Новости из мира вирусов

[Юрген]

Рома, просто меня удивило заявление главы Интернет-ассоциации Украины (ИнАУ) :

Глава Интернет-ассоциации Украины (ИнАУ) Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, "вылечиться" уже не получится.

"Ни в коем случае нельзя перечислять им эти биткоины. Это развод. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.

  Что-то здесь не "чисто" 

[Юрген]

Масштабы довольно внушительные :

Как сообщала "Страна", в Украине компьютерный вирус поразил десяток госструктур и банков, таких как "Ощадбанк", ТАСКомерцбанк, Укргазбанк, Приватбанк, Пивденный и ОТП банк. От атаки хакеров пострадали и компании "Киевэнерго", "Укрэнерго", "Антонов", ДТЭК, Укртелеком, Эпицентр, Укрзализныця,  Новая почта, сеть заправок ТНК, Киевводоканал, киевский метрополитен.

Также стало известно, что под вирусную атаку попал аэропорт Борисполь и Кабмин.

Есть инфомация, что и компьютеры частных пользователей могут быть заражены.

[YRS]

Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.

И даже когда выключен ? Ну тогда понятен уровень этих "специалистов" или просто на публику играют .

[Юрген]

И даже когда выключен ?

а смысл в выключении  всё равно включать то придётся 
Пишут что из антивирусов только Avast нормально находит этот вирус и если есть подозрения, ни в коем случае нельзя перезагружать компьютер, так как шифрование начнётся при загрузке оси...

[YRS]

Avast нормально находит этот вирус

  За мою практику охотно "верю"  Он найдёёт ... Дыревый шо решето и зрячий как ОБСЕ .

А насчёт другого так можно же загрузиться с диска или флешки и полечить или файлы вытащить ну или на крайний случай сделать это на здоровой машине подкинув к ней диск.

[Юрген]

Он найдёёёёт , дыревый шо решето и зрячий как ОБСЕ

не пользовался им, так что не знаю 
что прочитал 

По словам IT-специалистов нужно выполнять несколько нехитрых правил.

Советы специалиста, как защититься от вируса:

1. Обязательно пользоваться антивирусами. По мнению специалиста, Virus #Petya блокирует Avast, тогда как антивирус "Касперский" его не видит.

[YRS]

ни в коем случае нельзя перезагружать компьютер, так как шифрование начнётся при загрузке оси...

Таки да, но насколько я знаю комп скорей всего сам без спросу начинает это делать в подобных случаях.

[ALENA]

Пишут что из антивирусов только Avast нормально находит этот вирус

Jagron это не слышит . Дал бы он вам за то что Касперского отодвинули с первого места 

[Юрген]

Что-то мне атака этого вируса напомнила фильм "Операция "Ы"... 

[YRS]

Новый вид шифровальщика Petya:
Технические детали заражения

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Угроза была впервые обнаружена утром 27 июня на территории Украины. Шифровальщиком оказались заражены компьютеры правительства Украины, киевского аэропорта Борисполь, крупной энергетической компании “Укрэнерго”, Центрального банка и даже недействующей Чернобыльской АЭС.

В дальнейшем угроза распространилась и появилась в отдельных точках Европы. Инфекция затронула британское рекламное агентство WPP, французскую строительную компанию Saint-Gobain, российскую нефтяную компанию “Роснефть” и датскую транспортную компанию AP Moller-Maersk. Заражения Petya уже зафиксированы в 14 странах включая США, Бразилию, Мексику и Иран.

(открыть/скрыть)

Интересно, что данная версия Petya использует те же эксплойты АНБ, которые позволили Wannacry заразить более 200 000 компьютеров в мае этого года. Несмотря на доступность патчей безопасности и четких рекомендации, многие компании похоже проигнорировали советы экспертов.

Станут ли последствия данной атаки более катастрофическими, чем Wannacry? Что можно предпринять для защиты вашего компьютера и сети?

