16:50
27/6/2017

Od kilku godzin w wielu poważnych instytucjach na całym świecie, nie tylko na Ukrainie jak twierdzą media, trwa panika. Komputery są zablokowane i mamy powtórkę tego, co działo się miesiąc temu. Tym razem okupu domaga się nie WannaCry, a ransomware o nazwie Petya (lub NotPetya). 300 dolarów w Bitcoinach. Co gorsza, jego ofiarą padają także w pełni zaktualizowane Windowsy, ale Petya raczej nie korzysta z żadnego 0day’a…

Uwaga! Ten artykuł się szybko rozrasta i jest stale aktualizowany. Tu najważniejsze informacje:

  • 1. Aby uchronić się przed działaniem tej wersji robaka, stwórz plik “C:\Windows\perfc”. Tak twierdzi ten badacz. Ten się z nim nie zgadza. Ale posiadanie pliku nie zaszkodzi, nawet gdyby miał działać tylko na 1 wariant ataku.
  • 2. Jeśli włączy się wam program CHKDSK, szybko wyłączcie komputer! Petya wtedy zaczyna pracę. Jest szansa, że uratujecie jeszcze swoje pliki, a przynajmniej ich część,
    gdyż niektóre (z listy rozszerzeń wskazanej poniżej) już są zaszyfrowane.
  • 3. Jeśli zostaliście zainfekowani, NIE PŁAĆCIE, atakujących odcięto od skrzynki. Nie zobaczą waszych wpłat i nie odeślą kluczy deszyfrujących.
  • 4. Uwaga! Ofiarami mogą być także w pełni zaktualizowane Windowsy, bo Petya przechwytuje hasła administracyjne i próbuje przejąć kontrolę nad kontrolerami domeny, a następnie z tego poziomu się rozprzestrzenia na inne stacje robocze z wykorzystaniem PSEXEC i WMIC. Instrukcje jak zablokować te mechanizmy opisane są tutaj.
  • 5. Sprawdźcie czy macie klucz “HKEY_CURRENT_USER\SOFTWARE\WC” z wartościami “Cred” i “Prx”. Jeśli tak, to wasz komputer był zainfekowany backdoorem, który pozwalał na kradzież danych od co najmniej kwietnia, a w czerwcu uruchomił NotPetyę na komputerach niektórych ofiar.

Polskie firmy też zainfekowane

Pierwsze ataki na terenie Polski nasi klienci odnotowali w okolicach godziny 13. Podobnie jak na świecie, problem dotknął firm z branży logistycznej, ale poszkodowane są również mniejsze spółki usługowo-handlowe, które nie są związane z tym sektorem rynku. Do bycia ofiarą ataku w Polsce przyznało się kilka polskich przedsiębiorstw. Firma Raben ze względu na “międzynarodowe zagrożenie wirusowe, wstrzymała wszystkie operacje transportowe“, a od rana nie funkcjonuje też InterCars.

Wiemy także o ofiarach wśród kancelarii prawnych, a wedle naszych Czytelników, zaatakowane zostały również firmy: TNT w Katowicach, Saint – Gobain, Kronospan, Mondelez we Wrocławiu oraz jedna z działających na polskim rynku firm medycznych obecna także za wschodnią granicą. Nikt więc nie powinien się więc czuć bezpiecznie.

Oddajmy na chwilę głos czytelnikom:

Mam info z pierwszej reki od kuriera. W TNT wszystkie kompy padly :D Maja ekrany z info o zaszyfrowaniu. Firma pracuje w trybie analogowym. Nie dzialaja skanery kurierow. Zlecenia przyjmuja recznie. Doreczaja paczki z kartkami a4 – na ktorych maja dlugopisem napisany nr paczki i adres doreczenia :D Paczki “na godzine” lub pobraniowe na razie sa wstrzymywane.

Wszystkie komputery Mondelēz International zostały zainfekowane – podobno ok 100 000 kompów, nie tylko we Wrocławiu. Nie ma internetu, linie produkcyjne też stoją. Informacja z pierwszej ręki (dosłownie naocznego świadka). We Wrocławiu to było ok. 13:30.

Cała sieć korporacyjna Saint – Gobain w Polsce i świecie jest ofiarą ataku hackerskiego. Infekcją zajmuje się Microsoft, Kasperski oraz specjaliści wojskowi z Francji. Zagrożona jest produkcja w automotive.

Co ważne, nie jest jeszcze jasne jak dokładnie rozprzestrzenia się Petya. Czy podobnie jak w przypadku WannaCry jest to tylko i wyłącznie atak na SMB (exploit NSA, ETERNALBLUE), czy może tym razem dodano także wektor socjotechniczny (np. z zainfekowanym załącznikiem e-maila). Ten artykuł będzie regularnie aktualizowany i kiedy uda nam się coś potwierdzić, dodamy w aktualizacji (UPDATE: niżej znajdziecie więcej informacji dot. propagacji, ustalono że głównym wektorem ataku była podmieniona aktualizacja oprogramowania do rozliczeń podatkowych M.E.Doc z którego muszą korzystać firmy na Ukrainie).

To co teraz jest pewne, to fakt, że zainfekowane komputery naszych klientów miały łatki na WannaCry, a mimo to padły ofiarą. To sugeruje, że ransomware może wykorzystywać nową podatność, która była łatana późniejszymi niż MS17-010 łatkami. (UPDATE: Na załatane stacje robocze Petya dostawała się przez mechanizm WMIC, po wcześniejszym wykradnięciu przez malware poprawnych haseł administratorów). Zainfekowane komputery pokazują taki komunikat:

Obserwujemy też drugi wariant komunikatu. Na czerwonym tle (ale adres BTC taki sam). Wcześniej — tj. w trakcie ataku (szyfrowania), komputer wygląda tak, jak pokazuje to ukraiński wicepremier:

Co ciekawe, dyski zewnętrzne i dodatkowe, nie są szyfrowane. W obserwowanych przez nas próbkach pojawia się zawsze ten sam adres portfela BTC. Ransomware zawsze domaga się 300 USD wpłaconych w bitcoinach, a następnie prosi o przesłanie poniższego klucza i adresu BTC z którego dokonano wpłaty na adres e-mail przestępców:

wowsmith123456@posteo.net

Na chwilę obecną (17:00), 9 firm zdecydowało się na zapłatę okupu, a rachunek przestępców zebrał 1,12 BTC co daje ok. 10 000 PLN:

Wiemy też, że malware szyfruje pliki z tymi rozszerzeniami:

Wiele ofiar na całym świecie…

Pierwsze doniesienia o tym ataku spłynęły z Ukrainy. Padły tam banki, operatorzy, narodowi dostawcy energii (Ukrenergo) a także elektrownia w Czarnobylu (nie ma zagrożenia promieniowaniem) oraz producent samolotów Antonov. Plus setki firm prywatnych.

Jak zwykle w tym przypadku, oskarżenia skierowano pod kierunkiem Rosji. Ale czy jest to tajna operacja Kremla? Na razie za wcześnie, aby wyrokować — pamiętajmy też, że atrybucja w atakach komputerowych jest niezwykle trudna. Zwłaszcza, że na terenie Rosji także są ofiary tego ataku. Poszkodowany ma być m.in. paliwowy potentat Rosneft.

Dodatkowo, do paraliżu swojej firmy przyznała się duńska firma Maersk, co będzie o tyle dotkliwe, że odpowiada ona (jak wiele innych ofiar z rynku spedycyjnego) za transport towarów. Oczekujcie dużych opóźnień dostarczanych produktów w najbliższych dniach:

Leży też brytyjska agencja reklamowa. Zainfekowane są także firmy w Hiszpanii i Holandii. Za chwilę pewnie usłyszymy ofiarach w USA, bo Ameryka właśnie budzi się do życia i firmy włączają komputery…

Na Ukrainie, skąd napłynęły pierwsze doniesienia — podobnie jak w przypadku WannaCry — już pojawiają się informacje o trudnościach w robieniu zakupów czy o pracownikach firm zwalnianych do domów — bo wszyscy polegają na komputerach, które nie działają. Oto jeden z ukraińskich supermarketów:

Jest też problem z bankomatami:

Mam komputer z Windows — co robić, jak żyć?

W przypadku WannaCry szans na odzyskanie danych zbyt wielkich nie było, nawet jeśli ktoś zapłacił przestępcom. Być może obsługa Petya jest lepiej przygotowana na “support” klientów. Jeśli dowiemy się, że ktoś otrzymał klucz deszyfrujący po zapłacie, damy Wam znać. Jak zawsze w takich sytuacjach niesamowicie istotne jest, aby — jeśli to możliwe — nie płacić, a system przywrócić z backupów, wcześniej (tj. przed podpięciem do sieci w której mogą być inne zainfekowane maszyny) łatając go.

Jeśli ktoś nie ma backupów, sugerujemy płacić jak najszybciej (testowo na 1 komputer), sprawdzając, czy przestępcy rzeczywiście odsyłają klucz (na razie nie ma potwierdzenia ani zaprzeczenia w tym temacie). Bo jeśli okup to jedyna metoda, to im wcześniej wyślecie pieniądze, to z reguły tym szybciej odzyskacie dane. Wiadomo — moralnie nie powinno się tego robić, ale jak ktoś nie ma backupów a potrzebuje danych, to jest to jedyna możliwość na chwilę obecną (choć może warto poczekać aby sprawdzić, czy przestępcy rzeczywiście odsyłają klucze).

ZA PÓŹNO. NIE PŁAĆCIE!
Błyskotliwi administratorzy serwera pocztowego, z którego korzystają przestępcy, zablokowali im skrzynkę, odcinając ofiary od możliwości odzyskania swoich plików…

Na przyszłość (takich ataków jak ten jeszcze na pewno kilka przed nami) sugerujemy, tak na wszelki wypadek, kupić trochę Bitcoinów. Mogą się przydać… Zakup Bitcoina to nie jest prosta sprawa. Więc niektóre z ofiar, chociaż chcą zapłacić w tego typu atakach, bo pilnie potrzebują danych — to i tak będą musieli długo na nie poczekać. Zdobycie Bitcoina potrwa. Przesłanie i potwierdzenie transakcji w sieci Bitcoin też potrwa (nawet do 24 godzin, jeśli nie dodamy opłaty za transakcję), no i jeszcze pytanie jak sprawnie ofiary będą obsługiwane przez atakujących?

Jeśli jesteście ofiarą tego ataku, dajcie znać. Mamy dla was pewne informacje i pytania. Gwarantujemy anonimowość i z chęcią wymienimy się informacjami, którymi dysponujemy na temat tego ataku.


Aktualizacja 17:40
Według jednego z badaczy Petya ma wykorzystywać podatność MS17-010, czyli tę samą co WannaCry, ale również atak na dziurę “CVE-2017-0199“, ujawnioną w kwietniu i dotyczącą propagacji złośliwego oprogramowania przez pakiet Microsoft Office. To sugerowałoby, że wektor ataku ze złośliwym załącznikiem jest prawdopodobny.

Nadmieńmy też, że Petya jest obecna na rynku ransomware od paru lat. Wcześniej miała być rozwijana przez grupę Janus Cybercrime Solutions:

A proces infekcji tym malwarem wyglądał tak:

Dobrą prezentację na temat Petyi przygotowała polska badaczka, Hasherezade (tutaj PDF). Z kolei F-Secure informuje, że w przeszłości Petya dystrybuowana była poprzez fałszywe e-maile kierowane do działów HR i dotyczące procesów rekrutacji (CV). Wciąż jednak brak potwierdzenia, że dzisiejszy atak to ten sam wektor ataku. Być może w ogóle za dzisiejszą Petyą stoi ktoś inny, kto “podkradł” kod poprzedniej grupie i uzbroił go po swojemu. Przestępcy często korzystają z kodu innych grup, przystosowując go do siebie.

