Криптовымогатель Petya на самом деле уничтожает данные пользователя, слать деньги бессмысленно

 [ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (6) « Первая ... 2 3 [4] 5 6   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
MrVit
30.06.2017 - 17:57
0
Статус: Offline


Ярила

Регистрация: 27.04.12
Сообщений: 3026
Цитата (alekckas @ 30.06.2017 - 16:57)
Смех смехом, а Петя ебанул по довольно крупным компаниям. Я бы сказал по очень крупным:

Мумбаи, 28 июня. Один из трех терминалов крупного контейнерного порта в индийском Мумбаи временно прекратил работу из-за кибератаки: порт подвергся атаке вируса-вымогателя Petya, который парализовал компьютерные системы порта.

«Стало известно, что работы в портового терминала встали из-за сбоя систем в результате кибератаки. Сотрудники портового терминала пытаются работать вручную», — сообщил высокопоставленный сотрудник портовой компании имени Джавахарлала Неру.

И это только один порт о котором говорят, на самом деле полегло очень много крупных игроков на рынке перевозок.
Вот только вопрос в том, что способы атаки фактически те же что и у ваны. Получается что много ко положил болт. Либа вана была репетицией банальной. Чет как то очково теперь что либо выставлять наружу господа

на одном из форумов пробегала такая мысль что вана была сделана для выкачки бабла, а вот петю уже сделали для реального уничтожения информации
 
[^]
estrix003
30.06.2017 - 18:01
0
Статус: Offline


Начну 6-ю мировую.. Дайте нажать кнопку!

Регистрация: 26.02.13
Сообщений: 3367
Цитата (Косячок @ 30.06.2017 - 09:24)
Вирус Петя ведёт себя как настоящий Петя

не совсем... тот алкаш, и его за яйца повесить можно(и нужно) )))) cool.gif
 
[^]
avrakedavra
30.06.2017 - 18:01
0
Статус: Offline


ярый монархист

Регистрация: 6.02.16
Сообщений: 8876
Цитата (boxee @ 30.06.2017 - 11:14)
Дело в том, что при обработке файла exPetya не создает уникальный ID установки программы. Соответственно, при выводе требования жертве об оплате пользователь получает совершенно случайный набор символов. Возможно, новая версия ransomware не имеет к оригинальному зловреду Petya никакого отношения, поскольку оригинальный вирус при установке создавал этот ID. Вот участок кода, который отвечает за создание ID

Вот это вот тоже чушь, зачем Вы этот бред тут постите?
Хотите предметно поспорить? Так идите на хабрхабр, секьюрити лаб, PGP в России и тому подобные ресурсы, там Вам предметно все разъяснят.
 
[^]
estrix003
30.06.2017 - 18:03
-1
Статус: Offline


Начну 6-ю мировую.. Дайте нажать кнопку!

Регистрация: 26.02.13
Сообщений: 3367
Цитата (ipv4 @ 30.06.2017 - 09:28)
А что такое Master FAT Table? Это новое изобретение Федеральной Службы ФСБ?

о гугле слышал? а о том что это поисковая машина? а о том что там можно информацию читать? не понимаю, сарказм у тебя хлещет, или на самом деле не знаешь???
 
[^]
estrix003
30.06.2017 - 18:05
0
Статус: Offline


Начну 6-ю мировую.. Дайте нажать кнопку!

Регистрация: 26.02.13
Сообщений: 3367
Цитата (хaron @ 30.06.2017 - 11:12)
Когда там MS выпустить новые заплатки на Petya?
Тут я вижу по крайне мере 2 вещи нужно пофиксить:
1) негоже какому то скрипту давать право на перезапись MBR
2) .... вываливать систему в синий экран

есть еще один способ спастись от Пети - не включать компьютер))))) gigi.gif
 
[^]
avrakedavra
30.06.2017 - 18:06
1
Статус: Offline


ярый монархист

Регистрация: 6.02.16
Сообщений: 8876
Цитата (estrix003 @ 30.06.2017 - 18:03)
Цитата (ipv4 @ 30.06.2017 - 09:28)
А что такое Master FAT Table? Это новое изобретение Федеральной Службы ФСБ?

