Украина подверглась самой крупной в истории кибератаки вирусом Petya

Сегодня утром ко мне обратились мои клиенты с паническим криком “Никита, у нас все зашифровано. Как это произошло?”. Это была крупная компания 1000+ машин, с последними обновлениями лицензионного Windows, настроенным файрволом, порезанными правами для юзеров и антифишинг фильтрами для почтовиков.Спустя час позвонили представители другой крупной компании, у них тоже все зашифровано, под 2000 машин. Атака началась с крупных бизнес структур и уже час или два спустя я узнал, что “Ощадбанк”, “УкрПочта” и “ПриватБанк” тоже под атакой.Что случилось?То, о чем все кибер эксперты, включая меня, говорили днями и ночами! У нас страна разгильдяев! Но сейчас не об этом.Украинский кибер сегмент подвергся очередной атаке, на этот раз Ransomware шифровальщики Petya и Misha стали шифровать компьютер крупных украинских предприятий, включая критические объекты инфраструктуры, такие как “Київенерго” и “Укренерго”, думаю, по факту, их в тысячи раз больше, но чиновники как обычно будут об этом молчать, пока у вас не погаснет свет.На данный момент темпы распространения вируса оказались настолько быстрые, что государственная фискальная служба отключила все коммуникации с интернетом, а в некоторых важных государственных учреждениях работает только закрытая правительственная связь. По моей личной информации, профильные подразделения СБУ и Киберполиции уже переведены в экстренный режим и занимаются данной проблемой. Ситуация динамически развивается и мы будем освещать ее на своем сайте protecmaster.org. Зашифрованы не только крупные компании, но и банкоматы вместе с целыми отделениями банков, телевизионные компании и так далее…Теперь о технических деталяхПока что известно, что #Petya шифрует MBR загрузочный сектор диска и заменяет его своим собственным, что является новинкой в мире Ransomware, егу друг #Misha, который прибывает чуть позже, шифрует уже все файлы на диске. Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании.В интренете уже начали появляться попытки написания дешифровщиков который подходит только для старых версий шифровальщиков до 26.06.17.Однако, их работоспособность не подтверждена.Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают, “паническое нажатие кнопки выкл” я бы назвал это так.Из действующих рекомендаций по состоянию на 17 часов 27 июня, я бы посоветовал НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM) , с отключением от интернета при любых обстоятельствах.Личные предположения:Вирус получил название “Petya” в честь президента Украины Петра Порошенко и наиболее массовый всплеск заражения наблюдается, именно в Украине и именно на крупных и важных предприятиях Украины.Инструменты:На сайте мы создадим раздел Petya and Misha Decrypt, где будем выкладывать все найденные инструменты для дешифровки, которые самостоятельно проверять не успеваем. Просим остальных экспертов и специалистов в области информационной безопасности присылать информацию на почтовый ящик [email protected] для эффективной коммуникации.Также я думаю, это самая крупная в истории независимой Украины кибератака, которая будет обсуждаться и детально разбираться на нашем третьем международном форуме по кибербезопасности HackIT. Чтоб знать о всех актуальных новостях и деталях кибератак рекомендуем купить билет на HackIT 2017Список сайтов и организаций, подвергшихся кибератаке по категориямГосструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.Транспорт: Аэропорт «Борисполь», Киевский метрополитен, УкрзализныцяСМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,Автозаправки: Shell, WOG, Klo, ТНККак обнаружить шифровальщик?Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:C: Windows perfc.dat1. В зависимости от версии ОС Windows установить патч с ресурса MicroSoft , (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения) а именно :— для Windows XP— для Windows Vista 32 bit — для Windows Vista 64 bit — для Windows 7 32 bit— для Windows 7 64 bit — для Windows 8 32 bit — для Windows 8 64 bit — для Windows 10 32 bit — для Windows 10 64 bit Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно на этой странице сайта MicrosoftПоследняя информация:Похоже, что новый подвид Petya.A, который сегодня атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers)Необходимо так же установить : Этот патч от MicroSoftСогласно информации от из фейсбука КиберПолиции (сайт не работает) , одним из векторов самой крупной в истории кибератаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc – ПО для электронной отчетности и документооборота. (информация не проверена)ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.batДалее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN “” /TR «C:Windowssystem32shutdown.exe /r /f» /STПосле этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)Далее создание файла: dllhost.datСкорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками. Однако эта информация не проверена. Как остановить заражение?Локальный “kill switch” для Petya, остановить шифровальщика можно создав файл “C:Windowsperfc” perfc – файл без расширения.Так же важно, если вы увидели перезагрузку компьютера и начало процесса “проверки диска”, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файламMicroSoft наконец то выложили все детали и разбор вируса Petya на своем сайте с рекомендациями и патчами. (Устанавливаем все патчи внизу статьи).Информация обновляется , следите за обновлениями на нашем сайте или подпишитесь в FaceBook!..

Поделиться или сохранить:

Leave a Reply

Your email address will not be published. Required fields are marked *