отрицаю что некоторые сайты и сервисы могут быть отключены в качестве превентивной меры борьбы с заражением. Ситуация динамически развивается и мы будем освещать. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…

Теперь о технических деталях

Первые версии Petya были обнаружены существенно ранее. Однако на сегодняшний день в сети свирепствует новая модификация Petya. Пока что известно, что «Новый Petya» шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, его друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске (не всегда). Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.

В интернете уже были попытки написания дешифровщиков которые подходят только к старым версиям Petya.

Однако, их работоспособность не подтверждена.

Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, «паническое нажатие кнопки выкл» я бы назвал это так.

Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM) (спасибо 4eyes за уточнение), с отключением от интернета при любых обстоятельствах.

Личные предположения:

Вирус получил название «Petya» в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.

 

ИСТОЧНИК



#11353 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 28 June 2017 - 00:55

Оттуда же:
 

 

UPD8: В сети уже появился бот, который мониторит выкупы за дешифрование файлов, зараженных Petya

Ну кто бы сомневался:-)) Без лоха и жизнь плоха.

 

 

UPD9: Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)

ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.

После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat

Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST

После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)

Далее создание файла: dllhost.dat

Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.

А вот тут я чёто сползла по стенке со смеху:-) Помните, что вна Украине закрыли все филлиалы 1С? А сколько спецов остались без работы? Раньше весь документооборот был на основе 1С. А теперь какой-то Медок.

В общем, любишь медок - люби и холодок:-)))))



#11354 Desperado

Desperado

    Опытный пользователь

  • Пользователи
  • 1959 сообщений

Отправлено 28 June 2017 - 12:40

Вирус-вымогатель "Petya" стал мемом https://m.tvzvezda.r...tm_source=rnews

#11355 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 28 June 2017 - 13:58

Смех смехом конечно, но всё же создайте файлик с названием perfc в блокноте, сделайте его доступным только для чтения, потом уберите у него вообще любое расширение и скопируйте в C:\Windows. Петя по прибытии сразу ищет этот файл, а поскольку он у нас уже есть, Петя такой говорит - вот блин, чёт я неудачно зашёл, грошей никто не даст. И засыпает под лавкой.

Совет кстати от компании Symantec (правда с моим несколько художественным описанием)

З.Ы. Подходит только для пользователей винды! Андроиды могут не беспокоиться.



#11356 Levad

Levad

    Пью,курю,ругаюсь матом

  • Пользователи
  • 1675 сообщений
  • ГородДярЕвня

Отправлено 28 June 2017 - 15:32

Вирус вымогатель Petya требует 300 долларов в биткоинах. Но поговаривают, что охотно берет и спиртным.

#11357 Орлёнок

Орлёнок

    Дюдюка Барбидокская

  • ТС
  • Модераторы
  • 29374 сообщений
  • ГородЦФО

Отправлено 28 June 2017 - 18:16

Как вирус Petya.A поглумился над украинской «IT-нацией»
 
Для тех, кто живёт в сладком сне и волшебных грёзах, пробуждение (тем более – увесистым пинком) становится шокирующим. Последние несколько лет Украина преуспела в самогипнозе, да вот беда – жестокая реальность не считает нужным подстраиваться под фантазии. А сколько их было! Как залихватски, с размахом, мечтали о том, что после исчезновения программ от 1С наступит бешеный рост украинского ПО! С какой сладострастной дрожью рассказывали о строительстве «IT-нации»!..

И вот, пожалуйста, кармический бумеранг, похихикивая, возвратился – и Украина получила и «витчызнянне ПэО», и «айти-нацыю». И то, и другое с огромным успехом использовал новый супервирус Petya.A – я так понимаю, «А» — это отчество, «Алексеевич»?..

Не тратя место и время на предысторию вчерашнего украинского кибер-армагеддона, сосредоточусь на главном.

Итак, главное! «Ключевым каналом распространения вируса Petya.А, атаковавшего компьютеры украинских предприятия 27 июня, стала бухгалтерская программа «M.E.doc» украинского производства. Об этом сообщила пресс-служба департамента киберполиции Украины».

