Так, похоже, что компьютеры европейских компаний поразил вирус типа Win32/Diskcoder.Petya.C, а вернее, его модификация. Он повреждает запись MBR, но, похоже, не трогает сами данные. Распространяется через уязвимость в SMB, но это не единственный способ распространения.
Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом.
Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом.
Мне написал технический директор ESET Israel и подтвердил, что это новая модификация Petya.
Присылает подписчик:
В связи с масштабной атакой вредоносного ПО Petya напоминаем о бесплатном инструменте защиты от перезаписи MBR
(это делают программы-вымогатели перед шифрованием), разработанном Cisco TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
Статья со ссылкой на это средство
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Анализ действий старой версии Petya с указанием варианта расшифровки (злоумышленники могли доработать свой продукт)
https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Инструкция по расшифровке для старой версии (с инструкцией «как снимать данные»)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Сам расшифровальщик (повторяем, злоумышленники могли доработать свой продукт)
https://github.com/leo-stone/hack-petya
Чтобы сдержать самостоятельное распространение этого образца вредоносного ПО по сетевой инфраструктуре необходимо закрыть TCP-порты 1024-1035, 135, 445 (или жёстко контролировать взаимодействие по ним).
Данные действия не являются панацеей, для блокирования распространения вредоносного ПО в результате неосторожных действий пользователей потребуются другие решения.
Сигнатуры для Snort
https://www.snort.org/advisories/talos-rules-2016-04-08
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает),
Также напоминаем о видеоролике, демонстрирующем использование решений Cisco для обнаружения и блокировки активности программ-вымогателей (без использования «точной сигнатуры» вредоносного ПО, на основании поведенческого анализа, обнаружения аномалий и индикаторов компрометации) => https://www.youtube.com/watch?v=NO-X8US9IuE
В связи с масштабной атакой вредоносного ПО Petya напоминаем о бесплатном инструменте защиты от перезаписи MBR
(это делают программы-вымогатели перед шифрованием), разработанном Cisco TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
Статья со ссылкой на это средство
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Анализ действий старой версии Petya с указанием варианта расшифровки (злоумышленники могли доработать свой продукт)
https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Инструкция по расшифровке для старой версии (с инструкцией «как снимать данные»)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/
Сам расшифровальщик (повторяем, злоумышленники могли доработать свой продукт)
https://github.com/leo-stone/hack-petya
Чтобы сдержать самостоятельное распространение этого образца вредоносного ПО по сетевой инфраструктуре необходимо закрыть TCP-порты 1024-1035, 135, 445 (или жёстко контролировать взаимодействие по ним).
Данные действия не являются панацеей, для блокирования распространения вредоносного ПО в результате неосторожных действий пользователей потребуются другие решения.
Сигнатуры для Snort
https://www.snort.org/advisories/talos-rules-2016-04-08
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает),
Также напоминаем о видеоролике, демонстрирующем использование решений Cisco для обнаружения и блокировки активности программ-вымогателей (без использования «точной сигнатуры» вредоносного ПО, на основании поведенческого анализа, обнаружения аномалий и индикаторов компрометации) => https://www.youtube.com/watch?v=NO-X8US9IuE
Talosintelligence
MBRFilter - Can't Touch This!
A blog from the world class Intelligence Group, Talos, Cisco's Intelligence Group
Помогу всем, кто пострадал от вируса. Выключайте компьютеры и пишите на security@litreev.com, обязательно разрулим.
⚡️ BREAKING
Чернобыльская АЭС перешла на ручной мониторинг радиации из-за кибератаки.
Чернобыльская АЭС перешла на ручной мониторинг радиации из-за кибератаки.
Вероятно, Win32/Diskcoder.Petya.C использует какую-то новую, ранее неивестную, незакрытую уязвимость (0-day). Крайне рекомендуется установить все последние обновления Windows и отключить все неиспользуемые сервисы.
Мы еще будем проверять эту информацию и, думаю, свяжемся с Microsoft.