Знакомство с вирусом Petya
В некотором смысле, новый вариант Petya похоже тесно связан с известным семейством шифровальщиков Petya. Petya впервые был обнаружен в конце марта 2016 года. Отличительной особенностью Petya являлась реализация собственной операционной системы, которая устанавливалась и загружалась вместо Windows. Таким образом, зловред мог зашифровывать различные критические системные файлы на загрузочном диске во время перезагрузки. Новый образец Petya также использует данную технику и включает почти полностью скопированный код собственной операционной системы Petya. Однако, способы распространения, шифрования файлов и заражения систем различаются.

После успешного заражения системы Petya показывает экран выкупа, доступный только на английском языке, с просьбой заплатить сумму в биткойнах, эквивалентную 300 долларов на кошелек, связанный с адресом posteo.net:

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

По состоянию на 12 часов по Москве 28 июня на кошелек поступило 40 оплат, которые принесли автору вредоносной программы в общей сумме более 9 тысяч долларов. Многие жертвы в попытках восстановить доступ к файлам оплачивают выкуп, потому что запрашиваемая сумма является относительно небольшой.

Способы заражения Petya
Первая волна заражений Petya началась с взлома популярного украинского разработчика ПО M.E.Doc. Неизвестные хакеры получили доступ к серверам обновлений программного обеспечения и распространяли шифровальщик Petya под видом обновления программного обеспечения клиентам компании. Подобные методы использовались для запуска волны заражения в других семействах шифровальщиков, таких как XData.

Как только ряд систем был заражен Petya смог быстро распространиться благодаря эксплойту ETERNALBLUE из коллекции Агентства Национальной безопасности США, который был украден у данного ведомства хакерской группировкой Shadow Brokers. Данный эксплойт использует уязвимость в протоколе SMBv1 и позволяет получить контроль над системами, удовлетворяющими следующим условиям:

  включен протокол SMBv1
  система доступна из Интернета
  в системе не установлен патч MS17-010,

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

выпущенный в марте 2017 года

Если эксплуатация ETERNALBLUE пройдет успешно, он установит бэкдор в системе под кодовым названием DOUBLEPULSAR. DOUBLEPULSAR используется вредоносным ПО для отправки себя в эксплуатируемую систему и последующего исполнения.

Кроме того, для распространения по уязвимой сети Petya использует различные административные функции, интегрированные в Windows. Это означает, что одной непропатченной машины может быть достаточно, чтобы заразить целую сеть, даже если другие машины полностью обновлены. Petya использует инструментарий управления Windows (WMI) и популярный инструмент PsExec в сочетании с общими сетевыми ресурсами, чтобы облегчить процесс распространения шифровальщика в локальной сети.

Как Petya зашифровывает файлы
Petya состоит из двух разных модулей. Первый модуль очень схож с классическими семействами шифровальщиков. Он зашифровывает до 1 Мб первых секторов файлов следующих расширений:

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Для шифрования файлов вирус Petya использует алгоритм AES с 128-битным ключом. Затем этот ключ шифруется с использованием открытого ключа RSA, встроенного в исполняемый файл шифровальщика.

Второй модуль был полностью позаимствован из прошлогоднего Petya. Он состоит из небольшой операционной системы, которая устанавливается в главную загрузочную запись системы (MBR), при условии, что система может загрузиться через MBR, а шифровальщик смог получить необходимые права. Как только Petya OS загрузится, вредоносная программа находит и зашифровывает таблицу основных файлов загрузочного диска, используя шифр потока Salsa20.

“Главная файловая таблица” (Master File Table) представляет собой внутреннюю структуру файловой системы NTFS Windows. Фактически она отслеживает, где именно на диске данные располагаются для каждого файла. Кроме того, собственная система Petya также зашифровывает первые секторы каждого файла, чтобы предотвратить работу инструментов восстановления файлов. Без главной файловой таблицы Windows не может распознать данные на диске и становится неработоспособной.

Как защититься от Petya
Рекомендации, разработанные для защиты от WannaCry также эффективны в случае с Petya. В качестве немедленной меры убедитесь, что на компьютерах и серверах Windows установлены последние обновления безопасности. После предыдущей вспышки Microsoft предприняла необычный шаг для выпуска исправлений безопасности даже для “неподдерживаемых систем”, таких как Windows XP и Windows Server 2003, поэтому даже эти системы могут быть исправлеы.