Dlaczego atakowane są także zaktualizowane systemy?

To na co zwracają uwagę niektórzy, to fakt, że tym razem zaatakowane zostały także Windowsy 10. Zaktualizowane. A w kilku firmach ofiarą były tylko te komputery, które były podpięte pod Active Directory, natomiast ich “bliźniacze” stacje odpięte od domeny, nie zostały zainfekowane. Czyżby po przejęciu DC ransomware infekował poprzez wypchnięcie paczki na wszystkie zarządzane stacje robocze?

Atak na zapatchowane systemy jest też możliwy, dlatego że Petya korzysta z mechanizmów WMIC oraz PSEXEC. Dodatkowo, Petya po zainfekowaniu komputera odczekuje 30-40 minut, zanim rozpocznie szyfrowanie. Dlatego, nawet jak jesteście zainfekowani, możecie jeszcze uratować swoje stacje, wyłączając je jak najszybciej.

Starą wersję Petya rozkładamy na czynniki pierwsze też w ramach naszego szkolenia z analizy malware, gdzie pokazujemy jak szybko każda osoba z podstawową znajomością komputera może określić, czy dana próbka jest złośliwa i co konkretnie próbuje robić w systemie. Najbliższa edycja 6-7 lipca we Wrocławiu — zapraszamy do udziału — dowiecie się, jak w przypadku kolejnych ataków szybko określić co się stało i dlaczego. To bardzo przydatna w dzisiejszych czasach wiedza :)

Dlaczego, choć WannaCry nie dotknął mocno Polski, to Petya, korzystająca z tej samej podatności sieje takie spustoszenie? Przed WannaCry, który propagował się przez skan podpiętych do publicznego internetu niezałatanych Windowsów, Polaków chroniły filtry operatorów, niedopuszczające ruchu przychodzącego na portach Samby. W przypadku Petya, jeden zainfekowany (np. złośliwym załącznikiem) host w środku może rozpropagować atak na niezałatane Windowsy, ale także na zaktualiowane Windowsy, za pomocą domeny i wspomnianych wyżej mechanizmów WMIC i PSEXEC, zwłaszcza jeśli jest to serwer. Czyli w przeciwieństwie do WannaCry, atak zaczyna się od środka sieci, a nie tylko z zewnątrz.


Aktualizacja 22:00
Ukraińska Cyberpolicja znalazła przyczynę i źródło ataku. Ustaleniami podzieliła się tutaj. Winne jest popularne oprogramowanie “M.E.doc”, z którego korzystają ukraińskie instytucje i firmy, do rozliczeń podatkowych. Ktoś podmienił aktualizację tego oprogramowania na serwerze “upd.me-doc.com.ua (92.60.184.55)” na złośliwą, a tak poprzez funkcję automatycznej aktualizacji została zaciągnięta i uruchomiona w sieciach firm i instytucji.

Podmieniona binarka tworzyła plik rundll32.exe, a następnie:
– skanowała lokalną sieć pod kątem portów TCP/139 i TCP/445;
– tworzyła plik perfc.bat;
– uruchamiała cmd.exe z komendą:
/ c schtasks / RU "SYSTEM" / Create / SC once / TN "" / TR "C: \ Windows \ system32 \ shutdown.exe / r / f" / ST 14:35
– tworzyła plik ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f)
– tworzyła plik dllhost.dat.

Dalej ransomware rozprzestrzeniał się przez podatności znane z WannaCry (SMBv1). Ale jak dodają inni badacze, propagacja w sieci lokalnej następowała też na skutek przechwytywanych haseł dostępowych do domeny przy pomocy WebDAV i narzędzia LSADump. Dzięki temu ofiarami stawały się nawet te Windowsy, które nie miały otwartej Samby lub były zaktualizowane, ale znajdowały się w domenie!

Atak na polskie sieci może być skutkiem ubocznym — część z naszych klientów przyznała, że ma oddziały w Ukrainie. Połączenie z nimi (zainfekowanymi) siecią, spowodowało propagację robaka do Polski.


Aktualizacja 22:22
Znaleziono lokalnego kill-switcha. Aby zdeakwywować (uchronić się przed Petyą) stwórz plik:
C:\Windows\perfc

Co prawda ten badacz uważa, że powyższy kill switch nie działa, ale jego posiadanie na pewno nie zaszkodzi.

Aktualizacja 28.06.2017, 11:00
Badacze po bliższym przyjrzeniu się próbce skłaniają się ku tezie, że nie jest to dokładnie Petya, a inna rodzina ransomware’u, jedynie wykorzystująca część mechanizmów Petya. Dlatego też obecnie ten ransomware nazywany jest mianem NotPetya albo SortofPetya.

W Polsce natomiast zaczęło się właśnie spotkanie Rządowego Zespołu Zarządzania Kryzysowego, na którym pojawi się także Beata Szydło. Bardzo dobrze, że takie spotkania się pojawiają i bardzo jesteśmy ciekawi wniosków i ustaleń. Przypomnijmy tylko, podając za Polskim Radiem, że wczoraj, kiedy wiadomo było, że w Polsce jest kilkadziesiąt zainfekowanych firm, rządowe NC Cyber informowało o “braku zgłoszeń”. Mamy nadzieję, że NC Cyber pozyskało już aktualną wiedzę na temat wydarzeń i dyskusja podczas rządowego spotkania będzie wartościowa.

Tymczasem, bardzo dobrą analizę techniczną przygotował zespół Microsoftu. Ich ustalenia potwierdzają wersję ukraińskiej cyberpolicji — pacjentem zero były stacje z zainstalowanym programem “M.E.doc”, którego podmieniona wersja została przesłana za pomocą mechanizmów automatycznej aktualizacji o godz. 10:30 wczoraj. Na Ukrainie, wedle Microsoftu, zainfekowanych zostało 12 500 komputerów, a ślady oprogramowania znaleziono w 64 krajach.


Aktualizacja 28.06.2017, 11:00
Jesteśmy po spotkaniu Rządowego Zespołu Zarządzania Kryzysowego:

Spotkanie Rządowego Zespołu Zarządzania Bezpieczeństwem jest bezpieczne - laptopów brak ;)

Spotkanie Rządowego Zespołu Zarządzania Bezpieczeństwem jest bezpieczne – komputerów brak ;)

Ustalenia i wnioski? Jak informuje Polskie Radio:

ataków nie lekceważyć i niezwłocznie informować o nich policję,

W naszej opinii, tę radę możecie spokojnie zignorować. Wyjdzie to na korzyść zarówno Waszą, jak i Policji. Szczerze mówiąc, oczekiwaliśmy raczej planu weryfikacji, na ile możliwe w Polsce jest przejęcie tzw. łańcucha dostaw aplikacji takich jak np. Płatnik lub innych wymaganych przez instytucje rządowe aplikacji (czyli analogicznych do ukraińskiego M.E.Doc), które mają funkcje automatycznej aktualizacji. Plus wydanie zaleceń o zabezpieczeniu środowisk domenowych przed atakami w stylu Mimikatz, które sprawiły, że NotPetya rozprzestrzeniała się nawet na w pełni zaktualizowane Windowsy.


Aktualizacja 28.06.2017, 12:00
Trochę więcej zaleceń ujawnił minister Błaszczak:

Zalecenia mogą wydawać się oczywiste, ale mówimy o kwestiach niezwykle ważnych. Kwestia wykonywania kopii bezpiczeństwa, kwestia aktualizacji systemów, kwestia współpracy z CERT-ami, kwestia szkoleń pracowników.

I tych zaleceń nie ignorujcie.


Aktualizacja 29.06.2017, 7:00
Mamy złą wiadomość dla zainfekowanych. Wygląda na to, że NotPetya to nie ransomware, a wiper. Jeden z badaczy twierdzi, że Petya bezpowrotnie nadpisuje początkowe sektory dysku tak, że nigdy nie będzie się dało ich odzyskać.

Choć inny z badaczy zauważa, że nadpisanie tych sektorów nie powinno mieć znaczenia, bo nie są one używane, to także zgadza się z konkluzją, że celem NotPetya nie było zarabianie na okupach, a niszczenie.

Essentially on any standard Windows operating system there is nothing between sector 1 and sector 64, meaning the 24 sectors Petya “destroys” don’t contain anything at all, and the developer likely knows this.

Wtórują mu badacze z Kaspersky’ego:

We have analyzed the high-level code of the encryption routine and determined that after disk encryption, the threat actor could not decrypt victims’ disks. To decrypt, the threat actors need the installation ID. In previous versions of seemingly similar ransomware such as Petya/Mischa/GoldenEye, this installation ID contained the information necessary for key recovery. ExPetr (aka NotPetya) does not have that installation ID, which means that the threat actor could not extract the necessary information needed for decryption. In short, victims could not recover their data.

Co to oznacza? Albo, że Petya ma błąd, którego przestępcy nie wykryli na testach albo że za Petyą wcale nie stoi grupa, która liczyła na zarobek. Udawanie ransomware mogło mieć na celu skłonienie prasy do myślenia, że mamy do czynienia z grupą przestępców, kiedy tak naprawdę za atakiem stoi ktoś, kogo celem jest niszczyć a nie zarabiać. Istnieje także możliwość, że atak “niszczący” został odpalony aby zatrzeć ślady po innych operacjach. Większość firm przeinstaluje systemy (usuwając tym samym logi) i być może na to liczą atakujący. (UPDATE: Bingo! Patrz dalsze aktualizacje tego artykułu — okazało się, że atakujący niektóre z komputerów zainfekowali jeszcze w kwietniu!)

Dlaczego ktoś miałby niszczyć? I dlaczego akurat firmy z Ukrainy? Pozostawmy to jako zadanie domowe dla bystrych czytelników…

Warto też zwrócić uwagę, że “profesjonalni” twórcy ransomware nie korzystają z 1 adresu BTC do obsługi wpłat, nie zakładają skrzynek e-mailowych u publicznych dostawców poczty i nie generują długich, skomplikowanych “ID”, które ciężko podać. Innymi słowy, raczej upraszczają procedurę wpłaty okupu (bo to dla nich większy zysk), niż ją utrudniają lub narażają na fiasko. Twórcy Petya w każdym przypadku postąpili na odwrót. Pośpiech? Głupota? Czy kamuflaż?

To co teraz jest pewne, to że nawet jakby skrzynka kontaktowa działała, a przestępcy chcieli przekazywać klucze deszyfrujące, to i tak rozszyfrowanie plików nie byłoby możliwe. Przesłanie “ID” z ekranu proszącego o okup nie pozwoli nikomu na wygenerowanie klucza deszyfrującego, niezależnie od tego, czy pomyłka w kodzie NotPetya wynika z błędu programisty czy świadomego działania.


Aktualizacja 5.07.2017, 10:12
Od ataku minął tydzień i na przestrzeni ostatnich dni pojawiły się nowe, ciekawe informacje. Najciekawszą, ale jak się okazało FAŁSZYWĄ, był wniosek poczyniony przez analityków F-Secure, że NotPetya korzystała z kodu exploita na EternalBlue jeszcze w lutym (czyli przed ujawnieniem exploita przez grupę ShadowBrokers). F-Secure wycofał się z tego twierdzenia, bo timestamp na którym bazował, mógł być sfałszowany i nie ma możliwości udowodnienia tezy o posiadaniu przez twórców NotPetyi exploita już w lutym.

