Да это понятно. Как распространяли Петю? Он вроде в оригинале не может по такой площади бить?

фишинг

ВОТ!!! "через DoblePulsar и EternalBlue"

Нет, Сергей. Через фишинг может попасть на единицы компов. А дальше - только через дырки в винде.

- Антивіруси Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A. Symantec ніби зловив (прим. – лише остання версія АВ) McAfee у всіх відомих випадках облажався. Eset не реагує. - IoC Результати аналізу семплів за допомогою Cisco ThreatGrid. Люб'язно надано компанією Cisco. http://bit.ly/2tgh3Ex Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat Хеші деяких семплів: 101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg 9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe 736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls

ну изначально

блииин

у нас русский чат

либо по русски либо по английски

Sorry copy paste, неохота переводить

думаю суть понятна и на украинском

Comodo Internet Security ловит и закрывает в своей

а кашперовский чо

нет его больше на Украине

а перевод?

Sorry copy paste, неохота переводить

а ссылка на первоисточник есть? откуда инфа???

https://www.facebook.com/vstyran/posts/10155511714262372

дяка!

Он в этой херни разбирается

вирус вымогатель петя порошенко :)

вирус вымогатель петя порошенко :)

тока он не 16 года

а 65

https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024

От чего паника?

Дефендер детектит

остальніе пропускают...

Кiк

Symantec, Windows Defender, и Comodo детектят

Дефендер детектит

дефендер на хп прикрыли же нет?

У кого defender , там из гугла подсобили - http://www.oszone.net/31340/Google_Engineer_Finds_Flaw_in_Microsoft_Antivirus 😅

По Украине неофициально "легла" вся компьютерная сеть Кабинета министров Украины. Кроме того, в Украине компьютерный вирус поразил десяток госструктур и банков, таких как "Ощадбанк", ТАСКомерцбанк, Укргазбанк, Приватбанк, Пивденный и ОТП банк. От атаки хакеров пострадали и компании "Киевэнерго", "Укрэнерго", "Антонов", ДТЭК, Укртелеком, Эпицентр, Укрзализныця, аэропорт Борисполь, Новая почта, сеть заправок ТНК, Киевводоканал, киевский метрополитен.

У кого defender , там из гугла подсобили - http://www.oszone.net/31340/Google_Engineer_Finds_Flaw_in_Microsoft_Antivirus 😅

в рамках которой он !!!9 июня!!! обнаружил уязвимость

https://www.facebook.com/vstyran/posts/10155511714262372

ты можешь перевести пост?

ща

(Этот пост обновляется) Кажется, сегодня многие люди в банковской и энергетической отраслях узнают, как было бы хорошо патчитись, бекапитись и не щелкать каку. Берегитесь. Факты и спекуляции известные на данный момент. Есть уточнение, сэмплы, сигнатуры - буду благодарен. ВНИМАНИЕ: аналитика пока в дороге, на проверку данных просто нет времени. Проверяем факты вместе. - Заражение Начальная инфекция происходит через фишинговых сообщений (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью - через DoblePulsar и EternalBlue, аналогично методам #WannaCry. - Антивирусы Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A. Symantec будто поймал (прим. - только последняя версия АВ) McAfee во всех известных случаях облажался. Eset не реагирует. - IoC Результаты анализа сэмплов с помощью Cisco ThreatGrid. Любезно предоставлен компанией Cisco. http://bit.ly/2tgh3Ex Индикатором компрометации может быть наличие файла C: \ Windows \ perfc.dat Хэши некоторых сэмплов: 101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg 9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe 736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls Для остановки распространения червя сетью, надо заблокировать на всех компьютерах под управлением Windows TCP-порты 1024-1035, 135, 139 и 445.

то есть если обновился то пох?

Добавили фоток - https://habrahabr.ru/post/331762/

https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

)))

не густо :)

ох запретят биткоины на этой волне

ох запретят биткоины на этой волне

Я думаю они еще больше в цене взлетят

Парни, а есть авторитетные источники, подтверждающие закрытие портов

я думаю установка последних обновлений спасло бы отцов

История повторяется три раза – как комедия, как фарс, и на Украине. Шифровальщик WannaCry не стал исключением. https://www.atraining.ru/wannacry-27-june-2017-ukraine/

😂

но кассы они стопудово на embedded и патчить их никто не собирается

карманов быстр и резок как понос

вот тут все и написано - мартовские обновки закрывают все

>как было бы хорошо патчитись, бекапитись и не щелкать каку

а есть у кого готовый запрос в базу - выбрать все ноуты и их маки?

через smb2 пролез 146%

Не веселая информация

Да уж

А кто такой simplix ?)))

через smb2 пролез 146%

дырку в смб в2 закрыли июньском обновлении

значит не закрыли

бедабеда

Пока слишком мало инфы, для выводов

А кто такой simplix ?)))

известный составитель наборов обновлений

http://forum.oszone.net/post-2117024.html

известный составитель наборов обновлений

Теперь знаю 😊

Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

Как раз июньское обновление

а payload писали про smb1

а, ну внутрь через вложение, дальше уже smb1

Ага, а вот и уязвимость, через которую распространяется Petya.A https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

что-то ссыль битая

нормальная

да

"по непроверенным данным помогает сделать так Я вылечил зараженные пк таким образом: bootrec /RebuildBcd bootrec /fixMbr bootrec /fixboot Восстановление с загрузочного диска" "На компе запустился с загрузочной флешки и почистил Temp'ы, запустил DrWeb, определил как MbrLocker. Удалил угрозу и компьютер запустился. Возможно, это то же самое что проделать исправление загрузочной записи с командной строки. Файлы целые."

это я втупил :)

есть у кого проверить?

есть у кого проверить?

Можете у себя https://gist.github.com/vulnersCom/65fe44d27d29d7a5de4c176baba45759

Ох, Петя, Петя, что же с нами стало. Так, давайте без паники. Вроде Defender его ловит - https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya.A&ThreatID=-2147257024 Про остальные не понятно, коллеги с/на/в Украине пишут, что ESET и McAfee не ловит, Symantec вроде ловит. По данным твиттера PayloadSecurity, уязвимость через smb1, по другим данным, что попадает через уязвимость в Microsoft Office - https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

можно просто форвардить )))

можно

;)

но я не там =)