|
NOD-32
Avast
Dr.Web CureIt
Kaspersky
Avira AntiVir Personal
AVG Anti-Virus
ClamAV
циска подразделение Талос пишет
Идентификация начального вектора в настоящий момент затруднена. Ранние отчёты об использовании почтового вектора пока не подтвердились. Основываясь на наблюдениях над поведением образцов “в диком мире”, мы видим, что отсутствуют явные, видимые внешние механизмы размножения данного образца ВПО. Мы подозреваем, что часть инфекций, возможно, использовала механизм обновления бухгалтерского ПО, известного в Украине, под названием MeDoc, что косвенно подтверждается самим производителем MeDoc и коллегами-исследователями. Talos продолжает поиск изначального вектора атаки.читаем здесьВо-первых, именно нас, то есть компанию Cisco и ее подразделение Talos (про него я уже упоминал тут, но, видимо, придется рассказать чуть больше, что это за подразделение), пригласили участвовать в официальном расследовании происходящего в Украине, а писать о результатах следствия до его окончания мы, понятно, что не имеем возможности. Да и после окончания следствия не все его результаты будут опубликованы.
следим за хабом на хабре почти все вверху материалы сейчас о пете
следим за хабом на гиктаймс почти все вверху материалы сейчас о пете
и по теме раздела
В США хотят запретить «Касперского»
Приехали. В США собрались запретить «Лабораторию Касперского», поскольку работники компании, бывшие военные, якобы могут шпионить за американскими госструктурами.
читал тут
Нарешти до идиотов дошло только поздно
Последний раз редактировалось shmargen; 30.06.2017 в 09:28.
«Доктор Веб»: M.E.Doc содержит бэкдор, дающий злоумышленникам доступ к компьютеру
BackDoor.Medoc.1 описание в базе
дожились
сколько нужно лет было трясти этих дегенератов в киеве чей программный продукт вдумайтесь в каждой конторе
сервера изьяты уголовное дело заведено а они как школьники что винду ставят мы не виноваты оно само
Последний раз редактировалось shmargen; 04.07.2017 в 22:21.
Здається мені що дрвеб просто передрукував це - https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/ Там воно раніше з'явилось, ті й інформації набагато більше.
Последний раз редактировалось maxx™; 04.07.2017 в 23:01.
Так це відомо дуже давно. Знати можна тільки те, що є у базах. Тобто завтра хтось перепише петю - все, його теж ніхто не знайде, бо сігнатур немає.
Опис крок за кроком що може бути вражено, та як захиститися. https://blogs.technet.microsoft.com/mmpc/2017/06/29/windows-10-platform-resilience-against-the-petya-ransomware-attack/
тогда и я оставлю нужное: утилиты для декриптинга пети/непети
Leostone: https://goo.gl/L8EuTZ
��Его Сайт для пораженных ПК: https://goo.gl/GFufVC
��Fabian Wosar: https://goo.gl/9jegYF
��Его программа: https://yadi.sk/d/z5NTtsBN3KaY4C
и MBRFilter
если не понятно найдете описание
если ничего не понятно вам оно не нужно и опасно
Последний раз редактировалось shmargen; 04.07.2017 в 23:09.
Сайт не работает с 2016 года, утилита работает только с первой версией Пети. Та, которая атаковала в конце июня - уже вторая версия, переработанная и дополненная.
В инете есть куча статей с разбором кода вируса. СБУ, Касперский, Майкрософт, Симантек заявляют, что вирус шифрует данные без возможности восстановления.
Так а что конкретно шифруется ? Только системный раздел или все разделы на диски / диск целиком ?
Если скажем есть два раздела (primary boot и logical) - оба будут зашифрованы или только системный ?
неверно все не мыслите вы как ониони задались целью уничтожить данные
шифрование или удаление было чтобы скрыть следы и деньги им действительно не нужны с учетом того какая инфа ушла после работы других модулей
настоящую работу выполнял mimikatz
это вообще была разведка
сейчас сидит 1к народа и анализирует тот дамп что они собрали для уже точечного удара
но будет он попизже
Livesms тебе что лень самим прочесть ресурсы ?
чтобы долго не продлилась шифровка
ограничение поставили на глубину пути то есть глубина заглубления и даже не шифровать файлы определенного размера
портят заголовок к примеру но сам файл обходится так как большой
это кстати некоторым помогло восстановить базы почтовые pst что не тронули но чинится встроенной утилитой для сервиса почтовой базы
Последний раз редактировалось shmargen; 06.07.2017 в 01:02.
Petya шифрует MFT для разделов NTFS, перезаписывает MBR + шифрует файлы на всех жестких дисках. Файлы для шифровки выбираются по расширению:
3ds, 7z, accdb, ai, asp, aspx, avhd, back, bak, c, cfg, conf, cpp, cs, ctl, dbf, disk, djvu, doc, docx, dwg, eml, fdb, gz, h, hdd, kdbx, mail, mdb, msg, nrg, ora, ost, ova, ovf, pdf, php, pmf, ppt, pptx, pst, pvi, py, pyc, rar, rtf, sln, sql, tar, vbox, vbs, vcb, vdi, vfd, vmc, vmdk, vmsd, vmx, vsdx, vsv, work, xls, xlsx, xvd, zip.
