Вероятно, Win32/Diskcoder.Petya.C использует какую-то новую, ранее неивестную, незакрытую уязвимость (0-day). Крайне рекомендуется установить все последние обновления Windows и отключить все неиспользуемые сервисы.
Мы еще будем проверять эту информацию и, думаю, свяжемся с Microsoft.

К такому же выводу пришли мои коллеги из двух зарубежных антивирусных компаний.

🚨ИНФОРМАЦИЯ ОБ АТАКЕ

Сегодняшний вирус — это новая версия Petya. Ей присвоено название Win32/Diskcoder.Petya.C. Поведение вируса следующее: если Petya успешно инфицирует MBR (главную загрузочную запись), то НАЧИНАЕТ ШИФРОВАТЬ ВЕСЬ ЖЕСТКИЙ ДИСК. В противном случае, он шифрует файлы, как это делает известный вирус Mischa.

Поэтому сразу после первых признаков заражения (поражение MBR, самопроизвольная перезагрузка) необходимо:
1) Полностью выключить компьютер (принудительно)
2) Загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жесткий диск и подключить его к другому компьютеру.
3) Скопировать все данные в безопасное место (облачное хранилище, внешний HDD)

Также напоминаю, что Windows 10 атаке не подвержена.

Вирус использует уязвимость SMB (EternalBlue, прямо как WannaCry) для попадания в сеть и затем использует PsExec для распространения внутри сети. Такая опасная комбинация приводит к очень быстрому распространению зловреда в сети. Достаточно иметь всего один уязвимый, непропатченный компьютер и это поставит под удар всю сеть предприятия — вирус попадает в сеть, получает права администратора и распространяется на другие устройства.

Информация о 0-day в Windows не подтвердилась (и слава богу).

Но вернёмся к теме Роскомнадзора. К жаровне тоже принесли цветы. Не так много, как к Минсвязи, но тем не менее.

Самое время напомнить, что я также есть в Твиттере. Обязательно подпишитесь, нет времени объяснять: https://twitter.com/alexlitreev

Подписчик прислал видео: https://m.youtube.com/watch?v=Tx6r5ZyVwRg&feature=youtu.be

Для обсуждений новостей моего канала существует чатик — @alexlitreev_chat. Присоединяйтесь!

Подписчикам из Москвы: Хотели бы ли вы принять участие во встрече подписчиков канала? Может быть бар, гайд-парк или что-то типа того.
anonymous poll

Я не из МСК – 2K
👍👍👍👍👍👍👍 69%

Нет – 540
👍👍 16%

Да – 484
👍 15%

👥 3320 people voted so far.

Коллеги из Positive Technologies нашли Kill Switch для Пети: https://twitter.com/ptsecurity/status/879779327579086848

Если во время ночной прогулки меня не придавит дерево, не выдержавшее шторма, то завтра продолжим препарировать Петю и других злодеев.

Доброе утро! Сегодня 28 июня.
Начнём с новости про Петю: Петя добрался до берегов Индии.

https://vedomosti.ru/technology/news/2017/06/28/700182-virus-vimogatel

Надо отдать должное Microsoft, они очень охотно сотрудничают сейчас с вирусными аналитиками со всего мира. Так и надо.

⚡️ АНОНС — КОНФЕРЕНЦИЯ CIF

Уже очень скоро, 1 июля, в Москве пройдет четвертая ежегодная конференция CIF.

Что такое CIF? CIF (CryptoInstallFest) - это практическая конференция, во время которой специалисты IT-индустрии, юристы и общественные деятели обсуждают текущее положении дел. На CIF говорят о свободе слова и цензуре в сети, гос. регулировании интернета (привет, РКН) и самоорганизации отрасли. Также обсуждаются вопросы сохранения анонимности и защиты персональных данных пользователей, новых технологиях децентрализации, которые помогают интернету защищаться от внешних воздействий сегодня, и о тех, которые придут завтра. Одним словом — интересно.

Итак, CIF 4 — Интернет и Государство. Всё больше и больше государство проникает в интернет. Предложения по регулированию сети всё жестче и звучат всё чаще. Антипиратский закон/Закон о блокировках, Пакет Яровой, «Интернет по паспорту» и др. Что это? Реальная забота государства о гражданах? Защита информационного суверенитета? Или попытка получить контроль над свободным виртуальным пространством?

В общем, всё пройдет
🗓 1 июля в 13.00,
📍 в Сахаровском центре (г. Москва, ул.Земляной вал, д.57, стр.5).

Обязательно приходите, ведь ВХОД БЕСПЛАТНЫЙ.

Сайт конференции: https://cif.pirate-party.ru/

UPD: По просьбе подписчиков, попробуем организовать прямую трансляцию с CIF для тех, кто не сможет прийти сам. Но лучше приходите — будет интересно.

Напоминаю: 1 июля в 13.00, МСК, Сахаровский центр.

Павел Дуров не против внесения Telegram в реестр ОРИ (организаторов распространения информации) Роскомнадзора, но категорически отказался выдавать личную переписку пользователей и выполнять требования властей, идущие вразрез с политикой конфиденциальности Telegram. Об этом Дуров заявил на своей странице ВКонтакте.

«Если на этом желания регулятора [речь о предоставлении информации о юр. лице, владельце Telegram] действительно ограничиваются, у меня нет возражений против использования этих данных для регистрации Telegram Messenger LLP в реестре организаторов распространения информации, однако мы не будем выполнять антиконституционный и нереализумый технически "закон Яровой" – равно как и другие законы, не совместимые с защитой частной жизни и политикой конфиденциальности Telegram.» — Павел Дуров

https://vk.com/wall1_1854483

Если после этого шага Павла Дурова РКН заблокирует (или попытается заблокировать) Telegram в России, то вывод последует абсолютно однозначный.

Но тогда непонятно, к чему был весь этот цирк с конями, если информация о компании-разработчике и так лежит в открытом доступе: https://beta.companieshouse.gov.uk/company/OC391410

А ПРЕДСТАВИТЕЛЯМИ СМИ Я НАПОМИНАЮ, ЧТО Я НЕ ПРЕСС-СЕКРЕТАРЬ ПАВЛА ДУРОВА. СПАСИБО. ПОЖАЛУЙСТА.

И нет, Павел Валерьевич не идёт на компромисс. Просто Роскомнадзор ткнули носом в данные, находящиеся в открытом доступе. В общем, вообще ничего не произошло.

#Конкурс10К

Вот в канале уже почти 14000 подписчиков, а достойных статей/постов от конкурсантов всё ещё почти нет.
Поэтому решено немного продлить конкурс. Давайте, активнее, я знаю, что меня читают люди, которым есть что сказать. Присылайте свои статьи на тему инф. безопасности на адрес alexander@litreev.com с темой "Конкурс 10К".