lavmax29 июн 2017 в 13:53

Как распространяется Petya

2 мин

37K

Софт

Перевод

+12

Комментарии 35

lash05 29 июн 2017 в 14:28

рекомендуется выключить протокол SMBv1

— Максим, есть же русскоязычная версия той же страницы у МС — https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

vilgeforce 29 июн 2017 в 14:52

«Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.» — нет. Он тогда шифрует сектора дисков, а не файлы.

lostpassword 30 июн 2017 в 04:55

Согласен. Часть шифрования происходит ещё до «синего экрана».

dmitry_ch 29 июн 2017 в 17:04

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер

Это если точно знаешь, что это вирус орудует. В противном случае совет после перезагрузки chkdsk выключать довольно вреден. Ну а вирус, конечно, не имеет четких признаков, вроде того, чтобы выводить при начале шифрования «я вирус, сейчас сделаю всем плохо, выключайте».

mistergrim 29 июн 2017 в 18:26

CHKDSK не зря даёт десять секунд на отмену его запуска.
И он никогда не выглядел так, как на скриншоте. А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки (здесь на 100% утверждать не буду).

samponet 29 июн 2017 в 23:08

От пользователей вы многое хотите, однако

nidalee 30 июн 2017 в 02:40

А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки

Так и есть, чем жутко раздражает.

chabapok 29 июн 2017 в 18:28

в поиске общих сетевых ресурсов ADMIN$

а эти ресурсы в винде что — незапаролены? Так написано, как будто вирь влез не через дырку, а через штатную возможность.

SolarW 29 июн 2017 в 20:31

Запаролены.
Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.

DOMINATION 29 июн 2017 в 22:57

тут забыли добавить момент, что вирус использует еще одну «утилитку» для получения учетных записей и пароли админа, которые сохранены на локальной машине, а если эта машина оказалась сервером — то в руках с учеткой админа и наличием AD — возможности в сети безграничны и никакие патчи не спасут. Ну и как следствие все ПК в организации мертвые.

Drakoninarius 29 июн 2017 в 21:37

Расскажите лучше достаточно далекому от этого вопроса человеку, как обезопасить домашний комп, который не был обновлен еще во времена WannaCry по причине того, что не включался с тех пор (по причине перманентных командировок).

N0Good 29 июн 2017 в 21:56

Побуду Петросяном — не включать. Ну а если серьёзно — было ж написано — установите заплатку от МС. Ну и не открывайте странные письма с документами от неизвестных людей. Ну и ещё — ваш домашний компьютер вероятнее всего подключён к интернету не напрямую, а через роутер, так что поражение через почту — единственная возможность для этого вируса.

No666VA 29 июн 2017 в 22:57

Почему нет информации по PsExec? С чего вдруг он начинает выполнять программы на локальной машине? Кто ему выдал такие права? И как его ограничить в правах? Неужели не нужен пароль админа локальной машины чтобы там что-то выполнять?

nidalee 30 июн 2017 в 02:47

Это аналог telnet-а. Собственно, он и создан был, чтобы выполнять что-либо на удаленных машинах. Можно копировать и выполнять .exe, можно юзать cmd. Пароль нужен, он передается аргументом при выполнении psexec, а добывается другими средствами.

No666VA 30 июн 2017 в 22:12

Тогда как он заражал целые сети если у каждого компа свой пароль нужен? Его же явно не админ открывал как дурачек. А какая-то бухгалтерша недалекая.

No666VA 30 июн 2017 в 22:17

У меня тоже локальная сеть, и я уж точно не открою из письма ерунду, но вот за других юзеров не ручаюсь, они что смогут что-то на моем компе запустить? Это дыра такая или я что-то не догоняю?)

lindstrom 29 июн 2017 в 22:58

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.

А что делать дальше, после выключения компьютера?

lavmax 29 июн 2017 в 22:59

Подозреваю, что можно попробовать вытащить диск и подключить как внешний к другому компу. Возможно удастся прочесть часть файлов.

