lavmax Jun 29 2017 at 16:53

Как распространяется Petya

2 min

36K

Software

Translation

+15

Comments 35

lash05 Jun 29 2017 at 17:28

рекомендуется выключить протокол SMBv1

— Максим, есть же русскоязычная версия той же страницы у МС — https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

vilgeforce Jun 29 2017 at 17:52

«Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.» — нет. Он тогда шифрует сектора дисков, а не файлы.

lostpassword Jun 30 2017 at 07:55

Согласен. Часть шифрования происходит ещё до «синего экрана».

dmitry_ch Jun 29 2017 at 20:04

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер

Это если точно знаешь, что это вирус орудует. В противном случае совет после перезагрузки chkdsk выключать довольно вреден. Ну а вирус, конечно, не имеет четких признаков, вроде того, чтобы выводить при начале шифрования «я вирус, сейчас сделаю всем плохо, выключайте».

mistergrim Jun 29 2017 at 21:26

CHKDSK не зря даёт десять секунд на отмену его запуска.
И он никогда не выглядел так, как на скриншоте. А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки (здесь на 100% утверждать не буду).

samponet Jun 30 2017 at 02:08

От пользователей вы многое хотите, однако

nidalee Jun 30 2017 at 05:40

А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки

Так и есть, чем жутко раздражает.

chabapok Jun 29 2017 at 21:28

в поиске общих сетевых ресурсов ADMIN$

а эти ресурсы в винде что — незапаролены? Так написано, как будто вирь влез не через дырку, а через штатную возможность.

SolarW Jun 29 2017 at 23:31

Запаролены.
Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.

DOMINATION Jun 30 2017 at 01:57

тут забыли добавить момент, что вирус использует еще одну «утилитку» для получения учетных записей и пароли админа, которые сохранены на локальной машине, а если эта машина оказалась сервером — то в руках с учеткой админа и наличием AD — возможности в сети безграничны и никакие патчи не спасут. Ну и как следствие все ПК в организации мертвые.

Drakoninarius Jun 30 2017 at 00:37

Расскажите лучше достаточно далекому от этого вопроса человеку, как обезопасить домашний комп, который не был обновлен еще во времена WannaCry по причине того, что не включался с тех пор (по причине перманентных командировок).

N0Good Jun 30 2017 at 00:56

Побуду Петросяном — не включать. Ну а если серьёзно — было ж написано — установите заплатку от МС. Ну и не открывайте странные письма с документами от неизвестных людей. Ну и ещё — ваш домашний компьютер вероятнее всего подключён к интернету не напрямую, а через роутер, так что поражение через почту — единственная возможность для этого вируса.

No666VA Jun 30 2017 at 01:57

Почему нет информации по PsExec? С чего вдруг он начинает выполнять программы на локальной машине? Кто ему выдал такие права? И как его ограничить в правах? Неужели не нужен пароль админа локальной машины чтобы там что-то выполнять?

nidalee Jun 30 2017 at 05:47

Это аналог telnet-а. Собственно, он и создан был, чтобы выполнять что-либо на удаленных машинах. Можно копировать и выполнять .exe, можно юзать cmd. Пароль нужен, он передается аргументом при выполнении psexec, а добывается другими средствами.

No666VA Jul 1 2017 at 01:12

Тогда как он заражал целые сети если у каждого компа свой пароль нужен? Его же явно не админ открывал как дурачек. А какая-то бухгалтерша недалекая.

No666VA Jul 1 2017 at 01:17

У меня тоже локальная сеть, и я уж точно не открою из письма ерунду, но вот за других юзеров не ручаюсь, они что смогут что-то на моем компе запустить? Это дыра такая или я что-то не догоняю?)

lindstrom Jun 30 2017 at 01:58

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.

А что делать дальше, после выключения компьютера?

lavmax Jun 30 2017 at 01:59

Подозреваю, что можно попробовать вытащить диск и подключить как внешний к другому компу. Возможно удастся прочесть часть файлов.

