Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, alpha21264, Вы писали:

A>>Там ещё три блока есть, которые не бабахнули.
A>>Какое то время они стояли отключенными, но сейчас снова работают.

Ops>Да? Я думал их тоже закрыли, окончательно.

Не, похоже я обманул.
Там работают люди, в том смысле, что поддерживают реакторы в безопасном состоянии
Но электричество они не вырабатывают.

Ops>Т.е. даже не из реакторов, а уже и из бассейнов все выгрузили. А ХОЯТ вряд ли сильно зависимо от компьютеров, я может не копенгаген, но вроде оно там должно и без обслуживания нормально лежать, максимум, вирус мог учет попортить.
Скорее всего так и есть. Но народ на всякие происшествия на объектах, связанных с радиацией, реагирует нервно, поэтому всегда сообщают, что утечки радиации не произошло, типа успокойтесь, всё ОК.

Здравствуйте, PavelCH, Вы писали:

M>>У вас вирус-вымогатель во главе государства сидит. И, что характерно, тоже Петя
PCH>А у вас не сидит?

Нет

Здравствуйте, Igore, Вы писали:

M>>Сколько лошар
I>А так смешно?

Ага

Здравствуйте, bomsh, Вы писали:

B>В каждую папочку вирус положил текстовый файл с описанием что делать и контактами. В сети нашел инфу, что пострадавшим из СНГ расшифровка бесплатна.
B>Написал им, сказал, что из РФ. Они в ответ: а что не по русски пишешь? В общем, прислали в итоге ключ, декодер и даже howto.
Far что-ли?

Вроде устанавили, что для распростронения Petya-и, используют теже дырки что и для WannaCrypt.
Поэтому, кто ещё не сделал Update, рекомендуют вот здесь, срочно поставить MS17-010.

Здравствуйте, Ops, Вы писали:

Ops>На пиратку обновления отлично приходят и ставятся

В пиратках они обычно отключены по дефолту.

Ops>, а для неподдерживаемых версий патчи конкретно от этих уязвимостей выложены в свободный доступ на сайте MS.

Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов.

Здравствуйте, Ночной Смотрящий, Вы писали:

НС>В пиратках они обычно отключены по дефолту.

Да ладно? Я когда на пиратке жил, всегда ставил официальный образ, плюс активатор. Или речь про Zver и подобное? А какова доля таких?

НС>Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов.

Да это любой рукожоп-эникейщик может, тем более, шуму было много.

Здравствуйте, Ops, Вы писали:

НС>>Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов.
Ops>Да это любой рукожоп-эникейщик может, тем более, шуму было много.

От может до хочет большая дистанция.

Здравствуйте, andyp, Вы писали:

A>

	Картинка
	A>Image: DDWaaNzWAAI7hZu.jpg

A>800 wchar-ов в стеке — не вопрос.

Да ладно, в Винде того стека — целый мегабайт, чего там экономить? Но мешанина из WCHAR и прочих объявлений и явных вызовов Unicode-функций выглядит непривычно. Ну и автор закладывается на размер имени файла. На NTFS, ЕМНИП, может быть 65535 символов, нет? Даже если не символов, а байт, все равно рвануть может. Все, как в старые добрые. Там иногда вирусы себя при запуске программ копировали в старшие адреса, никак не прикрываясь. Говорю же, дятел писал.

Здравствуйте, Privalov, Вы писали:

P>На NTFS, ЕМНИП, может быть 65535 символов, нет? Даже если не символов, а байт, все равно рвануть может. Все, как в старые добрые. Там иногда вирусы себя при запуске программ копировали в старшие адреса, никак не прикрываясь. Говорю же, дятел писал.

Ни разу не виндовый гуру, но имхо если без спец. префикса "\\?\"путь может быть MAX_PATH = 260 широких символов.

⚡️ BREAKING

Худший опасения подтвердились.

Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.
К сожалению, (был) единственный способ спасти данные — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.

Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый и энергетический сектор и гос. аппарат.

Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.

Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришло со стороны одной из стран СНГ.

Мы будем рады, если с нами свяжутся представители пострадавших организаций из Украины — просто напишите нам на E-Mail: security@litreev.com.

Здравствуйте, PavelCH, Вы писали:

PCH>Правда как он шифрует базу в процессе работы — загадка.

