Перейти к содержанию

Новая эпидемия шифровальщика

Ig0r

Автор Ig0r
в Новости и события со всего мира

 Поделиться

Рекомендуемые сообщения

Ig0r Корифей

Ig0r

Опубликовано
Опубликовано

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.

 

За несколько часов уже есть сообщения о том, что от новой заразы пострадало несколько крупных компаний, и, похоже, масштабы бедствия будут только расти.

Пока не до конца понятно, что это за шифровальщик: существуют предположения о том, что это какая-то вариация Petya (Petya.A или Petya.D или PetrWrap), а некоторые (похоже, ошибочно) считают, что это все тот же WannaCry. Эксперты «Лаборатории Касперского» сейчас изучают, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост.

wannamore-ransomware-screenshot.jpg

На данный момент продукты «Лаборатории Касперского» детектируют новую заразу с помощью Kaspersky Security Network с вердиктом UDS:DangeroundObject.Multi.Generic. Поэтому вот что мы рекомендуем нашим клиентам:

  1. Убедитесь, что у вас включены компоненты Kaspersky Security Network и Мониторинг активности.
  2. Также рекомендуем вручную обновить антивирусные базы. Прямо сейчас. И еще пару раз обновить их в течение следующих нескольких часов.
  3. В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.
 
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 38
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandynist

    6

  • sputnikk

    5

  • Kapral

    4

  • neotrance

    4

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Денис-НН
Денис-НН

Это которые в 1242 году взломали лёд на Чудском озере? Забыл о них.

Ig0r
Ig0r

Буквально пару часов назад началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.   За несколько часов уже есть с

neotrance
neotrance

@Pomka., читал что ноги и руки этого вируса растут из стран СНГ 

sputnikk Мудрец

sputnikk

Опубликовано
Опубликовано

Из интернета http://itc.ua/news/m-e-doc-pratsyuye-yak-bdzhzhzhilka-kiberpolitsiya-ukrainyi-nazvala-glavnogo-vinovnika-rasprostraneniya-virusa-shifrovalshhika-petya-a/ :

 

Департамент киберполиции Национальной полиции Украины заявил, что сегодняшняя вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».
 
По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».
 
Обновление имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:
 
создан файл rundll32.exe;
обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
создан файл perfc.bat;
запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
создан файл dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.
 
Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.
Ссылка на комментарий
Поделиться на другие сайты
lammer Ветеран

lammer

Опубликовано
Опубликовано (изменено)

delete

@kapral33, Вы на дату той публикации смотрели?

Если рецепт действует, то єто что-то меняет? Изменено пользователем lammer
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Если рецепт действует, то єто что-то меняет?
То что действовал он для версии которая была тогда, а сейчас он бесполезен.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
neotrance Ветеран

neotrance

Опубликовано
Опубликовано (изменено)

Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Проанализировав работу вируса, специалисты компании Symantec обнаружили простой способ защиты. Оказывается, достаточно создать в системной папке специальный файл, который убедит Petya.A, что он попал на уже заражённую машину. Если такой файл на компьютере есть, то вирус прекращает работу без всяких вредных последствий.

  1. Создайте в программе «Блокнот», которая есть на каждом компьютере, пустой текстовый файл.
  2. Присвойте созданному файлу имя perfc (без расширения) или perfc.dll (с расширением .dll).
  3. Поместите файл по адресу C:\windows.
  4. Сделайте файл доступным только для чтения.

 

Источник

Изменено пользователем neotrance
Ссылка на комментарий
Поделиться на другие сайты
Sapfira Ветеран

Sapfira

Опубликовано
Опубликовано

 

 


Тут придумали фишку по обману вируса. Не знаю насколько эффективно и нужно ли

Говорят, эффективно. Но как-то подозрительно всё просто, создать файл и вирус не подействует. Может, создатели вируса специально так сделали, чтобы все начали создавать этот файл для защиты от этого вируса, а через пару месяцев, когда всё утихнет и все забудут про этот файл, запустят новую заразу, которая будет попадать на компьютер "благодаря" этому файлу.

Нужно, чтобы антивирусные лаборатории, более тщательно проверили этот способ защиты, что-то тут не то...

