notPetya paraliżuje sieć na Ukrainie i innych państwach.

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Globalny atak wirusa Petya. Zarażona nawet sieć elektrowni w Czarnobylu.
Wirus typu ransomware znany jako Petya jest odpowiedzialny za awarie systemów komputerowych, do jakich doszło na całym świecie, wyrządzając największe szkody na Ukrainie, w Rosji, Wielkiej Brytanii, a także w Indiach. ABW "monitoruje sytuację".
Jako pierwsi o ataku poinformowali Ukraińcy, gdzie wirus Petya.A zaatakował system bankowy i telekomunikacyjny, poważnie utrudniając pracę największego lotniska w kraju, metra w Kijowie oraz zakładów energetycznych i ciepłowniczych.
Ataków dokonano spoza granic kraju i miały one masowy charakter - donosiły ukraińskie media.
Wirus szybko się rozprzestrzenił. Poza Ukrainą zaatakował także m.in. w Hiszpanii i w Indiach. Eksperci twierdzą, że może mieć podobne skutki, jak wirus WannyCry, który zaatakował komputery w systemem Windows na całym świecie.
Eksperci ostrożnie wypowiadają się jednak o dokładnym sposobie wtorkowego ataku. Choć część wskazuje na podobieństwo do WannaCry, to rosyjska firma ds. cyberbezpieczeństwa Kaspersky Labs podaje jednak w wątpliwość, czy rzeczywiście chodzi o wirus Petya,A, jak twierdzą władze niektórych krajów.
- Nasza wstępna analiza sugeruje, że nie chodzi o wersję ransomware Petya, jak dotąd wskazywano, ale o nowy rodzaj ransomware, dotąd nieznany. Z tego powodu nazwaliśmy go NotPetya - głosi komunikat firmy, która zaleca uaktualnienie używanej wersji systemu operacyjnego Windows..
Amerykański producent oprogramowania antywirusowego Symatec wskazał, że za atakiem stoi grupa hakerska Lazarus, którą wiąże się z Koreą Północną.
Duński koncern A.P. Moeller-Maersk działający głównie w branży transportu morskiego i energii, brytyjska firma WPP - gigant z branży reklamy i public-relations, nienazwana w depeszach "międzynarodowa norweska firma", oraz terminale w największym w Europie porcie w Rotterdamie również padły ofiarą ataków hakerskich.
O awarii systemów komputerowych firma A.P. Moeller-Maersk, która zatrudnia 120 tys. pracowników w 135 krajach, poinformowała rzeczniczka koncernu, potwierdzając, że powodem jest cyberatak na liczne należące do koncernu firmy i strony internetowe.
- Możemy potwierdzić, że systemy teleinformatyczne Maersk nie działają (...) na skutek cyberataku. W dalszym ciągu oceniamy sytuację. Bezpieczeństwo naszych pracowników, naszych operacji i interesy naszych klinetów jest naszym najwyższym priorytetem - głosi informacja na stronie koncernu.
"Zaatakowane są przede wszystkim komputery działające na systemie Windows. Na ekranie pojawia się czarny ekran z czerwonymi napisami, który informuje, że zostanie odblokowany dopiero po wpłaceniu 300 dolarów w walucie Bitocoin" - powiedział w rozmowie z portalem PolskieRadio.pl Polak pracujący w Kijowie.
DDVDpQVWsAAbgZ7.jpg:small

- Atak zorganizowały służby specjalne Rosji - oświadczył doradca szefa MSW i deputowany do ukraińskiego parlamentu Anton Heraszczenko. - Przeciwko Ukrainie rozpoczęto ogromny cyberatak, który odbywa się pod przykrywką wirusa. Według wstępnych informacji jest to zorganizowany system, swego rodzaju trening ze strony służb specjalnych Federacji Rosyjskiej - powiedział w jednej ze stacji telewizyjnych.
O awarii komputerów w siedzibie Rady Ministrów w Kijowie poinformował wicepremier Pawło Rozenko. „(…) Nasza sieć też padła. Taki obrazek pokazują wszystkie komputery w KMU (siedzibie rządu)” - napisał na Facebooku, gdzie umieścił zdjęcie ekranu komputerowego z komunikatem o awarii.
Pierwszy o problemie poinformował Narodowy Bank Ukrainy (NBU), który przekazał, że niektóre banki mają problemy z płatnościami i obsługą klientów. Nie działa co najmniej część bankomatów.
„Bank Narodowy jest przekonany, że ochrona infrastruktury bankowej przed oszustwami w cyberprzestrzeni zorganizowana jest w należyty sposób, a próby ataków komputerowych na systemy informatyczne banków zostaną zneutralizowane” - oświadczył NBU.