Pierwsza wersja artykułu F-Secure

Rewelacje od F-Secure nie były jednak jedynymi, które wskazywały na to, że atak NotPetya miał być planowany na długo przed zeszłotygodniowym wybuchem.

Grupa NotPetya kontrolowała ukraińskie firmy-ofiary od co najmniej kwietnia

Opublikowany wczoraj raport firmy ESET ujawnia dowody na to, że mechanizm aktualizacji, a nawet cały serwer firmy M.E.Doc produkującej oprogramowanie do rozliczeń podatkowych wykorzystywanych w Ukrainie, od którego zaczął się atak, znajdował się już od kwietnia 2017 pod kontrolą atakujących stojących za atakiem NotPetya.. ESET nazywa tę grupę TeleBots.

Co więcej, 1 czerwca operator serwerowni, w której hostowane są serwery M.E.Doc, czyli firma WNet I.S.P. została oskarżona o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Nie wiadomo jednak, czy ten incydent miał związek z atakiem NotPetya — wszak są dowody na to, że serwery firmy M.E.Doc były przejęte dużo wcześniej.

Kod źródłowy firmy M.E.Doc został wykradziony

Analiza backdoora znajdującego się w pliku ZvitPublishedObjects.dll, który był elementem złośliwych aktualizacji oprogramowanie M.E.Doc, każe przypuszczać, że atakujący mieli dostęp do pełnego kodu źródłowego oprogramowania M.E.Doc. Plik biblioteki zawiera bowiem, poza złośliwymi elementami, dużo prawdziwego kodu oprogramowania M.E.Doc. Jak piszą badacze ESET-a:

It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.

Zaszyty w bibliotece backdoor odczytywał numery EDRPOU (ukraiński odpowiednik REGON-u) skonfigurowane w oprogramowaniu podatkowym M.E.Doc, dzięki czemu atakujący wiedzieli, jaką spółkę udało im się zainfekować. Poza numerem EDRPOU, backdoor pobierał informacje na temat używanych w firmie serwerów proxy i kont pocztowych (wraz z loginami i hasłami). Te dane były następnie zapisywane w rejestrze Windowsa w kluczu:

HKEY_CURRENT_USER\SOFTWARE\WC

pod wartościami o nazwach Cred i Prx. Jeśli więc znajdziecie takie wartości w swoim rejestrze, jest duża szansa, że wasz komputer był przynajmniej przez chwilę zainfekowany.

Brak zewnętrznego serwera C&C

Żeby było ciekawiej, złośliwe oprogramowanie nie korzystało z zewnętrznych serwerów C&C. Malwarem zarządzał …oficjalny serwer aktualizacji oprogramowania M.E.Doc, kontrolowany przez atakujących (upd.me-doc.com[.]ua). Wykradane z zainfekowanych komputerów informacje były przesyłane w żądaniu jako ciasteczka:

Komunikacja w drugą stronę mogła wywołać na zainfekowanej stacji następujące polecenia:

  • 0 – RunCmd Uruchomienie dowolnej komendy
  • 1 – DumpData Zapisanie danaych do pliku
  • 2 – MinInfo Zebranie informacji o komputerze ofiary
  • 3 – GetFile Pobranie pliku z komputera ofiary
  • 4 – Payload Zapisanie danych do pliku i uruchomienie go
  • 5 – AutoPayload Jak (4) ale plik jest plikiem DLL, który będzie uruchomionyh przez rundll32.exe, potem nadpisany i skasowany.

Według badaczy firmy ESET, funkcja “5” idealnie pasuje do sposobu, w jaki wystartowała epidemia NotPetyi…

Całkowicie przejęty producent ważnego oprogramowania

Z powyższego wynika, że firma M.E.Doc miała od dawna całkowicie przejętą infrastrukturę. Nie był to tydzień, bo atakujący mieli sporo czasu na zapoznanie się z kodem źródłowym oprogramowania M.E.Doc (pełna instalka to 1,5GB). Następnie źródła zmieniono tak, aby generowane przez oprogramowanie aktualizacje zawierały backdoora.

Z backdoora atakujący korzystali od co najmniej kwietnia (nie wiadomo jakich plików dokładnie szukali i w środowiskach których z zainfekowanych firm byli aktywni). Wreszcie, pod koniec czerwca wgrali i uruchomili przy pomocy backdoora robaka NotPetyę, maskującego się się jako ransmoware.

Czyżby ten ruch miał na celu zatarcie śladów po wcześniejszej działalności backdoora? I czy firma M.E.Doc to jedyna firma, która jako dostawca obecnego na komputerach ukraińskich firm oprogramowania, zostałą całkowicie przejęta?

A gdyby to miało miejsce w Polsce?

Na koniec, warto się zastanowić, co by się stało, gdyby “atak na dostawcę” (ang. supply-chain attack) zdarzył się w Polsce, a ofiarą padł np. Płatnik lub inne popularne na komputerach polskich firm “urzędowe” oprogramowanie.

Kilka tygodni temu pisaliśmy o nieudanej aktualizacji Płatnika, którą blokowały antywirusy:

fot. lotniskowiec z Wykopu

Tego samego dnia, zniknęła też na pewien czas strona ZUS-u:

Prewencyjnie sugerujemy więc odseparowanie w firmowej sieci komputerów, na których działa wymagane prawem, “urzędowe” oprogramowanie od zewnętrznych dostawców, zwłaszcza takie, które się “samo aktualizuje”. Przykładowo, komputer z zainstalowanym Płatnikiem to obowiązek w niektórych firmach, ale nie jest konieczne, aby z tego komputera był dostęp do pozostałych maszyn w sieci.

Warto też przyjrzeć się publikacji Microsoftu, która pokazuje jak Windows 10 ogranicza lub uniemożliwia działanie tego typu zagrożeń (na grafice zaznaczono mechanizmy wbudowane w system, które po włączeniu i odpowiedniej konfiguracji sparaliżowałyby ten atak):


Aktualizacja 5.07.2017, 13:03
Dziś w nocy osoby stojące za atakiem NotPetya przetransferowały środki z rachunku 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX, który służył do zbierania okupu. Bitcoiny zostały podzielone na 3 transakcje. Do momentu transferu, na rachunku znajdowało się ok. 4 BTC (ok. 39 000 PLN):

Dwie z transakcji przesłały niewielkie kwoty (0,01 BTC, ok. 96 PLN) na rachunki serwisów-wklejek (opłacenie kont “Pro”):

  • Pastebin.com
  • Deeppaste (http://depastedihrn3jtw.onion)

Zaś największa transakcja przesunęła środki na adres 1Ftixp78FjTWFi3ssJjBw5NqKf5ZPQjXBb (rachunek bez żadnej historii).

Oświadczenie atakujących

Chwilę po transakcjach, w serwisach Pastebin i DeepPaste pojawił się taki komunikat:

Atakujący informują w nim, że za 100BTC (ok. 950 000 PLN) oddadzą klucz pozwalający na rozszyfrowanie plików, jakie szyfrowała Petya. Jako dowód na jego posiadanie podaje 2 URL-e:


https://Mega.nz/#!YeIXWIwI!BpUlwnLLD_HiTNcg7ASihMRqs6RESZ-6bXBMFVWESXo
https://Mega.nz/#!EWg3mSLL!ipiQ6cXA9GG1DPEjJWoWu5JWmMy4SCxlAt270GgiFHY

pod którymi znajdują się pliki public.sha256.dgst oraz public.pem:

Sugerowana w treści wklejki komenda potwierdza, że podpis jest prawdziwy. A więc autor wiadomości dyspuje kluczem prywatnym z pary. Co to oznacza? Otóż klucz publiczny, którego posiadanie kryptograficznie potwierdził autor wklejki, to ten sam klucz, którym NotPetya szyfrowała generowane przez siebie klucze “sesyjne” używane do szyfrowania plików na dyskach swoich ofiar.

Dla przypomnienia, NotPetya szyfrowała 2 kluczami (AES i Salsa). Najpierw pliki o wybranych rozszerzeniach szyfrowała generowanym przez siebie, unikatowym dla każdej ofiary kluczem AES, który następnie zapisywała na dysku ofiary szyfrując go wcześniej kluczem publicznym. Dopiero później (po restarcie) przechodziła do szyfrowania bootsektora dysku innym kluczem Salsa, który na skutek (świadomego lub nie) błędu, nie jest możliwy do odzyskania. Klucz prywatny oferowanym na sprzedaż przez przestępców ma być kluczem który pozwoli odszyfrować wszystkie klucze (znajdujące się na komputerach ofiar) jakimi szyfrowano pliki przed restartem.

Gdzie trzeba wpłacić 100BTC? Tego atakujący nie podają. Ale zostawili namiar na siebie. W trakcie rozmowy na chacie z nimi, odpowiadają (!) i podają taki adres:

Cena może wydawać się wygórowana, ale (jeśli klucz jest prawdziwy) jego zdobycie pozwoli na odszyfrowanie plików ze wszystkich komputerów zainfekowanych NotPetya. Przy czym trzeba będzie je ręcznie “wyłuskać” z nośnika, gdyż — co zresztą atakujący sam przyznaje we wklejce — ten klucz nie pozwoli na odszyfrowanie bootsektora, a więc MTF pozostanie utracone.

Dziennikarze serwisu Motherboard rozmawiali z atakującymi i poprosili ich o twardy dowód (rozszyfrowanie pliku zaszyfrowanego NotPetya). Do tej pory nie uzyskali odpowiedzi.

Przykrywanie ważniejszego tematu?

Część badaczy dodatkowo uważa, że ten ruch (wypłata BTC, oferta sprzedaży klucza dająca nadzieje na odzyskanie plików) to działanie, które ma przekonać opinię publiczną do tego, że za atakiem stoją mimo wszystko niezbyt profesjonalni i rozgarnięci przestępcy, którym po prostu “nie wyszedł” atak ransomwarem (tj. popełnili dużo błędów), a nie służby jakiegoś kraju, które pod flagą “ransomware” przemyciły narzędzie mające na celu tak naprawdę niszczyć dane a nie je szyfrować. Choć wczorajsze rewelacje ESET-u, opisane w naszym wcześniejszym artykule, dają twarde dowody, że raczej mamy do czynienia z służbami…


Aktualizacja 5.07.2017, 16:53
Z 2 niezależnych źródeł, firm mających swoje oddziały i/lub partnerów biznesowych na Ukrainie otrzymaliśmy informację, że dziś przed kilkudziesięcioma minutami wystąpiły problemy podobne do zeszłotygodniowego ataku. Komputery znów są unieruchomione. Na razie nie wiadomo, czy jest to wynik niepoprawnego posprzątania po poprzednim ataku, czy może nowe zagrożenie powiązane/niepowiązane z NotPetyą. Będziemy informowali Was na bieżąco w kolejnych aktualizacjach.


Aktualizacja 6.07.2017, 08:18
Osoby, które opublikowały kryptograficzny dowód na posiadanie prywatnego klucza pozwalającego odszyfrowywać klucze, którymi szyfrowane były pliki na komputerach ofiar, zademonstrowały odszyfrowywanie w praktyce. Przesłany im zaszyfrowany plik, razem z plikiem klucza (readme.txt) odesłały jako plik rozszyfrowany.