  • Улыбнуло 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@Sapfira, да ничего тут подозрительного нет. Это обычный маркер, который сообщает вирусу о том, что машина уже заражена. Можете создать пустой файл (размер 0 байт) и его никак нельзя будет использовать для заражения.

 

Просто по мне сам способ через-чур костыльный, да от этого вируса поможет создание этого файла, но тот кто заразился им сейчас ССЗБ. Почему после эпидемии с Wanna Cry (я уже молчу, что это надо было сделать ещё раньше - в марте) не поставили обновление закрывающее уязвимость MS17-010 ?!

И сейчас вместо того чтобы поставить секурити апдейты ищут какие-то костыли. Да от этого вируса это поможет, но завтра выйдет другой который опять пролезет в эту дыру, или через другую которую закрыли к примеру в апреле. А при этом во всех статьях пишут только про одно обновление, при чём на момент написания этих статей уже после него было выпущено другое обновление также закрывающие дыры, но что надо поставить и его ни один журналист не пишет.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kocks33
      шифровальщик JFZRZNDDZ
      Автор kocks33
      Добрый день!
      На сервер проник шифровальщик. Зашифровал весь диск D, снял лицензию с сервера
      Можно ли как то расшифровать файлы. Помогите пожалуйста.


    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Павел Ф.
      Шифровальщик KOZANOSTRA
      Автор Павел Ф.
      Виртуальную машину с открытым извне не стандартным рдп портом зашифровал вирус KOZANOSTRA. Был установлен антивирус kaspersku Endpoint Securitu. 
      Помогите с расшифровкой. Система под переустановку, нужны файлы и базы
    • asdfasdf
      KRAKEN | Актуальные ссылки | Маршрут на новый сайт 2025 года | Новые ссылки и зеркала КРАКЕН
      Автор asdfasdf
      Здесь можно подробно ознакомиться с правилами для безопасного входа на площадку КРАКEН даркнeт маркетплейс онион в сети TOR
      СПИСОК ВСЕХ ДОСТУПНЫХ ССЫЛОК ДЛЯ ВХОДА НА KRAKЕN:
      1) Официальная ссылка (взята из инструкции с площадки КРАКEН): https://kra41.xyz
      2) Официальное зеркалo КРАКЕH: https://kra34at.xyz
      3) Tor ссылка: kraktoq2uksomert37tlohcq3sibdm455o5bcynior6m5njispj4osyd.onion
      Используйте актуальную ссылку:
      Вот несколько рекомендаций, которые помогут вам быстро и безопасно попасть на сайт КРАКЕН:
      1. Скачайте TOR браузер
      Для доступа к даркнет-ресурсам, включая Кракен, вам потребуется специальный браузер, поддерживающий Onion-сайты. Самым популярным выбором является Tor браузер. Вот как его установить:
      Перейдите на oфициальный сайт Tor проекта.
      Скачайте установочный файл для вашей операционной системы.
      Установите браузер, следуя инструкциям на экране.
      2. Запустите Tor браузер
      После установки откройте Tor браузер. Он автоматически начнет процесс подключения к сети Tor, что может занять несколько минут. Дождитесь завершения подключения.
      3. Перейдите по актуальной ссылке
      Используйте актуальную ссылку для доступа к сайту Кракен: https://kra41.xyz Вставьте эту ссылку в адресную строку Tor браузера и нажмите Enter. Это перенаправит вас на главную страницу маркетплейса.
      4. Создайте учетную запись
      Если у вас еще нет аккаунта на Кракене, вам нужно будет зарегистрироваться. Процесс регистрации включает следующие шаги:
      На главной странице Кракена найдите кнопку “Регистрация” и нажмите на нее.
      Заполните форму регистрации, указав необходимую информацию, такую как логин, пароль и адрес электронной почты.
      Используйте надежный пароль и включите двухфакторную аутентификацию для дополнительной безопасности.
      5. Зарегистрируйтесь на сайте
      После регистрации войдите в свой личный кабинет, используя указанные при регистрации логин и пароль. Убедитесь, что вы используете только актуальные ссылки и проверенные источники для доступа к Кракену.
      Меры безопасности при использовании Кракена?
