PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Анек в тему:
Вирус вымогатель напал на Израиль и остался должен
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
У вас вирус-вымогатель во главе государства сидит. И, что характерно, тоже Петя
Словил на одной работе месяца полтора назад шифровальщик aes-ni ransomware, прямо на один из серверов. Как словил — точно не знаю. Предполагаю, сломали по rdp банальным брутфорсом, но не факт.
Он пошифровал все файлы на всех дисках, кроме %windir% и бинарей exe, dll. А кроме того, все доступные серверу шары компов в локалке.
В каждую папочку вирус положил текстовый файл с описанием что делать и контактами. В сети нашел инфу, что пострадавшим из СНГ расшифровка бесплатна.
Написал им, сказал, что из РФ. Они в ответ: а что не по русски пишешь? В общем, прислали в итоге ключ, декодер и даже howto.
Всё (за одним очень маленьким исключением) корректно расшифровалось.
Здравствуйте, neFormal, Вы писали:
PCH>>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим? F>атака лично на Порошенко!
Здравствуйте, PavelCH, Вы писали:
F>>атака лично на Порошенко! PCH>Ага. И кстати. Тут недавно некий Vlad2 пророчил скоропостижную кончину Украине. Совпадение?
тут уже ставки делались.
меня вот немного напрягает, что многие уже даже на Украине говорят, что до 19 года страна не доживёт. а я ставил на то, что доживёт
Здравствуйте, bomsh, Вы писали:
B>В каждую папочку вирус положил текстовый файл с описанием что делать и контактами. В сети нашел инфу, что пострадавшим из СНГ расшифровка бесплатна. B>Написал им, сказал, что из РФ. Они в ответ: а что не по русски пишешь? В общем, прислали в итоге ключ, декодер и даже howto.
Far что-ли?
Здравствуйте, PavelCH, Вы писали:
F>>атака лично на Порошенко! PCH>Ага. И кстати. Тут недавно некий Vlad2 пророчил скоропостижную кончину Украине. Совпадение?
Наряду с введением новых санкций против Кремля и высылкой дипломатов Обама тогда принял решение провести серию кибератак, которые Москва смогла бы вычислить — их цель показать России возможности США в киберпространстве
PCH>А почему целенаправленно у нас в стране? Совпадение? Да и кроме того. У вас тут на сайте неоднократно повторяли — Украина бедная страна, вот-вот развалится. Какие жеж тогда деньги? У кого деньги? У населения? Их жеж нет?
А у вас в стране получилось все как у вас в стране всегда. На админах сэкономили. И теперь орете как потерпевшие вместо того, чтобы парням биткоинов заслать.
PS И, кстати, я не исключаю, что писатели в Киеве живут. Таких парней везде вагон.
Здравствуйте, PavelCH, Вы писали:
PCH>Кстати. А сколько навскидку (я не специалист) надо времени чтобы расшифровать методом брут форсе? Это речь идет о неделях, месяцах или годах? И, чтобы сравнить, методом Plain Text?
Чтобы брютфорсить нечто, закодированное блочным шифрованием, в общем случае нужен исходный текст. Иначе нет способа узнать что расшифровалось правильно. В практической атаке используют знание хотя бы его части.
Вот есть DES. Методы линейного криптоанализа требуют перебора примерно 2^41 блоков и занимают несколько суток на бытовой писишке. Полный перебор всех ключей — 2^56, т.е. в 32000 раз дольше. Эти переборы тоже делали, но гораздо большее время и не на одной писишке.
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Петя ещё и башнефть и роснефть поимел.
Здравствуйте, PavelCH, Вы писали:
PCH>А почему целенаправленно у нас в стране? Совпадение?
А я вот тоже не пойму. Вроде месяц-два назад была тренировка, с той же самой уязвимостью, как так оказалось, что столько систем не пропатчено? Никак Путин по ночам пробирался, и патчи сносил?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, alpha21264, Вы писали:
A>Программистов и сисадминов тоже касается. На дворе начало 21 века, A>а мы имеем эпидемию вируса, как во времена MS DOS 3.5.
A>Давайте кидать сюда воспоминания, кто когда видел живой компьютерный вирус.
Ops>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут...
Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
ES>>Я правильно понимаю что этот вирус шифрует все документы на локальных дисках *.doc[x], .xls[x] и т.д. и требует бабки за расшифровку ?
Кстати список файлов гораздо шире. В него входят базы скуль, бэкапы, а также базы 1С. То есть вирус знает о продуктах 1С. Это наводит на мысли
Здравствуйте, PavelCH, Вы писали:
Ops>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут... PCH>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
Пришли в некую контору суровые мужики проверки делать, принесли антивирус. Запустили. На одной машине обнаружилась зараза сия.
Процесс расшифровки долгий. Мужики сидят, ждут. Иногда на экран взгляд кидают, убедиться, что работает.
В пять часов вечера влетает в комнату какая-то тетка, не глядя, щелкает выключаталем, который у этого компа располагался сзади. Мужики дружно офигели. Дама хватает свою сумку и направляется к выходу. Кто-то мужиков пришел в себя и говорит: "Что ты наделала? Зачем комп выключила?!" Тетка важно так отвечает: "Рабочий день закончился!" Мужик ей: "Ты только что всю информацию потеряла". Теперь уже тетка слегка офигела. Включила комп. Он не загрузился. Она говорит: "Вы компьютерщики, вы и разбирайтесь!". И уходит.