W międzyczasie, ukraińska cyberpolicja opublikowała video z (uzbrojonego!) wejścia do siedziby M.E.Doc:

Na szczęście, przed zarekwirowaniem serwerów dotarła do nich grupa badaczy z Cisco, którzy właśnie podzielili się swoją analizą logów pochodzących z serwerów M.E.Doc. Ta analiza wyjaśnia, jak atakujący kontrolowali ofiarę i jak wyglądała ich ścieżka ataku:

  • Analiza zaczęła się 29 czerwca, na miejscu, w siedzibie firmy M.E.Doc, która chętnie nawiązała współpracę z zespołem Cisco, choć wcześniej twierdziła, że nie jest odpowiedzialna za problemy ukraińskich firm i w wypowiedziach w prasie, że “100 razy sprawdzała aktualizację swojego oprogramowania i nie znalazła w niej niczego podejrzanego”.
  • Odkryto webshella (lekko zmodyfikowany PAS) pod adresem hxxp://www.me-doc.com.ua/TESTUpdate/medoc_online.php z timestampem May 31 14:45 2017
  • Ustalono, że ktoś (nie wskazuje się jak) wykradł hasło administratora do serwera M.E.Doc, a następnie zalogował się na niego jako root i podmienił konfigurację webserwera nginx. Podmieniony config nie mógł zostać odzyskany (został nadpisany) ale wpisy w logach dają dobre wyobrażenie o tym, co robiły dodane do niego dyrektywy:

    [error] 23401#0: *374685644 upstream timed out (60: Operation timed out) while connecting to upstream, client: [REDACTED], server: upd.me-doc.com.ua, request: "GET /last.ver?rnd=1b2eb092215b49f5b1d691b5c38e3a74 HTTP/1.1", upstream: "http://176.31.182[.]167:80/last.ver?rnd=1b2eb092215b49f5b1d691b5c38e3a74", host: "upd.me-doc.com.ua"

    Żądania do serwera update’ów, jak widać, były przekierowywane na adres IP należący do puli OVH, na której działał reseller thcservers.com.

  • O 19:46 serwer OVH został całkowicie wyczyszczony komendą dd if=/dev/zero (tak, tyle wystarczy).
  • Błędy w logach zaczynają się o 9:11:59, a kończą 12:31:12 co sugeruje, że po tym oknie czasowym atakujący nie infekowali kolejnych firm.
  • O 12:33 przywrócono oryginalną konfigurację nginx.
  • O 14:11 ktoś z adresu łotewskiego IP wylogował się z SSH:

    Received disconnect from 159.148.186.214: 11: FlowSshClientSession: disconnected on user's request

Oto podsumowanie działań atakujących w formie infografiki:

Badacze z Cisco zauważają, że jeśli atakujący w tak widowiskowy sposób ujawnił wejście do sieci 80% ukraińskich spółek (klientów M.E.Doc) to raczej musi być w posiadaniu innej możliwości wnikania w ich infrastrukturę:

team assesses with moderate confidence that it is unlikely that they would have expended this capability without confidence that they now have or can easily obtain similar capability in target networks of highest priority to the threat actor.

* * * UWAGA * * *
Ten tekst jest aktualizowany na bieżąco. Dla przejrzystości dodajemy/zmieniamy zdania w artykule powyżej. Staramy się, aby zawierał on tylko aktualne i sprawdzone informacje — ale o to ciężko, ponieważ analiza nowego ransomware zajmuje trochę czasu (a atak jest bardzo świeży). Nie pomaga też fakt, że jednocześnie trwają inne kampanie, z którymi ten atak jest mylony (stąd wiele błędnych tez).

Dlatego odwiedzaj ten artykuł regularnie. A w oczekiwaniu na kolejną aktualizację artykułu, przejrzyj nasz wykład poświęcony ransomware — zeszłomiesięcznemu atakowi WannaCry. Wiele rad i opisów, które tam padły, pozostają aktualne także w tym przypadku:

Przeczytaj także:

372 komentarzy

Dodaj komentarz
  1. Czy wiadomo czy to ustrojstwo atakuje inne osy np. os x ?

    • Dobre pytanie…

    • W jakich odstępstwach czasu powinno się robić backupy i ile ich powinno być? Są jakieś wytyczne, albo odgórne zalecenia z branży IT ? Im większy ruch, większa firma tym częściej backup ?

    • Tutaj – http://www.wired.co.uk/article/petya-malware-ransomware-attack-outbreak-june-2017 – ten artykuł cytuje Pana Christiana Beeka z McAffe który mówi, że szyfrowany jest “master file table (MFT)”. Jeśli tak faktycznie jest, to atak powinien ograniczyć się tylko do partycji NTFSowych – nie znam innych systemów plików, które posiadają analogicznie nazywające się struktury.

    • Ps. Jak ludzie będą płacić to ataków będzie coraz więcej bo zarobek ich do tego zachęci .
      Nie chce siać teorii , ale za atakiem na 90% stoi ktoś z USA.
      Nie znam osoby która nie wykonuje backupów i nie siedzi dodatkowo w piaskownicy . Niektórzy nawet wykonują po 2 backupy umieszczając jest w różnych alokacjach :)
      Infekcja tyka się windowsa xp ?

    • Do mieszko I

      Najczesciej robi sie tak:
      Pelne w weekend, a przyrostowy codziennie wieczorem. Niektorzy jeszcze raz na kwartal/pol roku cos waznego zgrywaja na tasme i do sejfu.
      Pozniej idziesz do biznesu i sie pytasz jak dlugo te dane trzymac.

      Jak masz czas i wielkosc to juz wiesz ile potrzebujesz miejsca, jak okreslisz sobie technologie (serwerek z raidem, jakis tam serwer nasa, czy moze tasemki, a moze jakas macierz iscsi) to masz koszt.

    • Do Mieszko:
      W firmie która trzyma na dyskach wyniki tylko swojej pracy odstęp między backupami powinien być krótszy niż czas [ilość wykonanej] pracy którą jesteś gotów stracić / wykonać ponownie.

    • @ mieszko: “W jakich odstępstwach czasu powinno się robić backupy i ile ich powinno być? Są jakieś wytyczne, albo odgórne zalecenia z branży IT ?”

      Administruję w firmie rachunkowo-audytorskiej, więc pewnie mam księgowe odchyłki, ale IMHO:

      Częstotliwość i ilość backupów wstecz oraz ilość niezależnych backupów i ogólnie zabezpieczeń to KOSZT (NAS, soft do ochrony itp.). Teraz musisz sobie wyobrazić najgorszy realny (bo np. równoczesne uderzenie piorunów w 3 różnych miejscowościach gdzie są 3 kopie backupów i ich zniszczenie raczej realne nie jest…) scenariusz awarii u Ciebie i przemyśleć czy możesz sobie pozwolić na przestój/czas przestoju/utratę danych/ile tych danych można utracić (bo nieraz możliwe jest ich odtworzenie)/koszt usuwania awarii i to porównać z kosztem zabezpieczeń.

      Jak koszt zabezpieczeń przewyższa powyższy koszt awarii to jest to ekonomiczny absurd i przesada. Natomiast tak długo, jak zabezpieczenia wyjdą Cię taniej od kosztów awarii, to warto (nawet jak jest równo, bo w grę wchodzi np. prestiż firmy przed klientami itp.). Czyli tłumacząc to na jęz. polski – jeśli zwiększenie u Ciebie częstotliwości backupów (co wiąże się pewnie z inwestycją w przestrzeń dyskową i być może wydajniejsze maszyny by backup nie mulił) spowoduje, że koszt przywracania systemu po awarii zmaleje o kwotę większą niż wydasz na dodatkowy backup, to warto.

      Jak jesteś np. dilerem McLarena w Polsce i sprzedajesz np. 2 samochody rocznie, to backup bazy sprzedaży raz na tydzień Ci spokojnie wystarczy, bo te 2 faktury tanio przepiszesz ręcznie… Jak masz hurtownię, gdzie w kolejce stoi 30 TiRów, to zapewne na ponad godzinny przestój nie możesz sobie pozwolić.

    • Na wykopie ktoś wrzucił decryptor sprzed roku, tutaj raczej nie zadziała

    • OS X (mac os) – cisza, spokój – w wiekim skrócie – plaża.

    • “W jakich odstępstwach czasu powinno się robić backupy i ile ich powinno być? Są jakieś wytyczne, albo odgórne zalecenia z branży IT ? Im większy ruch, większa firma tym częściej backup ?”

      Wszystko zalezy od tego na co Twoja infrastruktura moze sobie pozwolic: u mnie wyglada to tak:
      -snapshoty wirtualnych maszyn co 2h – trzymane 1 dzien – w razie jakby ktorys z uzytkowikow cos napsul
      -o 22 backup calej wirtualnej maszyny na nas, stojacy w innej lokalizacji niz serwery – ktory jest automatycznie uruchamiany tylko na czas robienia zrzutu – zabezpieczenie przed sypnieciem sie raida, nieuprawnionym dostepem do hypervisora itp
      -co tydzien backup na jeden z 4(naprzemiennie) dyskow USB ktore leza poza firma: na wypadek jakby firma sie spalila, ktos ukradl serwery itp

    • @ mieszko: “W jakich odstępstwach czasu powinno się robić backupy i ile ich powinno być? Są jakieś wytyczne, albo odgórne zalecenia z branży IT ?”
      Zapoznaj się z RPO i RTO. Ogólnie czasy określa biznes który mówi ile danych może stracić i ile czasu może poczekać na odtworzenie. IT tego nie wymyśla, w jednym biznesie liczą się minuty w innym dni czy nawet tygodnie.

      Pamiętaj że backup to nie jest kopia danych na NASa czy snapshot na macierzy – prawdziwy i przydatny backup to tylko backup offline (czy to usb odłączone od komputerów, czy dyski wyciągane na zewnątrz czy wreszcie tasiemki przechowywane offsite). Wszystko co jest online może zostać zaszyfrowane i wtedy masz dupe a nie backup.
      Słyszałem o firmie której zaszyfrowało dane + (pseudo)backup na dyskach. Zapłacili bo to było dla nich jedyne wyjście i odzyskali dane – ale to było dawno temu przy innym wirusie. Tutaj jak widać to by nie zadziałało.

  2. Mimo wszystko na takich atakach zarabiają wszyscy, ktoś musi potem od nowa przywrócić system i zabezpieczyć.

    • A jak ktoś wybije Ci okno to ktoś będzie musiał sprzedać Ci nowe, a ktoś inny je wstawić. Zatem wszyscy zarabiają.

      A nie czekaj. Ty wydajesz kasę na szklarza. Gdybyś nie musiał tego zrobić wydałbyś na na przykład na nową kartę graficzną. Więc Ty nie masz nowej karty graficznej, a i nVidia nie zarybia.

    • A guzik. Ja na tym cierpię, bo moja pensja nie jest zależna od tego co się dzieje a mogę mieć dużo więcej roboty.

    • Jak można w XXI wieku jeszcze wierzyć w takie bzdury? To jest wręcz kalka z metafory zbitej szyby. Idąc tym tropem to powinniśmy podpalać całe miasta, gospodarka będzie wtedy się kręciła, że hej

    • A nie robimy tak?
      A nie, czekaj… wszczynamy wojny, to co innego.

  3. Jedna z firm zajmujących się badaniami klinicznymi padła po ataku. Firma ta ma też siedzibę w Polsce. Wyłączyli sieć i odesłali pracowników do domu. Kazali im czekać na telefon – pewnie jutro też nie będą pracować. Podobno padły im systemy w wielu krajach (chyba też w USA).