      Пользуясь даркнет-маркетплейсами, важно соблюдать меры предосторожности. Вот несколько советов, которые помогут вам обезопасить себя:
      Обновляйте ссылки?
      Даркнет-сайты часто меняют свои адреса из-за соображений безопасности. Регулярно проверяйте актуальные ссылки на форумах и официальных источниках, чтобы быть уверенными в правильности используемой ссылки.
      Используйте VPN?
      Для дополнительной анонимности и безопасности рекомендуется использовать VPN-сервис. Он скроет ваш IP-адрес и сделает ваше пребывание в интернете более безопасным.
      Будьте осторожны!?
      kraken рабочая ссылка onion
      kraken ссылка vk
      кракен сайт ссылка kraken 11
      ссылка на кракен kraken 9 one
      kraken зеркало тор kraken2web com
      кракен онион ссылка kraken one com
      ссылка kraken 2 kma biz
      ссылка на kraken торговая площадка
      razer kraken сайт
      kraken зеркало krakenweb one
      kraken зеркало krakenweb3 com
      kraken зеркало ссылка онлайн krakenweb one
      kraken ссылка зеркало krakenweb one
      kraken darknet market ссылка тор 2kraken click
      kraken ссылка krakenweb one
      kraken ссылка тор krakendarknet top
      kraken casino зеркало kraken casino xyz
      kraken darknet market зеркало v5tor cfd
      kraken сайт зеркала kraken2web com
      kraken даркнет ссылка
      kraken зеркала kr2web in
      kraken зеркало store
      kraken darknet market ссылка тор v5tor cfd
      kraken darknet market сайт
      даркнет официальный сайт kraken
      kraken ссылка зеркало рабочее kraken2web com
      kraken зеркало тор ссылка kraken2web com
      kraken маркетплейс зеркала
      kraken официальные зеркала k2tor online
      kraken darknet маркет ссылка каркен market
      kraken 6 at сайт производителя
      сайт кракен kraken darknet top
      kraken клир ссылка
      кракен ссылка kraken kraken2web com
      ссылка на кракен тор kraken 9 one
      kraken сайт анонимных покупок vtor run
      kraken darknet market зеркало 2kraken click
      kraken darknet market ссылка shkafssylka ru
      kraken ссылка torbazaw com
      kraken форум ссылка
      площадка кракен ссылка kraken clear com
      сайт kraken darknet kraken2web com
      kraken зеркало рабочее 2kraken click
      kraken зеркало ссылка онлайн 2kraken click
      kraken сайт зеркала 2krnk biz
      кракен сайт зеркало kraken one com
      кракен ссылка зеркало kraken one com
      kraken darknet сайт официальная рабочая ссылка onion
      kraken onion ссылка kraken2web com
      kraken клирнет ссылка
      kraken ссылка onion krakenonion site
      just kraken официальный сайт
      kraken официальный сайт krakendarknet top
      kraken сайт наркотиков
      биржа kraken официальный сайт
      кракен официальный сайт kraken clear com
      кракен ссылка onion kraken one com
      kraken официальный сайт kr2web in
      kraken casino зеркало рабочее kraken casino xyz
      kraken вход зеркало
      kraken зеркало 2web
      kraken зеркало kraken link top
      kraken ссылка зеркало krakenonion site
      kraken ссылка tor kraken one com
      кракен ссылка kraken 2krnk biz
      площадка кракен ссылка kraken one com
      kit kraken официальный сайт
      kraken tor зеркало kraken2web com
      kraken актуальные зеркала krakenonion site
      kraken зеркало market pw
      kraken зеркало рабочее 2krnk biz
      kraken зеркало рабочее market
      рабочее зеркало кракен kraken clear com
      kraken актуальные ссылки krakenonion site
      kraken официальные ссылки krakendarknet top
      рабочие ссылки kraken для компа
      kraken вход на сайт kraken one com
      kraken сайт kraken2krnvkatkrnkv2torat com
      даркнет официальный сайт kraken darknet
      кракен сайт kraken ssylka online
      сайт кракен через тор kraken one com
      kraken onion форум рабочее зеркало
      kraken зеркало стор
      kraken официальный сайт зеркало kraken2web com
      kraken ссылка зеркало официальный сайт krakenonion site
