Wannacry вернулся
Товарищи, алярм!Декриптор вернулся, в Киеве уже стал завод "Антонов", несколько банков, сеть магазинов "Лоток". Лучше сразу отключить ПК, а еще лучше снять деньги с карточек. Судя по всему вирус работает из-под биоса.
Декриптор вернулся, в Киеве уже стал завод "Антонов", несколько банков, сеть магазинов "Лоток". Лучше сразу отключить ПК, а еще лучше снять деньги с карточек. Судя по всему вирус работает из-под биоса.
пруфы будут, билли?
27.06.2017, 12:19
Еще немного по теме (теперь понятно, почему под атаку попало столько украинских компаний):
Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)
ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.
После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat
Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST
После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
Далее создание файла: dllhost.dat
Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам
https://habrahabr.ru/post/331762/
Согласно информации из фейсбука Киберполиции Украины (так же подтверждено из комментариев к статье), одним из векторов атаки на бизнес структуры Украины стало распространение вируса через программу M.E.doc (ПО для электронной отчетности и документооборота)
ПО имеет в себе функцию установки обновлений с сайта upd.me-doc.com.ua.
После такого «замененного обновления» у пользователей создался файл «rundll32.exe» который начал обращаться к локальным IP адресам запрашивая 139 и 445 порты, после чего создавался файл perfc.bat
Далее следовал запуск cmd.exe с командой: /c schtasks /RU «SYSTEM» /Create /SC once /TN "" /TR «C:\Windows\system32\shutdown.exe /r /f» /ST
После этого создавался и запускался файл вида ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
Далее создание файла: dllhost.dat
Скорее всего разработчики M.E.doc так же были взломаны и данное обновление было загружено злоумышленниками.
UPD10: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения)
Так же есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса „проверки диска“, в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам
https://habrahabr.ru/post/331762/
инфа сотка, пруфов не будет
https://hromadske.ua/posts/ukrposhtu-ukrenerho-ta-banky-atakuvav-podibnyi-do-wannacry-virus
Пользуйся хром-транслейтом, если сложно
Пользуйся хром-транслейтом, если сложно
блять!
палку! палку давай!
А он разберётся как жить в условиях дебиана?
Вот поэтому я сижу с телефона
http://www.5-tv.ru/news/137073/
http://tv5.zp.ua/news/energeticheskie-kompanii-i-banki-ukrainy-atakoval-analog-wannacry/
Судя по видимому, атакуют целенаправленно крупные компании, так что всё это довольно подозрительно.
http://tv5.zp.ua/news/energeticheskie-kompanii-i-banki-ukrainy-atakoval-analog-wannacry/
Судя по видимому, атакуют целенаправленно крупные компании, так что всё это довольно подозрительно.
http://www.pravda.com.ua/news/2017/06/27/7148086/
Пострадали некоторые компьютеры ЧАЭС. Ничего страшного. Большую часть отключили, чтобы избежать распространения. Не работает электронный документооборот. Радиационной опасности нет, но пока нет возможности отправлять рапорты с показателями, т.к. использовали электронную почту.
Такие вот чики-брики.
Пострадали некоторые компьютеры ЧАЭС. Ничего страшного. Большую часть отключили, чтобы избежать распространения. Не работает электронный документооборот. Радиационной опасности нет, но пока нет возможности отправлять рапорты с показателями, т.к. использовали электронную почту.
Такие вот чики-брики.
Новай Почта, Укрпошта, ощад и некоторые сети супермаркетов тоже штормит.
ну хоть не мишаня
Petya.A - Пётр Алексеевич
помпезно решил уйти
Для обычных пользователей, кто не знает откуда что берётся(например бухгалтер и директор на моей работе :(
1) Не переходите по неизвестным ссылкам в почте, они могут быть на любую тему. Например бухгалтеру от неизвестного пришёл какой-то отчёт за месяц и вуаля. Антивирус может помочь.
2) Не запускайте подозрительные приложения на самом компьютере. Например вы нашли долгожданный "супер-активатор", скачали, антивирус не ругается. Запускаете, и вы новый пользователь амиго, маил и заодно вируса, который скачает тот же шифровальщик уже без вас. Кому очень надо, запускайте на виртуальной винде. Антивирусы почти не помогают с этим.