Скорее всего, никак.
Wannacry, по крайней мере, открытые файлы не шифрует.

Здравствуйте, andyp, Вы писали:

A>PS Если хорошо подумаешь, то поймешь — другого способа расшифровать файлы нет. Либо прощайся с ними, либо — шли денежки. Не придумали выгодного для украинцев способа расшифровки. А это и есть гибридная война против вас.

А вот интересно (я в криптографии ни в зуб ногой, если что).
Если есть зашифрованные и незашифрованные идентичные файлы в достаточном количестве, это поможет расшифровать остальное?

Здравствуйте, alexsmirnoff, Вы писали:

A>А вот интересно (я в криптографии ни в зуб ногой, если что).
A>Если есть зашифрованные и незашифрованные идентичные файлы в достаточном количестве, это поможет расшифровать остальное?

Знание plaintext в общем случае помогает.
https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D0%BD%D0%B0_%D0%BE%D1%81%D0%BD%D0%BE%D0%B2%D0%B5_%D0%BE%D1%82%D0%BA%D1%80%D1%8B%D1%82%D1%8B%D1%85_%D1%82%D0%B5%D0%BA%D1%81%D1%82%D0%BE%D0%B2

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, PavelCH, Вы писали:

Ops>>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут...
PCH>>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
Ops>Да не, я верю, просто как-то очень избирательно, хотя рядом и пишут, что наши компании тоже попали, но все равно...

Тут, похоже, дело в каналах распространения. Точнее, в одном канале...
Есть такой программный комплекс — "медок" (M.E.Doc), используется для сдачи электронной отчетности, стоит наверное в каждой второй организации.
Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране...

Один раз на них подозрение уже падало:

Информация о вирусе начала появляться в сети с 18.05.2017 г., на следующий день после выхода обновления программы «M.E.Doc» — именно тогда, когда бухгалтеры Украины устанавливали последнее обновление. Как результат, у пользователей, которые заразились вирусом XData, также была повреждена программа «M.E.Doc». Это совпадение могло послужить поводом провести ассоциацию между вирусом и программой. Подобные выводы – однозначно ошибочные, ведь разработчик «M.E.Doc», как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода.

А вот что по поводу текущего — см комменты, там многие люди указывают, что зловред активизировался аккурат после обновления медка.



С блога мелкософтовского вин-дефендера:

We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.

The execution chain leading to the ransomware installation is represented in the diagram below and essentially confirms that EzVit.exe process from MEDoc, for unknown reasons, at some moment executed the following command-line:

C:\\Windows\\system32\\rundll32.exe\” \”C:\\ProgramData\\perfc.dat\”,#1 30

Здравствуйте, alexqc, Вы писали:

A>Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране...
Возможно. Но это не объясняет заражение наших компаний, вряд ли они украинской системой для нашей налоговой пользуются, а посыпались практически синхронно.

Здравствуйте, Ops, Вы писали:

Ops>Здравствуйте, alexqc, Вы писали:

A>>Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране...
Ops>Возможно. Но это не объясняет заражение наших компаний, вряд ли они украинской системой для нашей налоговой пользуются, а посыпались практически синхронно.

На счет синхронно — не уверен. Сообщения об атаках в России идут уже ближе к вечеру, ну или по крайней мере после обеда, когда в Украине эпидемия уже бушевала во всю.
А заражение в РФ, Британии, Индии, и тд. произошло как обычно — через почту. Просто в случае Украины добавился еще один путь. Добавим еще его всеохватность да помножим на доверие источнику — и вуаля.

Здравствуйте, andyp, Вы писали:

A>Ни разу не виндовый гуру, но имхо если без спец. префикса "\\?\"путь может быть MAX_PATH = 260 широких символов.

Наверное, я мог и наврать.
https://msdn.microsoft.com/en-us/library/windows/desktop/aa365247(v=vs.85).aspx#maxpath

Здравствуйте, Privalov, Вы писали:


P>Наверное, я мог и наврать.
P>https://msdn.microsoft.com/en-us/library/windows/desktop/aa365247(v=vs.85).aspx#maxpath

Если и мог, то я не могу ни подтвердить ни опровергнуть Просто на MAX_PATH стрелочку мыши навел. А про длинные пути читал где-то. Может даже и там, где ты привел.