Перейти к содержанию

Рекомендуемые сообщения

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.

 

За несколько часов уже есть сообщения о том, что от новой заразы пострадало несколько крупных компаний, и, похоже, масштабы бедствия будут только расти.

Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые (похоже, ошибочно) считают, что это все тот же WannaCry. Эксперты «Лаборатории Касперского» сейчас изучают, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост.

wannamore-ransomware-screenshot.jpg

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу с помощью Kaspersky Security Network с вердиктом UDS:DangeroundObject.Multi.Generic. Поэтому вот что мы рекомендуем нашим клиентам:

  1. Убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
  2. Также рекомендуем вручную обновить антивирусные базы. Прямо сейчас. И еще пару раз обновить их в течение следующих нескольких часов.
  3. В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.
 
  • Спасибо (+1) 2
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 38
  • Created
  • Последний ответ

Top Posters In This Topic

  • Sandynist

    6

  • sputnikk

    5

  • Kapral

    4

  • neotrance

    4

Top Posters In This Topic

Popular Posts

Это которые в 1242 году взломали лёд на Чудском озере? Забыл о них.

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.   За несколько часов уже есть с

@Pomka., читал что ноги и руки этого вируса растут из стран СНГ 

Из интернета http://itc.ua/news/m-e-doc-pratsyuye-yak-bdzhzhzhilka-kiberpolitsiya-ukrainyi-nazvala-glavnogo-vinovnika-rasprostraneniya-virusa-shifrovalshhika-petya-a/ :

 

Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».
 
По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».
 
Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:
 
создан файл rundll32.exe;
обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
создан файл perfc.bat;
запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
создан файл dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.
 
Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.
Ссылка на сообщение
Поделиться на другие сайты

 

 


А где это находится? У меня просто KAV.

Настройки -> Дополнительно -> Дополнительные средства защиты и управления.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

delete

@kapral33, Вы на дату той публикации смотрели?

Если рецепт действует, то єто что-то меняет? Изменено пользователем lammer
Ссылка на сообщение
Поделиться на другие сайты

 

 


Если рецепт действует, то єто что-то меняет?
То что действовал он для версии которая была тогда, а сейчас он бесполезен.
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Проанализировав работу вируса, специалисты компании Symantec обнаружили простой способ защиты. Оказывается, достаточно создать в системной папке специальный файл, который убедит Petya.A, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.

  1. Создайте в программе «Блокнот», которая есть на каждом компьютере, пустой текстовый файл.
  2. Присвойте созданному файлу имя perfc (без расширения) или perfc.dll (с расширением .dll).
  3. Поместите файл по адресу C:\windows.
  4. Сделайте файл доступным только для чтения.

 

Источник

Изменено пользователем neotrance
Ссылка на сообщение
Поделиться на другие сайты

 

 


Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Говорят, эффективно. Но как-то подозрительно всё просто, создать файл и вирус не подействует. Может, создатели вируса специально так сделали, чтобы все начали создавать этот файл для защиты от этого вируса, а через пару месяцев, когда всё утихнет и все забудут про этот файл, запустят новую заразу, которая будет попадать на компьютер "благодаря" этому файлу.

Нужно, чтобы антивирусные лаборатории, более тщательно проверили этот способ защиты, что-то тут не то...

  • Улыбнуло 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

@Sapfira, да ничего тут подозрительного нет. Это обычный маркер, который сообщает вирусу о том, что машина уже заражена. Можете создать пустой файл (размер 0 байт) и его никак нельзя будет использовать для заражения.

 

Просто по мне сам способ через-чур костыльный, да от этого вируса поможет создание этого файла, но тот кто заразился им сейчас ССЗБ. Почему после эпидемии с Wanna Cry (я уже молчу, что это надо было сделать ещё раньше - в марте) не поставили обновление закрывающее уязвимость MS17-010 ?!

И сейчас вместо того чтобы поставить секурити апдейты ищут какие-то костыли. Да от этого вируса это поможет, но завтра выйдет другой который опять пролезет в эту дыру, или через другую которую закрыли к примеру в апреле. А при этом во всех статьях пишут только про одно обновление, при чём на момент написания этих статей уже после него было выпущено другое обновление также закрывающие дыры, но что надо поставить и его ни один журналист не пишет.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • VaiRay
      От VaiRay
      CollectionLog-2024.10.20-08.36.zip
       
      Касперский обнаружил следующие вирусы, часть троянов он не смог удалить. При попытке лечения ПК зависает и всплывает синий экран. 
    • Ksandrboi
      От Ksandrboi
      Поймал тоже этот вирус. 
      все что советовали в интернете не помогает((
      помогите кто чем сможет))
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • kseninon
      От kseninon
      Добрый день, 
       
      Пришла сегодня на работу, а все файлы с расширением hzRYnHDoB и ничего не открывается. Запустила Касперского, он нашел Trojan.Win64.Miner.gen
       
      Что можно сделать? Помогите, пожалуйста.
      hzRYnHDoB.README.txt
    • nuk-nuk
      От nuk-nuk
      Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =(
       
      исходные.rar Зашифрованные.rar Addition.txt FRST.txt
    • s2s
      От s2s
      Помогите, вчера открыл документ в ворде, компьютер перезагрузился, виндовс не грузится вместо него моргает красно-белый скелет. И надпись под ним press any key. Перезагрузка не помогает, что это и как с этим бороться?

×
×
  • Создать...