Rzecznik ukraińskiej policji poinformował, że atak hakerów sparaliżował działalność jednocześnie kilku instytucji rządowych. Zaatakowane zostały również banki Sberbank, Ukrsotsbank, Ukrgasbank, OTP Bank i PrivatBank, media oraz korporacje rządowe. Wirus Petya.A uderzył też w system komputerowy kijowskiego metra. Ukraińskie media donoszą, że ofiarami ataku hakerskiego padła również Ukrpoczta (ukraińska poczta) oraz zarządzający usługami telekomunikacyjnymi Ukrtelekom.
Rosjanie także z problemami
Rosyjski bank centralny poinformował o "atakach komputerowych" na rosyjskie banki, dodając, że w pojedynczych przypadkach doszło do zainfekowania ich systemów teleinformatycznych.
W komunikacie bank zapewnił, że systemy bankowe nie zostały złamane. Dodał, że współpracuje z bankami w celu przezwyciężenia skutków ataków.
Także rosyjski koncern naftowy Rosnieft poinformował, że padł ofiara ataku hakerskiego na dużą skalę, ale wydobycie i przetwarzanie ropy nie zostało wstrzymane dzięki przejściu na system rezerwowy.
"Atak hakerski mógł mieć poważne konsekwencje, ale firma przeszła na rezerwowy system przetwarzania i produkcji; ani wydobycie, ani rafinowanie nie zostały wstrzymane" - podała firma w komunikacie zamieszczonym na Twitterze.
Serwery Rosnieftu, a także kontrolowanej przez koncern spółki naftowej Basznieft, zaatakował wirus o działaniu podobnym do WannaCry - podał portal RBK, powołując się na źródło w policji.
We wtorek po południu strona internetowa Rosnifetu była niedostępna. O ataku na jej systemy informatyczne powiadomiła też firma Evraz.
ABW monitoruje sytuację związaną z bezpieczeństwem cybernetycznym Polski
Agencja Bezpieczeństwa Wewnętrznego na bieżąco monitoruje sytuację związaną z bezpieczeństwem cybernetycznym Polski - zapewniono w komunikacie przesłanym we wtorek PAP. Służby ostrzegają, by nie otwierać maili z nieznanych źródeł oraz nie klikać w linki zawarte w takich wiadomościach.
Departament Bezpieczeństwa Narodowego KPRM poinformował w komunikacie, że ABW monitoruje sytuację, a do Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL nie wpłynęło do tej pory żadne zgłoszenie dotyczące wirusa typu ransomware o nazwie Petya potwierdzające, by instytucje z zakresu CERT.GOV.PL (administracja rządowa oraz infrastruktura krytyczna) padły ofiarą kampanii hakerskiej.
"Obecnie CERT.GOV.PL pozostaje w kontakcie z innymi krajowymi CERT-ami w powyższej sprawie" - zapewniono.
Służby ostrzegają, aby nie otwierać e-maili z nieznanych źródeł oraz nie klikać w linki zawarte w takich wiadomościach.
Wcześniej zastępca ministra koordynatora służb specjalnych Maciej Wąsik powiedział PAP, że nie ma sygnałów o aktywności hakerskiej w publicznej domenie w Polsce, a CERT ABW nie sygnalizował "żadnych szczególnych" zdarzeń. Przypomniał, że Centrum w ABW zajmuje się domeną publiczną - gov.pl i instytucjami publicznymi.
Hakerzy zaatakowali nieczynną elektrownię atomową w Czarnobylu
Wirus nie ominął sieci komputerowej nieczynnej elektrowni atomowej w Czarnobylu. Systemy technologiczne stacji działają w zwykłym trybie - poinformowały władze.
Elektrownia w Czarnobylu na północy Ukrainy została zamknięta po wybuchu jej czwartego reaktora w 1986 roku. Reaktor ten został niedawno zabezpieczony nową izolacją. Obecnie działa tam zakład przechowywania zużytego paliwa jądrowego.
W związku z atakiem nie działa strona internetowa elektrowni w Czarnobylu - przekazała we wtorek państwowa agencja, która zarządza strefą wokół siłowni.
„W wyniku tymczasowego odłączenia systemu Windows monitoring promieniowania placu przemysłowego (wokół reaktora - PAP) odbywa się ręcznie. Automatyczny system kontroli promieniowania w strefie działa w trybie zwykłym” - oświadczono w komunikacie.[
źr:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Nic pewnego, ale nie zaszkodzi:
Zaloguj lub Zarejestruj się aby zobaczyć!
We have found local “kill switch” for
Zaloguj lub Zarejestruj się aby zobaczyć!
: create file "C:\Windows\perfc"

