Pull to refresh

Comments 36

Ребята, несколько замечаний к статье.

1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить».

2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.

3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
Не является он вайпером. Файлы он именно шифрует.
Вы можете оспорить источник, который я указал — завтра будет организован вебинар на эту тему, где Вы можете представить свои доводы. Детали о вебинаре — по той же ссылке.
По ссылке написано, что Петя2017 необратимо затирает 16 секторов MBR — там, где всё равно лежит загрузчик ОС и нет ничего ценного пользователю.
Файлы пользователя он именно шифрует, предположительно обратимо.

Но «эксперт» по ссылке, который для округления до килобайтов делит на 0x1024 (вместо 1024==0x400) — такое же посмешище, что и здешний постер.
Даже не 16, а 10 секторов. Опять та же ошибка hex<->dec ;-) И затирает не всегда.
UFO just landed and posted this here
Нет никакого смысла делать три файла, проверяет он только один. И RO ставить не нужно.
Интересные сведения. То есть, он ничего не шифрует и тупо затирает первые 25 секторов, включая partition table.

В современных системах разделы выровнены по 4кб блокам (в старых версиях выровнены по цилиндрам и начинались после 64 сектора), значит содержимое диска можно прочитать, но надо знать начальные и конечные сектора разделов.

Если бы раздел был один, это было бы очень просто: создать новую mbr и partition table с правильной геометрией и правильным начальным сектором, этого достаточно чтобы раздел прочитался.

Но в windows 7 и более поздних их там два и первым идёт скрытый системный раздел. Надо на такой же системе посмотреть его точный размер, начальный и конечный сектор и начальный сектор второго раздела.

C помощью линуксового dd и fdisk можно слить имидж с диска, поэкспериментировать с записью разных partition table и попытаться подмонтировать раздел. Чем чёрт не шутит, вдруг откроется.
>вероятно, больше является вайпером, а не шифровальщиком

Когда вы пишете столь уверенные наезды на экспертов, лучше избегать красивых, но неточных терминов.

Вирус подменяет MBR и затирает следующие за ним 18 секторов, заменяя их на собственный загрузчик.
Предположительно, в этих секторах не должно быть ничего важного для пользователя.

Файлы пользователя шифруются обратимо при условии наличия приватного ключа RSA. Поэтому термин «шифровальщик» вполне корректен.

PS. Подробности по шифрованию — в следующем посте Дмитрия Склярова:
https://habrahabr.ru/company/pt/blog/331962/
Ребята, несколько замечаний к статье.

1. Статью бы неплохо назвать не сенсационно «Как победить вирус Petya», а более честно «Подборка открытой информации о вирусе Petya и рекомендации по предотвращению заражения». Потому как в статье собрано всё, что уже сутки лежит в свободном доступе, ничего нового не добавлено и уж конечно нет дешифратора, который точно помог бы «победить». Да, и неплохо бы информацию дополнить некоторыми данными — про тот же «M.E.Doc», как наиболее вероятный первичный вектор распространения заразы.

2. Вашим «экспертам» неплохо бы почувствовать разницу между «kill switch» и «vaccine». Потому как «kill switch», тоже гуляющий в сети уже сутки, не останавливает активную инфекцию, а просто предотвращает заражение — а потому является вакциной — и эту первоначальную ошибку давным давно тоже исправили.

3. «Экспертам» неплохо было бы также заметить, что обсуждаемая версия Petya (которую ЛК, к примеру, даже считают notPetya по ряду признаков, но то такое, «неэкспертное» :) ) вероятно, больше является вайпером, а не шифровальщиком. А потому «мы не рекомендуем платить злоумышленникам» не только из-за блокировки мэйла, но и просто из чисто технических, «экспертных» точек зрения :)
Прошу прощения — почему-то вместо редактирования создался новый комментарий.
В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии

Друзья, ну нельзя так тексты писать, это же какой-то кошмар, попробуйте сами прочесть. Канцелярит чистой воды, зомби-язык.
«либо другого пустого файла с иным названием» — а можно хэш файла и адрес где вы такое нашли? На пустоту файл не проверяется, проверка идет четко по имени заразы без расширения.
Эксперты писали )))
Не смогли даже корректно скопипастить.
UFO just landed and posted this here
Респект ребятам, они первые и единственные кто понял какие процессы он ищет!
если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.


Я так понимаю оно всё-равно шифрует если MBR'а нету в принципе?