  4. Serwery intercars nie odpowiadają, sklepy nie sprzedają niczego.

    • http://www.intercars.com.pl już odpowiada, ale nie ma grafik. Czyżby odtworzenie z backupu?
      e-katalog nadal pozostaje bez odpowiedzi.

    • To nie do końca prawda. InterCars działa, zamówienia internetowe działają cały dzień, odbiór osobisty też. Nie działa system wewnętrzny, ale klienci są w miarę możliwości obsługiwani.

  5. Dziś do mojej firmy przyszło wiele plików od różnych firm z fakturami, ale w excelu (.xls), w nich zaszyte jest makro, dopiero jutro utworze środowisko(sandbox), aby sprawdzić czy to jest ten atak.

    • Dzisiaj o 9:45 też wpadła do nas “Fakturka”. W sumie od kilku miesięcy nie ma tygodnia bez jakiejś “nieodebranej paczki”. A ja ciągle im odpisuję, że pracujemy do 16, a kurier może zostawić paczkę pod drzwiami :D

  6. Zdaje się, że InterCars też oberwał…

  7. Dzisiaj rano padł wewnętrzny system w Biedronce obsługujący karty Moja Biedronka. Ciekawe czy ma to coś wspólnego z atakiem

  8. Co sadzicie na temat tego oprogramowania:
    https://ransomfree.cybereason.com od firmy Cybereason
    Podobny bylo w stanie zapobiec atakowi Wannycry.

    • Sprawdzałem po paru tygodniach, wtedy pomógł. Nie wiem czy baza ransomware czy jakiś sprytny algorytm.

  9. Następni wpłacają na konto j…com :[ I pytanko wiadomo jakie wydania systemu są atakowane pytam bo ciekawi mnie czy w10 też?

  10. Witam nie wiem czy ma to związek z tym wirusem.
    Pracuje za zachodnia granica w firmie logistycznej na Z jeśli ktoś oczekuje dostawy ubrań butów to mogą być opóźnienia.

  11. W firmie Kronospan nie działa nawet centrala telefoniczna. W sklepie nie sprzedają – twierdzą że jakiś wirus zaatakował system… pewnie ten.

  12. Raben m.in w Polsce oberwał, info z ich FB:

    Raben Group
    47 mins ·

    Safty of our customers is the most important to us. Therefor due to international virus threat all our transprtation and logistics operations have been temporarily holded until solving the issue.

    We are very sorry for all possible unconvinience.

    We shall keep you informed.
    In case of any questions please contact customere service department.

    Raben Group Management

  13. Dlugie te klucze, a copy&paste nie zadziala. Wspolczuje.

  14. Oracle na windowsie, hehehehe

  15. Przelewy24 od rana tez nie dzialają – czyzby ofiara ?

    • Jak nie działają. O 16 bez problemu można było korzystać.

  16. Dziadostwo wlało sie do PL z AS16880 150.70.160.0/20, AS6697 86.57.1280.0/17, AS16276 158.69.0.0/16 (oczywiście klasyka), AS24940 178.63.0.0/16 (oczywiście druga klasyka) – ok. 13:40 badziew sie pojawił tu, u mnie. Ok. 13:50 z tego miejsca broadband-178-140-87-77.moscow.rt.ru (178.140.87.77), ip-95-221-54-15.bb.netbynet.ru (95.221.54.15), pojawiła się czerwona kontrola – też tu, u mnie. Niestety OVH i Hetzner chyba ma problem. Albo my z nimi.

    • Hej a skad mozna takie info wyciagnac?

    • Cześć M,
      za dużo materii do wyjaśniania (tylko ruch sieciowy) : ASy i podsieci podaje dowolne źródełko routowalne (cokolwiek co obsługuje BGP, OSPF i EIGRP).

      Reszta to co najmniej 5-letnie logi i analiza ruchu z tych podsieci i paradoksalnie jak największe skupienie na powtarzających się ruchach na tych i wielu, wielu, wielu, wielu, wielu innych ASów (podsieci IP) zablokowanych [zazwyczaj np. ruskie lubią powracać na spalone IP – albo czasami nie mają wyjścia :-) ]. Tak przynajmniej zachowują się tu u mnie. Upodobali sobie holenderskie, francuskie i niemieckie hostingi – wyciąć.

      Obserwacja na poziomie L2, L3, L4, L5, L6 i niestety L7 bo użytkownik końcowy nie jest świadom swoich działań. Dobre sensory IPS, jeszcze lepsze polisy FW i wyłącznie sprzętowe skanery treści w ruchu sieciowym – skanowanie wszystkiego łącznie z szyfrowanym (nic wielkiego – podstawy).

      Najważniejsze są ruchy historyczne – można skorelować w czasie wiele artefaktów, których nie widać od razu w logach (jak te powracające ruskie na spalone IP – pozdrowienia dla tubylców z okręgu kaliningradzkiego – bo czytają niebezpiecznika).

      Jeśli dysponujecie wiedzą logowaną z długiego okresu czasu, jest możliwe zbudowanie tamy przed falą badziewia, zanim ona się pojawi – taka własna predykcja (w końcu, kto tu ma problem). A dlaczego ? – bo petya AND mischa są na rynku od 3 lat.

      Ciężka materia, ale możliwa do ogarnięcia (i to skutecznie) – niestety nie dla posiadaczy rozwiązań za “58,48 brutto”.

    • JAk czytam Twoją odpowiedź, te zdrobnienia, uogólnienia to czuć, że jesteś przemądrzałym frajerem. Sam skończyłem CCNA i CCNP ale nie skacze mi ego, jak mogę sobie walnąć tego typu komentarz na tego typu stronie.

    • A może czas zdobyć jakaś sensowniejszą wiedzę na temat na który nie powinien Pan się wypowiadać?

      To że kogoś nie rozumiem, nie znaczy że jest głupi, tylko może to moja wina.

      Nikt nie jest obowiązany tłumaczeniem na stronie o bezpieczeństwie wszystkich technikaliów jak dla Kowalskiego. A informacja dla odpowiednich osób może być przydatna. Jest to znacznie lepsze rozwiązanie niż jej brak. Jeśli Pan tego nie rozumie, może lepiej opuścić to miejsce i oszczędzić innym swojej uwag.

    • Dtn >> czytaj ze zrozumieniem, bo nigdzie nie pisałem że czegokolwiek nie rozumiem. Ok, nie rozumiem, jak można być takim zadufanym pionkiem :)

  17. Raben chyba też nie wyśle dzisiaj palet.
    Do południa padł im system zagraniczny.

  18. Od znajomych doszły mnie słuchy że Raben, TNT, Maersk, Saint-Gobain i TNT

    • Saint-Gobain potwierdzam :) słyszałem też o tesco

    • TNT potwierdzone.

  19. Firma RABEN też została zaatakowana. Do tej pory nie ma żadnego ruchu przesyłek, ponieważ wszystko opiera się na systemie komputerowym.

  20. Asseco – najwieksza firma IT w Polsce też leży…. Oficjalnie nie przyznają się do tego.

    • Antoni to pewne info ??,
      znam kilku chłopaków od nich i nic się nie chwalili :D

    • Pracuję w Asseco. Nie doszły do mnie żadne informacje o ewentualnych problemach.

  21. Nie atakuje linuxa ani unixware. Według analiz (pracuje w jednej z zaatakowanych firm) łatka kb4019472 dla Win 10 uodparnia system na atak – mój laptop jako jeden z nielicznych to potwierdza.

    • Całe Mondeleze w Europie leży.

    • Po raz pierwszy mój zawód miał styczność z moim hobby. Dziwne połączenie, kierowca zawodowy i świat IT (głównie bezpieczeństwo) :) . Wracając do tematu, miałem mieć rozładunek w Mondelez Opava (Czechy). Rozładunek odwołany bo kompy im padły. Oj jestem ciekaw do której grupy należy ta firma, do tej która robi backupy czy do tej która będzie robić ;) . W poniedziałek się dowiem

    • No i Opava (Mondelez) chyba jeszcze działa “w trybie awaryjnym”. Mimo godzinowych awizacji brali w kolejności kto jak przyjechał (z tego co się dowiedziałem “na bramie” to nie mieli dostępu do spisu z awizacjami). Sam rozładunek też z boku na jakimś bocznym magazynie

  22. TNT ponoć cała Europa stoi.

  23. Do mnie dzisiaj przylazło coś takiego:

    Subject: INVOICE UEF-19-18163

    Hello

    Please see attached.
    INVOICE: hxxp://agenturaalias.sk/Cust-VSYUS-415-551774-4323978629/

    Na szczęście nikt tam nie wchodził i nic nie uruchomił. Przesłałem do analizy… zobaczymy…

    • Do nas dzisiaj rano tez przyszły emaile z fakturą w xls z auto odpalającym się skryptem

  24. Kronospan w Lampertswalde w Niemczech stoi po ataku od 13. Wiekszość pracowników wysłano do domu

  25. Ludzie nie kumam tego. Od lat zarządzam pewnym systemem informatycznym. Stosuje podstawy bezpieczeństwa i nigdy nie miałem powodów do obaw. Dzisiaj np padł mi serwer płatnika. Odpaliłem nowy serwer wgrałem dobowy backup i po sprawie. Wiem nie ta skala ale rozwiązanie to samo. Jest backup nie ma strachu. Ja znam takich adminów co lubią życie na krawędzi i nie robią kopii. Ale to mi się w głowie nie mieści. To są duże firmy. Czy tam naprawdę nie ma admina który przed zakończeniem zmiany zrobił by kopie? Chociaż lokalna no cokolwiek. Jak by nazywa miał kopie to żaden a to żaden malware nie jest problemem kompy zarażonych pracowników czyli sprawców wejścia wirusa do firmy się czyści wygrywa kopie jak potrzeba a pracownika się szkoli lub zmienia jak Nie nauczany. To poprostu kisne. Pomijając fakt że duże firmy powinny mieć rezerwowy system gotowy do pracy. Zastanawia mnie to :)

    • Dopóki nie ma potwierdzonej łatki/wektora taki zrollbackowany system jest narażony na kolejny atak. System wstanie, pochodzi i po kilku dniach szlag trafi wszystkie dane. Backupy będą do wyrzucenia (nie wiadomo kiedy nastąpiła infekcja). Lepiej przeczekać i nic nie robić niż mieć “dziurę” w danych. To nie są systemy life critical aby musiały działać za wszelką cenę.

    • Nawet jeśli administrator posiada kopię każdej stacji roboczej sprzed infekcji, to raczej nie będzie zadanie na godzinę gdy trzeba przywrócić do życia całe biuro. Duże firmy zwykle mają zautomatyzowane narzędzia do przywracania systemów, nawet plików użytkownika i zainstalowanych aplikacji (sam kiedyś pracowałem w dużym korpo), jednak zrobienie tego na 200-1000 stacji roboczych (jak w przypadku dużych firm) może trochę potrwać.

    • gorzej jak Ci zaszyfruje serwer z backupem :)

    • To jest takie proste tylko w bardzo małej skali… W wielu przypadkach dane sprzed 10 minut to epoka i tysiące wściekłych klientów :)

    • No nie zabardzo się mogę zgodzić. Os ok może mieć dziury. Ale dane typu XLS czy doc niezbyt skoro są to pliki na których się pracuje codziennie. Poza tym bazy SQL. To też raczej wątpliwe skóra są używane lokalnie np jakiś system cmr czy inny zintegrowany system do zarządzania firmą. Co innego coś co jest wystawione na świat. Ale aplikacje działające lokalnie narażone są jedynie na za szyfrowanie bo wątpię aby jakoś ransom dostał się do bazy SQL i dodał coś do niej. Poza tym rezerwowy system w tak dużych firmach to minimum. Musisz że nie jest life Critical.no chyba jest jak dziesiątki tys zł czy dol nie przechodzi przez firmę danego dnia.