о гугле слышал? а о том что это поисковая машина? а о том что там можно информацию читать? не понимаю, сарказм у тебя хлещет, или на самом деле не знаешь???

Все правильно он подкалывает неуча, не Master FAT Table, а - Master File Table — «Главная файловая таблица», та, о которой я писал выше.

Это сообщение отредактировал avrakedavra - 30.06.2017 - 18:07
 
[^]
Gdialex
30.06.2017 - 18:08
0
Статус: Offline


Ярила

Регистрация: 12.09.15
Сообщений: 8145
Цитата (KEN12 @ 30.06.2017 - 12:27)
Цитата (BabyBoy @ 30.06.2017 - 11:24)
Цитата (barney @ 30.06.2017 - 12:20)
Цитата (boxee @ 30.06.2017 - 11:15)
Petya просто уничтожает данные, как это делают и другие вайперы,

так и знал что тут вайперы замешаны

В подвёрнутых джинсах alik.gif

на гироскопе, с наушниками в ушах, спиннер в одной руке, вайпер в другой... А на голове причёска "луковица".

А в жопе модная анальная пробка с кристаллами от сваровски. gigi.gif
 
[^]
МихаилЬ
30.06.2017 - 18:13
1
Статус: Offline


Strangers in the Ку…

Регистрация: 19.12.14
Сообщений: 2445
У меня какая-то сука почту взломала, хотя пароль был сложный. Теперь почта блокирована, информация потеряна. Целый день сегодня мудохаюсь над восстановлением. Пусть горят эти сволочи в аду. Может того мудака, который из спортивного, скорее всего, интереса меня ломанул, тоже Петя зовут, петух долбаный!!!
 
[^]
avrakedavra
30.06.2017 - 18:14
0
Статус: Offline


ярый монархист

Регистрация: 6.02.16
Сообщений: 8876
Цитата (Chucke1992 @ 30.06.2017 - 16:36)
так вроде же можно данные даже стертые с жестких дисков восстанавливать не?

О, бинго! В том-то все и дело!
 
[^]
ЯйцаКотаШредингера
30.06.2017 - 18:17
0
Статус: Offline


Ярила

Регистрация: 18.10.10
Сообщений: 1069
Про рандомный ключ - это либо новая версия, либо реверс инженеры рукожопы. В МС написали, что ключ вполне определенный, и сохраняется локально, только в зашифрованном виде: https://blogs.technet.microsoft.com/mmpc/20...m-capabilities/

Цитата (хaron @ 30.06.2017 - 12:12)
Когда там MS выпустить новые заплатки на Petya?

Цитата
The new ransomware can also spread using an exploit for the Server Message Block (SMB) vulnerability CVE-2017-0144 (also known as EternalBlue), which was fixed in security update MS17-010 and was also exploited by WannaCrypt to spread to out-of-date machines. In addition, this ransomware also uses a second exploit for CVE-2017-0145 (also known as EternalRomance, and fixed by the same bulletin).
Цитата
Microsoft Security Bulletin MS17-010 - Critical
Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017

Цитата
Распространение также происходит с помощью эксплойта, использующего уязвимость CVE-2017-0199 (исполнение произвольного кода при открытии специального *.DOC файла)
Цитата
CVE-2017-0199 | Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API
Security Vulnerability
Published: 04/11/2017

В марте и апреле уже выпущены, но когда же выпустят новые, Карл?! Новые!!! faceoff.gif lol.gif

Цитата (хaron @ 30.06.2017 - 12:12)
Тут я вижу по крайне мере 2 вещи нужно пофиксить:
1) негоже какому то скрипту давать право на перезапись MBR
2) .... вываливать систему в синий экран

Цитата
Only if the malware is running with highest privilege (i.e., with SeDebugPrivilege enabled), it tries to overwrite the MBR code.
Цитата
This ransomware then writes to the master boot record (MBR) and then sets up the system to reboot. It sets up scheduled tasks to shut down the machine after at least 10 minutes past the current time. The exact time is random (GetTickCount()). For example:
Код
schtasks /Create /SC once /TN “” /TR “<system folder>\shutdown.exe /r /f” /ST 14:23