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке.
Опять старые песни о главном о русских хакерах?
Компьютеры упали по всей Европе и в России, не только у вас, и имя трояна с именем вашего президента не имеет ничего общего.
Ops>У меня почему-то в голове вертится про остановку в 10-12 годах: если не ошибаюсь, то должны были уже все выгрузить и остудить.
Вот хронология:
В период 2006-2008 гг. ОЯТ было выгружено из активной зоны реакторов.
Освобождение энергоблоков от ОЯТ выполнялось в три этапа:
— на первом этапе осуществлялась выгрузка отработавшего ядерного топлива с 3 блока в ХОЯТ-1;
— на втором этапе топливо (кроме поврежденного) с 1, 2 блоков, было перевезено в ХОЯТ-1 и выполнена разработка технологии по безопасному обращению с поврежденным ядерным топливом;
— на третьем этапе блоки №1, 2 были освобождены от поврежденного ядерного топлива.
В 2010 году ОЯТ было полностью выгружено с блока №3.
Работы по перемещению ОЯТ с блоков №1, 2 в пятый отсек БВ ХОЯТ-1 начаты в декабре 2011 года, после завершения «стресс-теста» по событиям на АЭС «Фукусима-1».
Блок №2 освобожден от кондиционного ОЯТ 30 ноября 2012 года. В декабре 2012 начался вывоз ОЯТ с блока №1, 28 сентября 2013 года блок №1 полностью освобожден от кондиционного ОЯТ.
Декабрь 2013 – прошел экспертизу технический проект на оборудование и технологию стабилизации, перевозки и хранения специальных пеналов с ПОЯТ.
Завершена разработка проекта обращения с поврежденным ОЯТ. Получено заключение Госэкспертизы, проведен тендер.
Завершены работы по этапу 2 по договору от 02.10.2014 № 430/63-14 с ООО «ПрогресГруп» по изготовлению спецпеналов для ПОЯТ.
Выполнено изготовление, сертификация и поставка вагона-контейнера для транспортировки ОЯТ. С компанией-изготовителем «Шкода» заключено дополнительное соглашение № 9 относительно изменений объемов финансирования на 2015 год и перенесение части работ на 2016 год. В соответствии с календарным планом выполнена поставка упаковочного комплекта на площадку ДСП ЧАЭС.
Были проведены работы по изготовлению и поставке оборудования и материалов для освобождения блоков 1, 2 от ПОЯТ.
Блоки 1, 2 от освобождены от ПОЯТ.
Вроде с блоков все выгрузили, год назад закончили. Пока все лежит в ХОЯТ-1. Юридически блоки ЧАЭС уже не считаются ядерными установками.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, PavelCH, Вы писали:
Ops>>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут... PCH>>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства. Ops>Да не, я верю, просто как-то очень избирательно, хотя рядом и пишут, что наши компании тоже попали, но все равно...
Тут, похоже, дело в каналах распространения. Точнее, в одном канале...
Есть такой программный комплекс — "медок" (M.E.Doc), используется для сдачи электронной отчетности, стоит наверное в каждой второй организации.
Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране...
Информация о вирусе начала появляться в сети с 18.05.2017 г., на следующий день после выхода обновления программы «M.E.Doc» — именно тогда, когда бухгалтеры Украины устанавливали последнее обновление. Как результат, у пользователей, которые заразились вирусом XData, также была повреждена программа «M.E.Doc». Это совпадение могло послужить поводом провести ассоциацию между вирусом и программой. Подобные выводы – однозначно ошибочные, ведь разработчик «M.E.Doc», как ответственный поставщик программного продукта, следит за безопасностью и чистотой собственного кода.
А вот что по поводу текущего — см комменты, там многие люди указывают, что зловред активизировался аккурат после обновления медка.
We observed telemetry showing the MEDoc software updater process (EzVit.exe) executing a malicious command-line matching this exact attack pattern on Tuesday, June 27 around 10:30 a.m. GMT.
The execution chain leading to the ransomware installation is represented in the diagram below and essentially confirms that EzVit.exe process from MEDoc, for unknown reasons, at some moment executed the following command-line:
Здравствуйте, neFormal, Вы писали:
F>меня вот немного напрягает, что многие уже даже на Украине говорят, что до 19 года страна не доживёт. а я ставил на то, что доживёт
Это Юля волну гонит.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, VladD2, Вы писали:
VD>А не проще шифровать все файлы?
Это долго. Всем же пофиг, если какие-нибудь виндовые потроха зашифруют, важны только данные. А если зловред начнет с шифрования свопа (условно), то его могут остановить раньше, чем он до чего-то ценного доберется.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Ops>На пиратку обновления отлично приходят и ставятся, а для неподдерживаемых версий патчи конкретно от этих уязвимостей выложены в свободный доступ на сайте MS. Не, тут просто есть секта обновлениефобов.
Здравствуйте, alpha21264, Вы писали:
A>Давайте кидать сюда воспоминания, кто когда видел живой компьютерный вирус.
Ну вот до эпидемии ванакрай видел какую-то модификацию этого вируса, пришел на почту в виде вложения, тётка-юзер взяла и запустили его. Пошифровал локальные данные.