Ukraińska Cyberpolicja znalazła przyczynę i źródło ataku. Ustaleniami podzieliła się
Zaloguj lub Zarejestruj się aby zobaczyć!
. Winne jest popularne oprogramowanie “M.E.doc”, z którego korzystają ukraińskie instytucje i firmy, do “zarządzania dokumentami”. Ktoś podmienił aktualizację tego oprogramowania na sererze “upd.me-doc.com.ua (92.60.184.55)” na złośliwą, a tak poprzez funkcję automatycznej aktualizacji została zaciągnięta i uruchomiona w sieciach firm i instytucji.
Podmienina binarka tworzyła plik rundll32.exe, a następnie:
– skanowała lokalną sieć pod kątem portów TCP/139 i TCP/445;
– tworzyłą plik perfc.bat;
– uruchamiała cmd.exe z komendą:
/ c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35
– tworzyła plik ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
– tworzyła plik dllhost.dat.
Dalej ransomware rozprzestrzeniał się przez podatności znane z WannaCry (SMBv1). Ale jak dodają inni badacze, propagacja w sieci lokalnej następowała też na skutek przechwytywanych haseł dostępowych do domeny przy pomocy WebDAV[ i narzędzia LSADump]. Dzięki temu ofiarami stawały się nawet te Windowsy, które nie miały otwartej Samby lub były zaktualizowane, ale znajdowały się w domenie!
więcej:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Camel1965

Bardzo aktywny
Zasłużony
Dołączył
8 Wrzesień 2010
Posty
41453
Reakcje/Polubienia
35191
Kolejny groźny globalny atak: ransomware Petya. Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów!
Od kilku godzin w wielu poważnych instytucjach na całym świecie, nie tylko na Ukrainie jak twierdzą media, trwa panika. Komputery są zablokowane i mamy powtórkę tego, co działo się miesiąc temu.
Do poczytania
Zaloguj lub Zarejestruj się aby zobaczyć!
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
39511
Reakcje/Polubienia
27897
Miasto
Trololololo
Fajnie, może wreszcie ludzie zrozumieją że codzienny backup to najlepsze rozwiązanie przed tego typu atakami.Antywirusy :fakolec , Backup + AppGuard stanowi lepszą ochronę.
 
Ostatnia edycja:

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Racja Szefie. Niemniej wczoraj założyłem temat z tym samym linkiem. Teraz tematy się dublują.
 

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
39511
Reakcje/Polubienia
27897
Miasto
Trololololo

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
11020
Reakcje/Polubienia
11525
Miasto
Somewhere over the rainbow.
To tworzenie jakichś plików czy folderów jest raczej zabawne niż potrzebne. Atak był jeden i po tym czasie nie odnotowano już ani jednego. Jeśli ktoś był w gronie "szczęśliwców" to ma pecha a jak ktoś nie był to już nie będzie. Nawet jeśli jutro czy pojutrze będą kolejne to już takie żeby i te rozwiązania obejść. To trochę tak jak w ataku terrorystycznym - tam gdzie najwięcej jest służb to drugi atak nie następuje.:papież
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Nowa teoria. Całkiem logiczna.
Anton Cherepanov z firmy ESET twierdzi, że hakerzy odpowiedzialni za Petya mieli dostęp do komputerów swoich ofiar już na długo przed atakiem. Swoje cele namierzali i rozpoznawali po odpowiedniku polskiego numeru REGON.
Wiadomo już, że Petya został rozprzestrzeniony za pomocą zainfekowanej aktualizacji oprogramowania M.E.Doc. Cherepanov twierdzi jednak, że hakerzy już wcześniej zainfekowali wspomniane narzędzie i mieli dostęp do wewnętrznych sieci ukraińskich firm.
Atakujący zyskali między innymi możliwość dokładnego identyfikowania ofiar za pomocą numeru EDRPOU, który jest odpowiednikiem polskiego REGON-u. Dzięki temu byli w stanie zinfiltrować sieci konkretnych firm.
Zacieranie śladów
Już wcześniej pojawiały się teorie na temat zacierania śladów. Infekcja wirusem Petya mogła być ostatnim krokiem działania hakerów. Po zdobyciu interesujących ich danych postanowili sparaliżować firmy za pomocą ransomware.
petya_mapa.jpg