    • Skoro wirus robi co chce z dyskiem to skąd wiesz, że przy okazji nie ładuje innego wirusa przez nieznane luki? Samo bycie za firewallem to złudne bezpieczeństwo.
      Co do podejścia, cóż, widocznie duże firmy mają inną wycenę “life critical”. Bo uwierz mi, że to nie jest niekompetencja IT i brak backupów :)

    • Koszty, a admini zapier… zmieniając użytkowniczkom hasła “boo zapomniałam…”, a jak użytkownik mówi “mam w d… wszystko, muszę robotę zrobić”, to kolejny etat na pisanie incydentów prawie na każdego.

    • a ps to idzie odgórnie, jak zarząd firmy ma to w d…, to gdzie się nie spojrzysz, to od dup.. strony. Patrz też wywalają adminów lub sami się zwalniają (zarobisz tyle co na kasie w biedrze) i przychodzi nowy + kilka miechów dyrka już 3ciego szkolisz z obsługi komputera, a zanim przyjdziesz do niego z laptopem, to już Cię zna. Czekając na komputer otrzyma informację mamy 4 informatyków (1 linii) na Polskę ;)

    • @Michal – nic nie rozumiem z tego bełkotu

    • Tu nie chodzi o brak możliwości odtworzenia danych ale czas potrzebny do przywrócenia firmy do stanu sprzed ataku, to są ogromne straty finansowe, a w przypadku organizacji 1000+ userów może to potrwać kilka dni…

    • Widać że zarządzasz bardzo małym systemem informatycznym. W większej skali nawet proste sprawy trwają długo. Zaktualizuj 10000 kompów i tysiące serwerów od ręki, odtwórz na nich dane w kilka godzin ;-)
      To wszystko trwa i nikt nie uruchomi takiej procedury nie będąc pewnym że zagrożenie minęło (wyszły poprawki).

  26. Nie wiem czy ma to jakiś związek… Prowadzę jedna z grup na FB, około 25000 członków. W ostatnich kilku godzinach mam nagle wysyp próśb o dołączenie, są to kilkuletnie konta z różnych krajów i łączy je to, że są to serie kont z takim samym imieniem (kombinacje Aleksandr i Aleksandrów oraz Ann i Agnieszek) z różnymi wariantach pisowni)

    • podrzuć screen na jakiś imgur

  27. Już 24 transakcje na bitcoinie , ludzie cały czas płacą …..

  28. Reckitt Benckiser też już oficjalnie potwierdził:

    https://www.rb.com/media/news/2017/june/rb-confirms-it-is-affected-by-cyber-attack/

  29. Ciekawe czy zainstalowany EMET i/lub RansomFree chronią przed tymi atakami?

  30. Ciekawe, trojan nie infekuje zdjęć, muzyki i plików z .tc :)

    • dokumenty z open office/libre office tez mają spokój. :)

  31. Tylko czemu w TV ani słowem nie wspomnieli o atakach?

    • Czemu? Bo TV stoi na Mincie :-)

  32. U mnie w mieście bankomat w banku spółdzielczym wyłączony z powodu awarii.. Hmm.. :)
    swoją drogą już 27 transakcji… masakra.

  33. Za każdym takim większym atakiem sobie myślę “Muszę zrobić backup” ;)

  34. niebiezpiecznik.pl mam pytanie odnośnie Rabena. Pracuję jako kierowca w tej firmie. Jakie jest prawdopodobieństwo , że do rana system ruszy ? System leży to ja mam wolne :)

  35. Nic tylko zainstalować i przesiąść się na Linuxa na jakiś czas …

    • Jak przesiądziesz się “na jakiś czas” zostaniesz przy nim na zawsze. Ja używam Debiana (desktop) od wersji woody i od zawsze chodził o wiele stabilniej i szybciej od windowsów. O bezpieczeństwie nie wspominam. Przekonało się o tym wielu moich znajomych którzy pokasowali swoje winy 8.1 i 10 na rzecz różnych odmian TUXa. Zaznaczam, że są niezwiązani z IT.

  36. Inter Cars sparaliżowało po godzinie 13.00 Kazano odłączyć wszystkie serwery i komputery od sieci. Małe czyli tkz” jednoosobowe” filie IC znajduja sie takze na Ukrainie.

  37. “A w kilku firmach ofiarą były tylko te komputery, które były podpięte pod ActiveDirectory, natomiast ich “bliźniacze” stacje odpięte od domeny, nie zostały zainfekowane. ”

    Wcale się nie zdziwię, jeżeli okaże się, że ransomware łapie krążące sobie po LAN tokeny NTLM, wysyła je sobie jeżeli może gdzieś do chmurki, gdzie są łamane lub odczytywane z baz słownikowych i wracają do ransomware jako używalne hasła/poświadczenia.

    Ustawienie “Network security: Restrict NTLM: NTLM authentication in this domain” istnieje już prawie 10 lat, domyśłnie NTLM wciąż jest dozwolony, bo połowa aplikacji z korzeniami w początkach 90’s przestała by działać. A NTLM z natury pozwala na offline cracking tokena…

    • Czy twoim zdaniem two factor authentication w domenie byłoby dobrą linią obrony ??

    • To jest jeszcze nic. Nadal istnieje trochę systemów na Win 2003, gdzie domyślnie przechowywany jest również “hash” LM. Złamanie LM trwa zwykle kilka minut używając współczesnej karty graficznej, bo hasło dzielone jest na segmenty po 7 znaków (max 2 segmenty). Jeśli ktos zaatakuje serwer domeny i zrobi dump hashy to może zaatakować całą domenę.

    • @Zainteresowany:
      ale to za leży dla kogo/czego. Oprócz ludzi, NTLM posługują się też usługi windows/konta komputerów (jeżeli mogą/muszą) – jak je zmusisz do używania 2 factor, i jak to zrealizować technicznie?
      Tu chodziło o to, że NTLM od dawna ma zamiennika w postaci kerberosa – który owszem, ma sporo ograniczeń, ale w typowej, niewielkiej firmie z jednym AD i dość płaską strukturą sieciową raczej się ich nie doświadczy. A kerberos gwarantuje dużo, dużo większe bezpieczeństwo credentiali użytkownika.

    • @Silent:
      Mówimy chyba o tym samym? Domyślnie AD stawia się skonfigurowane na tryb zgodności z 2003, którego elementem jest zezwolenie na wysyłanie i odbieranie poświadczeń NTLM.
      No chyba, że Tobie chodziło o
      “Network security: Do not store LAN Manager hash value on next password change” – to faktycznie na XP/2003 jest domyślnie disabled. Ale mi chodzi o to, że jeżeli NTLM jest domyślnie włączony i używany, to złapanie w LAN jego pakietów jakimś wiresharkiem nie stanowi wielkiego problemu. Token wysyłasz do chmurki liczącej BTC wspomaganej słownikiem a la hashkiller.co.uk/ntlm-decrypter.aspx i za chwile masz hasło usera.
      NTLM w odróżnieniu od kerberosa jest podatny na offline cracking, a w większości AD hasła są ważne około miesiąca + sporo świętych krów, które nie muszą zmieniać haseł. No to przymierzając do wydajności obecnych GPU – tak, jak mówisz, jest o wiele więcej czasu niż potrzeba na złamanie tokenu NTLM.

  38. Podbijanie kursu BTC część druga.

  39. lufthansa/miles-and-more też mają jakieś problemy – nie da się zalogować do aplikacji/strony

    We apologise but for technical reasons your data cannot be shown at the moment. Please try again later.

  40. Co ciekawe szyfrowane sa tez pliki .3ds ktore sa rozszezeniem pirackich gier na nintendo 3ds

    • Jakbym był grafikiem 3d/animatorem to zaszyfrowane pliki .3ds by zabolały :/

    • .3ds – format plików używany przez oprogramowanie Autodesk 3ds Max, przeznaczony do modelowania i animacji 3D.

      Tak więc szyfrowanie pirackich gier to przypadek, raczej skupiali się na czyjejś pracy ;)

    • Po rozszezeniach wyglada jak wycelowany w deweloperow. Szyfruje .h .sql .c .cpp i .py a nie szyfruje .jpg

    • .3ds to też (stare) rozszerzenie z Autodesk 3D studio ;)

    • 3ds to również rozszerzenia plików Autodeska…

    • 3ds – format plików używany przez oprogramowanie Autodesk 3ds Max, przeznaczony do modelowania i animacji 3D

      raczej tu jest główna ofiara :)

    • Również uważam, że celem są ludzie pracujący zawodowo na kompach. Rozszerzenia developerskie:
      asp, aspx, cs,php, sln,

  41. Czy jeżeli użytkownik nie ma praw admina na Windows, to wir nie ruszy kompa?

    • niekoniecznie – wystarczy, ze zaszyfruje pliki do których on ma dostęp :(

      z jednej strony gorzej gdy te pliki są na share
      z drugiej strony lepiej – bo sieciowe dyski są backupowane ;)

    • Pliki użytkownika załatwia mi Synology Cloud Backup, o to się nie martwię. Nie ma opcji, żeby wir ruszył mi NAS-a. A jak klient jest rozsądny, to mam dodatkową macierz w zdalnej lokalizacji, gdzie kopiują się LUN-y z backupem.
      Ale czy infekcja zdalnego kompa przez WMIC lub PSEXEC z prawami użytkownika może spowodować restart, nadpisanie MBR-a i zaszyfrowanie dysku?
      A co w przypadku, gdy mam włączonego Windowsowego BitLocker-a?

  42. Pytanie padło hasło: “Co ciekawe, dyski zewnętrzne i dodatkowe, nie są szyfrowane.”
    Czy to sprawdzona informacja ? Czy wiadomo coś o dyskach chmurowych ?

  43. To jak ten atak się odbył? Tekst tego nie wyjaśnia. Przez zainfekowane załączniki e-mailowe? U mnie czysto, ale przerażają mnie takie ataki, boję się że i mi firma stanie.

  44. Jutro robota chłopaki :P myśl i dumaj

  45. Najgorsze, że tego typu akcje sztucznie podwyższają kurs BTC oraz zwiększają świadomość społeczeństwa na zagrożenia. W środowisku w którym Krang się obraca, tego typu zdarzenia nie są mile widziane. Twórcy kokosów nie zarobią a szary Kowalski czy to we własnym domu czy w firmie już coś więcej usłyszy i chociażby przez najbliższe pół roku będzie z nim trudniej. Szyfrowanie, okup i od szyfrowanie wyglądają nowocześnie, przebojowo i z przepychem jak już jednak wspomniałem jest to akcja na której fortuny zbić nie można a ewentualnie dorobić do lepszej bryki czy mieszkania. Za to można namieszać wśród kolegów po fachu. Jest i dobra strona, trzeba będzie być lepszym w tym co się robi aby naprawdę coś osiągnąć :)

    • czy ty tak na serio z tym kursem? trochę nie te wolumeny, żeby zachwiać kursem.