Вы поняли, да? Всё, что вчера легло вповалку – банки, аэропорты, почты, энергетика, даже сервера в Раде и Кабмине — это всё стандартные пользователи софта по документообороту и бухгалтерии от 1С. Но 1С, как вам известно, «заборонено», а заместо его – некое «M.E.doc» украинского производства. Оно, конечно, сверхнадёжно – не то, что какое-то там «ФСБ-шное» 1С, тут комар носу не подточит.

И вдруг: «По данным ведомства, вредоносное программное обеспечение распространялось через встроенную функцию обновления данной системы. Начиная с 10:30 27 июня пользователи «M.E.doc» получали обновление системы, содержащее вредоносный код вируса Petya.A, который затем распространялся с заражённой машины на другие компьютеры через локальную сеть предприятия».

Да как же так? Да оно же нашенское, свидомое, салом перекрещенное, первачком спрыснутое! Да что же это, добродии? Как в ём вирусь оказалась?

Я подчёркиваю: это не был вирус типа недавнего WannaCry, который хитро влазил, сам запускался и так далее. Нет, тут – просто как тризуб в попу: пользователи САМИ кликали на исполняемый файл, а дальше – предсказуемо. «Всё гениальное – просто»: хакеры просто ломанули некузявую свидомую «недо1С», разослали от её имени вирусняк, а дальше – дело техники.

«Первый звоночек прозвучал ещё в мае, когда в систему обновлений M.E.Doc пролез противный, но относительно безобидный вирус-вымогатель XData. Опыт этот никого ничему не научил. В частности, категорически отказались учиться чему-либо разработчики M.E.Doc — тем паче, что благодаря усилиям Петра нашего Алексеевича лавэха и так заходила вполне нормально»  — да-да. Главное, «сало уронили» почаще кричать, так вся нечисть зловредно-электронная отпугивается. Заплатки – излишни, пусть их москали в 1С делают, дурачки.

Не упало в «стране 404» только то, что было всё ещё на 1С. Остальное – ухнуло в пропасть. Включая… сам сайт киберполиции! Эпично же, эпично! Венеролог с триппером!

Эмм… как вам такая «айти-нацыя», которая по уровню знакомства с компьютером осталась примерно в середине нулевых? И ведь это были не бабушки-домохозяйки, а продвинутые юзеры серьёзных контор, которым вроде как положено знать чуть больше, чем движения мышки в пасьянсе… «Экзешник»? Ура, жмём скорее!

Есть такое выражение – «цыганское счастье»: это когда ты на ровном месте сломал ногу, но зато в больнице у тебя не стали требовать денег. Как это ни парадоксально, Украину спасло как раз то, что она, к собственному «счастью», пока ещё далеко не полностью компьютеризированная страна: если бы дело было в США, где в «интернет вещей» включено куда больше важнейших инфраструктурных объектов, всё могло бы закончится пожарами на АЭС – а так «Петя» заразил Чернобыльскую АЭС, а там смеются: ничего, поведём пока документооборот на бумаге. У Кличко, в Киевсовете вообще поступили по-боксёрски просто: отключили компы от интернета, да и всё. Где-нибудь в Японии, полагаю, там бы делать не стали…

Но всё это, конечно, слабые утешения. В декабре 2016 года хакеры уже атаковали Украину – и результаты были не менее впечатляющими: обесточена половина Киева, «зависли» транзакции по оплате налогов в Минфин – «На ликвидацию последствий взлома ушло два дня, и все это время в системе «висели» около 150 тысяч транзакций на сумму в несколько миллиардов гривен. Взявшиеся за расследование инцидента сотрудники СБУ и киберполиции предсказуемо обвинили во всем российских хакеров, но проговорились, что некоторые компьютеры, серверы и маршрутизаторы в ведомствах не обновлялись с конца 1990-х годов. В итоге Минфин и Госказначейство получили 80 миллионов гривен на обновление IT-инфраструктуры». «IT-нация как она есть!»

Как мы видим, миллионы те впрок не пошли. 404 же. Украина же. Гопак на граблях. После «Пети», вероятно, будет «Вася», «Миша», а то и самое страшное – «Вова»… Впрочем, пока и без «Вовы» весело.

 

Григорий Игнатов

 

ИСТОЧНИК







Яндекс цитирования