Криптовымогатель Petya на самом деле уничтожает данные пользователя, слать деньги бессмысленно
 
[^]
63rS3rK
30.06.2017 - 18:27
5
Статус: Offline


Балагур

Регистрация: 18.07.12
Сообщений: 894
Цитата (Guerrero @ 30.06.2017 - 13:42)
Цитата (lyza @ 30.06.2017 - 11:30)
Если честно, то ни хера не смешно ребят, похерено все на рабочем компе....
это реально жопа, читать такие новости и понимать, что бля все пропало, мы все умрем, или тебе не видать отпуска летом, т.к.
все надо сидеть и восстанавливать.......пичальбед

А админ где?
Во первых как получили этот исполняемый файл? Мой почтовый просто не пропустит.
Во вторых, а права на изменения в системе откуда? Юзер-админ на компе?
У меня все что на рабкомпе - ответственность пользователя. Нужные доки на сетевых дисках требую хранить. А от туда отдельных бэкапов за 45 последних дней ежедневно и чуть больше года помесячно. На отдельном сервере все.
Сломался комп, пользователь может пересесть на любой другой, зайти под своей учеткой и все его доки с сервера тут же доступны.

Дядька, вирус затрону самые защищенные системы с самыми последними обновлениями используя дыру в windows системах включая десятку.
До сих пор более или менее вменяемых комментариев от Microsoft и от производителей антивирусов нет.
Тебе просто повезло что тебе не пришло письмо счастья. ЕГо не обязательно открывать тебе лично. Достаточно чтобы он попал на клиент, сервер (Exchange),medoc, etc.

Так что не надо хвастаться тут что ты мол умнее.
Летели и пердели целые банки, госучережления и пр.
Во представь ты такой умный, у тебя овер 3000 рабочих станций. Да ты про безопасноть думаешь, но, найдется тупая пи ..да, которая обойдет твои ограничения. А дальше все.
Все компы которые в твjей сети заражаются через невудомую хуйню -уязвимость windows.
Этоя так популярно тебе рассказываю.
Опыт в DevOPs у меня более 20 лет.
Linux,Windows без разницы для меня.
 
[^]
nefarius
30.06.2017 - 18:36
0
Статус: Offline


Ярила

Регистрация: 21.05.14
Сообщений: 6428
Цитата (румпель @ 30.06.2017 - 11:32)
Отведи Господь над от всяких вирусов,половых и компьютерных  pop.gif /мелко крестится/

Водичкой святой блок питания и материнскую плату окропить надо, что б наверняка. cool.gif

Это сообщение отредактировал nefarius - 30.06.2017 - 18:36
 
[^]
Sergeyev1111
30.06.2017 - 19:08
1
Статус: Offline


Хохмач

Регистрация: 15.07.15
Сообщений: 643
За рабочий компьютер пусть работодатель беспокоится.
А на моем нет ничего.
Перезалью образ и все.
 
[^]
hmickl
30.06.2017 - 19:09
2
Статус: Offline


Хохмач

Регистрация: 15.05.11
Сообщений: 608
Цитата (sslon72 @ 30.06.2017 - 11:24)
Цитата (barney @ 30.06.2017 - 11:20)
Цитата (boxee @ 30.06.2017 - 11:15)
Petya просто уничтожает данные, как это делают и другие вайперы,

так и знал что тут вайперы замешаны

тут вайперы, а там вейперы )

Weiper - читается как вайпер (это относится к немецкому языку, а как там у вас в аглицком - ХЗ...
P.S. Уважаемые коллеги, в переписке с англоязычными партнерами
помните: whether - который, weather - погода, wether - кастрированый баран!
 
[^]
ucommander
30.06.2017 - 19:10
0
Статус: Offline


Весельчак

Регистрация: 30.09.13
Сообщений: 156
Цитата (barney @ 30.06.2017 - 11:32)
Цитата (ksa723 @ 30.06.2017 - 11:29)
Цитата (barney @ 30.06.2017 - 13:27)
Цитата (sslon72 @ 30.06.2017 - 11:24)
Цитата (barney @ 30.06.2017 - 11:20)
Цитата (boxee @ 30.06.2017 - 11:15)
Petya просто уничтожает данные, как это делают и другие вайперы,

так и знал что тут вайперы замешаны

тут вайперы, а там вейперы )

а какая разница ?