У меня так и произошло. Машина работает, как ни в чем не бывало, а файлы зашифрованы.

UFO just landed and posted this here
В каталоге C:\Windows должен лежать файл с именем, идентичным наименованию самой DLL, производящей вредоносные действия, только без расширения.

Если эта библиотека носит название perfc.dat, то должен присутствовать файл C:\Windows\perfc
А что он делает если на диске GPT а не MBR и выполняется UEFI загрузка?
Если там не MBR — затирает первые 10 секторов.
В случае GPT, в не legacy режиме загрузки, GPT будет перезаписан, но загрузиться, вероятно, можно будет.

Проверили на одной из железок. Он затер GPT, но диск с Windows (загрузились с него) позволил восстановить его из резервной копии.
И здесь спрошу. Судя по тому, что я прочитал, вирус работает только с NTFS. И я так и не понял, что будет, если система на FAT32? А если на ReFS?
А таргет группа то какая?
Гики на виндовс 98 + 3-5% вин серверов в общем?
Думаю что правильнее было бы этот файл держать не пустой, а к примеру файл какой-то с уникальной меткой (каким нибудь guidom+ соль).
я как то криво написал коммент. Я имел ввиду что создателям вируса бы стоило создавать это файл не пустым. В этом случае нельзя было бы стопануть инфицирование если бы кто то создал просто пустой файлик. Ну и хорошо что недоперли создатели.
Не понял. Как защититься-то? Выключить Самбу, не открывать вложений, обновить винду?
… выдернуть шнур, выдавить стекло.
Я для своих сотрудников набросал небольшую инструкцию, как распознать шифровальщики и что нужно делать, если всё таки произошло ЧП. После изучения инструкции они сдают контрольный лист с вопросами и ставят свою подпись, подтверждающую прохождение обучения. С этого момента ответственность за заражение их рабочих ПК лежит на них. Очень способствует внимательности )) Количество обращений «А посмотри что тут мне пришло» возросло, конечно, но это того стоит, ИМХО.
Если кому интересно, вот инструкция. Критика приветствуется.
Идея хорошая но мне кажется плохим решением.
Много букв и ненужной для людей информации, для людей которым сложно работать с этой терминологией и техникой.
Все равно есть дырки, например как не показывать или отключить html с письма и те же вложения html.

У нас сервер проверяет адресатов, складирует.
Заходит gmail забирает, проверяет на вирусы. Gmail это антивирус и дешевое дисковое пространство. Есть ящики свыше 500 гигов занимают, это ужас их держать на SSD или бекапить.
На некоторых ящиках обязанность людей раскидывать письма более детально по другим ящикам.
В день зависает от 5 до 150 писем с вирусами, машин много без антивирусов, с обновлениями, без админских прав, разные ОС от XP до 10 ну и + MAC.
Как показала практика, не так уж и много букв. Даже самые отсталые юзеры вполне прилично восприняли инструкцию. Тем более, что половину времени я принимал экзамен, а вторую половину — разжёвывал и объяснял трудные места)) Да и классических «тётенек из бухгалтерии» у нас нет, коллектив довольно молодой, с компьютерами более-менее свободно обращаются. Обучение проводил ещё в феврале, краткий опрос сотрудников после эпидемии «Пети» показал, что большинство основной принцип (не открывать подозрительные письма) усвоили твёрдо.
Без специальной терминологии довольно трудно обойтись, для того и глоссарий в начале. Я и так уже старался упростить по-максимуму.
Про дырки согласен, про опасность со стороны html в письмах забыл упомянуть. Дополню.
Почтового сервера у нас нет, почта на Яндексе (из-за того, что Битрикс24 используем, его админ говорит, что интеграция только с Яндеском есть) через веб-интерфейс, почтовые программы используют единицы. За почти 3 года использования вирусов не было, личную почту запрещено использовать, объёмы ящиков небольшие, т.к. в основном документы пересылаются.
Спасибо за внимание. Что бы вы ещё могли предложить убрать/дополнить/изменить?

Объясните такую вещь. Сервер с Windows 2003. Обнаружил, что файлы на сервере зашифровались, но сам сервер запускается и работает нормально. Но вот вопрос — почему ни Eset, ни Dr.Web ничего не находят? Вот буквально час назад сканировал со всеми обновлениями. Как так?

Вирус одноразовый. После выполнения своих вредоносных действий самоудаляется, оставив в планировщике задачу на перезагрузку.
Only those users with full accounts are able to leave comments. Log in, please.