    • Też o tym wspomniałem. Nie patrz na to przez pryzmat jakichś opłat za dekodowanie tylko przez pryzmat takich porad: “Na przyszłość (takich ataków jak ten jeszcze na pewno kilka przed nami) sugerujemy, tak na wszelki wypadek, kupić trochę Bitcoinów. Mogą się przydać… “. Jak kilkadziesiąt/set tysięcy a może i milionów firm na całym świecie, ze strachu kupi sobie trochę BTC to już będzie naprawdę znaczny wolumen.

    • Właśnie właśnie, nie wiadomo gdzie zwykły Kowalski ma trzymać te coiny na wypadek zaatakowania ransomware: na komputerze który zostanie zaszyfrowany czy w jednym z portfeli online które co chwile padają? Kupić sprzętowy trezor na wszelki wypadek?

    • Odpowiedź jest prosta, na jakimś schowanym w szafie dysku
      Albo po prostu zainstalować GNU/Linuksa i mieć spokój

  46. obawaim się, ze w dużych firmach jest tylko większy burdel niż w małych gdzie dział IT to 3 osoby :( Widziałem już nierealny High Level Design, idiotyczny naszpikowany błędami Low Lewel Design… Nigdy nie wiadomo kto za co jest odpowiedzialny, terminy ustalone przez Project Managment są z kosmosu więc NIKT nie wyrazi zgody na testy przed oddaniem środowiska bo dedlajny sa prawie zawsze przewalone ;)
    Po instalacji środowiska jest podobnie – niby jest backup, niby jest procedura – ale konia z rzędem komuś kto realnie przećwiczył tę procedurę na serwerze produkcyjnym :(

    • Kolega chyba u mnie pracuje, bo brzmi strasznie znajomo. Od siebie dodam, że backup offshorowany do Indi jest mniej więcej tak samo reliable jak trzymanie go na 15-letnim dysku PATA z niemałym przebiegiem.

  47. Kolejna wrzutka, podobno jest killswitch:
    https://twitter.com/PTsecurity_UK/status/879779707075665922

  48. WPP tez zaatakowane globalnie, najwieksze agencje reklamowe na swiecie ponad 5000 osob. Info ze strony FB holdingu:
    https://www.facebook.com/WPP/posts/10155700062559925

  49. Important Update: Kill-Switch Found For #Petya Ransomware. Just create a file “C:\Windows\perfc”

    • file czy zwykły folder? jeśli plik to bez żadnego rozszerzenia?

    • plik perfc.dat czy tylko perf

    • Właśnie rozsesłałem po firmie prosty skrypt z rozszerzeniem “.bat” który tworzy ten plik perfc. Oczywiście trzeba go uruchomić jako administrator, zawartość poniżej.

      @echo off
      if exist “C:\Windows\perfc” (
      attrib -r “C:\Windows\perfc”
      del “C:\Windows\perfc”
      )
      echo PETYAKILLSWITCH > “C:\Windows\perfc”
      attrib +r “C:\Windows\perfc”

  50. Czy ten syf może się wcisnąć tak po prostu kiedy tylko jestem podłączony do internetu?

    • Tak

  51. Mała reklama :-) Narzędzie BitRater pomaga na Petya a do tego na 3 miesiące jest gratis. Cytuję ze strony: Forget about WannaCry and future threats – you can now get BitRater free for 3 months. Contact us at info@it2trust.com

  52. Jeśli sprawdzi się powiązania pomiędzy wymienionymi spółkami to łączą ich pracownicy, na linkedin, czy też goldenline jest kilkanaście osób, które w cv mają wymienione przynajmniej dwie wspomniane w artykule spółki. Czyli prawdopodobnie pan Kowalski z firmy x nie usunął kontaktów z poprzedniej firmy w której pracował np. y i tym samym uzyskując dostęp do zasobów pana Kowalskiego, można było znaleźć informacje na temat firmy y.

  53. “Do ataku w Polsce przyznały się spółki Raben(…)” a to dranie w tym Raben, do plokulatuly z nimi..

    moze wartaloby to zmienic na chocby “Wśród ofiar ataku w Polsce..”

  54. Jak widać NIKT nie robi backupów ;-)

    • Robią, tylko to nie takie łatwe przywracać. Pełna kopia często nie istnieje tylko same pliki robocze i bazy sprzed x dni lub x godzin czasami nawet miesięcy.

      Wtedy zostaje reinstalacja systemów i mozolna instalacja usług, konfiguracji…

      Często nawet pełna kopiua nie pomaga bo oś się zdezaktualizowało o zbyt dużo wersji etc.

  55. czyli czas na randomizer rozszerzen? a odpowiedzia bedzie szyfrowanie calego dysku?

  56. Jedno w treści artykułu się nie zgadza. Bitcoiny można nabyć bardzo łatwo. To tylko kwestia kilku kliknięć.

    • Proponuję mały eksperyment. Zadzwoń do kilku firm i zapytaj w działach IT, jak kupić bitcoina w kilka kliknięć ;)

  57. U mnie nie działa!. Jak mam go zainstalować na Ubuntu? Prosze o pomoc.

    • Ha, ha…
      By uruchomić tego wirusa trzeba najpierw kupić oprogramowanie firmy Microsoft. Bez tego ani rusz.

    • @Marek
      Ha Ha, nie zauważyłeś, że to sarkazm?

  58. Kill Switch nie działa. Więcej info tu https://twitter.com/hackerfantastic

  59. McAfee też nie śpi.
    McAfee is receiving multiple reports of modified Petya ransomware variants. McAfee Labs is receiving various samples which are in analysis, and can confirm that McAfee Global Threat Intelligence (GTI) is protecting against current known samples at the low setting.
    • Extensions currently known as being affected are: .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
    • We have confirmed with the samples that SMB is being used as a propogation method, and are aware of reports that RDP may also be used but have yet to confirm this.
    • After encryption, impacted systems may show a ransom screen and suggest a system reboot after which the system will not be accessible.
    McAfee has released an Extra.DAT to include coverage for this threat — it is attached to KB89540.
    Continuing Information
    McAfee will continue to post more information in Knowledge Base article KB89540 (https://kc.mcafee.com/corporate/index?page=content&id=KB89540) as available.

  60. Tak mnie zastanawia porada przedstawiona na początku artykułu. piszecie “2. Jeśli włączy się wam program CHKDSK, szybko wyłączcie komputer! Petya wtedy zaczyna pracę. Jest szansa, że uratujecie jeszcze swoje pliki”

    Tylko takie pytanko co późnej ??
    I tak się zastanawiam czy po takim kroku jakby ktoś uruchomił Linux live disk czy pliki będą szyfrowane ??

    • W momencie resetu proces szyfrowania zostaje przerwany i pliki powinny być bezpieczne, będzie można z nich korzystać pod systemem na live cd.

  61. Nie będą – tak właśnie można uratować pliki

  62. Sprawdźcie to:
    https://www.youtube.com/watch?v=eQwJIrlrrYU
    Ochrona na końcówce ale nie opierająca się na bazie sygnatur tak jak większość antywirusów.

  63. Witam

    Czy mozna prosic o instrukcje jak stworzyc GPO %windir%/perfc i updateowac na wszystkie komputery ?

    • Piszesz skrypt kopiujący plik do folderu i wrzucasz do gpo autostart

  64. wirus ingeruje w mbr po usunieciu i ponownej odbudowie mbr pliki sa do odratowania

  65. Byłem przez chwile 2 dni temu wystawiony na public, gdy wróciłem do pc miałem okienko że microsoft windows chce uruchomić ponownie komputer w celu zastosowania zmian, czy to może być to? Pc jeszcze nie zrestartowałem.

  66. Gdzieś zdobędę próbkę tego wirusa?

  67. A co z prywatnymi użytkownikami, tj. komputer w domu, niepodłączony do publicznej sieci (internet bezpośrednio od ISP)? Mogę spać spokojnie czy mam się obawiać utraty dostępu do plików?

  68. Mam nadzieję że ten killsswitch działa a nie np. mnoży okup x 5 ;)

    • To nie ma znaczenia czy mnoży okup. Już i tak nie da się z niego skorzystać.

  69. Amatorzy: Hacker Fantastic‏ @hackerfantastic

    The boot loader encryption is an offline process – it’ll most likely be crackable to recover encrypted files.

  70. A wystarczyłoby pracować na Linuksie zamiast na Windozie. Albo chociaż zainstalować anti-ransomware np. Kaspersky Anti-Ransomware Tool.

    • A co to linux nie ma dziur !? Weź się ogarnij człowieku !

    • Nie takie.

  71. Ja nie rozumiem tej wręcz satysfakcji płynącej z niektórych postów – “trzeba było robić backupy, he he”.
    To nie jest takie oczywiste, sam znam parę dużych firm, gdzie informatyków (dobrych) jest dwóch + dwóch pomagierów, a komputerów do obsługi prawie 200 i to w różnych miastach. Oni nie mają czasu się po tyłku podrapać, a komuś się zdaje, że to ich wina?
    W drugim przypadku – filia sporej niemieckiej firmy w Polsce. Dwie lokalizacje w różnych miastach, około 60 komputerów i z 10 serwerów. I na etacie JEDEN informatyk.

    • 250 jednostek, 35 serwerów i 1 informatyk (całe szczęście, że to 1 budynek ;))

    • @marcin
      I to jest właśnie głupota szefostwa.
      Działanie całej firmy opiera się na jednym człowieku, zazwyczaj jeszcze słabo opłacanym.
      Nawet jeżeli prowadzisz dokumentację i przekazałeś hasła (a w to nie wierzę, bo nie masz czasu) wystarczy, że pójdziesz na urlop i coś się stanie (zakładając oczywiście, że ktoś Ci da urlop).

    • 80+ PC w tym 10 serwerów 7 lokacji 1 admin.

    • No, ja mam ~600 userów lokalnie + ~100 zdalnie…

  72. Jak sens jest posiadanie antivirusaa jak nie chroni przed zagrożeniem

  73. Ti: takie samo jak np. posiadanie drzwi zamykanych na klucz lub jak ktoś ma psa aby “chronił” mu teren/dom.

    Błędnym jest myślenie, że to nie chroni i jednocześnie błędnym jest myślenie, że to uchroni całkowicie przed wszystkimi zagrożeniami jakie występują na świecie i mogą wystąpić też u nas.

    Jedna z zasadniczych różnic jest to, że nie “bijemy” się lokalnie tylko z cały światem (ot efekt globalizacji).

    pozdrawiam Ti

    • Antywirus to zwykły plaster. Dostajesz kiepski produkt który sam od siebie nie zapewnia bezpieczeństwa więc stosujesz program który zżera większość zasobów. Dodatkowo IT ma jeszcze jedną “niezawodną” metodę: wysyłanie maila do wszystkich w organizacji: “grasuje superwirus. Błagamy nie klikajcie!” Nie klikaj tam nie klikaj sram ,a IT jedyne co robi to wysyła maile i trzyma kciuki zamiast zainstalować Linuxa albo kupić Mac.

    • Do użytkownika Czapa- Bez antywirusa w dzisiejszych czasach nie masz szans na normalne użytkowanie komputera w sieci, pamiętaj że jest to program który zabezpiecza przed wirusami już istniejącymi, przed nowymi wirusami nie da się zabezpieczyć w 100%, dla tego też jedynym rozwiązaniem jest uświadamianie innych użytkowników o niebezpieczeństwie i wiem że 90% zainfekowania komputera jest przez nieumyślne klikanie i otwieranie nieznanego pochodzenia załączników. Mówisz o Linuxie i MAC w Firmach ale zapomniałeś że większość oprogramowania dla firm nie działa na tych komputerach, dla tego jesteśmy skazani na Windows, przynajmniej na razie.

