Wirus Petya paraliżuje sieć na Ukrainie.
#1
Cytat:Globalny atak wirusa Petya. Zarażona nawet sieć elektrowni w Czarnobylu.

Wirus typu ransomware znany jako Petya jest odpowiedzialny za awarie systemów komputerowych, do jakich doszło na całym świecie, wyrządzając największe szkody na Ukrainie, w Rosji, Wielkiej Brytanii, a także w Indiach. ABW "monitoruje sytuację".

Jako pierwsi o ataku poinformowali Ukraińcy, gdzie wirus Petya.A zaatakował system bankowy i telekomunikacyjny, poważnie utrudniając pracę największego lotniska w kraju, metra w Kijowie oraz zakładów energetycznych i ciepłowniczych.
Ataków dokonano spoza granic kraju i miały one masowy charakter - donosiły ukraińskie media.
Wirus szybko się rozprzestrzenił. Poza Ukrainą zaatakował także m.in. w Hiszpanii i w Indiach. Eksperci twierdzą, że może mieć podobne skutki, jak wirus WannyCry, który zaatakował komputery w systemem Windows na całym świecie. 
Eksperci ostrożnie wypowiadają się jednak o dokładnym sposobie wtorkowego ataku. Choć część wskazuje na podobieństwo do WannaCry, to rosyjska firma ds. cyberbezpieczeństwa Kaspersky Labs podaje jednak w wątpliwość, czy rzeczywiście chodzi o wirus Petya,A, jak twierdzą władze niektórych krajów.
- Nasza wstępna analiza sugeruje, że nie chodzi o wersję ransomware Petya, jak dotąd wskazywano, ale o nowy rodzaj ransomware, dotąd nieznany. Z tego powodu nazwaliśmy go NotPetya - głosi komunikat firmy, która zaleca uaktualnienie używanej wersji systemu operacyjnego Windows..
Amerykański producent oprogramowania antywirusowego Symatec wskazał, że za atakiem stoi grupa hakerska Lazarus, którą wiąże się z Koreą Północną.
Duński koncern A.P. Moeller-Maersk działający głównie w branży transportu morskiego i energii, brytyjska firma WPP - gigant z branży reklamy i public-relations, nienazwana w depeszach "międzynarodowa norweska firma", oraz terminale w największym w Europie porcie w Rotterdamie również padły ofiarą ataków hakerskich.
O awarii systemów komputerowych firma A.P. Moeller-Maersk, która zatrudnia 120 tys. pracowników w 135 krajach, poinformowała rzeczniczka koncernu, potwierdzając, że powodem jest cyberatak na liczne należące do koncernu firmy i strony internetowe.
- Możemy potwierdzić, że systemy teleinformatyczne Maersk nie działają (...) na skutek cyberataku. W dalszym ciągu oceniamy sytuację. Bezpieczeństwo naszych pracowników, naszych operacji i interesy naszych klinetów jest naszym najwyższym priorytetem - głosi informacja na stronie koncernu.
"Zaatakowane są przede wszystkim komputery działające na systemie Windows. Na ekranie pojawia się czarny ekran z czerwonymi napisami, który informuje, że zostanie odblokowany dopiero po wpłaceniu 300 dolarów w walucie Bitocoin" - powiedział w rozmowie z portalem PolskieRadio.pl Polak pracujący w Kijowie.

[Obrazek: DDVDpQVWsAAbgZ7.jpg:small]

- Atak zorganizowały służby specjalne Rosji - oświadczył doradca szefa MSW i deputowany do ukraińskiego parlamentu Anton Heraszczenko. - Przeciwko Ukrainie rozpoczęto ogromny cyberatak, który odbywa się pod przykrywką wirusa. Według wstępnych informacji jest to zorganizowany system, swego rodzaju trening ze strony służb specjalnych Federacji Rosyjskiej - powiedział w jednej ze stacji telewizyjnych. 
O awarii komputerów w siedzibie Rady Ministrów w Kijowie poinformował wicepremier Pawło Rozenko. „(…) Nasza sieć też padła. Taki obrazek pokazują wszystkie komputery w KMU (siedzibie rządu)” - napisał na Facebooku, gdzie umieścił zdjęcie ekranu komputerowego z komunikatem o awarii.
Pierwszy o problemie poinformował Narodowy Bank Ukrainy (NBU), który przekazał, że niektóre banki mają problemy z płatnościami i obsługą klientów. Nie działa co najmniej część bankomatów.
„Bank Narodowy jest przekonany, że ochrona infrastruktury bankowej przed oszustwami w cyberprzestrzeni zorganizowana jest w należyty sposób, a próby ataków komputerowych na systemy informatyczne banków zostaną zneutralizowane” - oświadczył NBU.

