Предохраняемся от Пети с Мишей

Могу но только уже завтра. А так файлы как файлы но при попытке открытия любого - пишет файл поврежден.

Как то бухгалтерия словила шифровальщика... ппц был полный, благо резерв нашёл

Самое главное что пришёл шифровальщик на корпоративную почту, почитал содержание сразу стало понятно что развод, ну дык бухгалтеры вчитываться не стали, а открыли письмецо и "блядский петушитель" сделал своё дело

[QUOTE=VanLord,28.06.2017 - 14:20] [QUOTE=VampirBFW,28.06.2017 - 09:00]
1. Облако не подвержено шифрованию. облако это облако. Шифровальщики в данном случаи как этот Петя работают не в загруженной системе поэтому файлы в облачном хранилище не пострадают они банально недоступны. Как диск система видит только хранилища подключенные как Webdav. Даже если шифрование происходит в включенной системе то вирус делает копию файла шифрует ее с переименованием а затем удаляет оригинальный файл. Таким образом даже если облако будет работать то туда загрузится переименованная копия. При наличии как минимум двух копий данных в облаке и еще одном компьютере данные не пострадают. Плюс обезопасить облако можно настроив правила синхронизации. Плюс есть облака с теневыми копиями. Всего терр? и что в этом бредового?

. [/QUOTE]
шо такое автосинхронизация знаешь?
многие смутно понимают шо це таке и облако идёт в помойку

Это сообщение отредактировал Week - 28.06.2017 - 18:22

Читаю Aol com, америкосы в комментрах собрались произвести дронную атаку на украинских хакеров. Расценивают как террористическую атаку Украины на США.

Комменты доставляют:
- Украина ??? Что, черт возьми, имеет Украина? Кроме Чернобыля .... и несколько групп повстанцев ...

Сейчас бы спутать облачные сервисы с собственными протоколами передачи данных с авторизацией и шифрованием, и обычные сетевые шары

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами:

• с помощью эксплойта, использующего уязвимость EternalBlue (удаленное исполнение кода через SMB протокол) патч MS17-010 - это именно обновление, которое фиксит дыру, не слушайте кретинов которые говорят "обновлений от мелкософта и привела к появлению этих дыр"
• с помощью эксплойта, использующего уязвимость CVE-2017-0199 (исполнение произвольного кода при открытии специального *.DOC файла)
• с помощью Windows Management Instrumentation (WMI) и PsExec

WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС.
Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе.
Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей.
Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

Про PDF придумал ТС , в оригинале было про DOC. Это уязвимость CVE-2017-0199

Подробнее https://www.fireeye.com/blog/threat-researc...ta-handler.html

И далее по тексту. Ни слова нет про UAC!! Просто открываете DOC и ваш комп уже не ваш! Это блядь и называется 0-day уязвимость!

Откуда инфа, что не уже работает? Вышла новая модификация вируса? Или он самообучается на ходу?

При чем тут перезагрузка? Куча рансомвари сопокойно в фоне шифровала, и призанаков не подавала чтоб не палиться

При чем тут интернет? Как на счет такого сценария?

Т.е. заражется комп внутри сети, а дальше вся локалка от него (через EternalBlue и Mimikatz)..

Сколько плюсов надавали этому комменту, а потом спрашивают как так быстро вирусы расползаются

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

1. Шифрование таблицы размещения файлов $MFT (NotPetya)

Вредоносный файл записывает свой код в MBR и последующие несколько секторов (оригинальный MBR при этом сохраняется в 34 секторе в зашифрованном виде (xor 0x07)). Далее вызывается перезагрузка системы (с помощью команд “schtasks” и “at”)и при последующем включении выводится экран о работе утилиты CHKDSK. На самом деле в этот момент происходит шифрование $MFT с использованием криптографически стойкого шифра Salsa20 (код c схож с оригинальным Petya). Особенность данного способа в том, что шифруются записи о файлах, а не само содержимое файлов.

2. Шифрование файлов (Misha)

При невозможности получения привилегий в системе для перезаписи MBR, производится шифрование файлов без перезагрузки. Список шифруемых расширений файлов:

Способы расшифровки в настоящее время неизвестны, возможно лишь восстановление из резервных копий.

Платить выкуп не рекомендуется, так как почтовый ящик злоумышленников был заблокирован. В настоящее время вызывает сомнение техническая возможность расшифровки данных, а также нет подтверждённых случаев успешной расшифровки.

"И реагировать на UAC." - uac вирусом обходится, он самостоятельно получает права админа

Самый эффективный метод, перейти на пингвина , ну мак тоже норм.

Друзья это все хорошо.Но прошу Ваших советов! Делать копию винта? Пытаться запустить файлы на здоровой машине? Не дергаться и ждать решения с дескриптором?

Снимать винт, подключать к Линукс машине и прогой "TestDisk & PhotoRec 7.1" сканировать винт и надеяться что что то удастся восстановить после удаления шифровальщиком исходных файлов.

