Рубрика «Petya.A»

Вирусы-шифровальщики уже не первый год сотрясают ИТ-рынок последствиями своей подпольной работы. Скрываясь за ссылкой в email или в JavaScript коде на странице веб сайта, они молчаливо инсталлируются на рабочие компьютеры или сервера и начинают тихо зашифровывать всю информацию. После окончания шифрования, одни просто удаляют ключ шифрования, другие требуют выкуп, но далеко не все пользователи, заплатившие его получают ключ шифрования. Как же с ними можно бороться? Самое главное средство борьбы – быть подготовленным к наихудшему.

Пытаться защититься от вирусов и других хакерских атак только средствами антивирусов и межсетевых экранов, это все равно что навесить замков на двери, поставить сигнализациювидеонаблюдение и рассчитывать на то, что не найдется кто-то, кто это сможет обойти. Как показывает практика, даже самые сложные замки, самые умные системы защиты можно обойти. Нужно иметь «План Б» и быть готовым к наихудшему. Единственный выход — иметь возможность быстро и гарантированно восстановить данные. На примере решений NetApp рассмотрим такие возможности.

Как защитить корпоративное хранилище от вирусов-шифровальщиков снэпшотами - 1
Читать полностью »

Вы уж извините, что на ночь глядя, но вирусные эпидемии часов не наблюдают. Итак…

На текущий момент известно, что троянец заражает компьютеры при помощи того же набора уязвимостей, которые ранее использовались злоумышленниками для внедрения на компьютеры жертв троянца WannaCry. Массовое распространение Trojan.Encoder.12544 началось в первой половине дня 27.06.2017. При запуске на атакуемом компьютере троянец несколькими способами ищет доступные в локальной сети ПК, после чего по списку полученных IP-адресов начинает сканировать порты 445 и 139. Обнаружив в сети машины, на которых открыты эти порты, Trojan.Encoder.12544 пытается инфицировать их с использованием широко известной уязвимости в протоколе SMB (MS17-10).

В своем теле троянец содержит 4 сжатых ресурса, 2 из которых являются 32- и 64-разрядной версиями утилиты Mimikatz, предназначенной для перехвата паролей открытых сессий в Windows. В зависимости от разрядности ОС он распаковывает соответствующую версию утилиты, сохраняет ее во временную папку, после чего запускает. При помощи утилиты Mimikatz, а также двумя другими способами Trojan.Encoder.12544 получает список локальных и доменных пользователей, авторизованных на зараженном компьютере. Затем он ищет доступные на запись сетевые папки, пытается открыть их с использованием полученных учетных данных и сохранить там свою копию. Чтобы инфицировать компьютеры, к которым ему удалось получить доступ, Trojan.Encoder.12544 использует утилиту для управления удаленным компьютером PsExec (она также хранится в ресурсах троянца) или стандартную консольную утилиту для вызова объектов Wmic.exe.
Читать полностью »

Вирусы шифровальщики не первый год сотрясают ИТ общественность последствиями своей подпольной работы. Скрываясь за ссылкой в email или в JavaScript коде на странице веб сайта, они молчаливо инсталлируются на рабочие компьютеры или сервера и начинают тихо зашифровывать всю информацию. После окончания шифрования, некоторые просто удаляют ключ шифрования, а не которые требуют выкуп, но далеко не все заплатившие выкуп получают ключ шифрования. Как же с ними можно бороться? Самое главное средство борьбы – быть подготовленным к борьбе.

Как защитить корпоративный NAS от вирусов RansomWare - 1

Читать полностью »

Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.
Сегодня, 27 июня 2017 г., зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, к которым относятся:

  • «Роснефть»
  • НПЗ «Роснефть» Рязань
  • «Башнефть»
  • НПЗ «Башнефть»
  • «Башнефть — добыча»
  • Хоум кредит
  • Damco (российские и европейские подразделения)
  • Аэропорт «Борисполь»
  • Запорожьеоблэнерго
  • Днепроэнерго
  • Днепровская электроэнергетическая система
  • ХарьковГаз
  • Ощадбанк
  • ПриватБанк
  • Новая Почта
  • Киевский метрополитен
  • Чернобыльская АЭС
  • Ашан
  • Киевстар
  • LifeCell
  • УкрТелеКом
  • Nivea
  • Mars
  • Mondelēz International
  • Maersk

Этот перечень пополняется непрерывно, в соцсетях появляется все больше подобных фотографий:
Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины - 1

Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:

  • путем эксплуатации уязвимости в SMB MS17-010 (аналогично майскому Wanna Cry);
  • путем направленной отправки вредоносного ПО по электронной почте
  • использующаяся уязвимость для исполнения вредоносного кода: CVE-2017-0199 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199)
  • использующаяся уязвимость для распространения и заражения: CVE-2017-0144, он же EternalBlue (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144)

Читать полностью »

Очередная атака криптовымогателя парализует крупные компании - 1

Сегодня днем, 27 июня, крупные украинские компании заявили об очередных проблемах, обусловленных новой волной вируса-вымогателя. В последствии сообщения о блокировках начали поступать из России, США и Европы.

В списке жертв по состоянию на 17:00:

  • Кабинет министров Украины;
  • Укрпочта и Новая почта;
  • Мобильные операторы Vodafone и Киевстар;
  • Банки «Ощадбанк», «Укргазбанк», «Пивденный», «Такскомбанк», «ОТП Банк»;
  • Издания «Корреспондент», «24 канал»
  • Киевский метрополитен;
  • Украинские железные дороги;
  • Укртелеком;
  • Эпицентр.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js