В этом списке нет расширения картинок, например, *.jpg, *.png. Эти файлы вирус не шифрует.
В LiveCD диск С отображается как диск с файловой системой RAW, вытащить с него зашифрованные файлы можно с помощью утилит для восстановления данных, например, R-Saver. Для остальных дисков файловая система отображается нормально, зашифрованные файлы взять с них можно с помощью обыкновенного копирования. *.doc, *.docx в Word не открываются, утилитами для восстановления Word файлов починить их не удалось.
скоро можно будет сценарий фильма писать
************************************************** **************
Ответственные за распространение вируса Petya хакеры смогли вывести почти четыре биткоина (около 10 тысяч долларов) со счета, на который жертвы отправляли выкуп. Об этом сообщает Motherboard.
За несколько минут до перевода злоумышленники отправили небольшую сумму на счета сервисов Pastebin и DeepPaste, которые используются для публикации текстов. Перед этим на Pastebin появился анонс, в котором неизвестные предлагали продать ключ для расшифровки всех зараженных файлов за 100 биткоинов (около 256 тысяч долларов).
В сообщении содержалась ссылка на чат, в котором можно было связаться с авторами. При этом неизвестные не оставили никаких номеров биткоин-кошельков.
Журналисты Motherboard зашли в чат и попытались получить доказательства того, что у хакеров есть ключ, но те так и не смогли этого сделать.
4 июля эксперты компании ESET сообщили, что установили связь между распространением вируса Petya и хакерской группировкой Telebots. Но кто стоит за деятельностью этой группировки, в настоящее время узнать не удалось.
************************************************** ****************
Неизвестные предложили ключ для дешифровки всех зараженных вирусом Petya компьютеров в обмен на 100 биткоины (около $ 256 000). Эксперты считают заявление хакеров троллингом. На это обратило внимание издание Motherboard.
Во вторник, 4 июля, владельцы биткоины-кошелька, на который авторы вируса просили присылать по $ 300 в биткоины для расшифровки файлов, впервые вывели из него средства - в общей сложности более $ 10 000, которые накопились в кошельке с момента распространения вируса 27 июня.
Также с кошелька были проведены две небольшие транзакции в пользу сайтов Pastebin и DeepPaste, которые позволяют публиковать текстовые сообщения и иногда используются хакерами для различных объявлений.
Через 11-12 минут после транзакций в даркнет сайте DeepPaste, доступном через Tor, появилось сообщение с пометкой #NotPetya # Petya.A, в котором за 100 биткоины предлагался определенный ключ для дешифровки компьютеров. Авторы сообщения также разместили ссылки на файлы, подписанные якобы индивидуальным ключом вируса.
Позже журналисты с помощью неназванного эксперта в сфере кибербезопасности отправили авторам чате зашифрованный вирусом текстовый файл с просьбой расшифровать его - то есть доказать, что у них действительно есть ключ для дешифровки. Расшифрован файл, однако, журналисты так и не получили, а позже чат оказался закрытым.
Французский эксперт по инфобезопасности, глава Comae Technologies Мэтт Суиш считает, что хакеры просто "троллей журналистов". По его мнению, они просто хотят запутать общественность, убедив всех, что Petya - все вирус-шифровальщик, а не вирус-вайпер (чья цель - уничтожить информацию). Сам эксперт уверен в обратном.
Как ломали Медок, для того чтоб распостранить Petya. http://blog.talosintelligence.com/2017/07/the-medoc-connection.html статья на английском.
Последний раз редактировалось iod; 06.07.2017 в 18:35.
Не все так просто с Petya
https://geektimes.ru/post/290779/
In dubio pro reo
Я им тоже пользовался , а перед этим NOD 32 ,
но всё это фигня ,
никакие антивирусы не защищают от вездесущих mail.ru , ложных флешплееров ,
а также зловредных рекламных агентов всеможможных казино , типа этого :
которые шастают по компу как у себя дома ,
не в попад выскакивают НА ВЕСЬ ЭКРАН , даже во время просмотра кинофильма ,
и не производят на антивирусы никакого впечатления .
У меня только :
, - успешно уничтожал эту гадость на уже заражённом компе ,
и не допускал возникновения в предь .
На мои вопросы на разных форумах , почему антивирусы не реагируют на агресcивную политику mail.ru c его язвимыми матастазами ,
мне отвечали , - а почему антивирус должен считать mail.ru вирусом ?
только Malwarebytes не разделял их мнение , а успешно херачил матастазы mail.ru и его подобных .
Антивирусы мышей не ловят ,
ловят всякую фигню безобидную и сажают её в карантин ,
а то что действительно мешает жить , - запросто пропускают как родного .
Последний раз редактировалось RU$L; 06.07.2017 в 21:36.
RU$L приручай всех к Unchecky
Социальные закладки