а что самба. она под своим юзером запускается. ну ебанут ее, получат максимум самбин доступ и все. а он прав к юзерским файлам сроду не имеет. хрен чо шифранешь.
вот если б был сплоит, чтобы самбе присунуть так, чтобы рута поиметь, то да. только одно но, почему этого не будет, никсы - это не винда, код открытый, каковой перепроверяется перекрестно тысячами проггеров, их котами, попугайчиками и двумя домашними сиамскими гекконами по имени геша. заткнут такой баг за 4 года до того, как очередной кот жрать попросит.

Знающие люди и так поняли, что это было сказано не всерьез.

не в этом дело. сплоит юзеру может прилететь хоть в виде случайного потока протонов из галактики М33, что тоже не стоит сбрасывать со счетов. архитектуру прав сервисов просто надо правильно строить, а не порты закрывать.
примитивнийшей пример: user win -> fileshare nix = уже заставит 99.(9)% сплоитов такого рода обидеться и пойти плакать в углу.

PS. Хуйню сморозил, не о том думал. сам с подвинды на файлшару по ссх/фтп хожу, а основная часть подумает про ту же самбу.

Это сообщение отредактировал uniJap - 28.06.2017 - 20:28

В Крыму из за санкций даже вирусы не работают )))

..

Один диск поднял. Второй на очереди.
Но у меня пропали разделы. Шифрованных файлов не было.
Самое интересное что через рстудию и ей подобных мне не показывало директории с виндой, юзерами и программными файлами.
Короче к делу, может поможет кому.
ЗАшел с флешки, запустил minitool partition, он своим проводником показал все файлы. Потом правой мышей по диску и выбираем чекдиск.
Ждем. Будет долго винт чекать.
В итоге все поднялось. Тут же вычистил диск от этой херни.
Клиент ушел довольный

П.1 Зависит от прав доступа. Похоже, что большинство триппер-шифровальщиков работают с правами SYSTEM. У нас на работе несколько юзеров шифровальщиков - содержимое локальных дисков зашифровано. Содержимое подмапленных сетевых папок с доступом только для DomainAdmins и DomainUsers цело.
П.2 - хз. Недостаточно компетенции в данном вопросе.
П.3. Обычно идет файл типа "Акт сверки.pdf.js". У кого не прописано показывать расширения и кто не думает - открывают. Насчет бездумного нажатия "Да" на запросы UAC - классика менеджеров и бухов. Они не читают, что там написано. От слова "Воопче".

P/S/ Я критичных юзеров более-менее выдрессировал. При настроенной Cisco S170 иногда спам просачивается, и пусть лучше 100 раз мне позвонят "Дима, подключись ко мне посмотри, что за письмо, а то я боюсь", чем поймать зверье с геморроем.
P.S2 Есть обоазцовое письмо с картинкам, которое объясняет юзерам что низя открывать из вложений почтовых. Рассылается периоически.
P/S3 - насчет Микрософтовской инструкции по отключению SMB1 - https://support.microsoft.com/ru-ru/help/26...ows-and-windows при применении ГП важна очередность. 1 должна быть отключение зависимости службы РабочаяСтанция от SMB1 Иначе комп после перезагрузки не будет видеть никакие шары от слова "вовобще". в т.ч. и доменнные на контроллерах.

Это сообщение отредактировал dimek - 28.06.2017 - 21:06

Вы серьезно?
Wonderware In Touch и WinCC на них пойдут? Simatic Step7 и остальное?

Видишь ли, Юра...©

Я один первый раз слышу про эти вирусы? антивирь не ставлю лет 7, качаю с торрентов игры, глюков и проблем не наблюдаю, 10ка 64разряда

7 лет 10-ка?

Professor66
Ко мне только какой-то мелкий энкодер пытался припереться, его аваст схарчил. Было сообщеньице с пакостным вложением, ссылкой "нажмите сюда" и всяким пугалом "якобы от ФССП", стали крякозябры с добавлением ругани от антивиря.

Ничего не будет.
Критичными узлами атомной станции управляют специализированные ОС реального времени QNX например.

Линукс.
уже два года забыл что это такое, вирусы и хуиросы.

Все такие умные, тогда и я пару слов напишу:
1. Линукс в топку, ну разве что как сервак или вебсервинг+кинцо
2. Антивирусы все в туда же, куда и линукс. Если головы на плечах нет, то антивирус не поможет, а если есть, то он не нахрен не упал, только ресурсы ест.
3. Обновления винды ставим всегда и не стесняемся ставить в ручную.
4. К PDF правда аккуратно нужно относится, просмоторщики дырявей Саши Грей. Да и вообще всех вложений касается
5. Облачные сервиса выход из ситуации. Так как вероятность что данные пропадут и у вас и на сервере стремится к нулю.
6. Ну и диск с защитой от записи вообще запрещенный прием против любой вирусни
7. И советую поставить тот самый нашумевший плагин для браузера, блокирующий рекламу. Он вместе с рекламой 90% интернет-вирусни блокирует

Это сообщение отредактировал Prizvel - 28.06.2017 - 23:19

Бекап на внешнем винте и еще копия на ноуте. Ну и х с ним с петей...делов то, достать диск с семеркой, литр пиваса и через 1,5 часа все зер гуд.