Как распространяется Petya

[lash05]

рекомендуется выключить протокол SMBv1

— Максим, есть же русскоязычная версия той же страницы у МС — https://support.microsoft.com/ru-ru/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

[vilgeforce]

«Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.» — нет. Он тогда шифрует сектора дисков, а не файлы.

[lostpassword]

Согласен. Часть шифрования происходит ещё до «синего экрана».

[dmitry_ch]

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер

Это если точно знаешь, что это вирус орудует. В противном случае совет после перезагрузки chkdsk выключать довольно вреден. Ну а вирус, конечно, не имеет четких признаков, вроде того, чтобы выводить при начале шифрования «я вирус, сейчас сделаю всем плохо, выключайте».

[mistergrim]

CHKDSK не зря даёт десять секунд на отмену его запуска.
И он никогда не выглядел так, как на скриншоте. А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки (здесь на 100% утверждать не буду).

[samponet]

От пользователей вы многое хотите, однако

[nidalee]

А начиная с восьмёрки, он вроде как вообще не показывает ход выполнения, отрабатывает во время показа заставки

Так и есть, чем жутко раздражает.

[chabapok]

в поиске общих сетевых ресурсов ADMIN$

а эти ресурсы в винде что — незапаролены? Так написано, как будто вирь влез не через дырку, а через штатную возможность.

[SolarW]

Запаролены.
Но вирус пытается соединяться с ними используя полученные с помощью mimikatz логин/пароль.
А если посмотреть как ложились корпоративные сети — то похоже таким способом у него получалось достать данные доменного админа.

[DOMINATION]

тут забыли добавить момент, что вирус использует еще одну «утилитку» для получения учетных записей и пароли админа, которые сохранены на локальной машине, а если эта машина оказалась сервером — то в руках с учеткой админа и наличием AD — возможности в сети безграничны и никакие патчи не спасут. Ну и как следствие все ПК в организации мертвые.

[Drakoninarius]

Расскажите лучше достаточно далекому от этого вопроса человеку, как обезопасить домашний комп, который не был обновлен еще во времена WannaCry по причине того, что не включался с тех пор (по причине перманентных командировок).

[N0Good]

Побуду Петросяном — не включать. Ну а если серьёзно — было ж написано — установите заплатку от МС. Ну и не открывайте странные письма с документами от неизвестных людей. Ну и ещё — ваш домашний компьютер вероятнее всего подключён к интернету не напрямую, а через роутер, так что поражение через почту — единственная возможность для этого вируса.

[No666VA]

Почему нет информации по PsExec? С чего вдруг он начинает выполнять программы на локальной машине? Кто ему выдал такие права? И как его ограничить в правах? Неужели не нужен пароль админа локальной машины чтобы там что-то выполнять?

[nidalee]

Это аналог telnet-а. Собственно, он и создан был, чтобы выполнять что-либо на удаленных машинах. Можно копировать и выполнять .exe, можно юзать cmd. Пароль нужен, он передается аргументом при выполнении psexec, а добывается другими средствами.

[No666VA]

Тогда как он заражал целые сети если у каждого компа свой пароль нужен? Его же явно не админ открывал как дурачек. А какая-то бухгалтерша недалекая.

[No666VA]

У меня тоже локальная сеть, и я уж точно не открою из письма ерунду, но вот за других юзеров не ручаюсь, они что смогут что-то на моем компе запустить? Это дыра такая или я что-то не догоняю?)

[lindstrom]

Если после перезагрузки компьютера на экране появился CHKDSK стоит немедленно выключить компьютер — в этот момент как раз шифруются файлы.

А что делать дальше, после выключения компьютера?

[lavmax]

Подозреваю, что можно попробовать вытащить диск и подключить как внешний к другому компу. Возможно удастся прочесть часть файлов.

[NiTr0_ua]

r-studio вытягивает данные из частично шифрованного раздела, с сохранением структуры каталогов («скандиск» шел некоторое время пока юзер погасил комп). другие утили не смогли.

но — doc/xls файлы будут пошифрованными («петя» не отработал, но отработал «миша»).

[avakyan-georgiy]

Настройте фильтр вложений по расширению на почтовом сервере, добавив те самые .jar .bat .exe .js итд.

[vya]

Вы допускаете типичную ошибку выжившего. =) Вирус заражает локальную сеть. Для этого ему в неё надо попасть каким-то образом. Заражение через обновления МиДок уже подтвердили. Значит либо у вас МиДок не обновился, либо обновился но позже. Либо раньше.
А может и какая-то другая сторонняя причина, но это уже Вам разбираться.
Прошло мимо и хорошо.
Очередной повод задуматься, как можно сломать собственную сеть.

[vya]

https://geektimes.ru/post/290779/ ну теперь то смысла отрицать нет. =)

[trnc]

Мне больше интересно как вирус в локальную сеть попадал. Если через апдейт M.E.Doc хотелось бы увидеть конкретное подтверждение.

[NiTr0_ua]

да, апдейт медок. пришел знакомым, поставили, через час — синий экран и «скандиск». другие компы по сети не пострадали.
второй подтвержденный случай — письмо на почту буху гос.службы. слег весь сегмент сети.
слышал неподтвержденные слухи о нахождении флэшек с «петей» в авторане (лично такого не слыхал).

[vya]

https://geektimes.ru/post/290779/

[Adokelv]

Знакомые фирмы очень пострадали от этого вируса, влетели на крупные суммы

[EvgeniyNuAfanasievich]

Кто нибудь может уже наконец написать от первого лица, как у него происходило заражение?! Со скриншотами, результатами служебного расследования, предпринятыми заранее/после методами.
Сейчас ситуация напоминает: "У моей подруги с её парнем"
Впору уже вводить новую аббревиатуру в обращение: ОАС (один админ сказал...)

[EvgeniyNuAfanasievich]

Нет правда, я читаю статьи одна за одной и везде одно и тоже, только разными словами, а нового крупицы (что емейл заблокирован и кто-то заплатил какие то деньги).

Не подумайте, что я не верю в этот вирус, просто такое серьезное заражение, а подробности по сути от антивирусных компаний, либо от людей знакомые которых пострадали (причем никаких доказательств чего либо люди не утруждаются представить )

[AGeek]

То есть статью с описанием того, как это всё происходит, вы не читали?

[xruyn]

Плохие фирмы, раз на экономили на админах и нанимали, наверное, студентиков.

[Boneyards]

Вообще M.E.Doc уже ответили:

https://www.unian.net/science/2003586-kompaniya-medoc-otvetila-na-obvineniya-v-prichastnosti-k-rasprostraneniyu-virusa-petyaa.html

[NiTr0_ua]

ну а что они ответят? «да, мы облажались, наш сервер поломали и запихали левое обновление, из-за которого вы понесли огромные убытки»? :) да после этого их же на ноль помножат…

факт остается фактом — последнее оф.обновление 22 июня, медок обновился 27-го, после чего — на компе поселился «петя», а другие компы в сегменте не пострадали.

[Boneyards]

Согласен, ну вообще на «Хакере» есть подробный разбор «пети») там есть ссылки на кэш гугла, сайта M.E.Doc, где писалось что они подвержены хакерской атаке аккурат перед началом массового распространения «пети»