Украина подверглась самой крупной в истории кибератаки вирусом Petya
Комментарии (23)
Marsikus
27 июня 2017 в 16:39
0↑
↓
В интренете уже начали появляться попытки написания дешифровщиков: github.com/leo-stone/hack-petya
Так дешифровщику этому уже год.
combonik
27 июня 2017 в 17:16
0↑
↓
Как выяснилось этот дешифровальщик только для старых версий, Petya существенно модифицировался.
POS_troi
27 июня 2017 в 16:39 (комментарий был изменён)
+4↑
↓
и «ПриватБанк»
Перебоев с ПриватБанк-ом не было и они опровергают то, что были попытки каких либо атак на их инфраструктуру.
Да и собственно в привате, по большей части линух, так что особых проблем поиметь в принципе проблематично (в первый раз в жизни защищаю этот банк:))А так, врятли эта атака есть действие одного дня, по любому подготовка уже длится не один месяц (внешние уязвимости, соц.инжинеринг, инсайд), просто «Петя» ждал команды, сегодня её получил.
Отличное, показательное, выступление вирусни — он отлично показал уровень соблюдения АйТи безопасности в гос. учреждениях и не хило так ударил по самолюбию всяких АйТи «Директоров» из разряда «Сыночек, главбуха».Ничего не имею против автора, но если он на это нарвался то где-то что-то было сделано не так — наверное первое, это, компания, пользующаяся аутсорсом, с таким количеством компов.
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
Fanta
27 июня 2017 в 16:56
0↑
↓
P.S. Скорее всего такую массовость, это заражение могло получить за счёт блокировки Российских соц. сетей — в попытках обойти блокировки, юзеры не мало натягали на свои компы.
ну ересь же. Есть примеры ПК на разных ОС (7–10) с последними апдейтами которые молча взяли ребутнулись и попросили 300 у.е…
-
POS_troi
27 июня 2017 в 17:01
0↑
↓
А причём тут версия оси до обхода блокировок?Да и вообще, что такое «с последними апдейтами»? В принципе нет такого понятия как «последний апдейт», ну разве что у вас Win98.
Да и апдейты для того-же ванкрая прикрывают внешние пути проникновении, но никак не «изнутри».В общем смотрите на проблему шире, эта проблема комплексная, а не о том стоят апдейты и варез или нет.
SirEdvin
27 июня 2017 в 17:18
0↑
↓
Да и вообще, что такое «с последними апдейтами»?
Это когда заходишь в обновления и там ничего не пишут.
-
combonik
27 июня 2017 в 17:17
0↑
↓
Критические данные «ПриватБанка» не пострадали пока, однако это не говорит о том, что отдельно взятые компьютеры банка были успешно зашифрованы.
27 июня 2017 в 16:57
+2↑
↓
Такое ощущение что статья написана домохозяйкой для домохозяек. Про это было написано больше года назад
Мало того, как было замечено выше «попытки написать дешифровщик» закончились год назад.
Даже если предположить, что это результат скрещивания какого-нибудь WannaCry со «старым петей», так называемые «критические объекты» уже давно должны были сделать выводы.
Это всего лишь перепись псевдоадминов, которые смотрят Youtube вместо того чтобы делать то, за что им платят зря плату.
-
combonik
27 июня 2017 в 17:18
0↑
↓
Это проблема низких зарплат гос сектора. Однако в этом конкретном случае страдают и те, кто хорошо защищен.
27 июня 2017 в 17:01
+1↑
↓
Что за копипаста? Зашел на хабр с надеждой найти что-то внятное, но и тут статья ничем не лучше.-
combonik
27 июня 2017 в 17:19
0↑
↓
Информация обновляется и разлетается по сайтам. Все анализируют исходники и вектор заражения. Статью обновляем.
27 июня 2017 в 17:02
0↑
↓
Кто-то достоверно знает, как оно по сети расползается?
Внутрь с письмом, допустим, попало —, а дальше как? Самба?27 июня 2017 в 17:10 (комментарий был изменён)
0↑
↓
Говорят, вот так: https://www.exploit-db.com/docs/41896.pdf
27 июня 2017 в 17:06
0↑
↓
Я правильно предполагаю, что через NAT / роутер оно не пройдёт?-
POS_troi
27 июня 2017 в 17:07
+1↑
↓
нет, если не пробрасывали порты уязвимых сервисов и в самом роутере нет дыр. (но дырявые роутеры не новость) :)
ONEGiN
27 июня 2017 в 17:16
0↑
↓
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445,-
combonik
27 июня 2017 в 17:20
0↑
↓
Это полумера, векторов атаки явно больше чем просто порты, как с WannaCry просто закрыть порты и накатить патч пока не получается.-
POS_troi
27 июня 2017 в 17:32
+1↑
↓
И не получится. Ванкрай был банальным вирусняком который нагнул всех любителей дарить самбу в мир.
Тут просматривается явная подготовка и скорее всего заражение происходило далеко не один месяц, но без активации.
Если-бы это было всё также как и с ванкраем то все эти системы отгребли бы ещё при самом ванкрае — когда он пришёлся по 445 порту всея интернета.В общем как вы понимаете, я не могу поверить что данные события из разряда «ну так вот получилось», чувствуется подготовка. А если и действительно спонтанная атака с такими масштабами разрушений, то я очень боюсь за будущее ОйТи нашего государства.
Ruslan_aia
27 июня 2017 в 17:36
0↑
↓
Образец вредоноса бы выложил кто-то. Можно в виде снимка с машины, или как он там доставляется (письмо, ссылка, котик.jpg.scr)27 июня 2017 в 17:42
0↑
↓
Сами столкнулись сейчас с такой бедой 4 сервака лягло. Предварительно думаем что через почту заразились локальные пк менеджеров (через почтовую переписку с поставщиками, так как они тоже оказались заражены), далее файловый сервер ну и дальше и удаленка с бд. Если кто найдет решение делитесь.-
combonik
27 июня 2017 в 17:42
0↑
↓
Для этого и написан данный пост.
simplix
27 июня 2017 в 17:42
0↑
↓
У меня этот вирус зашифровал несколько серверов 2008R2, пользователи с урезанными правами и все последние обновления в наличии. Пока не понятно, каким образом он смог обойти последние обновления, предполагаю три варианта — это или общие папки, или через RDP, или повышение прав до админа, но уязвимость однозначно не закрыта. Впереди восстановление из резервных копий, если кому-то нужно предоставить информацию, которая поможет выяснению путей распространения, пишите. Все порты из интернета были закрыты.
webcote
27 июня 2017 в 17:45
0↑
↓
Петя плохой, не будь как Петя : D