NiTr0_ua Jun 30 2017 at 21:39

r-studio вытягивает данные из частично шифрованного раздела, с сохранением структуры каталогов («скандиск» шел некоторое время пока юзер погасил комп). другие утили не смогли.

но — doc/xls файлы будут пошифрованными («петя» не отработал, но отработал «миша»).

UFO landed and left these words here

avakyan-georgiy Jun 30 2017 at 11:05

Настройте фильтр вложений по расширению на почтовом сервере, добавив те самые .jar .bat .exe .js итд.

vya Jun 30 2017 at 17:52

Вы допускаете типичную ошибку выжившего. =) Вирус заражает локальную сеть. Для этого ему в неё надо попасть каким-то образом. Заражение через обновления МиДок уже подтвердили. Значит либо у вас МиДок не обновился, либо обновился но позже. Либо раньше.
А может и какая-то другая сторонняя причина, но это уже Вам разбираться.
Прошло мимо и хорошо.
Очередной повод задуматься, как можно сломать собственную сеть.

UFO landed and left these words here

vya Jul 5 2017 at 15:37

https://geektimes.ru/post/290779/ ну теперь то смысла отрицать нет. =)

trnc Jun 30 2017 at 11:05

Мне больше интересно как вирус в локальную сеть попадал. Если через апдейт M.E.Doc хотелось бы увидеть конкретное подтверждение.

NiTr0_ua Jun 30 2017 at 21:47

да, апдейт медок. пришел знакомым, поставили, через час — синий экран и «скандиск». другие компы по сети не пострадали.
второй подтвержденный случай — письмо на почту буху гос.службы. слег весь сегмент сети.
слышал неподтвержденные слухи о нахождении флэшек с «петей» в авторане (лично такого не слыхал).

vya Jul 5 2017 at 15:38

https://geektimes.ru/post/290779/

Adokelv Jun 30 2017 at 12:26

Знакомые фирмы очень пострадали от этого вируса, влетели на крупные суммы

EvgeniyNuAfanasievich Jun 30 2017 at 15:21

Кто нибудь может уже наконец написать от первого лица, как у него происходило заражение?! Со скриншотами, результатами служебного расследования, предпринятыми заранее/после методами.
Сейчас ситуация напоминает: "У моей подруги с её парнем"
Впору уже вводить новую аббревиатуру в обращение: ОАС (один админ сказал...)

EvgeniyNuAfanasievich Jun 30 2017 at 15:44

Нет правда, я читаю статьи одна за одной и везде одно и тоже, только разными словами, а нового крупицы (что емейл заблокирован и кто-то заплатил какие то деньги).

Не подумайте, что я не верю в этот вирус, просто такое серьезное заражение, а подробности по сути от антивирусных компаний, либо от людей знакомые которых пострадали (причем никаких доказательств чего либо люди не утруждаются представить )

AGeek Jun 30 2017 at 17:52

То есть статью с описанием того, как это всё происходит, вы не читали?

xruyn Jun 30 2017 at 17:52

Плохие фирмы, раз на экономили на админах и нанимали, наверное, студентиков.

Boneyards Jun 30 2017 at 17:52

Вообще M.E.Doc уже ответили:

https://www.unian.net/science/2003586-kompaniya-medoc-otvetila-na-obvineniya-v-prichastnosti-k-rasprostraneniyu-virusa-petyaa.html

NiTr0_ua Jun 30 2017 at 21:52

ну а что они ответят? «да, мы облажались, наш сервер поломали и запихали левое обновление, из-за которого вы понесли огромные убытки»? :) да после этого их же на ноль помножат…

факт остается фактом — последнее оф.обновление 22 июня, медок обновился 27-го, после чего — на компе поселился «петя», а другие компы в сегменте не пострадали.

Boneyards Jun 30 2017 at 22:48

Согласен, ну вообще на «Хакере» есть подробный разбор «пети») там есть ссылки на кэш гугла, сайта M.E.Doc, где писалось что они подвержены хакерской атаке аккурат перед началом массового распространения «пети»