одно = стиратель, другое = паритель!

ааа, нихуя се никогда бы не догадался)

О сколько нам открытий чудных
Готовит просвещенья дух...
 
[^]
SeRJuN
30.06.2017 - 19:10
0
Статус: Offline


Шутник

Регистрация: 27.02.11
Сообщений: 50
А как по мне, так очень удобный вирус. В "некоторых кругах", да!?

Ненуаче, есть ненужная инфа на компе, а доступа к её стиранию нет. И тут: -Добро пожаловать, Петя!!!

А еще проще, с флешки грузануть на комп и подстереть нужную инфу. И пох, что комп к сетке не подключен))
 
[^]
Primus525
30.06.2017 - 19:13
0
Статус: Offline


Ярила

Регистрация: 31.01.11
Сообщений: 11806
Цитата (ivankin86 @ 30.06.2017 - 17:46)
Цитата (ivankin86 @ 30.06.2017 - 17:44)
Цитата (Guerrero @ 30.06.2017 - 13:42)
Цитата (lyza @ 30.06.2017 - 11:30)
Если честно, то ни хера не смешно ребят, похерено все на рабочем компе....
это реально жопа, читать такие новости и понимать, что бля все пропало, мы все умрем, или тебе не видать отпуска летом, т.к.
все надо сидеть и восстанавливать.......пичальбед

А админ где?
Во первых как получили этот исполняемый файл? Мой почтовый просто не пропустит.
Во вторых, а права на изменения в системе откуда? Юзер-админ на компе?
У меня все что на рабкомпе - ответственность пользователя. Нужные доки на сетевых дисках требую хранить. А от туда отдельных бэкапов за 45 последних дней ежедневно и чуть больше года помесячно. На отдельном сервере все.
Сломался комп, пользователь может пересесть на любой другой, зайти под своей учеткой и все его доки с сервера тут же доступны.

Это называется перемещаемый профиль (по умолчанию настройки он хранит раб стол документы и т.д....короче все что в С) Если вас долбанут по серваку где профили хранятся заебетесь восстанавливать даже из бэкапов ваших cool.gif

А если у вас расшареные папки подключены как сетевые диски то и его заразят gigi.gif

Если там SMBv1 включен.
 
[^]
hmickl
30.06.2017 - 19:13
0
Статус: Offline


Хохмач

Регистрация: 15.05.11
Сообщений: 608
Цитата (nefarius @ 30.06.2017 - 18:36)
Цитата (румпель @ 30.06.2017 - 11:32)
Отведи Господь над от всяких вирусов,половых и компьютерных  pop.gif /мелко крестится/

Водичкой святой блок питания и материнскую плату окропить надо, что б наверняка. cool.gif

...в первую очередь монитор... ведь вся на нем показывается... :)
 
[^]
SeRJuN
30.06.2017 - 19:14
0
Статус: Offline


Шутник

Регистрация: 27.02.11
Сообщений: 50
А, забыл добавить. Если разогнать мысль... Первый вирус, который простой ванакрайй, тот просто собирал инфу на интересных компах. А этот избирательно трет(по следам первого))
 
[^]
Эбелех
30.06.2017 - 19:19
0
Статус: Offline


Приколист

Регистрация: 14.04.17
Сообщений: 266
Винда дырявая опять виновата. Только макось и линух для работы сделаны а не просмотра котиков
 
[^]
radiostep
30.06.2017 - 19:21
0
Статус: Offline


Ярила

Регистрация: 15.01.09
Сообщений: 6363
Цитата (barney @ 30.06.2017 - 11:20)
Цитата (boxee @ 30.06.2017 - 11:15)
Petya просто уничтожает данные, как это делают и другие вайперы,

так и знал что тут вайперы замешаны

Где вайперы там и спинеры на гироскутерах! gigi.gif
 
[^]
lyza
30.06.2017 - 19:25
0
Статус: Offline


ВечнаяНевеста

Регистрация: 28.08.14
Сообщений: 46568
Цитата (sidvsnh @ 30.06.2017 - 12:14)
Цитата (lyza @ 30.06.2017 - 11:30)
Если честно, то ни хера не смешно ребят, похерено все на рабочем компе....
это реально жопа, читать такие новости и понимать, что бля все пропало, мы все умрем, или тебе не видать отпуска летом, т.к.
все надо сидеть и восстанавливать.......пичальбед

Он только диск цэ хреначит же. Ты доки важные на рабочем столе хранила?