Skala ataku ransomware Petya

Jak się później okazało, zaszyfrowanych danych nie dało się w żaden sposób odzyskać. Ponadto część sektorów dysku była po prostu nadpisywana, a nie szyfrowana. Firmy musiały zatem „postawić” systemy na nowo, kasując tym samym dostępne w nich logi. A to mogło zatrzeć ślady wcześniejszej aktywności hakerów.
- Żeby uzmysłowić skalę zagrożenia zaryzykuję analogię. Wyobraźmy sobie sytuację, w której tysiące firm w Polsce pobiera aktualizację któregoś powszechnie używanego programu komputerowego. Tyle, że w tej aktualizacji zawarta jest pułapka – atakujący zyskują dostęp do komputerów ofiar i do zapisanych tam danych – zauważa Paweł Jurek z DAGMA.
- Temat stał się medialny dopiero w momencie, w którym zaatakowane firmy wstrzymały swoją pracę. Być może groźniejsze było jednak to, co działo się wcześniej – kiedy to atakujący mogli błyskawicznie identyfikować swoje ofiary i kiedy to mieli dostęp do ich komputerów i danych na nich zawartych. Otwartym pozostaje pytanie, jak ten dostęp wykorzystywali atakujący zanim zdecydowali się zniszczyć dane? - kontynuuje.
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
To tworzenie jakichś plików czy folderów jest raczej zabawne niż potrzebne. Atak był jeden i po tym czasie nie odnotowano już ani jednego.
Nie zgadzam się. Stworzenie jednego pliku do odczytu absolutnie w niczym systemowi nie przeszkadza i jest niezauważalne, a w sporej części ocalić tyłek może. Co prawda mała jest szansa, że spotkamy się z tą odmianą vipera, ale jaka szansa, że trafi nas piorun?... Tylko, co ma powiedzieć ten gość, którego piorun trafił 6 razy...:szok
Zaloguj lub Zarejestruj się aby zobaczyć!


Tymczasem niejaki Janus - twórca Petya odcina się od ostatnich ataków i udostępnił klucz prywatny dla wszystkich poprzednich wersji Petya.
Kto zachował obrazy zaszyfrowanych dysków poprzednią wersją ransoma ma spore szanse na ich odszyfrowanie...
Zaloguj lub Zarejestruj się aby zobaczyć!

 

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
11020
Reakcje/Polubienia
11525
Miasto
Somewhere over the rainbow.
Jak z domu albo auta nie wyjdziesz to piorun Cię nie trafi zarówno dzisiaj jak i w przyszłości - proste rozwiązanie. Jak stworzysz jakiś plik to może Cię ustrzec jeśli taki sam atak się powtórzy. A te wszystkie rozwiązania podają "jakieś" Janusze czy inne Antki. Czyli mam wprowadzać zmiany w swoim systemie podane przez jakiegoś "no name". Dziękuję, wolę ryzykować.

A w dodatku to podawaj źródła swoich wypowiedzi bo to co napisałeś to chyba czytałem na
Zaloguj lub Zarejestruj się aby zobaczyć!
.:nonono
 