Rzecznik ukraińskiej policji poinformował, że atak hakerów sparaliżował działalność jednocześnie kilku instytucji rządowych. Zaatakowane zostały również banki Sberbank, Ukrsotsbank, Ukrgasbank, OTP Bank i PrivatBank, media oraz korporacje rządowe. Wirus Petya.A uderzył też w system komputerowy kijowskiego metra. Ukraińskie media donoszą, że ofiarami ataku hakerskiego padła również Ukrpoczta (ukraińska poczta) oraz zarządzający usługami telekomunikacyjnymi Ukrtelekom.
Rosjanie także z problemami
Rosyjski bank centralny poinformował o "atakach komputerowych" na rosyjskie banki, dodając, że w pojedynczych przypadkach doszło do zainfekowania ich systemów teleinformatycznych.
W komunikacie bank zapewnił, że systemy bankowe nie zostały złamane. Dodał, że współpracuje z bankami w celu przezwyciężenia skutków ataków.
Także rosyjski koncern naftowy Rosnieft poinformował, że padł ofiara ataku hakerskiego na dużą skalę, ale wydobycie i przetwarzanie ropy nie zostało wstrzymane dzięki przejściu na system rezerwowy.
"Atak hakerski mógł mieć poważne konsekwencje, ale firma przeszła na rezerwowy system przetwarzania i produkcji; ani wydobycie, ani rafinowanie nie zostały wstrzymane" - podała firma w komunikacie zamieszczonym na Twitterze.
Serwery Rosnieftu, a także kontrolowanej przez koncern spółki naftowej Basznieft, zaatakował wirus o działaniu podobnym do WannaCry - podał portal RBK, powołując się na źródło w policji.
We wtorek po południu strona internetowa Rosnifetu była niedostępna. O ataku na jej systemy informatyczne powiadomiła też firma Evraz.
ABW monitoruje sytuację związaną z bezpieczeństwem cybernetycznym Polski
Agencja Bezpieczeństwa Wewnętrznego na bieżąco monitoruje sytuację związaną z bezpieczeństwem cybernetycznym Polski - zapewniono w komunikacie przesłanym we wtorek PAP. Służby ostrzegają, by nie otwierać maili z nieznanych źródeł oraz nie klikać w linki zawarte w takich wiadomościach.
Departament Bezpieczeństwa Narodowego KPRM poinformował w komunikacie, że ABW monitoruje sytuację, a do Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL nie wpłynęło do tej pory żadne zgłoszenie dotyczące wirusa typu ransomware o nazwie Petya potwierdzające, by instytucje z zakresu CERT.GOV.PL (administracja rządowa oraz infrastruktura krytyczna) padły ofiarą kampanii hakerskiej.
"Obecnie CERT.GOV.PL pozostaje w kontakcie z innymi krajowymi CERT-ami w powyższej sprawie" - zapewniono.
Służby ostrzegają, aby nie otwierać e-maili z nieznanych źródeł oraz nie klikać w linki zawarte w takich wiadomościach.
Wcześniej zastępca ministra koordynatora służb specjalnych Maciej Wąsik powiedział PAP, że nie ma sygnałów o aktywności hakerskiej w publicznej domenie w Polsce, a CERT ABW nie sygnalizował "żadnych szczególnych" zdarzeń. Przypomniał, że Centrum w ABW zajmuje się domeną publiczną - gov.pl i instytucjami publicznymi.
Hakerzy zaatakowali nieczynną elektrownię atomową w Czarnobylu
Wirus nie ominął sieci komputerowej nieczynnej elektrowni atomowej w Czarnobylu. Systemy technologiczne stacji działają w zwykłym trybie - poinformowały władze.
Elektrownia w Czarnobylu na północy Ukrainy została zamknięta po wybuchu jej czwartego reaktora w 1986 roku. Reaktor ten został niedawno zabezpieczony nową izolacją. Obecnie działa tam zakład przechowywania zużytego paliwa jądrowego.
W związku z atakiem nie działa strona internetowa elektrowni w Czarnobylu - przekazała we wtorek państwowa agencja, która zarządza strefą wokół siłowni.
„W wyniku tymczasowego odłączenia systemu Windows monitoring promieniowania placu przemysłowego (wokół reaktora - PAP) odbywa się ręcznie. Automatyczny system kontroli promieniowania w strefie działa w trybie zwykłym” - oświadczono w komunikacie.[
źr: 

