РУС
10731 посетитель онлайн
Глава киберполиции Демедюк о вирусе Petya: "Субъекты, которые соглашались заплатить, так и не получали никакого кода"
Разработчики компьютерного вируса Petya не дают владельцам зараженных компьютеров код разблокирования даже после уплаты требуемых денег.
Как сообщает Цензор.НЕТ, об этом заявил начальник департамента киберполиции Национальной полиции Украины Сергей Демедюк в эфире "1+1"."Субъекты, которые соглашались заплатить, так и не получали никакого кода, который бы мог расшифровать пострадавшие файлы", - сказал он. "Люди, которые пошли на сделку с преступниками, заплатили до 14 тыс. долларов", - добавил Демедюк.
Напомним, 27-29 июня серверы многих государственных учреждений и коммерческих структур в Украине подверглись масштабной кибератаке. Вирус Petya зашифровывает все файлы на компьютере и требует выкуп за их расшифровку.
Топ комментарии
предтечею віруса -вандала був вірус -шантажист..
кацапам ,звичайно ,вандалізм куди ближчий...
а тем кто открывал левый файлы или письма нужно высчитать с зарплаты урон нанесенный бездумными дейтсвиями
Атака во вторник была вызвана вирусом, схожим с вирусом-вымогателем, что произвел опустошение в мире менее чем два месяца назад. Но в случае Украины причиной мог стать более зловещий мотив - паралич жизненно важных компьютерных систем страны, сообщает корреспондент со ссылкой на заявления в среду экспертов по кибербезопасности. "И многие украинцы подозревают Россию", - говорится в статье.
"Аргументация экспертов основывается отчасти на идентификации группы украинских пользователей, которые изначально, невероятным образом, подверглись атаке: бухгалтеры, занимающиеся налогами, - пишет Крамер. - Все они по закону обязаны использовать программу, разработанную украинской компанией, M.E.Doc. В среду компания Microsoft опубликовала заявление, что она "теперь располагает свидетельством, что немногие случаи активного заражения вирусом-вымогателем изначально начались с правомерного процесса обновления M.E.Doc".
"Эксперты по кибербезопасности отметили: кто бы ни запустил атаку накануне праздника, отмечающего независимость Украины, он должен был знать, что программное обеспечение M.E.Doc, интегрированное в украинские правительственные компьютеры, было для них возможностью попасть внутрь", - говорится далее. "Беспричинно не атакуют за день до Дня Конституции", - заявил газете Крейг Уилльямс, специалист из Talos, подразделении Cisco, американской технологической компании.
Главным подозреваемым считают Россию, поскольку она была вовлечена в открытую и тайную войну с Украиной со времен революции 2014 года, которая свергла прокремлевское правительство, говорится в статье. Если целью нападающих было посеять хаос на высочайших уровнях на Украине, M.E.Doc подошло идеально: это программное обеспечение не только широко установлено в правительственных учреждениях и банках - оно является обязательным для многих украинских предприятий и правительственных органов."
але у когось там музичка, хтось крадені там кацапами фільми дивиться.
Медок не виключення.
Оскільки там програмери -НЕДОСВІЧЕНА ШКОЛОТА,Вони навіть листи не у "пісочниці" відкривають.
Вірус знайшов "слабоє звєно" - і вліз у оновлення..
Зрозуміли причину поширення вірусу саме звідси !?
ЖЛОБСТВО Керівництва фірми медок.Які поскупились на досвіченого спеціаліста з захисту..
но подозреваю, что намного меньше, остальные транзакции "сам себе", для "поднятия уверенности лохов".
Вчера звонили благодарные клиенты, которых я несколько лет назад переводил на Линукс
НІ, ВСЕ ТАКИ САМЕ ШИФРУВАННЯ,тому не придумуйте те,чого немає..
Ай яй яй
Значит все-таки РФ меньше всех пока пострадала и это при том что вирус уже и до Австралии добрался... Ну-ну, не палится раша, так не палится...
вводная здесь: https://www.ptsecurity.com/ru-ru/about/news/283092/?utm_source=Site&utm_medium=slider&utm_content=Petya коммерческая контора )
- изначальная/первичная активация в подсети (внутренней IP-сети) предприятия происходит путём запуска вложения (требует уточнения, xls/doc/rtf/xlsx etc) в почте, по ссылке, иными путями (носители), либо обновления бухгалтерского ме.док (подмена днс-сервера/сервера обновлений ме.док/настроек приложения - версия/изначально инфицированного).