Благо что в той конторе все рабочие документы хранятся на сетевом диске, так что пофиг в общем-то было. Стер тело вируса, убрал эту заставку с предложением заплатить и всё, работают дальше.
А вот как-то давно я восстанавливал БИОС одному знакомому после Чернобыля. Эта гадость испортила биос и комп был просто мертвый.
Благо что биос был не впаян в материнку, а стоял на панельке.
Скачал последний биос с сайта производителя, вытащил флэшку и пошел к другу перешивать. У него был программатор универсальный — читал и писал все что можно и что нельзя.
Но комп после этого заработал как новый, винду переставили и все дела.
По любому смешно.
Вирус тупо шифрует локальные документы, на работоспособность ОС никак не влияет.
Ну вот говорят ещё 1С может остановить, но ведь система управления АЭС не на 1С пишется?
Хотя на Украине всё возможно
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке.
Ops>Какое управление? Там же вроде давно все выгружено, и даже, думаю, остыло.
ЧАЭС работает как распредузел, инфраструктура-то осталась. Кроме того, там сейчас действует ХОЯТ. Строится еще одно. Плюс работы по выгрузке топлива из остановленных блоков. Работы на ЧАЭС хватит еще надолго.
Ops>Т.е. даже не из реакторов, а уже и из бассейнов все выгрузили. А ХОЯТ вряд ли сильно зависимо от компьютеров, я может не копенгаген, но вроде оно там должно и без обслуживания нормально лежать, максимум, вирус мог учет попортить.
Скорее всего так и есть. Но народ на всякие происшествия на объектах, связанных с радиацией, реагирует нервно, поэтому всегда сообщают, что утечки радиации не произошло, типа успокойтесь, всё ОК.
Здравствуйте, andyp, Вы писали:
A>>>Алгоритмы блочного шифрования предыдущего поколения ломаются за разумное время если исходное сообщение известно. DM>>ну и какой блочный шифр ломается на плэйнтексте? Энигма?
A>DES + линейный криптоанализ. Правда, плейнтекста надо дофига.
т.е. практически невозможно.
не говоря о том, что даже 20 лет назад уже был 3DES, а не обычный.
Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут...
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, PavelCH, Вы писали:
Ops>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут... PCH>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
Да не, я верю, просто как-то очень избирательно, хотя рядом и пишут, что наши компании тоже попали, но все равно...
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, PavelCH, Вы писали:
Ops>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут... PCH>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
Я правильно понимаю что этот вирус шифрует все документы на локальных дисках *.doc[x], .xls[x] и т.д. и требует бабки за расшифровку ?
ES>Я правильно понимаю что этот вирус шифрует все документы на локальных дисках *.doc[x], .xls[x] и т.д. и требует бабки за расшифровку ?
Правильно. 300 баков в биткоинах.
Здравствуйте, PavelCH, Вы писали:
PCH>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства.
И первый залетевший дятел разрушит цивилизацию...(с) законы Мерфи.
Вам не кажется, что мир сошёл с ума?
Здравствуйте, PavelCH, Вы писали:
ES>>Я правильно понимаю что этот вирус шифрует все документы на локальных дисках *.doc[x], .xls[x] и т.д. и требует бабки за расшифровку ? PCH>Правильно. 300 баков в биткоинах.
Ну тогда я с таким имел дело, на второй работе одна грамотная тетка запустила сама такой вирус. Он шел как вложение в письме.
Он пошифровал документы на локальном диске и установил обои на рабочий стол с предложением заплатить, сумма кажется была порядке 4к рублей.
Но так как в той организации все документы хранятся на сетевом диске, то на этот вымогатель я благополучно забил.
Стер тело вируса, поменял обои обратно на какие-то цветочки и провел разъяснительную работу с сотрудницей.
Кстати каспер был на этой машине, но он был старый (версия 6.0) и как-то криво обновлялся.
Да, кстати я отправил этот вирус в лабораторию касперского, они через какое-то время ответили что с расшифровкой помочь не смогут.
Сейчас кстати, организация обновила каспера на последний KES.
В связи с этим вопрос — почему лежат там у вас все министерства? Ведь компьютер при этом остается работоспособным.
ES>В связи с этим вопрос — почему лежат там у вас все министерства? Ведь компьютер при этом остается работоспособным.
Ну как минимум надо почистить локальные компы. А это время. Думаю за день решат.
Хуже, если он попадет на сервера, где находятся базы 1С/SQL. Как он туда может попасть? Ну быть может использует какие-то известные ему уязвимости в локальной сети. Еще я слышал, что иногда сервера 1С совмещают с серверами Терминалов Виндовс (куда заходят тольпы пользователей с локальных компов). И люди в терминале проверяют почту. Правда как он шифрует базу в процессе работы — загадка.
Здравствуйте, PavelCH, Вы писали:
PCH>Кстати список файлов гораздо шире. В него входят базы скуль, бэкапы, а также базы 1С. То есть вирус знает о продуктах 1С. Это наводит на мысли
Да, я знаю что шире, шифруются многие популярные форматы файлов, просто привёл пару для краткости.
Интересно на какие мыли? Ты думаешь в РФ 1С менее популярна чем на Украине?
ES>Интересно на какие мыли? Ты думаешь в РФ 1С менее популярна чем на Украине?
Ну это мысли о том, что разработчики вируса как минимум знакомы с продуктами 1С.
Здравствуйте, PavelCH, Вы писали:
PCH>Хуже, если он попадет на сервера, где находятся базы 1С/SQL. Как он туда может попасть?
Может вирус уже модифицировали для распространения по локальным сетям, но тот экземпляр с которым я имел дело никуда не полез, ни на сервер, ни к другим пользователям в локалке.
ES>Может вирус уже модифицировали для распространения по локальным сетям, но тот экземпляр с которым я имел дело никуда не полез, ни на сервер, ни к другим пользователям в локалке.
В фейсбуках пишут что вроде бы эта версия умеет распространятся по локалке.
Мол, чтобы он не распространялся в локалке надо залочить порты 1024-1035, 135, 139, 445.
Здравствуйте, PavelCH, Вы писали:
TP>>Порошенко промотит национальный антивирус? PCH>Национальный антивирус на сегодня это Windows Defender. И альтернативы нет.
F>меня вот немного напрягает, что многие уже даже на Украине говорят
Ну политики говорят многое — согласен. Ну они же политики, их работа — это без конца что-то там говорить, правда?
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Пишут, что распространяется как WannaCry. Кого-то, похоже, чужие ошибки ничему не учат, надо самим по граблям походить.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES>Я правильно понимаю что этот вирус шифрует все документы на локальных дисках *.doc[x], .xls[x] и т.д. и требует бабки за расшифровку ?
Похоже, не только, пишут, не могут оплатить метро банковскими картами...
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Ops>Похоже, не только, пишут, не могут оплатить метро банковскими картами...
Да в метрополитене была такая проблема. Метрополитен в списке организаций, которые подверглись атаке. Укрзализныця тоже. Вроде бы даже авиакомпании. Куча СМИ, кстати.
Здравствуйте, PavelCH, Вы писали:
PCH>Да в метрополитене была такая проблема. Метрополитен в списке организаций, которые подверглись атаке. Укрзализныця тоже. Вроде бы даже авиакомпании. Куча СМИ, кстати.
Так организаций подвергшихся атаке или поцепивших вирус?
Здравствуйте, PavelCH, Вы писали:
PCH>Кстати список файлов гораздо шире. В него входят базы скуль, бэкапы, а также базы 1С. То есть вирус знает о продуктах 1С. Это наводит на мысли
А не проще шифровать все файлы?
Есть логика намерений и логика обстоятельств, последняя всегда сильнее.
Здравствуйте, Ops, Вы писали:
Ops>Это долго. Всем же пофиг, если какие-нибудь виндовые потроха зашифруют, важны только данные. А если зловред начнет с шифрования свопа (условно), то его могут остановить раньше, чем он до чего-то ценного доберется.
Я бы сделал список исключений и отсортировал фалы по приоритетам.
Есть логика намерений и логика обстоятельств, последняя всегда сильнее.
Здравствуйте, VladD2, Вы писали:
VD>Я бы сделал список исключений и отсортировал фалы по приоритетам.
Зачем? Пара десятков типов файлов, которые имеет смысл зашифровывать гораздо проще, быстрее зашифрует и вполне достаточно для поставленных целей.
Здравствуйте, VladD2, Вы писали:
VD>Я бы сделал список исключений и отсортировал фалы по приоритетам.
Вроде примерно так же и есть, только без приоритетов? Вообще, сортировка — это лишний обход каталогов, что на обычном HDD может быть медленно и даже заметно по чрезмерной активности.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, VladD2, Вы писали:
PCH>>Мы сталкивались на работе с WannaCry. Он шифровал выборочно. Может и проще, но точно дольше.
VD>А как эта хрень распространяется? Через вложения с ручным запуском недоумком? Или что-то более автоматизированное придумали?
С добрым утром. Недавно по всему миру эпидемия была. Распространяется по сети, через дырки в непатченной винде. MS даже для неподдерживаемых ОС патч во время эпидемии выпустила, остальным достаточно не забивать на обновления.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, PavelCH, Вы писали:
A>>Что-то ты совсем веру в креативность русского народа потерял. PCH>Наши официальные лица более склонны к вашей гипотезе.
Не, ваши считают, что это против них гибридная война идет, а тут просто кто-то решил деньжат приподнять.
A>Не, ваши считают, что это против них гибридная война идет, а тут просто кто-то решил деньжат приподнять.
А почему целенаправленно у нас в стране? Совпадение? Да и кроме того. У вас тут на сайте неоднократно повторяли — Украина бедная страна, вот-вот развалится. Какие жеж тогда деньги? У кого деньги? У населения? Их жеж нет?
VD>А как эта хрень распространяется? Через вложения с ручным запуском недоумком? Или что-то более автоматизированное придумали?
Старая версия только через вложения. Сегодняшняя говорят еще и по локалке. То есть стоит одному компу заразится и он начнет шифровать файлы на других компах, которые не зараженные, но в сети. Использует NetBios протокол, воможно какие-то уязвимости.
Здравствуйте, PavelCH, Вы писали:
VD>>А что ему время то? Дошифрует все и только тогда засветится. PCH>Ну можно нажать ресет, если заметишь.
насколько я понял, петя вообще после перезагрузки показывает окно chkdsk, в процессе шифруя файлы.
а я блин уже давно комп не перезагружал. че-то стремно
wl.>а я блин уже давно комп не перезагружал. че-то стремно
Мне тоже было стремно. Но я перегрузил и ничего. Повезло. Есть симптомы вроде, если есть файл C:\Windows\perfc.dat то все плохо.
A>А у вас в стране получилось все как у вас в стране всегда. На админах сэкономили. И теперь орете как потерпевшие вместо того, чтобы парням биткоинов заслать.
Думаю скоро и у вас будет шанс заслать биткоинов. Вот и зашлете.
Здравствуйте, PavelCH, Вы писали:
PCH>Думаю скоро и у вас будет шанс заслать биткоинов. Вот и зашлете.
Думай. Это вообще хорошо — думать.
PS Если хорошо подумаешь, то поймешь — другого способа расшифровать файлы нет. Либо прощайся с ними, либо — шли денежки. Не придумали выгодного для украинцев способа расшифровки. А это и есть гибридная война против вас.
VD>Да что там заметить то можно? Как я понимаю, все замечают только когда им 300 бакинских предлагают заплатить.
У нас на работе когда возникло (предыдущая версия пару месяцев назад) мы замечали постепенно, работая в терминале. Вначале пропал доступ к одному из файлов с которым работали. Посмотрели в проводнике — увидели что зашифрован и шифруются другие. Но все произошло быстро. Может пару минут. После перезагрузки уже да 300 баков. Нам повезло что бэкапы были сделаны сутки назад и лежали на другом сервере.
Здравствуйте, wl., Вы писали:
wl.>насколько я понял, петя вообще после перезагрузки показывает окно chkdsk, в процессе шифруя файлы. wl.>а я блин уже давно комп не перезагружал. че-то стремно
Читал где-то, что этот вирус выводит сообщение о фатальной ошибке и делает reboot, а потом уже показывает фиктивное окно chkdsk, т.е. он не ждет пока пользователь решит перезагрузиться.
Здравствуйте, PavelCH, Вы писали:
PCH>А почему целенаправленно у нас в стране? Совпадение? Да и кроме того. У вас тут на сайте неоднократно повторяли — Украина бедная страна, вот-вот развалится. Какие жеж тогда деньги? У кого деньги? У населения? Их жеж нет?
Может, в других странах винда лицензионная и оперативно пропатченная просто?
Здравствуйте, gress, Вы писали:
G>Может, в других странах винда лицензионная и оперативно пропатченная просто?
На пиратку обновления отлично приходят и ставятся, а для неподдерживаемых версий патчи конкретно от этих уязвимостей выложены в свободный доступ на сайте MS. Не, тут просто есть секта обновлениефобов.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
А что обсуждать-то? Большинство людей — идиоты, руки из жопы.
Программистов и сисадминов тоже касается. На дворе начало 21 века,
а мы имеем эпидемию вируса, как во времена MS DOS 3.5.
Давайте кидать сюда воспоминания, кто когда видел живой компьютерный вирус.
A>А что обсуждать-то? Большинство людей — идиоты, руки из жопы.
Не думаю что все так черно/бело. Вирусы пишут не идиоты. Они ищут уязвимости. От умности сисадмина не зависит присутствие уязвимостей. Сисадмин делает бекапы —
но их восстановить тоже время (пару часов или сутки). Впринципи к вечеру большинство контор уже работало, что говорит о том, что бэкапы в основном были.
Зависит ли наличие уязвимостей от програмиста? Ну пока софт пишут люди, думаю уязвимости будут всегда.
Здравствуйте, PavelCH, Вы писали:
PCH>Не думаю что все так черно/бело. Вирусы пишут не идиоты.
Когда-то мне приходилось разбираться с вирусами, сдаланными в MS DOS. 80% того, что я видел, было написано такими дятлами, что им нельзя доверить разработку "Hello, world". Вряд ли с тех пор что-то изменилось.
P>Когда-то мне приходилось разбираться с вирусами, сдаланными в MS DOS. 80% того, что я видел, было написано такими дятлами, что им нельзя доверить разработку "Hello, world". Вряд ли с тех пор что-то изменилось.
Ну не знаю. Реализовать такие извращенные схемы и обогощаться на них может далеко не каждый.
Здравствуйте, PavelCH, Вы писали:
PCH>Ну не знаю. Реализовать такие извращенные схемы и обогощаться на них может далеко не каждый.
Ну тот же OneHalf, говорят, был сделан вполне на уровне. Я его не анализировал, не знаю.
Какая-то часть вирусописателей обладает необходимой квалификацией.
Здравствуйте, PavelCH, Вы писали:
PCH>Как известно, сегодня Киев (а вообще говорят и вся Украина, а может и другие страны) подверглись массивной хакерской атаке. Пишу в политику, потому что вирус-вымагатель называется "Петя". Ссылки в рунете искать лень, а с цензора (слова запрещены в РФ) постить не кашерно. Обсудим?
Троян же это, ну. Вирусов как таковых уже лет двадцать нет, если не больше.
S>Троян же это, ну. Вирусов как таковых уже лет двадцать нет, если не больше.
Я не особо разбираюсь в терминах. В моем понимании троян тихонечко сливает инфу, не палясь при этом. А вирус именно наносит вред. Тут был именно вред — упала на пару часов инфраструктура страны.
Здравствуйте, Marty, Вы писали:
Ops>>>Полно ссылок за прошлогодний март, а недавние только на ваши сайты ведут... PCH>>Я об этом узнал от друзей, которым сегодня зашифровали. Только потом прочитал в новостях. Так что 100% прув. Лежат Кабинет Министров, Киевская городская Администрация и многие-многие-многие другие крупные компании и министерства. M>Сколько лошар А так смешно?
Здравствуйте, Privalov, Вы писали: P>Когда-то мне приходилось разбираться с вирусами, сдаланными в MS DOS. 80% того, что я видел, было написано такими дятлами, что им нельзя доверить разработку "Hello, world". Вряд ли с тех пор что-то изменилось.
ES>По любому смешно. ES>Вирус тупо шифрует локальные документы, на работоспособность ОС никак не влияет. ES>Ну вот говорят ещё 1С может остановить, но ведь система управления АЭС не на 1С пишется? ES>Хотя на Украине всё возможно
Не только 1С. Он распознает файлы базы SQL также и шифрует их. В Международном аропорту Борисполь еще утром меняли каждый 15 минут таблички на табло руками.
смешного, конечно, немного
но думается мне, (на основании истории постройки убежища) что безопасностью ЧАЭС занимаются не только украинские специалисты, так что не переживай
ЛЧ>но думается мне, (на основании истории постройки убежища) что безопасностью ЧАЭС занимаются не только украинские специалисты, так что не переживай
Не надо судить обо всех украинских специалистах по себе. Вы скорее исключение.
Здравствуйте, PavelCH, Вы писали:
ЛЧ>>но думается мне, (на основании истории постройки убежища) что безопасностью ЧАЭС занимаются не только украинские специалисты, так что не переживай PCH>Не надо судить обо всех украинских специалистах по себе. Вы скорее исключение.
это только что была не попытка усомниться в моей профессиональной квалификации, я надеюсь?
с человеком, не уважающим основной закон моей страны общаться не охота, всего доброго
Здравствуйте, Iron Monkey, Вы писали:
IM>помню Винчих-95 IM>он портил FAT
Он также умел испортить BIOS. Я такого, правда, не видел. Но коллеги рассказывали. То, что видел: он убивал 2 мегабайта секторов в начале загрузочном разделе диска. Работал только на Win9x.
Здравствуйте, Privalov, Вы писали:
P>Он также умел испортить BIOS. Я такого, правда, не видел. Но коллеги рассказывали. То, что видел: он убивал 2 мегабайта секторов в начале загрузочном разделе диска. Работал только на Win9x.
Вот именно, про BIOS больше страшилок, чем фактов. Может, он на единичных системах и мог до нее добраться, но в основном портил диск и не более.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops>Вот именно, про BIOS больше страшилок, чем фактов. Может, он на единичных системах и мог до нее добраться, но в основном портил диск и не более.
Я выше написал что восстанавливал БИОС, так что это факт.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, Iron Monkey, Вы писали:
IM>>Надеюсь, управление реактором у них не через инет
Ops>Какое управление? Там же вроде давно все выгружено, и даже, думаю, остыло.
Там ещё три блока есть, которые не бабахнули.
Какое то время они стояли отключенными, но сейчас снова работают.
Здравствуйте, Privalov, Вы писали:
P>То, что видел: он убивал 2 мегабайта секторов в начале загрузочном разделе диска. Работал только на Win9x.
не убивал, а тупо xor-ил. И дешифратор это дела писался на коленке за 5 минут. У меня даже специальная дискета была (да, 1.4Mb) с компилятором turbo c (да, с хидерами, либами и всем остальным)
Здравствуйте, mike_rs, Вы писали:
P>>То, что видел: он убивал 2 мегабайта секторов в начале загрузочном разделе диска. Работал только на Win9x. _>не убивал, а тупо xor-ил. И дешифратор это дела писался на коленке за 5 минут. У меня даже специальная дискета была (да, 1.4Mb) с компилятором turbo c (да, с хидерами, либами и всем остальным)
Здравствуйте, alpha21264, Вы писали:
A>Там ещё три блока есть, которые не бабахнули. A>Какое то время они стояли отключенными, но сейчас снова работают.
Да? Я думал их тоже закрыли, окончательно.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, mike_rs, Вы писали:
_>не убивал, а тупо xor-ил. И дешифратор это дела писался на коленке за 5 минут. У меня даже специальная дискета была (да, 1.4Mb) с компилятором turbo c (да, с хидерами, либами и всем остальным)
Я сильно не разбирался. Все машины, с которыми я в то время работал, держали свои данные на разделе D и дальше. Так что все просто: загрузка с дискеты, format c:, установка 98-й. Я только не помню, там иногда (всегда?) MBR повреждалась, таблицу разделов руками приходилось восстанавливать.
Здравствуйте, Лось Чтостряслось, Вы писали:
ЛЧ>вики пишет, что генерации нет ЛЧ>но насколько возможно полностью остановить блоки — я хз
А в чем проблема? Их на любой перегрузке полностью останавливают. Другое дело, что облученные сборки должны несколько лет в бассейне остывать, чтобы их можно было куда-то везти и что-то с ними делать. Но мне казалось, что и сроки выдержки должны были выйти.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Dym On, Вы писали:
DO>ЧАЭС работает как распредузел, инфраструктура-то осталась.
Ты про электричество? Ну, возможно. DO>Кроме того, там сейчас действует ХОЯТ. Строится еще одно.
Не думаю, чтобы оно сильно от компьютеров зависело. DO>Плюс работы по выгрузке топлива из остановленных блоков. Работы на ЧАЭС хватит еще надолго.
У меня почему-то в голове вертится про остановку в 10-12 годах: если не ошибаюсь, то должны были уже все выгрузить и остудить.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Dym On, Вы писали:
DO>Вроде с блоков все выгрузили, год назад закончили. Пока все лежит в ХОЯТ-1. Юридически блоки ЧАЭС уже не считаются ядерными установками.
Т.е. даже не из реакторов, а уже и из бассейнов все выгрузили. А ХОЯТ вряд ли сильно зависимо от компьютеров, я может не копенгаген, но вроде оно там должно и без обслуживания нормально лежать, максимум, вирус мог учет попортить.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, alpha21264, Вы писали:
A>>Там ещё три блока есть, которые не бабахнули. A>>Какое то время они стояли отключенными, но сейчас снова работают.
Ops>Да? Я думал их тоже закрыли, окончательно.
Не, похоже я обманул.
Там работают люди, в том смысле, что поддерживают реакторы в безопасном состоянии
Но электричество они не вырабатывают.
Вроде устанавили, что для распростронения Petya-и, используют теже дырки что и для WannaCrypt.
Поэтому, кто ещё не сделал Update, рекомендуют вот здесь, срочно поставить MS17-010.
Здравствуйте, Ops, Вы писали:
Ops>На пиратку обновления отлично приходят и ставятся
В пиратках они обычно отключены по дефолту.
Ops>, а для неподдерживаемых версий патчи конкретно от этих уязвимостей выложены в свободный доступ на сайте MS.
Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов.
Здравствуйте, Ночной Смотрящий, Вы писали:
НС>В пиратках они обычно отключены по дефолту.
Да ладно? Я когда на пиратке жил, всегда ставил официальный образ, плюс активатор. Или речь про Zver и подобное? А какова доля таких?
НС>Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов.
Да это любой рукожоп-эникейщик может, тем более, шуму было много.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
НС>>Для этого нужен кто то, кто про это узнает, скачает и пропатчит весь парк компов. Ops>Да это любой рукожоп-эникейщик может, тем более, шуму было много.
Да ладно, в Винде того стека — целый мегабайт, чего там экономить? Но мешанина из WCHAR и прочих объявлений и явных вызовов Unicode-функций выглядит непривычно. Ну и автор закладывается на размер имени файла. На NTFS, ЕМНИП, может быть 65535 символов, нет? Даже если не символов, а байт, все равно рвануть может. Все, как в старые добрые. Там иногда вирусы себя при запуске программ копировали в старшие адреса, никак не прикрываясь. Говорю же, дятел писал.
Здравствуйте, Privalov, Вы писали:
P>На NTFS, ЕМНИП, может быть 65535 символов, нет? Даже если не символов, а байт, все равно рвануть может. Все, как в старые добрые. Там иногда вирусы себя при запуске программ копировали в старшие адреса, никак не прикрываясь. Говорю же, дятел писал.
Ни разу не виндовый гуру, но имхо если без спец. префикса "\\?\"путь может быть MAX_PATH = 260 широких символов.
Win32/Diskcoder.Petya.C — это не шифрующий данные вымогатель (ransomware), а деструктивная программа уничтожения данных. Шифрование данных, выполняемое вирусом, необратимо.
К сожалению, (был) единственный способ спасти данные — выключить компьютер при первых признаках заражения (произвольная перезагрузка, запуск CHKDSK). Если это не было сделано — пути обратно нет.
Сейчас я могу подтвердить, что атака изначально проводилась с конкретной поставленной целью — Украина, их финансовый и энергетический сектор и гос. аппарат.
Также, теперь мы можем утверждать, что с высокой долей вероятности, украинское ПО для ведения финансовой отчетности MeDoc было скомпрометировано и вирус распространился вместе с обновлением программы (как её часть). Плюс, к этому присоединяется эксплуатация уже известных способов распространения и заражения сети, которые мы обсуждали раньше.
Я и эксперты из лидирующих антивирусных компаний ведём расследование по установлению источника атаки. О результатах мы отдельно сообщим позже. Пока мы можем утверждать, что вредоносная программа пришло со стороны одной из стран СНГ.
Мы будем рады, если с нами свяжутся представители пострадавших организаций из Украины — просто напишите нам на E-Mail: security@litreev.com.
Здравствуйте, andyp, Вы писали:
A>PS Если хорошо подумаешь, то поймешь — другого способа расшифровать файлы нет. Либо прощайся с ними, либо — шли денежки. Не придумали выгодного для украинцев способа расшифровки. А это и есть гибридная война против вас.
А вот интересно (я в криптографии ни в зуб ногой, если что).
Если есть зашифрованные и незашифрованные идентичные файлы в достаточном количестве, это поможет расшифровать остальное?
Здравствуйте, alexsmirnoff, Вы писали:
A>А вот интересно (я в криптографии ни в зуб ногой, если что). A>Если есть зашифрованные и незашифрованные идентичные файлы в достаточном количестве, это поможет расшифровать остальное?
Здравствуйте, alexqc, Вы писали:
A>Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране...
Возможно. Но это не объясняет заражение наших компаний, вряд ли они украинской системой для нашей налоговой пользуются, а посыпались практически синхронно.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, alexqc, Вы писали:
A>>Так вот, похоже, у них этим вирусом что-то заразилось, и с обновлением разъехалось по всей стране... Ops>Возможно. Но это не объясняет заражение наших компаний, вряд ли они украинской системой для нашей налоговой пользуются, а посыпались практически синхронно.
На счет синхронно — не уверен. Сообщения об атаках в России идут уже ближе к вечеру, ну или по крайней мере после обеда, когда в Украине эпидемия уже бушевала во всю.
А заражение в РФ, Британии, Индии, и тд. произошло как обычно — через почту. Просто в случае Украины добавился еще один путь. Добавим еще его всеохватность да помножим на доверие источнику — и вуаля.
Если и мог, то я не могу ни подтвердить ни опровергнуть Просто на MAX_PATH стрелочку мыши навел. А про длинные пути читал где-то. Может даже и там, где ты привел.
шифровал файлы, обрисовывал ситуацию и задавал вопрос:
Любите ли вы компартию китая?
и ниже на экране подсказка: если ответите Да — вирус уничтожит ключ шифрования и все погибнет
Если ответите нет — вирус расшифрует назад все файлы и убьет себя.
причем, это было на самом деле так. китайцы плакали, но отвечали да.
прикольно было б если б Petya что-нить такое замутил: ну типа два выбора:
1) бандера — преступник, а украина и россия — это одна страна.
2) москаляку на гиляку и далее по списку
вот сдается мне что дети мазепы выбирали бы первый вариант и даже гордились этим
Здравствуйте, DreamMaker, Вы писали:
DM>помогает только если автор-дебил. DM>любое нормальное использование шифрования исключает plaint text attack
Алгоритмы блочного шифрования предыдущего поколения ломаются за разумное время если исходное сообщение известно. И у тебя нет никаких гарантий, что кто-то не сломал AES и просто держит язык за зубами, кроме стандартного аргумента что типа много умных людей пробовало и не получилось. А аргумент этот не имеет никакого отношения к математическому доказательству устойчивости алгоритма к атаке с известным исходным текстом.
Здравствуйте, andyp, Вы писали:
DM>>любое нормальное использование шифрования исключает plaint text attack
A>Алгоритмы блочного шифрования предыдущего поколения ломаются за разумное время если исходное сообщение известно.
ну и какой блочный шифр ломается на плэйнтексте? Энигма?
A>И у тебя нет никаких гарантий, что кто-то не сломал AES и просто держит язык за зубами, кроме стандартного аргумента что типа много умных людей пробовало и не получилось.
у меня даже нет гарантии что ты человек, а не бета-версия AI из АНБ.
A>А аргумент этот не имеет никакого отношения к математическому доказательству устойчивости алгоритма к атаке с известным исходным текстом.>
математически неломаемый алгоритм хорошо известен и плэйнтекст не поможет.
Здравствуйте, DreamMaker, Вы писали:
A>>Алгоритмы блочного шифрования предыдущего поколения ломаются за разумное время если исходное сообщение известно. DM>ну и какой блочный шифр ломается на плэйнтексте? Энигма?
DES + линейный криптоанализ. Правда, плейнтекста надо дофига.
A>Алгоритмы блочного шифрования предыдущего поколения ломаются за разумное время если исходное сообщение известно. И у тебя нет никаких гарантий, что кто-то не сломал AES и просто держит язык за зубами, кроме стандартного аргумента что типа много умных людей пробовало и не получилось. А аргумент этот не имеет никакого отношения к математическому доказательству устойчивости алгоритма к атаке с известным исходным текстом.
Кстати. А сколько навскидку (я не специалист) надо времени чтобы расшифровать методом брут форсе? Это речь идет о неделях, месяцах или годах? И, чтобы сравнить, методом Plain Text?
DM>прикольно было б если б Petya что-нить такое замутил: ну типа два выбора: DM>1) бандера — преступник, а украина и россия — это одна страна. DM>2) москаляку на гиляку и далее по списку DM>вот сдается мне что дети мазепы выбирали бы первый вариант и даже гордились этим
А вы только прикиньте, если бы правильный ответ был 2 ?
Здравствуйте, DreamMaker, Вы писали:
DM>т.е. практически невозможно. DM>не говоря о том, что даже 20 лет назад уже был 3DES, а не обычный.
Ну ты ж пример хотел — вот он . И, разумеется, широкой публике ничего не известно о компроментации других алгоритмов. Думаю, что если кто до этого и догадался, то это одна из наиболее охраняемых тайн государства.
Пара десятков типов файлов, которые имеет смысл зашифровывать гораздо проще, быстрее зашифрует и вполне достаточно для поставленных целей.
. И, разумеется, широкой публике ничего не известно о компроментации других алгоритмов. Думаю, что если кто до этого и догадался, то это одна из наиболее охраняемых тайн государства.