[Aby zobaczyć linki, zarejestruj się tutaj]

Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#2
Podrzucę link do niebezpiecznika jeszcze:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#3
Więcej informacji:

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]


Zgłosiłem ten wariant petyi do comodo.

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
(27.06.2017, 22:32)dolar444 napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Podrzucę link do niebezpiecznika jeszcze:

[Aby zobaczyć linki, zarejestruj się tutaj]


Jestem już po lekturze. Wrzucę dwa cytaty:

Cytat:

[Aby zobaczyć linki, zarejestruj się tutaj]

We have found local “kill switch” for

[Aby zobaczyć linki, zarejestruj się tutaj]

: create file "C:\Windows\perfc"

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat:Ukraińska Cyberpolicja znalazła przyczynę i źródło ataku. Ustaleniami podzieliła się

[Aby zobaczyć linki, zarejestruj się tutaj]

. Winne jest popularne oprogramowanie “M.E.doc”, z którego korzystają ukraińskie instytucje i firmy, do “zarządzania dokumentami”. Ktoś podmienił aktualizację tego oprogramowania na sererze “upd.me-doc.com.ua (92.60.184.55)” na złośliwą, a tak poprzez funkcję automatycznej aktualizacji została zaciągnięta i uruchomiona w sieciach firm i instytucji.
Podmienina binarka tworzyła plik rundll32.exe, a następnie:
– skanowała lokalną sieć pod kątem portów TCP/139 i TCP/445;
– tworzyłą plik perfc.bat;
– uruchamiała cmd.exe z komendą:
/ c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35
– tworzyła plik ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
– tworzyła plik dllhost.dat.
Dalej ransomware rozprzestrzeniał się przez podatności znane z WannaCry (SMBv1). Ale jak dodają inni badacze, propagacja w sieci lokalnej następowała też na skutek przechwytywanych haseł dostępowych do domeny przy pomocy WebDAV[ i narzędzia LSADump]. Dzięki temu ofiarami stawały się nawet te Windowsy, które nie miały otwartej Samby lub były zaktualizowane, ale znajdowały się w domenie!
więcej:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#5
A tu inny nieco aspekt tego tematu, który rykoszetem godzi w zaatakowanych, dla których blokada danych to już strata
Cytat:Do odszyfrowania pamięci konieczne jest zapłacenie równowartości 300 dolarów w bitcoinach, a następnie zgłoszenie wpłaty za pośrednictwem maila. Skrzynka atakujących hostowana jest przez niemieckiego dostawcę Posteo. Administracja usługi pocztowej zdecydowała się jednak zablokować dostęp do konta wykorzystywanego przez napastników.

A to oznacza, że nawet, jeśli ofiara zdecyduje się zapłacić okup, to pliki i tak nie zostaną odszyfrowane. Atakujący nie mają już bowiem dostępu do nadsyłanych mailem informacji, które pozwalają na identyfikację maszyn, których właściciele zdecydowali się na zapłacenie okupu.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
(28.06.2017, 17:42)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

A tu inny nieco aspekt tego tematu, który rykoszetem godzi w zaatakowanych, dla których blokada danych to już strata
Cytat:Do odszyfrowania pamięci konieczne jest zapłacenie równowartości 300 dolarów w bitcoinach, a następnie zgłoszenie wpłaty za pośrednictwem maila. Skrzynka atakujących hostowana jest przez niemieckiego dostawcę Posteo. Administracja usługi pocztowej zdecydowała się jednak zablokować dostęp do konta wykorzystywanego przez napastników.

A to oznacza, że nawet, jeśli ofiara zdecyduje się zapłacić okup, to pliki i tak nie zostaną odszyfrowane. Atakujący nie mają już bowiem dostępu do nadsyłanych mailem informacji, które pozwalają na identyfikację maszyn, których właściciele zdecydowali się na zapłacenie okupu.

