Есть решение https://geektimes.ru/post/274104/ , пора расходиться

11 апреля

тем более

Шо - тем более? Ты ещё патч от первослаки на последний rhel посоветуй.

Киберполиция опубликовала технические детали вируса

https://m.facebook.com/cyberploiceua/posts/297206400403530

На данный момент достоверно известно, что вирусная атака на украинские компании возникла из-за программного обезпечения M.E.doc. (программное обеспечение для отчётности и документооборота) Это программное обеспечение имеет встроенную функцию обновления программного обеспечения, которая перидически обращается к серверу: "upd.me-doc.com.ua" (92.60.184.55) с помощью User Agent "medoc1001189".

Обновление имеет хэш: dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54

Большинство легитимных «пингов» (обращений к серверу) равны приблизительно 300 байт.

Этим утром, в 10.30, программа M.E.doc. получила обновление. Обновление было размером около 333кб, и после его загрузки осуществлялись следующие действия:

• создание файла: rundll32.exe;
• обращение к локальним IP-адрессам на порт 139 TCP та порт 445 TCP;
• создание файла: perfc.bat;
• запуск cmd.exe со наступною командою: /c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR "C:\Windows\syste m32\shutdown.exe /r /f" /ST 14:35";
• создание файла: ac3.tmp (хэш 02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и его последующий запуск;
• создание файла: dllhost.dat;

ХЗ, на форумах писали, полностью обновленная венда тоже шифранулась, возможно там несколько механизмов?

P.S. Почитай ссылку выше, не всё так просто. Многовекторная атака? Компрометация сервера medoc с внедрением шифровальшика и атака через smbv1 по миру параллельно? Еще утверждалось - заражение было и через аттачменты в почте.

The Hacker News

http://thehackernews.com/2017/06/petya-ransomware-attack.html

P.S.: https://mobile.twitter.com/TheHackersNews/status/879782531146461185

Kill-switch found for #Petya Ransomware. Just create a file «C:\Windows\perfc»

Эээ-хе-хе!
Я конечно не Ванга, но как-то ляпнул, что Мелкомягким нужно бы взять за основу FHS с /Windows.

Короче говоря - здратуйте детские штанишки, Ж то выросла уже как 30 лет назад... FHS однопользовательской системы никуда не годится в современном мирке, полном злобствующих вирусов на каждом проводе витухи. ТОгда в каждом секторе дискеты сидело по 3 вируса, а сейчас на проводах засели :-)

https://hromadske.ua/posts/naimasshtabnisha-khakerska-ataka-v-ukraini

использовать windows

Дебилы должны страдать.

вот я и говорю — windows для игр, а gnu/linux / macos — для работы.

это не ддос. это атака на маздайные машины. ransomware. только вот он не криптует данные, а просто их портит, судя по тому, что пишут эксперты. так как в маздае из-за дыр защиты никакой нет, то многие компании просто предпочли отключить машины. узнала об этом от юзеров, которые боятся включать компы.

При чем тут РФ?

Каждому ребенку известно что все атаки в интернете дело рук русских хакеров, это всем давно известный факт, тут обсуждать не чего. А тут даже название, т.е. даже дураку понятно. Ну и местные разборки, или для отвода глаз устроили атаку на российские предприятия.

Лол! В 404 во всем Путин виноват, а у тебя в вендодырах виноват линуксод-админ... еще раз лол!

ddos в ua?

... и в de

http://m.dw.com/ru/вирус-petya-добрался-и-до-немецких-компаний/a-39445408?mac...

... и в us

https://ukrainian.voanews.com/a/virus-petya-ukraina-cyberattack-ssha/3918253....

... и в ro

В румынской компании Bitdefender видят больше общего с вирусом GoldenEye, в котором Petya объединяется с еще одним вредоносом под названием Misha. Преимущество последнего - для шифрования файлов он не требует у будущей жертвы права администратора, а добывает их самостоятельно.

http://www.bbc.com/russian/features-40424039

ещё патч

Я предлагал сегодня в ирл выключить компы из розетки. на меня посмотрели ка на дурака. А ведь дело предлагал! Им не нужны компы, им лопату и метлу надо.

Ляликс-серверы тоже имеют, особенно веб. Тут дело в прокладке, т.к. 99% атак через неё проходят.

Из ссылок в этом треде говорят про атаку через загрузчик. Ждем завтра не отключаемый секьюрбот на писюках.

судя по заметкам аналитиков, это разновидность wannacry. активируется тупым юзером методом тыка в неизвестный линк. садится в загрузчик и вешает систему. после перезагрузки портит (даже не шифрует, а именно портит) файлы и требует бабла.

рекомендуют закрывать порты 1024-1035, 135 и 445. но не факт, что там нет других дыр.

Ну значит белки-истерички напридумывали страшилок.

Месяц назад был звоночек XData Ransomware - новый вирус

Тот же медок (medoc, m.e.doc), шифровальщик...

leg0las

CVE-2017-0199

A remote code execution vulnerability exists in the way that Microsoft Office and WordPad parse specially crafted files. An attacker who successfully exploited this vulnerability could take control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.

Винду обновляли, а офис нет?..

ну, если после этого венде не капец, то я даже уже не знаю, что её капецить. видимо, даже если всю планету ядерным зарядом закрыть, вендузятники в первую очередь будут по венде страдать. видимо, вендузизм - это крайне серьёзное заболевание, подразновидность мазохизма.

. после перезагрузки портит (даже не шифрует, а именно портит) файлы и требует бабла.

Прям как реальный Петя. Молодца, хорошо зделоли

Там не в венде проблема, а в истинно незалежном medoc, который стали ставить вместо мерзкого кацапского 1С.

да там везде проблема. но в венде - в первую очередь. на днях wannacry был.

У этого сорта людей просто сверхидея какая-то их отключать.

Это пошло с времен, когда трафик был платный и народ мог утром офигеть от счета за тырнет.

Если смотреть в корень, то проблема в организаторах подобных ивентов. При наличии достаточного количества ресурсов, заполучение зиро дей дыры - не вопрос. И можно устроить эпидемию на ровном месте.

Будь это обычные вымогатели - действовали бы плавнее для достижения максимального денежного профита. Вот и думайте кто будет так действовать и зачем.

Думаю это арабы из игил.

у меня давно была мысля - скупить все ботнеты и в один момент грохнуть все венды сразу. и тогда сразу наступит вендекапец. только где ж я возьму столько денег? подайте, кто сколько может на вендекапец.

Братья утверждают это из-за закрытия сайта amaq.biz.ua, Субханаллах!

Впервые слышу, небрат. Что это?

Может наконец начнут платить нормальную зарплату сисадминам.....

Для этого нужна ещё парочка подобных атак.

Наоборот урежут

И будут страдать без бекапов.

там уже новая напасть: скайпокапец.

https://thehackernews.com/2017/06/skype-crash-bug.html?m=1

всё в лучших традициях мелкософта.

Что с медком, я хз, но атаку подтверждаю

Охренеть. Только что закриптовали чем-то непонятным виндовый vpn сервер. Требуют 4 битка.
Все обновки стояли, лишние порты закрыты. Шindoшs решето !

Это не Петя уже? Выложи скрин.

http://prntscr.com/fpysth

Сочувствую, котёнок.

Порылся в логах сурикаты. Кто-то заходил по рдп и браузером что-то качал.
Т.е. кто-то каким-то макаром получил админские права, выключил антивырь (nod), включил рдп, скачала что-то с юзерагентом mozilla4.0/

Пока не стоит. Пала одна машина, поднять новую - дело 20 минут. Хотя будь моя воля, я бы vpn поднял на онтопике. Главное чтоб остальные не заразились.

А за сколько минут её опять закриптуют?

Посмотрим )