- вложение/обновление использует уязвимость реализации сетевого протокола netbios от майкрософта (в данном случае), доменной WMI, возможно RPC, RDP? и т.п. работа с портом доступна практически в любом офисном приложении, поддерживающем макросы или подобный механизм работы с ОС/вызова внешних процедур, powershell, psExec и т.д.
- суть уязвимости - путём переполнения буфера запросов по порту (-ам SMB v1 v2 137,139, 445, прочим?! WMI / RPC 135, 593? ) последующая возможность после ексепшна на стороне атакуемого хоста, - выполнения кода / передачи указателя на запуск начала кода, переданного в "переполненный" буфер. при этом уже дальнейшие действия выполняются уже от прав локального администратора/учетной записи system. т.е. никоим образом не влияют политики/разрешения/запреты - все по реализации RFC TCP/IP от майкрософта. частично експлоит описан здесь:
- далее, после получения прав локального администратора саморазвивающийся механизм имеет доступ к хешу паролей локальных пользователей, когда-либо проходивших авторизацию на скомпроментированном хосте / mimikatz - это необходимо для размножения - судя по всему какими-то LDAP-запросами для получения е-мейлов пока что механизм не владеет, видимо предполагается заражение контроллеров доменов - этого достаточно.
- запись в шедулер принудительной перезагрузки хоста выполняется для вывода информации об авторах / адреса кошелька биткоина, при этом в случае успеха криптования раздела(-ов?) - повторно не выполняется, в случае неуспеха получения полных прав (противоречит п.выше) - запускает подпрограмму шифрования, визуально симулируя чекдиск.
- шифрование списано чужое, суть - шифрует AES (раздел/все локальные диски/файлы по маске), ключ которого затем шифруется алгоритмом RSA хз битности, публичный ключ выводится в сообщении. (расшифровывает ли затем введенный ?личный ключ? - нет информации)
--- вобщем, нарисовал кратко для тех, кому лень гуглить. не претендую на форензика.
методов борьбы, кроме как временного ограничения сервисов не вижу, ну и не моё это дело.
ȠpuŦyƛA-С ретвітнув(ла) Sergey Prach
WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым
Обыск СБУ в офисе провайдера WNet
Решил поковыряться в сетевой структуре сервиса M.E.Doc, через который был заряжен вирус #Petya, поразивший значительную часть компаний в Украине.
Для начала посмотрел какие IP-адреса стоят за сервисом обновлений upd.me-doc.com.ua. Оказалось что такую большой банк инсталлированных приложений обслуживает только один хост:$dig -t any upd.me-doc.com.ua; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.62.rc1.el6_9.2 <<>> -t any upd.me-doc.com.ua
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39676
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 10;; QUESTION SECTION:
;upd.me-doc.com.ua. IN ANY;; ANSWER SECTION:
upd.me-doc.com.ua. 59 IN A 92.60.184.55;; AUTHORITY SECTION:
com.ua. 66991 IN NS ho1.ns.com.ua.
com.ua. 66991 IN NS nix.ns.ua.
com.ua. 66991 IN NS ba1.ns.ua.
com.ua. 66991 IN NS k.ns.com.ua.
com.ua. 66991 IN NS sns-pb.isc.org.
Ой, что это? Для обновления сотен тысяч копий инсталляций Медка используется всего один хост - 92.60.184.55. Я конечно понимаю, что за одним хостом может стоять целый парк серверов. Но есть еще один важный момент - TTL записи равен всего 60 секунд ( на скрине видно 59 сек, потому что 1 сек заняло получение ответа от dns-сервера). Такой маленький TTL будет провоцировать огромное количество запросов на dns-сервера, потому что он практически не кэшируется - срок жизни в памяти кэширующего dns-сервера будет составлять всего 30 сек.В мире Интернета не принято критически важные сервисы вешать на один хост. Например, для обслуживания dns-записей должно быть не менее 2х хостов, и желательно физическое расстояние между ними - не менее 200 км.
Вітекающий обощенный вопрос: зачем такому критичному сервису использовать такие очень критичные для стабильности показатели - всего 1 хост и с таким коротким временем достоверности 30 сек (половина от TTL 60 сек)?