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Jak z domu albo auta nie wyjdziesz to piorun Cię nie trafi zarówno dzisiaj jak i w przyszłości - proste rozwiązanie. Jak stworzysz jakiś plik to może Cię ustrzec jeśli taki sam atak się powtórzy. A te wszystkie rozwiązania podają "jakieś" Janusze czy inne Antki. Czyli mam wprowadzać zmiany w swoim systemie podane przez jakiegoś "no name". Dziękuję, wolę ryzykować.
A w dodatku to podawaj źródła swoich wypowiedzi bo to co napisałeś to chyba czytałem na
Zaloguj lub Zarejestruj się aby zobaczyć!
.:nonono
@al coś słaba ta Twoja logika... Jak z domu nie wyjdziesz, to Cię piorun nie trafi. Oczywiste. Jednakże przenosząc na grunt grasującego vipera - jak nie będziesz korzystał i pobierał niczego z internetu, elektronicznej poczty, to notPetya nie trafisz. Tylko czy są tu tacy? Kiepska ta Twoja rada, bo jeśli ktoś nie korzysta z neta, to nawet jej nie przeczyta.
Zawsze podaję linki i teraz też podałem. Trzeba było uważać. :guma Na jakie źródło się powołał Sekurak? Nie zamierzam szukać, a tym bardziej podawać wszystkich linków, w których rzeczone info zostało podane, bo to chore. Wystarczy link źródłowy lub najbliżej źródła zbliżony.
You are welcome. :klawik
 
Ostatnia edycja:

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
11020
Reakcje/Polubienia
11525
Miasto
Somewhere over the rainbow.
@al coś słaba ta Twoja logika... Jak z domu nie wyjdziesz, to Cię piorun nie trafi. Oczywiste. Jednakże przenosząc na grunt grasującego vipera - jak nie będziesz korzystał i pobierał niczego z internetu, elektronicznej poczty, to notPetya nie trafisz. Tylko czy są tu tacy? Kiepska ta Twoja rada, bo jeśli ktoś nie korzysta z neta, to nawet jej nie przeczyta.
Zawsze podaję linki i teraz też podałem. Trzeba było uważać. :guma Na jakie źródło się powołał Sekurak? Nie zamierzam szukać, a tym bardziej podawać wszystkich linków, w których rzeczone info zostało podane, bo to chore. Wystarczy link źródłowy lub najbliżej źródła zbliżony.
You are welcame. :klawik

"Tymczasem niejaki Janus - twórca Petya odcina się od ostatnich ataków i udostępnił klucz prywatny dla wszystkich poprzednich wersji Petya.
Kto zachował obrazy zaszyfrowanych dysków poprzednią wersją ransoma ma spore szanse na ich odszyfrowanie..".

"tymczasem niejaki Janus, udostępnił klucz prywatny z wysokim prawdopodobieństwem umożliwiający deszyfrację dla wszystkich poprzednich wersji Petya (dla pewności: niestety nie wliczamy w to
Zaloguj lub Zarejestruj się aby zobaczyć!
najnowszej odmiany). Kto więc zachował obraz zaszyfrowanego dysku, może otwierać szampana"

Trochę Twoje słowa wydały mi się podobne do tekstu z Sekuraka :lupa ale mniejsza z tym.


Nie zrozumieliśmy się. Nie chodziło mi o to żeby niczego nie pobierać tylko, że w przypadku pioruna rozwiązanie jest zawsze takie samo a ten "cudowny plik" w przyszłości się nie przyda. A to co ktoś tam pobiera to mnie nie interesi. Efekty pobierania dziwnych załączników z poczty są jak widać. A wystarczy nie latać po torentach i warezach - easy peasy lemon squeezy. You're welcome. :winked
 
Ostatnia edycja:

Zeno

Bardzo aktywny
Fąfel
Dołączył
25 Grudnia 2012
Posty
3447
Reakcje/Polubienia
1583
Owszem tekst zbliżony, ale nie ten sam, więc na cytat się nie nadawał. W związku z tym nie ma też obowiązku podawania źródła cytatu, którego nie ma... Masz podane źródło, na które powołał się Sekurak. Wszystko jest lege artis, zarzut odrzucony, dziękuję. :jezyk

Swoją drogą autor ww. newsa na blogu malwarebytes - Hasherezade, to Polak...
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnio edytowane przez moderatora:

al

Marszałek Forum
Członek Załogi
Administrator
Dołączył
22 Lipiec 2012
Posty
11020
Reakcje/Polubienia
11525
Miasto
Somewhere over the rainbow.
Jasne.

"Nie płacz Anka bo tu miejsca brak na Twe babskie łzy. Po chodnikach miłość hula wiatr wśród rozbitych szyb."

Moja piosenka. Tekst zbliżony ale nie taki sam :szydera
 
Do góry