3) Не вставляйте чужие флешки без антивируса с их автопроверкой.
1) Не переходите по неизвестным ссылкам в почте, они могут быть на любую тему. Например бухгалтеру от неизвестного пришёл какой-то отчёт за месяц и вуаля. Антивирус может помочь.
2) Не запускайте подозрительные приложения на самом компьютере. Например вы нашли долгожданный "супер-активатор", скачали, антивирус не ругается. Запускаете, и вы новый пользователь амиго, маил и заодно вируса, который скачает тот же шифровальщик уже без вас. Кому очень надо, запускайте на виртуальной винде. Антивирусы почти не помогают с этим.
3) Не вставляйте чужие флешки без антивируса с их автопроверкой.
Это другая история. Я писал про обычные меры предосторожности. WannaCrypt не единственный шифровальщик. Мне надоело винду другим менять, может многие тут сидят, прочитают
Смотри сколько уже минусов, значит многие прочитали, значит не зря написал. А потом прочитают ещё твоё и точно будут аккуратней
Да, конечно, все знают. Наивный. У меня почти никто из друзей не знает кроме тех кто учился на программиста со мной. Я кстати специально написал - для обычных пользователей. Знающим читать не обязательно. Вполне возможно, кто то прочитал это первый раз, и это спасло ему жизнь :)
2008 это твой год рождения?
Нет, это дата регистрации на трекере. Ник никогда небыл занят и легко запоминался
Ви-и-ирусы-вирусы, вирусы-хуирусы.
Майки утверждают что да.
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Хотя у них на сайте указана версия от марта 2016 года и нынешний Петя может быть допиленной версией.
https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024
Хотя у них на сайте указана версия от марта 2016 года и нынешний Петя может быть допиленной версией.
Есть вероятность, что это дерьмо заселялось очень долго в компы через почту. Так что я думаю, что кто-то один его поймал или пара человек, очень давно. А сегодня он начал активничать, распространяясь по сетухе.
Я новости редко чекаю, есть вероятность что из-за запрета 1С перешли на этот MEDoc и словили вирусняк?
Цитата: "Именно так Украина решила все свои проебы в финансовой и других сферах, заразив все компы вирусом декриптором".
Но как так вышло, что заразились ещё и российские компьютеры? Неужели это не зависит от страны, а только от дебильности подхода к администрированию?
Но ты настолько дебил, что не поймешь, что жрёшь говно, даже если там будет написано "Это дерьмо".
Но как так вышло, что заразились ещё и российские компьютеры? Неужели это не зависит от страны, а только от дебильности подхода к администрированию?
Но ты настолько дебил, что не поймешь, что жрёшь говно, даже если там будет написано "Это дерьмо".
Подтверждаю, на предприятии куча компов словило это говно. К слову, на предприятии лицушная винда со всеми обновлениями, от wannacry включительно. Не заразились пока компы с 3g соединением (есть и такие).
Семерка
И хр-шки, за 8.1 и 10 ничего сказать не могу
"К письмам прилагается ссылка на полное портфолио соискателя, файл которого размещается на Dropbox. Разумеется, вместо портофлио по ссылке располагается малварь - файл application_portfolio-packed.exe".
Ну как-то так.
Ну как-то так.
Объясните мне НАСКОЛЬКО надо долбиться в шары, чтобы не увидеть, что ты скачал вместо .doc файл .exe и запустить его?
Сажать таких надо в анально огороженный домен без инетрнета и с тремя ярлыками на рабочем столе: word, outlook и 1С. Всё равно больше ничего не используют и не умеют.
Отключение антивиря под их учеткой невозможно или требует пароль. USB порты блокированы. У нас в организации так. Никаких воннакраев не замечено.
Отключение антивиря под их учеткой невозможно или требует пароль. USB порты блокированы. У нас в организации так. Никаких воннакраев не замечено.
именно такие твиты заставляют паниковать больше всего
Товарищ полицейский, а вы в этом трэде с какой целью?
Кассиров нет на кассах, стоят таблички о нерабочей кассе. Вопрос: чего ждут эти люди?
Синие бутылки - это мана. Мы о другом.
Небесная мана белого цвета, а не синего, если я ничего не путаю.
Я не хочу ничего слушать, быстро пробей давай! Менеджера мне позовите! Совсем уже!
