Новая эпидемия шифровальщика

[Ig0r]

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.

 

За несколько часов уже есть сообщения о том, что от новой заразы пострадало несколько крупных компаний, и, похоже, масштабы бедствия будут только расти.

Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые (похоже, ошибочно) считают, что это все тот же WannaCry. Эксперты «Лаборатории Касперского» сейчас изучают, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост.

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу с помощью Kaspersky Security Network с вердиктом UDS:DangeroundObject.Multi.Generic. Поэтому вот что мы рекомендуем нашим клиентам:

1. Убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
2. Также рекомендуем вручную обновить антивирусные базы. Прямо сейчас. И еще пару раз обновить их в течение следующих нескольких часов.
3. В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.

 

https://blog.kaspersky.ru/new-ransomware-epidemics/17855/

[Pomka.]

вторая масштабная атака а в штатах ни одного заражения

[neotrance]

@Pomka., читал что ноги и руки этого вируса растут из стран СНГ 

[Sandynist]

До ЧАЭС добрался https://rg.ru/2017/06/27/virus-petya-atakoval-chernobylskuiu-aes.html

[www2.1]

Дырявая винда, на режимных объектах. мде..     

[sputnikk]

Из интернета http://itc.ua/news/m-e-doc-pratsyuye-yak-bdzhzhzhilka-kiberpolitsiya-ukrainyi-nazvala-glavnogo-vinovnika-rasprostraneniya-virusa-shifrovalshhika-petya-a/ :

 

Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».

 

По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».

 

Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:

 

создан файл rundll32.exe;

обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;

создан файл perfc.bat;

запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;

создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;

создан файл dllhost.dat.

В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.

 

Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.

[kapral33]

Вроде-бы уже создали инструмент для дешифровки. Специалисты проверяйте. Тут статья, инструкции и программа. 
https://geektimes.ru/post/274104/

[Sandor]

@kapral33, Вы на дату той публикации смотрели?

[Саша]

Убедитесь, что у вас включены компоненты Kaspersky Security Network

А где это находится? У меня просто KAV.

[Sapfira]

 

 

А где это находится? У меня просто KAV.

Настройки -> Дополнительно -> Дополнительные средства защиты и управления.

[lammer]

delete

@kapral33, Вы на дату той публикации смотрели?

Если рецепт действует, то єто что-то меняет? Изменено 28 июня, 2017 пользователем lammer

[regist]

 

 

Если рецепт действует, то єто что-то меняет?

То что действовал он для версии которая была тогда, а сейчас он бесполезен.

[neotrance]

Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Проанализировав работу вируса, специалисты компании Symantec обнаружили простой способ защиты. Оказывается, достаточно создать в системной папке специальный файл, который убедит Petya.A, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.

1. Создайте в программе «Блокнот», которая есть на каждом компьютере, пустой текстовый файл.
2. Присвойте созданному файлу имя perfc (без расширения) или perfc.dll (с расширением .dll).
3. Поместите файл по адресу C:\windows.
4. Сделайте файл доступным только для чтения.

 

Источник

Изменено 29 июня, 2017 пользователем neotrance

[Sapfira]

 

 

Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Говорят, эффективно. Но как-то подозрительно всё просто, создать файл и вирус не подействует. Может, создатели вируса специально так сделали, чтобы все начали создавать этот файл для защиты от этого вируса, а через пару месяцев, когда всё утихнет и все забудут про этот файл, запустят новую заразу, которая будет попадать на компьютер "благодаря" этому файлу.

Нужно, чтобы антивирусные лаборатории, более тщательно проверили этот способ защиты, что-то тут не то...

[regist]

@Sapfira, да ничего тут подозрительного нет. Это обычный маркер, который сообщает вирусу о том, что машина уже заражена. Можете создать пустой файл (размер 0 байт) и его никак нельзя будет использовать для заражения.

 

Просто по мне сам способ через-чур костыльный, да от этого вируса поможет создание этого файла, но тот кто заразился им сейчас ССЗБ. Почему после эпидемии с Wanna Cry (я уже молчу, что это надо было сделать ещё раньше - в марте) не поставили обновление закрывающее уязвимость MS17-010 ?!

И сейчас вместо того чтобы поставить секурити апдейты ищут какие-то костыли. Да от этого вируса это поможет, но завтра выйдет другой который опять пролезет в эту дыру, или через другую которую закрыли к примеру в апреле. А при этом во всех статьях пишут только про одно обновление, при чём на момент написания этих статей уже после него было выпущено другое обновление также закрывающие дыры, но что надо поставить и его ни один журналист не пишет.