про медок и холодок
Jun. 28th, 2017 04:20 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
gb0https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
Список жертв впечатляет – украинские банки и опсосы, роснефть, маерск, мерк and counting. Как и механизмы распространения – credentials reuse and user-elevation, кучка эксплойтов и кажись спам. А началось все со взлома серверов обновления me.doc, который, как я понимаю, добрые украинские мытари не без коррупции пихают всем бизнесам.
Интересно, что сделали бы с коррупционерами, которые держат лавочку "интеллект-сервис" (разрабы/распиливатели me.doc) при царе Хаммурапи?
Увидит если кто такое – вырубайте нафик комп, загружайтесь с USB/liveCD, файлы будут целые.
А то будет так:
или так:
И тогда всем ценным файлам на компе будет звиздец.
On a side note, пишут, что размер ключика RSA, которым шифруют per-file/per-machine ключи AES – всего 100байт/800бит. Интересно, cмогут ли 800бит забрутфорсить...
Upd: рекомендуют среди прочего https://www.talosintelligence.com/mbrfilter – средство ограничения записи в MBR.
Upd2: (h/trampitec ) Пишут, что от некоторых версий вируса можно просто создать файл %WINDIR%\perfc без расширения, и тады вирус не будет ничего шифровать. Вакцина-с. :
https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Так же предлагают создать read-only %WINDIR%\perfc.dat and %WINDIR%\perfc.dll (например, c:\windows\perfc.dat и c:\windows\perfc.dll)
Список жертв впечатляет – украинские банки и опсосы, роснефть, маерск, мерк and counting. Как и механизмы распространения – credentials reuse and user-elevation, кучка эксплойтов и кажись спам. А началось все со взлома серверов обновления me.doc, который, как я понимаю, добрые украинские мытари не без коррупции пихают всем бизнесам.
Интересно, что сделали бы с коррупционерами, которые держат лавочку "интеллект-сервис" (разрабы/распиливатели me.doc) при царе Хаммурапи?
Увидит если кто такое – вырубайте нафик комп, загружайтесь с USB/liveCD, файлы будут целые.
А то будет так:
или так:
И тогда всем ценным файлам на компе будет звиздец.
On a side note, пишут, что размер ключика RSA, которым шифруют per-file/per-machine ключи AES – всего 100байт/800бит. Интересно, cмогут ли 800бит забрутфорсить...
Upd: рекомендуют среди прочего https://www.talosintelligence.com/mbrfilter – средство ограничения записи в MBR.
Upd2: (h/t
rampitec ) Пишут, что от некоторых версий вируса можно просто создать файл %WINDIR%\perfc без расширения, и тады вирус не будет ничего шифровать. Вакцина-с. :https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/
Так же предлагают создать read-only %WINDIR%\perfc.dat and %WINDIR%\perfc.dll (например, c:\windows\perfc.dat и c:\windows\perfc.dll)
no subject
Date: 2017-06-28 02:21 pm (UTC)no subject
Date: 2017-06-28 02:24 pm (UTC)