Ответ пока в голове только один - что бы в случай чего быстро закрыть хост и отказать в обслуживании, попросту - быстро смыться и унести ноги.Ок, идем дальше, а на чьей площадке располагается этот хост для обновления такого критичного приложения, как M.E.Doc:whois 92.60.184.55
[Querying whois.arin.net]
[Redirected to whois.ripe.net]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.% Information related to '92.60.184.0-92.60.184.255'% Abuse contact for '92.60.184.0-92.60.184.255' is ''inetnum: 92.60.184.0-92.60.184.255
netname: Wnet-Kiev-COLO
descr: Kiev colocation
country: UA
admin-c: WNET2-RIPE
tech-c: WNET2-RIPE
status: ASSIGNED PA
mnt-by: WNET-MNT
created: 2011-01-04T13:40:08Z
last-modified: 2011-01-04T13:40:08Z
source: RIPErole: W NET NOC
address: Wnet LLC
address: Bohdana Khmelnitskoho 50-b
address: Kyiv, 01030
address: Ukraine
phone: +380 44 5900800
fax-no: +380 44 2892817
abuse-mailbox:
remarks: ********: http://support.wnet.ua
remarks: ********:
Ба, знакомые все лица - это же WNet, которого недавно трусило СБУ ))) Именно тот WNet, которого поймали на левых интернет-канал в Крым. Ну конечно мы верим что это чисто коммерческий контракт был и ФСБ абсолютно никакого отношения к этому интернет-каналу отношения не имел, а WNet никакого сотрудничества с ФСБ РФ не вел ))).Ау, WNet - неужели мы давали повод считать себя идиотами?
Интелект-Сервис «крест на пузе» клянется, что никаких апдейтов с вирусами он не выкладывал. Окей, я лично - верю. Потому что им и не надо было выкладывать. За них это сделали админы дата-центра WNet.
Они просто в нужный момент перекинули трафик с одного хоста на другой, подставной. Всего на 2-3 часа. А потом вернули маршруты в изначальное состояние. Могли даже перебрасывать не весь трафик, а только тот, который касался выгрузки файлов с завирусяченным апдейтом. Тогда даже статистика запросов к серверу upd.me-doc.com.ua ничего не выдаст.
Итого: идеальное кибер-преступление.
Никаких следов, никаких взломов, никаких логов, предьявлять - нечего.
Идеально, но кроме одной мелочи. Если сопоставить лог обновления медка с зараженного, но восстановленного компьютера, с логами на серверах обновления медка, то легко будет выявить разницу - на бухгалтерском компьютере будут записи о скачке апдейта с вирусом, а на серверах медка таких обращений не будет. А это будет однозначным подтверждением того, что WNet «вмочил свои рога» в эту атаку по полной.
Напомню, что во второй половине марта Украина уже пережила одну атаку вируса XData. И тогда словацкая компания ESet обвинила в распространении этого вируса M.E.Doc через свои апдейты. Подробнее читайте здесь: https://ain.ua/2017/05/24/vse-pro-xdata-poka
Скорее всего то была пробная попытка использовать их сервис обновлений для распространения вируса. После этого они просто решили «поднакопить силы», что бы ударить массово, в строго определенное время.
Пропаганда и бред. Это на уровне обвинить майкрософт потому что вирус использует уязвимость виндовса. На уровне как по зомбоящику киберполиция ищет ключ-дешифратор))))) который не возможно найти так как метод шифрования слишком сложный.
- изначальная/первичная активация в подсети (внутренней IP-сети) предприятия происходит путём запуска вложения (требует уточнения, xls/doc/rtf/xlsx etc) в почте, по ссылке, иными путями (носители), либо обновления бухгалтерского ме.док (подмена днс-сервера/сервера обновлений ме.док/настроек приложения - версия/изначально инфицированного).
як тільки СБУ "накрило "WNET я писав про глобальну ПРОБЛЕМУ -російські власники провайдерів Інтернету в УКраїні(однозначно співпрацюють ФСБ).
ЦЕ ЗАГРОЗА НАЦІОНАЛЬНІЙ БЕЗПЕЦІ.
тобто WNET ,ВНАСЛІДОК НЕПРОФЕСІОНАЛІЗМУ СБУ зумів виконати "команду" з Кремля.
можливо навіть без прямої участі "команди професіоналів" ..
Ось і можна перевірити СБУ на "вошивість" )).Є підозра ,що хтось попробує даний факт "спустити на гальмах"..
ВСІ антивірусники працють ПО ФАКТУ.
після випуску вірусу.
Скільки компів в організаціях ставлять оновлення вчасно ?
відсотків 10 -ть ?
Обладает повадками типичного быдла: неспособность планировать ближайшее будущее, неспособность осознать уровень своей тупизны, полная невозможность не переть в открывшуюся дырку, а сначала сообразить, как оттуда выбираться обратно. Стремление сожрать всё вокруг, причем прямо сейчас.
Лучшей приманкой для ловли лохов издавна служат понты и халява. Выпасом, дойкой и гуртованием лохов занимаются лоховоды."(Лурк)
https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX?sort=0
Число транзакций 46
Всего получено $ 10,001.71
Итоговый баланс $ 10,001.71
и где 14к?