Кассиры и обычные люди вряд ли в курсе, что это надолго, и полагают, что дядя сисадмин за 15 минут всё починит и надо просто подождать.
мхм, возможно.
Подтверждаю , Харьков - супермаркет "РОСТ" есть только в нем.
Так эта хуйня по новой схеме лезет в комп или мои заваренные намертво порты меня защитят?
Ты будешь смеяться, но через письма. Жесть, Петя лютует с утра, но они все продолжали открывать стремные вложения на почте.
http://inshe.tv/society/2017-06-27/242147/
http://inshe.tv/society/2017-06-27/242147/
Блядь, через письма. На кой хуй люди вообще открывают письма, пришедшие хуй пойми от кого, не имеющие заголовка, который кратко и информативно даст понять, что это письмо не случайное и его нужно открыть? Зачем? Ну вот зачем?
Часто пишут такие письма эйчарам, вкладывают файл с названием: "резюме" или "портфолио", а расширение там что-то по-типу: "exe", "js", "apk" и прочие.
Как хорошо, что я не эйчар, а сраный барыга.
Кто-то открыл, а дальше по локалке сам разлетелся
Гугли прогу для защиты от него - с вероятностью 90% скачаешь именно вирь.
Нахуй вайн. Вообще никогда не видел смысла его использовать.
Погуглил за этого Петю. Куча ссылок годичной давности, даже какой то репозитарий с генератором ключей для декодирования нашёл.
https://github.com/hasherezade/petya_recovery
Кто то понял как вообще поднялся этот хайп. и почему вирус годичной давности гробит компы сейчас?
https://github.com/hasherezade/petya_recovery
Кто то понял как вообще поднялся этот хайп. и почему вирус годичной давности гробит компы сейчас?
Некто проапгрейдил этого Петю.А и начал слать его в мыле всяким бухгалтерам\HR-ам\любителям смотреть на котиков во время работы и понеслось говно по трубам от одного заразного компа ко всем остальным в этой же сетке. На выходе получаем лютый писец и тонны работы сисадминам и работникам техсаппорта.
Я хз. Таких нужно или отстреливать, или запрещать исходящие пакеты. Сколько смотрю, всё больше бесят уёбища, которые кликают на всё подряд, скачивают везде где хотят, а потом строят свои ёбла типа "оно само". И это после десятиминутных нотаций что "нельзя скачивать с непроверенных источников и нельзя открывать письма, если не знаешь отправителя".
Он использует те же наборы уязвимостей что и ВаннаКрай , плюс есть инфа что он был с отложенным стартом, так что может быть заразился комп уже давно. Также проскакивала инфа что он завалился через обновления медка. Короче неебически хитрая штуковина, ВаннаКрай отдыхает.
Точно известно одно: Он распространяется только по локалке, заражение идет через исполняемый файл.
Точно известно одно: Он распространяется только по локалке, заражение идет через исполняемый файл.
Питер Уотсс был прав, скоро вся сеть будет заражена.
"По рутинной запаре на расширение файла не обращаешь внимания", на это и расчет))
Крупнейший контейнерный порт Индии подвергся кибератаке
Грузовой терминал Gateway Terminals India на крупнейшем контейнерном порту имени Джавахарлала Неру в Мумбаи подвергся кибератаке с использованием вируса-вымогателя Petya.
По информации газеты The Times of India, система компьютерного управления грузопотоком вышла из строя из-за вирусной атаки. Руководство терминала cейчас пытается организовать работу вручную, что сказывается на скорости обработки грузов.
http://timesofindia.indiatimes.com/india/indias-largest-container-port-jnpt-hit-by-ransomware/articleshow/59346704.cms
Грузовой терминал Gateway Terminals India на крупнейшем контейнерном порту имени Джавахарлала Неру в Мумбаи подвергся кибератаке с использованием вируса-вымогателя Petya.
По информации газеты The Times of India, система компьютерного управления грузопотоком вышла из строя из-за вирусной атаки. Руководство терминала cейчас пытается организовать работу вручную, что сказывается на скорости обработки грузов.
http://timesofindia.indiatimes.com/india/indias-largest-container-port-jnpt-hit-by-ransomware/articleshow/59346704.cms
Чтобы написать коммент, необходимо залогиниться
