про медок и холодок

[gb0]

https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Список жертв впечатляет – украинские банки и опсосы, роснефть, маерск, мерк and counting. Как и механизмы распространения –  credentials reuse and user-elevation, кучка эксплойтов и кажись спам. А началось все со взлома серверов обновления me.doc, который, как я понимаю, добрые украинские мытари не без коррупции пихают всем бизнесам.

Интересно, что сделали бы с коррупционерами, которые держат лавочку "интеллект-сервис" (разрабы/распиливатели me.doc) при царе Хаммурапи?


Увидит если кто такое – вырубайте нафик комп, загружайтесь с USB/liveCD, файлы будут целые.

А то будет так:

или так:

И тогда всем ценным файлам на компе будет звиздец.

On a side note, пишут, что размер ключика RSA, которым шифруют per-file/per-machine ключи AES – всего 100байт/800бит. Интересно, cмогут ли 800бит забрутфорсить...

Upd: рекомендуют среди прочего https://www.talosintelligence.com/mbrfilter – средство ограничения записи в MBR.

Upd2: (h/t rampitec ) Пишут, что от некоторых версий вируса можно просто создать файл %WINDIR%\perfc без расширения, и тады вирус не будет ничего шифровать. Вакцина-с. :
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Так же предлагают создать read-only %WINDIR%\perfc.dat and %WINDIR%\perfc.dll (например, c:\windows\perfc.dat и c:\windows\perfc.dll)

Comments

[ratomira]

Охбля... А я в отпуске, только вчера вернулась в Украину, и даже не слышала про такое...

[gb0]

Lucky you :) Впрочем, я так понимаю – что последствия бывают видны в банкоматах и супермаркетах.

[rampitec]

Вот пишут, что можно положить readonly файл C:\Windows\perfc для предотвращения последствий заражения.

https://www.wordfence.com/blog/2017/06/petya-ransomware/

[gb0]

да, я такое тоже читал. Hе нашел пока вируса на поиграться in person. Обновил пост. thanks.

[1master]

Чойто они в этом фильтре ничего не пишут про совместимость с битлокером. Даже пробовать ссыкотно. Т.е. понятно, что можно бэкап достать, но это же много часов коту под хвост.

[rampitec]

А вообще, конечно, ССЗБ. Бэкап решает. Не такой, который в состоянии суперпрзиции, восстановится или нет, а такой... нормальный.. Т.е. если у меня сдохнет винт. Сам сдохнет, сгорит синим пламенем, а не зашифруется вирусом, я что делать буду? Ну у меня есть бэкап важных каталогов на строедже, часть бэкапа под version control, остальное методом rsync. Этот бэкап и часть важной инфы с собственно стореджа еженедельно бэкапится на винт, который остальное время проводит отключенным от всего в сейфе. Важное, но не конфиденциальное хранится еще и в облаке. Конфиденциальное тоже, но в зашифрованном архиве. Если мой дом вместе с сейфом провалится в Тар-Тар, мне будет хреново, но тот бэкап еще хранится на сторедже на другом континенте. Все резервирование, кроме как на винт в сейфе, делается автоматически, я не могу забыть его сделать. Вот почему я делаю так, а банки, например, нет? Потому что я храню свою инфу, а они чужую?

И вот еще. В 90-х многое из этого было недоступно. Ну так теже бэкапы были на магнитооптике. До сих пор где-то лежат. Недавно я отправил в шрёдер аналогичный бэкап на CD от середины 2000-х, дисков 150.

[gb0]

законы об обработке ПД в ЕС и xUSSR принципиально исключают иностранные (вне ЕС для ЕС) облака. Почему просто нет бэкапов и автораскатывания машин по сети – аллах ведает :(