Автор Тема: Вирус Petya  (Прочитано 7591 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ADK

  • Начинающий
  • *
  • Сообщений: 19
  • Рейтинг: 5
    • Просмотр профиля
  • Откуда: НН
Вирус Petya
« Ответ #60 : 02 июля 2017, 09:11:44 »
airdwarf,
 :cry: :cry: :cry:

Онлайн IDok

  • Постоялец
  • ***
  • Сообщений: 324
  • Рейтинг: 13
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Samara
Вирус Petya
« Ответ #61 : 02 июля 2017, 09:14:43 »
airdwarf, сразу виден синтаксис языка 1С!  :D
не кажись. будь.

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Вирус Petya
« Ответ #62 : 03 июля 2017, 08:54:41 »
Цитировать
В 2017 году группа TeleBots продолжила атаки, которые стали более изощренными. С января по март 2017 года группа скомпрометировала украинскую компанию, разрабатывающую программное обеспечение (не M.E.Doc) и, используя VPN-туннели, получила доступ к внутренним сетям нескольких финансовых учреждений.
...
Одной из вредоносных программ, распространявшихся с помощью скомпрометированного механизма обновлений M.E.Doc, был VBS-бэкдор, который использует группа TeleBots. На этот раз атакующие снова использовали доменные имена, связанные с финансовой темой: bankstat.kiev[.]ua.
...

И Diskcoder.C, и Win32/Filecoder.AESNI.C использовали атаки на цепь поставок (supply-chain attack) в качестве начального вектора заражения. Эти семейства вредоносного ПО передавались при помощи программного обеспечения для отчетности и документооборота M.E.Doc, которое широко используется в бухгалтерском учете.

Существует несколько вариантов проведения этих атак. У M.E.Doc есть внутренняя система обмена документами и сообщениями, так что хакеры могли использовать фишинг. В этом случае необходимо взаимодействие с пользователем, возможно, не обошлось без социальной инженерии. Поскольку Win32/Filecoder.AESNI.C не распространился слишком широко, мы сначала решили, что были задействованы именно эти методы.

Но последующая эпидемия Diskcoder.C дает основания предполагать, что у хакеров был доступ к серверу обновлений легитимного ПО M.E.Doc. С его помощью атакующие могли направлять вредоносные обновления с их установкой автоматически без участия пользователя. Поэтому так много систем на Украине пострадало от этой атаки. Кажется, что создатели малвари недооценили способности Diskcoder.C к экспансии.

Исследователи ESET нашли подтверждение этой теории. Мы обнаружили PHP-бэкдор в файле medoc_online.php в одной из директорий на сервере FTP M.E.Doc. Доступ к бэкдору можно было получить через HTTP, хотя он был зашифрован, и атакующему нужен был пароль для его использования.
...
Группа TeleBots совершенствует инструменты деструктивных атак. Вместо направленных фишинговых писем с документами, содержащими вредоносные макросы, они использовали более сложную схему, известную как кибератаки на цепи поставок (supply-chain attack). До начала эпидемии группа атаковала преимущественно финансовый сектор. Вероятно, что последняя кампания была нацелена на украинский бизнес, но атакующие недооценили возможности вредоносной программы – малварь вышла из-под контроля.

https://habrahabr.ru/company/eset/blog/332058/.-eset-raskryvaet-detali-k
« Последнее редактирование: 03 июля 2017, 12:50:26 от shs »

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Вирус Petya
« Ответ #63 : 04 июля 2017, 09:26:16 »
Цитировать
Добрый день!
 
27 июня началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем WannaCry. Есть множество сообщений о том, что от нового вируса пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти.
 
Существовали предположения о том, что это все тот же WannaCry (но это не он), а также, что это вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.

Зачем участвовать в вебинаре
 
 
 
Эксперты «Лаборатории Касперского» продолжают изучать новый вирус, и на вебинаре мы расскажем подробнее об этой угрозе и том, как не стать жертвой очередного шифровальщика, а также продемонстрируем настройку компонентов защиты решениях «Лаборатории Касперского» для максимальной , а также ответим на все ваши вопросы в режиме реального времени.

Как противостоять шифровальщику exPetr – по горячим следам.
5 июля 2017 года, 11.00 (МСК)

На вебинаре спикеры:
 
•   Напомнят, что такое вирусы-шифровальщики и чем они опасны для вашего бизнеса
•   Расскажут о новых модификациях шифровальщиков и растущем уровне угрозы
•   Проведут обзор современных инструментов защиты
•   Продемонстрируют настройку функционала для защиты от шифровальщиков

Регистрация

Оффлайн sirarthur

  • Старожил
  • ****
  • Сообщений: 577
  • Рейтинг: 5
  • Пол: Мужской
    • Просмотр профиля
Вирус Petya
« Ответ #64 : 04 июля 2017, 09:45:05 »
Зачем участвовать в вебинаре

Ну....
Цитировать
Спикеры
Руководитель отдела антивирусных исследований, «Лаборатория Касперского».
Инженер предпродажной поддержки клиентов, «Лаборатория Касперского».
Как бы это не свелось к банальному "покупайте наших слонов"™

Оффлайн shs

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Вирус Petya
« Ответ #65 : 04 июля 2017, 09:58:29 »
Как бы это не свелось к банальному "покупайте наших слонов"™
ну, без этого никак не обойдется.  :pardon:

Туда бы WindowsNT спикером запустить   :trollface:
« Последнее редактирование: 04 июля 2017, 10:15:45 от shs »

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Вирус Petya
« Ответ #66 : 29 ноября 2018, 16:15:51 »
У нас последние пару недель что-то вирус Intrusion.Win.MS17-010 в сети резвится. На старых серверах, которые некоторые несознательные ответственные за эти серверы никуя не обновляют годами.

Цитировать
Описание    

Intrusion

Логика Intrusion-атак заключается в попытке удаленно, по сети эксплуатировать уязвимые или неправильно сконфигурированные приложения, службы и операционные системы для выполнения произвольного кода и реализации несанкционированной сетевой активности.

Успешно реализованная Intrusion-атака может привести к удаленному выполнению кода на целевых узлах.

Описание

Server Message Block (SMB) – это сетевой протокол прикладного уровня, работающий через TCP-порты 139 и 445, которые широко используются для предоставления общего доступа к файлам и принтерам, а также для удаленного доступа к службам.

Атака Intrusion.Win.MS17-010.* нацелена на компьютеры под управлением Windows и реализуется в попытке эксплуатировать уязвимости протокола SMB, которые были закрыты в бюллетене Microsoft Security Bulletin MS17-010 ( https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010 ). Результатом успешной эксплуатации этих уязвимостей может стать удаленное выполнение кода на атакуемых компьютерах, что позволит злоумышленнику загрузить вредоносную программу и распространить ее на другие уязвимые узлы в сети.

Успешно реализованная атака позволяет злоумышленнику удаленно выполнить код на атакуемых компьютерах, загрузить вредоносную программу и распространить ее на другие уязвимые узлы в сети.

Эксплойты, нацеленные на уязвимости, закрытые в MS17-010, были использованы в атаках вирусов-вымогателей WannaCry и ExPetr.