Как защитить компьютер Windows от вируса Petya 

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

Лучшей защитой по-прежнему остается надежная и проверенная стратегия резервного копирования, тем более, что шифрование, используемое Petya, является безопасным. Единственный способ вернуть данные - с помощью автора трояна или путем восстановления файлов из резервных копий. Установка критических обновлений Windows также является очень важным шагом в защите системы, поскольку основным заражающим вектором Petya до сих пор является эксплойт протокола SMB1 ETERNALBLUE, который был исправлен уже несколько месяцев назад.

По материалам Emsisoft

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

[Юрген]

Вирус Petya добрался до некоторых белорусских компаний

16:59, 28 июня 2017

Вирус Petya, который второй день атакует сервера по всей Европе, в том числе и Украине, США и Азии, заразил отдельные группы компаний Беларуси. Об этом сообщила пресс-служба Министерства внутренних дел страны.

"Следы нового вируса, который атакует Европу, США и Азию, обнаружены в белорусских компьютерных сетях. Как отметили в управлении "К", с заявлениями в милицию уже обратились представители некоторых крупных белорусских компаний", - говорится в сообщении.

В МВД говорят, что целью мошенников является блокировка ценной информации, в первую очередь вирусы угрожают финансовым и бухгалтерским подразделениям. Зараженные файлы присылают под видом резюме, финансовых отчетов, прочей входящей документации или маскируют под архив с документами. На самом деле вирус является EXE-файлом, после запуска которого загрузить операционную систему невозможно.

В МВД призывают пострадавших пользователей, у которых вирус требует выкуп, незамедлительно обращаться в милицию.

"Вирус-шифровальщик Petya является новым не только для белорусских правоохранителей, но и для всего мира. Он изучается специалистами, и некоторые антивирусные программы распознают вредоносные файлы. Поскольку сбор данных, их анализ и мероприятия по установлению разработчиков требуют времени, мы настоятельно рекомендуем гражданам не предпринимать никаких действий, а при появлении на мониторе компьютера требования "выкупа" за дешифровку обращаться в милицию", - заявил начальник управления по раскрытию преступлений в сфере высоких технологий МВД полковник милиции Вадим Устинович.

[YRS]

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

[YRS]

гости не могут видеть изображения , пожалуйста зарегистрируйтесь или авторизуйтесь

[Jagron]

Всю пораженную вирусом технику можно просто выбросить на помойку.

Эх узнать бы, где находится та помойка, куда эти клоуны понесут выбрасывать свою технику

Советы специалиста, как защититься от вируса:

Только что вычитал следующий совет:

Проанализировав работу вируса, специалисты компании Symantec обнаружили простой способ защиты. Оказывается, достаточно создать в системной папке специальный файл, который убедит Petya.A, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.
1. Создайте в программе «Блокнот», которая есть на каждом компьютере, пустой текстовый файл.
2. Присвойте созданному файлу имя perfc (без расширения) или perfc.dll (с расширением .dll).
3. Поместите файл по адресу C:\windows.
4. Сделайте файл доступным только для чтения.

[YRS]

Только что вычитал следующий совет:
Цитата
Проанализировав работу вируса, специалисты компании Symantec обнаружили простой способ защиты. Оказывается, достаточно создать в системной папке специальный файл, который убедит Petya.A, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.
1. Создайте в программе «Блокнот», которая есть на каждом компьютере, пустой текстовый файл.
2. Присвойте созданному файлу имя perfc (без расширения) или perfc.dll (с расширением .dll).
3. Поместите файл по адресу C:\windows.
4. Сделайте файл доступным только для чтения.

на "comss.ru" целые статьи как и что нужно делать и даже есть готовый батник для создания этих файлов

Извините, Вам не разрешено просматривать этот текст. Пожалуйста, войдите или зарегистрируйтесь.

, всё это было в статье что размещал выше.