[Aby zobaczyć linki, zarejestruj się tutaj]


Jeśli mówimy o tym samym wirusie, to dobrze, że zablokowali te skrzynki. Jeśli wierzyć ludziom Kasperskiego zapłacenie okupu nic by nie dało. Nowa Petya lub jak oni wolą go nazywać ExPetr nie pozwala na odblokowanie plików nawet po wpłaceniu okupu. Więcej:

[Aby zobaczyć linki, zarejestruj się tutaj]

Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#7
Nowa teoria. Całkiem logiczna.
Cytat:Anton Cherepanov z firmy ESET twierdzi, że hakerzy odpowiedzialni za Petya mieli dostęp do komputerów swoich ofiar już na długo przed atakiem. Swoje cele namierzali i rozpoznawali po odpowiedniku polskiego numeru REGON.
Wiadomo już, że Petya został rozprzestrzeniony za pomocą zainfekowanej aktualizacji oprogramowania M.E.Doc. Cherepanov twierdzi jednak, że hakerzy już wcześniej zainfekowali wspomniane narzędzie i mieli dostęp do wewnętrznych sieci ukraińskich firm.
Atakujący zyskali między innymi możliwość dokładnego identyfikowania ofiar za pomocą numeru EDRPOU, który jest odpowiednikiem polskiego REGON-u. Dzięki temu byli w stanie zinfiltrować sieci konkretnych firm.
Zacieranie śladów
Już wcześniej pojawiały się teorie na temat zacierania śladów. Infekcja wirusem Petya mogła być ostatnim krokiem działania hakerów. Po zdobyciu interesujących ich danych postanowili sparaliżować firmy za pomocą ransomware.

[Aby zobaczyć linki, zarejestruj się tutaj]

Skala ataku ransomware Petya

Jak się później okazało, zaszyfrowanych danych nie dało się w żaden sposób odzyskać. Ponadto część sektorów dysku była po prostu nadpisywana, a nie szyfrowana. Firmy musiały zatem „postawić” systemy na nowo, kasując tym samym dostępne w nich logi. A to mogło zatrzeć ślady wcześniejszej aktywności hakerów.
- Żeby uzmysłowić skalę zagrożenia zaryzykuję analogię. Wyobraźmy sobie sytuację, w której tysiące firm w Polsce pobiera aktualizację któregoś powszechnie używanego programu komputerowego. Tyle, że w tej aktualizacji zawarta jest pułapka – atakujący zyskują dostęp do komputerów ofiar i do zapisanych tam danych – zauważa Paweł Jurek z DAGMA.
- Temat stał się medialny dopiero w momencie, w którym zaatakowane firmy wstrzymały swoją pracę. Być może groźniejsze było jednak to, co działo się wcześniej – kiedy to atakujący mogli błyskawicznie identyfikować swoje ofiary i kiedy to mieli dostęp do ich komputerów i danych na nich zawartych. Otwartym pozostaje pytanie, jak ten dostęp wykorzystywali atakujący zanim zdecydowali się zniszczyć dane? - kontynuuje.

[Aby zobaczyć linki, zarejestruj się tutaj]

Zemana AntiLogger+SS Premium+Shadow Defender+Dashlane+StartupStar+Keriver 1-Click Restore Free
Odpowiedz
#8
Dziwne, przecież ponoć Francja oberwała.
Odpowiedz
#9
Czasami proste receptury mogą uratować część danych

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
HIPS go wykrywa na lajcie ale po co HIPS ma sie antywirusa to wystarczy a potem zonk Craze
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#11
(05.07.2017, 21:28)Fix00ser napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Czasami proste receptury mogą uratować część danych

[Aby zobaczyć linki, zarejestruj się tutaj]


Faktycznie...metoda jest potwierdzona m.in przez Emsisoft...wygląda, że skuteczna, choć blokuje tylko niewielki zakres szkodnika

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#12
Udostępniony klucz dla Petya Old

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#13
Tutaj pokazane, jak NotPetya skutecznie obchodzi UAC i konto standardowego użytkownika Windows.

[Aby zobaczyć linki, zarejestruj się tutaj]


Ciekawie to się ma do opinii, że Windows Defender i konto z ograniczeniami na Windows 10 to aż nadto Wink

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#14
1. Uwaga Win7, a nie Win10.
2. Niema informacji odnośnie aktualizacji.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości