Вирус Petya.A в стране
Ссылка из комментариев с регулярными апдейтами:
ain.ua/...-po-vsej-ukraine-onlajn-2
strana.ua/...onlajn-obnovlyaetsya.html
ru.tsn.ua/...-i-kievenergo-885615.html
UPD: процитирую сообщение от Tim Tretyak (dou.ua/users/tim-tretyak)
Давайте коротенько суммирую по итогам информации на сегодня:
1. Изначальный вектор распространения рансомвари — обновления программы m.e.doc. Невзирая на то, что сами они это отрицают, статистика на конец дня четко показывает, что заражены все сервера m.e.doc, обновлявшиеся в течение последних недель. Или иными словами — пока не найдено ни одного незараженного сервера данной программы.
2. По локалке рансомварь распространяется как минимум двумя способами — через старый добрый MS17-010 и открытие клиентом документа с CVE-2017-0199 на недопатченных машинах и, что более интересно, с помощью простого копирования пэйлоада на шару c$ с последующим выполнением по WMI или psexec.
3. Второй способ распространения объясняет каким образом были заражены полностью патченные машины. Также на момент распространения хорошо перепакованый пэйлоад CVE-2017-0199 не ловился практически никакими антивирями (да и сейчас не ловится).
4. Рансомварь имеет таймбомбу. Т.е. активировалась сегодня утром по таймеру. Что создает некоторые дополнительные напряги с определением точного времени ее загрузки.
5. Вишенка на торт (с хабра) — несколько недель назад было обновление медка, после которого он перестал работать и в качестве решения саппорт рекомендовал перезапустить его от админа домена.
6. По другим источникам в рансомварь встроен тул вылавливания паролей из памяти зараженной машины, однако эта информация еще требует подтверждения.
7. Каким способом рансомварь попадает в сети, где нет медка, пока точно неизвестно.
UPD: от dou.ua/...ers/alexander-velichko-2
We saw the first infections in Ukraine, where more than 12,500 machines encountered the threat. We then observed infections in another 64 countries, including Belgium, Brazil, Germany, Russia, and the United States.
Initial infection appears to involve a software supply-chain threat involving the Ukrainian company M.E.Doc, which develops tax accounting software, MEDoc.
Исходя из того, что я понял, вирус поражает машины на системе Windows, в т.ч. Win 10
Ребят, кто что знает?
Найкращі коментарі пропустити