Мы еще будем проверять эту информацию и, думаю, свяжемся с Microsoft.
К такому же выводу пришли мои коллеги из двух зарубежных антивирусных компаний.
🚨ИНФОРМАЦИЯ ОБ АТАКЕ
Сегодняшний вирус — это новая версия Petya. Ей присвоено название Win32/Diskcoder.Petya.C. Поведение вируса следующее: если Petya успешно инфицирует MBR (главную загрузочную запись), то НАЧИНАЕТ ШИФРОВАТЬ ВЕСЬ ЖЕСТКИЙ ДИСК. В противном случае, он шифрует файлы, как это делает известный вирус Mischa.
Поэтому сразу после первых признаков заражения (поражение MBR, самопроизвольная перезагрузка) необходимо:
1) Полностью выключить компьютер (принудительно)
2) Загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жесткий диск и подключить его к другому компьютеру.
3) Скопировать все данные в безопасное место (облачное хранилище, внешний HDD)
Также напоминаю, что Windows 10 атаке не подвержена.
Вирус использует уязвимость SMB (EternalBlue, прямо как WannaCry) для попадания в сеть и затем использует PsExec для распространения внутри сети. Такая опасная комбинация приводит к очень быстрому распространению зловреда в сети. Достаточно иметь всего один уязвимый, непропатченный компьютер и это поставит под удар всю сеть предприятия — вирус попадает в сеть, получает права администратора и распространяется на другие устройства.
Сегодняшний вирус — это новая версия Petya. Ей присвоено название Win32/Diskcoder.Petya.C. Поведение вируса следующее: если Petya успешно инфицирует MBR (главную загрузочную запись), то НАЧИНАЕТ ШИФРОВАТЬ ВЕСЬ ЖЕСТКИЙ ДИСК. В противном случае, он шифрует файлы, как это делает известный вирус Mischa.
Поэтому сразу после первых признаков заражения (поражение MBR, самопроизвольная перезагрузка) необходимо:
1) Полностью выключить компьютер (принудительно)
2) Загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жесткий диск и подключить его к другому компьютеру.
3) Скопировать все данные в безопасное место (облачное хранилище, внешний HDD)
Также напоминаю, что Windows 10 атаке не подвержена.
Вирус использует уязвимость SMB (EternalBlue, прямо как WannaCry) для попадания в сеть и затем использует PsExec для распространения внутри сети. Такая опасная комбинация приводит к очень быстрому распространению зловреда в сети. Достаточно иметь всего один уязвимый, непропатченный компьютер и это поставит под удар всю сеть предприятия — вирус попадает в сеть, получает права администратора и распространяется на другие устройства.
Самое время напомнить, что я также есть в Твиттере. Обязательно подпишитесь, нет времени объяснять: https://twitter.com/alexlitreev
X (formerly Twitter)
Aleksandr Litreev (@alexlitreev) on X
Software Engineer. Entrepreneur.
Подписчик прислал видео: https://m.youtube.com/watch?v=Tx6r5ZyVwRg&feature=youtu.be
YouTube
Telegram in Russia (2018) | Telegram в России (2018)
Молодой месседжер пытается отбиться от группировки бандитов, скрывающихся под крылом правительства. На своем пути он встретит другие меседжеры. Найдет своего...
Для обсуждений новостей моего канала существует чатик — @alexlitreev_chat. Присоединяйтесь!
Подписчикам из Москвы: Хотели бы ли вы принять участие во встрече подписчиков канала? Может быть бар, гайд-парк или что-то типа того.
anonymous poll
Я не из МСК – 2K
👍👍👍👍👍👍👍 69%
Нет – 540
👍👍 16%
Да – 484
👍 15%
👥 3320 people voted so far.
anonymous poll
Я не из МСК – 2K
👍👍👍👍👍👍👍 69%
Нет – 540
👍👍 16%
Да – 484
👍 15%
👥 3320 people voted so far.