Нет, в основном это эл. Почта, а так я пользователь, возможно основные доки на столе, но поеблось все на сервере одной не безивестной нефтяной компании, которая экономит на безопасности....

Отправлено с мобильного клиента YAPik+
 
[^]
lyza
30.06.2017 - 19:35
0
Статус: Offline


ВечнаяНевеста

Регистрация: 28.08.14
Сообщений: 46568
Цитата (63rS3rK @ 30.06.2017 - 18:27)
Цитата (Guerrero @ 30.06.2017 - 13:42)
Цитата (lyza @ 30.06.2017 - 11:30)
Если честно, то ни хера не смешно ребят, похерено все на рабочем компе....
это реально жопа, читать такие новости и понимать, что бля все пропало, мы все умрем, или тебе не видать отпуска летом, т.к.
все надо сидеть и восстанавливать.......пичальбед

А админ где?
Во первых как получили этот исполняемый файл? Мой почтовый просто не пропустит.
Во вторых, а права на изменения в системе откуда? Юзер-админ на компе?
У меня все что на рабкомпе - ответственность пользователя. Нужные доки на сетевых дисках требую хранить. А от туда отдельных бэкапов за 45 последних дней ежедневно и чуть больше года помесячно. На отдельном сервере все.
Сломался комп, пользователь может пересесть на любой другой, зайти под своей учеткой и все его доки с сервера тут же доступны.

Дядька, вирус затрону самые защищенные системы с самыми последними обновлениями используя дыру в windows системах включая десятку.
До сих пор более или менее вменяемых комментариев от Microsoft и от производителей антивирусов нет.
Тебе просто повезло что тебе не пришло письмо счастья. ЕГо не обязательно открывать тебе лично. Достаточно чтобы он попал на клиент, сервер (Exchange),medoc, etc.

Так что не надо хвастаться тут что ты мол умнее.
Летели и пердели целые банки, госучережления и пр.
Во представь ты такой умный, у тебя овер 3000 рабочих станций. Да ты про безопасноть думаешь, но, найдется тупая пи ..да, которая обойдет твои ограничения. А дальше все.
Все компы которые в твjей сети заражаются через невудомую хуйню -уязвимость windows.
Этоя так популярно тебе рассказываю.
Опыт в DevOPs у меня более 20 лет.
Linux,Windows без разницы для меня.

Так и было, все с сервака пошло по цепочке, комп ушел на перезагрузить, и гуд бай, повторяю, работаю в нефтяной компании.....но в сервисе

Отправлено с мобильного клиента YAPik+
 
[^]
Cryptor
30.06.2017 - 19:40
1
Статус: Offline


Антисептичен

Регистрация: 28.07.13
Сообщений: 1349
Не красота, а резервное копирование спасёт мир! idea.gif
 
[^]
SeRG256
30.06.2017 - 19:42
1
Статус: Offline


Весельчак

Регистрация: 27.10.12
Сообщений: 164
Акронис в помощь, ребята! Раскошельтесь на резервный винт, а музычку и кинцо - на отдельный внешний ХДД .

Словили вирус - 10 минут максимум - перекатить образ винды с резервного на рабочий винт, и полностью рабочее состояние, как на момент сохранения.
Любой вирус, или руки кривые - пофигу!

Просто копируем сохраненный образ диска C на предварительно почищенный винт - и готово!

Это сообщение отредактировал SeRG256 - 30.06.2017 - 19:45
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 38752
0 Пользователей:
Страницы: (6) « Первая ... 2 3 [4] 5 6  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх