ну так за сутки десятка. Норм. Тем более многие вначале поумничают.... а потом все равно пойдут платить
Бесполезно, почту на posteo.net заблокировали, то есть, жертва ключ не получит) Тем не менее продолжают слать https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Что тут скажешь, если такой по сути нубо шифровальщик наделал беды проник в банки, страшно подумать какой зв*здец может наступить, если некоторые страны встающие с колен получат шифровальщика от анб\цру и.т.д ну или минимум серьезной хакерской группировки. Все что происходит последние месяцы выглядит как "ох щас срублю битков по бырику", а шум делают СМИ. 4 битка это смех, да и ваннакрай вроде бы тоже мелочь заработал, слезы.
Вот полезла инфа, что виной всему M.E.Doc: gordonua.com Spoiler: Описание программы «M.E.Doc» – полнофункциональное и универсальное средство для работы с электронными документами на предприятиях любого масштаба, независимо от формы собственности и сферы деятельности. Среди наших клиентов – представители и малого бизнеса, и крупнейшие игроки рынка. Но журнал "Хакер" подсказывает, да и не только он, что данный вирус был еще в прошлом году: https://xakep.ru/2016/03/25/petya-locker/
позитивы чуть написали про петю https://habrahabr.ru/company/pt/blog/331858/ Их правда обосрали в комментах, выяснилось, что “kill-switch” выявили совсем другие, а они скопипастили
ну как по мне цель была экономическая - распространение Битка и манипуляции с курсом Битка Единственные люди кто поимел с этого выгоду - это трейдеры. А те 4 битка которые как бы заработали "вымогатели", это только иллюзия вымогательства.
короче беда ребята только в том что обратной расшифровки не предусмотрено и в первые сектора где происходил холд ключа в конце перезаписываются вымогателем это не шифровальщик, это деструктор который косит под шифровальщика-вымогателя я уже оцениваю масштабы, и у меня глаза хотят с орбит выпасть из 5 фирм которые я обслуживаю - 4 просто потеряли все документы ОСи были с последними обновами под WSUS, антивирусы платные, пробило нах каспер пропустил, нод задержал перезагруз но все равно файло в мясорубку ушло 0_0 изначально летели фейк письма от (якобы) налоговой службы, потом начался лютый писдес с кучей 0 дейев и обильно обфусцированным кодом не, спасибо конечно за подгончик халтуры.... но это малость бесчеловечно и подло
Нет там никаких 0day, просто много векторов распространения по сети использовано, + задействован mimikatz для выдергиаания паролей админа, запилен функционал pasexec, те же EternalBlue. Ползает по сети он с помощью служб SMB и WMI. Semwize вон выше хорошую ссылку дал про этого Петю.
мне непонятно одно, вот пишут Каспер пропустил. КАК КАРЛ? у меня каспер агрится на программу которая тупо файл с паролями сплитит по длинам, а тут массовый заход по файлам с определенными расширениями и все пролетело мимо. Тут либо дядя Женя опять косячит по черному, либо кто-то свистит про антивирусы. За безопасность необходимо платить, а за ее отсутствие расплачиваться. /Уинстон Черчилль/
Потому как Кашмарыча тоже нужно настроить правильно. Вот они тут дали рекомендации: http://www.kaspersky.ru/about/news/business/2017/bus27062017 А вообще доменные правила надо в сетке нормально настраивать, права юзерам не раздавать на право и налево, бэкапы делать и теневое копирование включить. Тогда пофиг на Петю.
в PDF и SMB1 нулевые были, не было (на тот момент) заплаток это первая атака что использовала мимик, псеэкзек это всего-лишь удобный инструмент с малым кодом естественно
А эти самые фирмы не использовали программу M.E.Doc? Интересно, есть ли смысл в словах гендиректора Розетки или нет.