NiTr0_ua 30 июн 2017 в 18:39

r-studio вытягивает данные из частично шифрованного раздела, с сохранением структуры каталогов («скандиск» шел некоторое время пока юзер погасил комп). другие утили не смогли.

но — doc/xls файлы будут пошифрованными («петя» не отработал, но отработал «миша»).

НЛО прилетело и опубликовало эту надпись здесь

avakyan-georgiy 30 июн 2017 в 08:05

Настройте фильтр вложений по расширению на почтовом сервере, добавив те самые .jar .bat .exe .js итд.

vya 30 июн 2017 в 14:52

Вы допускаете типичную ошибку выжившего. =) Вирус заражает локальную сеть. Для этого ему в неё надо попасть каким-то образом. Заражение через обновления МиДок уже подтвердили. Значит либо у вас МиДок не обновился, либо обновился но позже. Либо раньше.
А может и какая-то другая сторонняя причина, но это уже Вам разбираться.
Прошло мимо и хорошо.
Очередной повод задуматься, как можно сломать собственную сеть.

НЛО прилетело и опубликовало эту надпись здесь

vya 5 июл 2017 в 12:37

https://geektimes.ru/post/290779/ ну теперь то смысла отрицать нет. =)

trnc 30 июн 2017 в 08:05

Мне больше интересно как вирус в локальную сеть попадал. Если через апдейт M.E.Doc хотелось бы увидеть конкретное подтверждение.

NiTr0_ua 30 июн 2017 в 18:47

да, апдейт медок. пришел знакомым, поставили, через час — синий экран и «скандиск». другие компы по сети не пострадали.
второй подтвержденный случай — письмо на почту буху гос.службы. слег весь сегмент сети.
слышал неподтвержденные слухи о нахождении флэшек с «петей» в авторане (лично такого не слыхал).

vya 5 июл 2017 в 12:38

https://geektimes.ru/post/290779/

Adokelv 30 июн 2017 в 09:26

Знакомые фирмы очень пострадали от этого вируса, влетели на крупные суммы

EvgeniyNuAfanasievich 30 июн 2017 в 12:21

Кто нибудь может уже наконец написать от первого лица, как у него происходило заражение?! Со скриншотами, результатами служебного расследования, предпринятыми заранее/после методами.
Сейчас ситуация напоминает: "У моей подруги с её парнем"
Впору уже вводить новую аббревиатуру в обращение: ОАС (один админ сказал...)

EvgeniyNuAfanasievich 30 июн 2017 в 12:44

Нет правда, я читаю статьи одна за одной и везде одно и тоже, только разными словами, а нового крупицы (что емейл заблокирован и кто-то заплатил какие то деньги).

Не подумайте, что я не верю в этот вирус, просто такое серьезное заражение, а подробности по сути от антивирусных компаний, либо от людей знакомые которых пострадали (причем никаких доказательств чего либо люди не утруждаются представить )

AGeek 30 июн 2017 в 14:52

То есть статью с описанием того, как это всё происходит, вы не читали?

xruyn 30 июн 2017 в 14:52

Плохие фирмы, раз на экономили на админах и нанимали, наверное, студентиков.

Boneyards 30 июн 2017 в 14:52

Вообще M.E.Doc уже ответили:

https://www.unian.net/science/2003586-kompaniya-medoc-otvetila-na-obvineniya-v-prichastnosti-k-rasprostraneniyu-virusa-petyaa.html

NiTr0_ua 30 июн 2017 в 18:52

ну а что они ответят? «да, мы облажались, наш сервер поломали и запихали левое обновление, из-за которого вы понесли огромные убытки»? :) да после этого их же на ноль помножат…

факт остается фактом — последнее оф.обновление 22 июня, медок обновился 27-го, после чего — на компе поселился «петя», а другие компы в сегменте не пострадали.

Boneyards 30 июн 2017 в 19:48

Согласен, ну вообще на «Хакере» есть подробный разбор «пети») там есть ссылки на кэш гугла, сайта M.E.Doc, где писалось что они подвержены хакерской атаке аккурат перед началом массового распространения «пети»

Зарегистрируйтесь на Хабре, чтобы оставить комментарий