Офтоп Andrey Frolov
6 896

Кого задела атака нового вируса-вымогателя и как от неё защититься

«Антонов», WPP и «Укрпошта» и другие компании в России, Украине и мире, которые затронул вирус.

В закладки

Украина

По данным Ain.ua, атака захватила «сотни» компаний по всей стране. В их число попали «Киевэнерго» и другие энергокомпании, логистические организации «Укрпошта» и «Нова пошта», «Укртелеком», завод «Антонов», «Ощадбанк», несколько клиник и медиахолдинг ТРК «Люкс» (в него входит «24 канал», «Комсомольская правда» и «Корреспондент»).

Также от атаки пострадало киевское метро, аэропорт «Борисполь» и системы железных дорог страны, сказал министр инфраструктуры Украины Владимир Омелян. Он добавил, что критично важные элементы инфраструктуры не были затронуты.

Друзі! Оплата банківськими картками наразі неможлива.
Хакерська атака.
https://t.co/P6WoWORHlA

По данным канала «Громадское», также были задеты серверы сайта Чернобыльской АЭС. Руководство ЧАЭС заявило, что атака привела к отключению компьютерной системы мониторинга радиационного фона и теперь мониторинг проводится вручную.

Местная компания ISSP, которая специализируется на кибербезопасности, сказала Ain.ua, что были зафиксированы заражения персональных компьютеров.

Россия

Одной из первых компаний, которая сообщила о хакерской атаке, стала «Роснефть» и принадлежащая ей «Башнефть». Компания сразу заявила, что перешла на использование резервных систем и не остановила свою работу, а также пригрозила преследованием за «панические сообщения».

Распространители лживых панических сообщений будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.

По данным РБК, от вируса также пострадали системы банка «Хоум Кредит», из-за чего компании пришлось закрыть все отделения. РИА Новости сообщает о поражении сети металлургической компании Evraz, одним из бенефициаров которой является Роман Абрамович.

Российский офис компании Mondelez, производителя шоколада Alpen Gold и Milka, тоже зафиксировал хакерскую атаку. По данным Group-IB на 16:00, атака затронула около 80 российских и украинских организаций.

Вечером 27 июня Центробанк сообщил «Интерфаксу», что регулятор зафиксировал «единичные случаи заражения объектов информационной инфраструктуры» нескольких российских банков, но на обслуживание клиентов это не повлияло.

Мир

Международная логистическая компания Moller-Maersk днём 27 июня сообщила Reuters, что испытывает проблемы со своими системами в различных подразделениях и изучает ситуацию. Кроме того, жертвой хакерской атаки стали французская строительная группа Saint-Gobain и британское рекламное агентство WPP.

​Связаны ли эти атаки с распространением вируса по российским и украинским компаниям, неизвестно. По данным Independent, под действие вируса также попали Испания и Индия.

К 18:48 вирус пошёл до США и атаковал фармацевтическую компанию Merck.

#BREAKING Global cyberattack spreads to US, Merck hit

Что за вирус и как от него защититься

По данным Group-IB, в атаке используется вирус Petya.A, обнаруженный ещё в апреле 2016 года. Он не имеет отношения к вирусу WannaCry, который распространялся в начале мая 2017 года и поразил более ста компаний по всему миру.

Чтобы защититься от Petya.A, на компьютере нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445, рекомендует Group-IB.

Руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского» Костин Райю заметил, что вирус маскируется под приложение от Microsoft и использует цифровую подпись компании.

New Petrwrap/Petya ransomware has a fake Microsoft digital signature appended. Copied from Sysinternals Utils. https://t.co/HFwA1cyoyN
Вымогатель Petrwrap/Petya подписан поддельной цифровой подписью Microsoft
The fast-spreading Petrwrap/Petya ransomware sample we have was compiled on June 18, 2017 according to its PE times… https://t.co/irb6dBzsxc
Судя по временному штампу, вымогатель скомпилирован 18 июня 2017 года

При этом в самой «Лаборатории Касперского» выразили сомнение, что используемый в атаке вымогатель — это действительно Petya.A. На биткоин-кошелёк авторов вируса к 18:00 по московскому времени уже перевели около $2,5 тысяч в биткоинах.

Это не #Petya и не Mischa. Мы продолжаем изучать. https://t.co/qLwgJ0K3OP

Обновлено в 18:39. В «Лаборатории Касперского» сказали vc.ru, что по предварительным данным, новый вирус не похож на уже существующие вымогальщики. В компании посоветовали активировать мониторинг системы и заблокировать файлы, под которые маскируется вирус.

По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к ранее известным семействам вредоносного ПО. Больше всего инцидентов было зафиксировано в России и Украине, однако имеется информация о заражениях в других странах.

На данный момент «Лабортатория Касперского» проводит расследование, и в ближайшее время мы сможем предоставить больше информации по сценарию заражения и схеме работы вредоносного кода.

Пользователям защитного ПО «Лаборатории Касперского» для обеспечения безопасности необходимо убедиться, что защитное решение включено и использует актуальные вирусные базы, а также удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher). В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.

Программные продукты «Лаборатории Касперского» детектируют данное вредоносное ПО как UDS:DangeroundObject.Multi.Generic.

— Вячеслав Закоржевский
руководитель отдела антивирусных исследований «Лаборатории Касперского»
{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": [], "comments": 10, "likes": 21, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 24773, "is_wide": false, "is_ugc": false, "date": "Tue, 27 Jun 2017 18:10:26 +0300" }
{ "id": 24773, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/24773\/get","add":"\/comments\/24773\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/24773"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

10 комментариев 10 комм.

Популярные

По порядку

Написать комментарий...
13

Я закрыл порты. Не знаю, какие у них номера, там сзади ещё мышка вставлялась.

Ответить
8

Уважаемый Андрей, Вы можете четко написать - пробивает ли вирус обычные домашние компы за популярными роутерами, или первоначально один из пользователей сети обязательно должен открыть вирусный файл, чтобы заразить себя и остальных?

Также, при закрытии указанных портов - какие сервисы выключатся? Доступ к сетевым папкам/файлам и сетевой печати? Или что-то еще?

Ответить
–9

Гугл вроде разблокировали уже, не?

Ответить
1

Лови пятюню!

Ответить

1

Читаем Хабр, а не пиздим на ЦП, маркетологи, ебать.
https://habrahabr.ru/post/331762/

Ответить
1

Цитата: «UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)

Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам».

Ответить
0

@hackerfantastic: Kill switch does NOT WORK, created %WINDIR%\perfc & .dat & .dll on a clean 2008 host. Petya still spreads and infects via MS17-010.

Ответить
1

Если я правильно понял тренд, то Роскомнадзор должен по аналогии потребовать у Ростелекома заблокировать источники распространения вируса, если Ростелеком не заблокирует, то признать Ротелеком пособником распространителей вирусов и лишить его лицензии "пожизненно".

Ответить

0

Что то сомнительно, что бытовой "локер" шифровальщик
полностью заблокировал с 14-00 27 числа Маерск.
http://my.maerskline.com/
Там же серверные службы

Ответить
–1

каспаряны выпустили.. и теперь проводят расследование... ну дела!

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления
{ "page_type": "default" }