Криптолокеры поразили огромное количество банковских, государственных и частных организаций Украины. Злоумышленники шифруют данные и требуют выкуп за расшифровку.
На данный момент под ударом находится масса крупных предприятий Украины, включая государственные органы и такие важные организации, как Киевэнерго и аэропорт Борисполь.
Это страница штаба
Нужна информация о государственных объектах!
РЕКОМЕНДАЦИИ:
Если Вы еще не заразились:
- Не открывайте прикрепленные файлы в письмах, даже от солидных компаний.
Если Вы уже заражены:
- Заполнить ФОРМУ -
- Снять 1-2 образов диска пораженной машины с помощью linux dd, rescue для анализа – есть большой шанс что можно расшифровать файлы, у нас есть эксперты.
- Если не понятны эти два пункта выше — передайте информацию тех специалистам. Нам очень нужны эти образы!
Следим за обновлениями тут
18.30 Забираем один из пострадавших компьютеров. Везем технарям. Будем искать антидот.
19.10 информация из Запорожья.
"Добрый день. Касательно сегодняшней атаки. Также на данный момент лежат (по Запорожью) горсовет, облсовет, городская и областная администрации, Запорожсталь, Днепроспецсталь, Запорожтрансформатор, Хлебодар (хлебокомбинаты)."
21.00 Нужны зараженные ноутбуки в Киеве. Особенно ценны экземпляры которые заразились но еще не перегружались. Заедем, заберем и вернем как минимум в том же виде или разблокируем. Хуже точно не будет! Буду признателен за контакты. Можно писать сюда или на FB или на емеил.
21.50 Киберполиция опубликовала первые данные. Один из векторов атаки был бухгалтерский софт M.E.doc. - детальнее на Украинском тут
22.40 Все заинтересованные стороны нашли друг друга. Дальше начинается анализ и коммерция. Штаб можно закрывать. Угрозы национального уровня нет. Всем спасибо кто откликнулся и помог разобраться. Хакерам отдельный респект за то что помогли раскрыть глаза миллионам на проблему централизованных систем и слабости системы власти. Блокчейн рулит. Завтра будем собирать камни и делать выводы.
Найдено решение как защитится от атаки
Исследователь Cybereason Амит Серпер (Amit Serper) создал своего рода «вакцину» от Petya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем. Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:\Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT Security, TrustedSec и Emsisoft.
Таким образом, чтобы «вакцинировать» свое устройство от атак Petya стоит не только установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика, но и создать в директории C:\Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only). Источник
чат Bitcoin & Blockchain Community Belarus от Sch
можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241
Как временная мера сойдёт я думаю
Пока дыру не пропатчили
увидел в твиттере: платить бесполезно, ящик заблокирован
@kuna, откуда взялась вторая волна? Вроде бы все патчи уже были выпущены даже на XP, а на 7-ку и 10-ку давным давно. Поражены компы с необновленной ОС или нашли новую дырку?
сайт киберполиции тоже лег
http://cybercrime.gov.ua/
Мда
@kuna Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп@kuna! В компании метинвест, уже не один раз, такие атаки были((( Все компьютеры выходили из строя и терялась информация! Криптолокеры постарались от души! Спасибо за важный пост!
@kuna, Поздравляю!
Ваш пост был упомянут в моем хит-параде в следующей категории:
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
gidlark, litrbooh, ukrainian, neo, andrvik, oleg257, vasyl73, genyakuc, elviento, dr-boo, lenarius, infa, politicua, akcent, ladyzarulem, gromozeka, lira, gryph0n, gogo.tattoo, karusel1, zivchakh, olgabobkovafoto, oksana0407, vika-teplo, borisss, myhardmoney, bammbuss, talia, generationg, lispir
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
Здесь пишут в комментах, что вирус из фейсбука. Это так?
Пожалуй, есть смысл забыть о Фб на какое-то время.
Есть смысл забыть о ФБ навсегда и вирус тут ни при чём ;-))
Если эта штука распространяется только по почте то не вижу особых проблем. Но вряд ли это так.
Вообще кто открывает такие файлы на работе, даже не обращая внимание что там есть, им следует надавать по ушам. Чем больше тем лучше. Полная профнепригодность.
Хорошо, что вы предупредили нас про почту, @kuna.
А какие ещё есть пути распространения этого вируса?
компьютер не выключать
вот отсюда скачать утилиту она сканирует оперативную память и если повезет извлекает ключ которым зашифрованы файлы
https://github.com/gentilkiwi/wanakiwi/blob/master/README.md
удачи
так это лечение от Wannacry. отношение к ситуации не имеет
программка просто ищет в памяти процесса 2 простых числа которые являются приватным и публичным ключом. Работает с любым шифровальщиком ... если только ключи остались в памяти.
Крайне важное сообщение, @kuna.
Наш Картель поддержит вас репостом.
Ссылки нет, где "тут" следить за обновлениями. Или тут в посте?
тут это тут