      зеркало kraken тор ссылка рабочее kraken2web com
      рабочее зеркало кракен kraken one com
      kraken актуальная ссылка onion kraken2web com
      kraken 8 at сайт официальный сайт
      настоящий сайт kraken kraken one com
      kraken onion зеркала krakendarknet top
      kraken зеркало 2 фан krakendarknet top
      kraken зеркало 2krakendarknets2 com
      kraken сайт зеркала 2kraken click
      kraken cc ссылка
      kraken tor ссылка torbazaw com
      kraken tor ссылка онлайн 2krnk biz переходник кракен
      kraken ссылки 2024
      актуальная ссылка на кракен kraken darknet top
      правильная ссылка на кракен kraken one com
      рабочие ссылки kraken kraken darknet top
      kraken darknet market официальный сайт
      kraken сайт tor 2krnk biz
      krn сайт закладок kraken one com
      kraken 6 at зеркало
      kraken com зеркало 2krnk biz
      kraken onion зеркала kraken2web com
      kraken войти зеркало
      kraken зеркала dzen х
      2krn зеркало 2 fun krakendarknet top
      kraken зеркало рабочее тг
      kraken зеркало тор krakenonion site
      kraken официальный сайт зеркало 2krnk biz
      kraken ссылка зеркало официальный kraken2web com
      рабочее зеркало кракен kraken darknet top
      kraken onion ссылка krakendarknet top
      kraken ссылка на сайт vpn
      ссылка на магазин кракен kraken one com
      kraken darknet официальный сайт kraken2web com
      кракен сайт ссылка kraken 11
      ссылка на кракен kraken 9 one
      kraken зеркало тор kraken2web com
      кракен онион ссылка kraken one com
      ссылка kraken 2 kma biz
      ссылка на kraken торговая площадка
      razer kraken сайт
      kraken зеркало krakenweb one
      kraken зеркало krakenweb3 com
      kraken зеркало ссылка онлайн krakenweb one
      kraken ссылка зеркало krakenweb one
      kraken darknet market ссылка тор 2kraken click
      kraken ссылка krakenweb one
      kraken ссылка тор krakendarknet top
      kraken casino зеркало kraken casino xyz
      kraken darknet market зеркало v5tor cfd
      kraken сайт зеркала kraken2web com
      kraken даркнет ссылка
      kraken зеркала kr2web in
      kraken зеркало store
      kraken darknet market ссылка тор v5tor cfd
      kraken darknet market сайт
      даркнет официальный сайт kraken
      kraken ссылка зеркало рабочее kraken2web com
      kraken зеркало тор ссылка kraken2web com
      kraken маркетплейс зеркала
      kraken официальные зеркала k2tor online
      kraken darknet маркет ссылка каркен market
      kraken 6 at сайт производителя
      сайт кракен kraken darknet top
      kraken клир ссылка
      кракен ссылка kraken kraken2web com
      ссылка на кракен тор kraken 9 one
      kraken сайт анонимных покупок vtor run
      kraken darknet market зеркало 2kraken click
      kraken darknet market ссылка shkafssylka ru
      kraken ссылка torbazaw com
      kraken форум ссылка
      площадка кракен ссылка kraken clear com
      сайт kraken darknet kraken2web com
      kraken зеркало рабочее 2kraken click
      kraken зеркало ссылка онлайн 2kraken click
      kraken сайт зеркала 2krnk biz
      кракен сайт зеркало kraken one com
      кракен ссылка зеркало kraken one com 
      kraken darknet сайт официальная рабочая ссылка onion
      kraken onion ссылка kraken2web com
      kraken клирнет ссылка
      kraken ссылка onion krakenonion site
      just kraken официальный сайт
      kraken официальный сайт krakendarknet top
      kraken сайт наркотиков
      биржа kraken официальный сайт
      кракен официальный сайт kraken clear com
      кракен ссылка onion kraken one com
      kraken официальный сайт kr2web in
      kraken casino зеркало рабочее kraken casino xyz
      kraken вход зеркало
      kraken зеркало 2web
      kraken зеркало kraken link top
      kraken ссылка зеркало krakenonion site
      kraken ссылка tor kraken one com
    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...