    • @Andrzej Typowa postawa informatyka w korporacji:”bez antywirusa ani rusz”. Linux, Mac, Android, Unix, iOS nie ma wirusa. TYLKO M$ go potrzebuje. Jedyne Wasze rozwiązanie to “budowanie kultury”. Statystycznie na 1000 ludzi w organizacji zawsze ktoś kliknie w “załącznik DHL”. ŻADNA kultura nie pomoże bo z rozkładu normalnego wynika że zawsze ktoś sobie zainfekuje kompa jeśli system go nie powstrzyma. I tym samym zainfekuje wszystkie kompy w sieci… Potrzebne są rozwiązania SYSTEMOWE, które spowodują, że nawet po kliknięciu w załącznik sieć bedzie bezpieczna. Tak jak we wszystkich normalnych OSach. Zamiast słać głupkowate maile o tym, że trzeba sprawdzać manualnie czy link w mailu od DHL ma w sobie domene DHL i czy ma HTTPS, dajcie ludziom system który jest odporny na takie ataki. OS który nie pozwala byle jakiemu klientowi pocztowemu na zaszyfrowanie dysku… Zamiast powtarzać “nie da się” i “zawsze tak robiliśmy” ruszcie makówą!

    • @Czapa
      Święta racja!
      Co proponujesz?

    • @Radek To co zawsze: serwery Linuxa i stacje robocze Linux lub Mac. Każdy wewnętrzny soft administracyjny budować na wewnętrznym www. ERP tylko web-interface. Wtedy terminal usera może być czymkolwiek. Leniwych inżynierów twierdzących że ich soft musi działać na XP, zamknąć w szopie i wypuścić dopiero z kodem w Pythonie. Pokazać ELT że ich wspaniałe kolorowe wykresy, animowane slajdy i inne pivot tejbele też można stworzyć i wysyłać Linuxem. A normalnych ludzi też można nauczyć jak takie wykresy slajdy i instrukcje na 500 stron przenieść do kosza…
      Cały problem z M$ jest spowodowany tym że ludzie nie myślą jak rozwiązać problem tylko jak go zaakceptować.”Musielibyśmy się czegoś nowego nauczyć? Toż to jakiś absurd”

    • @Czapa pisze: To co zawsze: serwery Linuxa i stacje robocze Linux lub Mac.

      No to teraz geniuszu zastosuj to w firmie gdzie działa oprogramowanie branżowe na Windows. Przepiszesz je na Linuksa?

    • Ogólnie popieram. Tylko jeszcze nie widziałem wersji Płatnika na inny system niż M$, to samo z programem do deklaracji Intrastat itp.

  74. Wiecie może jak można zainfekować sobie komputer tym wirusem do celów testowych? Nie żartuje lubię testować nowości :)

  75. Otrzymałem załącznik: abonneau_301077.docm temat :facture 301077 nadawca :REBECCA.
    To też na pewno Petya

    • Już samo rozszerzenie sugeruje, że dokument zawiera makro

  76. Jezu! Czy was powaliło?!? Polecać płacenie okupu?!? Ludzie dzięki włąsnie takim poradom kwitnie interes szantażu!!
    Ludzie ! pomyślcie przez chwilę co wy robicie?? Nabijacie kabzę złodziejom!!!
    przestaje was czytać, to co doradzacie jest kompletnie poniżej … brak słów.
    Zostaliście paserami, powodzenie w dalszym namawianiu do płacenia!!!
    ehhh…:((((

    • Forget, chodź, zaszyfrujemy Ci dane i skasujemy backupy. Ale damy Ci możliwość odzyskania Twoich danych za 300 dolarów. Nie zapłacisz i narazisz się na pozwy ze strony klientów, czy jednak odżałujesz i schowasz swoje nieskazitelne zasady do kieszeni?

    • Forget ma oczywiście rację. Płacenie okupu jest niegodne i niemoralne. Niestety pewne zasady należy wynieść z domu. Albo się je ma, albo się ich nie ma. Jeśli ktoś – tak jak red. Konieczny – posługuje się stwierdzeniem “schować zasady do kieszeni”, dowodzi tylko tego, że zasad nie ma. Pan redaktor zdaje się nie rozumieć, że nawet gdyby ów okup wynosił złotówkę, nadal nie należałoby go płacić. Zachęta do płacenia okupu nigdy nie powinna paść. Niestety to nie jest pierwszy raz tutejszych włodarzy.

    • forget Ty chyba jeszcze mało w życiu widziałeś… niektórzy są w stanie uniknąć milionowych albo większych strat płacąc te 300USD. Tak, to złe, tak nie powinno się tak robić, tak to niemoralne, tak wspierasz w ten sposób tych złych… ale też oszczędzasz dużo więcej pieniędzy. Czasami chodzi też o coś więcej niż pieniądze. Gdyby atakujący nie mieli świadomości tego… nie atakowaliby takich a nie innych firm/instytucji itp.

    • A jaki macie dowód że ktokolwiek kto zapłacił dostał hasło?

    • Gdyby Ci porwali dziecko też byś nie zapłacił? W imię zasąd?

    • To nie haracz tylko pokuta za głupotę.

    • dziecko?? rozmawiamy tu o złodziejach danych nie dzieci!!!
      Cóż ale w tym konkretnym przykładzie nawet zapłacenie nic nie dawało – chodziło im o zniszczenie danych!
      A w życiu widziałem już wystarczająco dużo aby tak twierdzić, gdyż zawsze się tak zaczyna:
      to tylko ołówek, wezmę sobie, to tylko komórka, wezmę sobie, to tylko samochód…
      ale cóż, każdy sądzi podług siebie.

  77. Kaspersky juz wykrywa. Z tym ze zachowanie troche inne, wiec wykrywaja jako NotPetya

  78. Kolejna ofiara – port kontenerowy JNPT w Indiach: http://www.trojmiasto.pl/wiadomosci/Kultury-brak-moze-instynkt-pozostal-n114113.html

  79. Nie mogę już czytać złotych rad o linuxie a tym bardziej Macku. Idziecie chłopaki na 2 godziny do swojej pierwszej pracy i zrozumiecie dlaczego te systemy kompletnie nie nadają się do pracy w korporacjach.

    • Nie tylko w korporacjach. W każdej firmie, gdzie jest oprogramowanie branżowe. A takich jest bez liku.

    • Nadają nadają, na 400 ludzi mam ok 180 stacji na Linuksie.

    • 15 lat pracuje w korpo i te argumenty to:
      “Ale to urządzenie ma soft który napisała osoba ktora się zwolniła i musi działać na XP”
      Nie nie musi… Problem źródłowy to nie tworzenie dokumentacji żeby “zaoszczędzić czas”, lenistwo i strach przed wiedzą. Fizyka i chemia nas nie powstrzymuje przed przepisaniem sterów w Pythonie.
      “Ale nasz SAP!’
      Spoko. Też jest na przeglądarkę…
      “Ale nasz CRM…’
      Bo półgłówku nie słuchałeś jak mówiłem żeby kupić wersje webową bo i tak każdy korzysta ze smartfona.

      Tak naprawdę największymi hamulcowymi są Excelowcy. To oni nigdy nie pozwolą zeby ich skitrane na pulpicie raporty zniknęły z organizacji. Jak proponuję zeby przenosić kolejne “Excelowe bazy danych” na MariaDB i dostęp przez www to jest bieganie w kółko i kupa w majtach:”jak to zabiorą mi Excela??? To inni też będą mogli go używać bez mojego pozwolenia? Organizacja może bezemnie działać? A co z tymi wszystkimi makrami? Co z pivotami sie pytam? Absurd!”

      Jesli nie żyjesz z Autocada/Photoshopa to możesz przejść na Linuxa jeśli tylko trochę ruszysz głową i pożegnasz się ze swoja Nokią 3210.

    • @Czapa – a u mnie na kompach są dostarczone przez producentów urządzeń softy do konfiguracji tychże urządzeń. Te softy działają tylko na konkretnych systemach (np. XP) i na żadnych innych, bo takich producent nie wypuścił i nie wypuści.

      Powodzenia z linuksowaniem firmy w takim przypadku.

    • Mack to producent ciężarówek.

      Takie korporacje jak Google czy Facebook używają Maków.

    • @Borek

      A probowales kiedys uzyc do tego softu emulatora windowsa? skoro xp, to nie ma opcji zeby nie zadzialalao, ale lepiej siedziec i plakac ze sie nie da

    • AUTOCAD I PHOTOSHOP DOSKONALE DZIAŁAJĄ NA MAC’U. A jak wiadomo Mac jest w jakimś stopniu oparty na unixie (Darwin) i można upchnąć na nim linuksowe aplikacje.

  80. Link badacza nie działa:P

    Z kolei ten badacz uważa, że powyższy kill switch nie działa

  81. Chyba mnie zaczynają irytować ludzie piszący:
    >A wystarczyłoby pracować na Linuksie zamiast na Windozie.
    >trzyma kciuki zamiast zainstalować Linuxa albo kupić Mac.

    A czy jak Wam kolejny ransomware zaszyfruje linuxa to zaczniecie krzyczeć “od dzisiaj tylko Windows” czy może przerzucicie się na Androida, DOS czy LOGO? Podpowiem Wam, DOS do wersji 6.22 jest 100% bezpieczny przed ransomware! Zachowujecie się jak ślepcy krzyczący “moja laska jest bezpieczna, bo ma dwa czerwone paski”. Każdy pracuje na tym co ma, a linux jest dobry, o ile działa od pierwszego razu. Bo jak nie działa to można spędzić tygodnie instalując drukarkę. Poza tym kto ma pokryć koszty szkolenia ludzi, którzy opanowali dwa programy potrzebne do pracy i na tym się ich możliwości kończą?
    A jak samochody firmowe będą się psuły zaczniecie krzyczeć – kupić wszystkim rowery, zestaw kluczy i podręcznik Słodowego?
    Bezmyślne trolle.

    A w firmach, w których informatyk obsługuje 60 komputerów – nie wiem co powiedzieć; byłem takim informatykiem. Góra nie ma pojęcia o informatyce i wiedzę czerpie z plotek. Nic, tylko się powiesić, bo nawet jak chce się coś zrobić to po kilku dniach tłumaczenia po co w firmie firewall (trzeba wydać 300 zł na części do uruchomienia trupa, który się nada do tej funkcji) człowiek po prostu odpuszcza.

    • I też wiele oprogramowania koniecznego do użycia w firmach nie-informatycznych (a np. produkcyjnych, budowlanych, projektowych) działa wyłącznie spod Windows.
      I też oprogramowanie wymagane urzędowo (przykładowo Płatnik) bywa przygotowane tylko dla Windows.
      Aby można było myśleć o globalnym “przechodzeniu na Linuxa”, musiałoby powstać wystarczająco dużo specjalistycznego i działającego przewidywalnie oprogramowania na tę rodzinę systemów. A jeśli by się tak stało, i firmy przeszłyby na Linuxa, to przestępcy także zmieniliby swoje kierunki działania.

    • Dokładnie. Te linuksowe trolle (sam to piszę z pod Ubuntu) kompletnie nie rozumieją, że jak biznes się przestawi na Linuxa, to ransomware i inne dziadostwo podąży za nim i śmiganie na linuchu przestanie być bezpieczne. Na razie jest, ale tylko dlatego, że nie ma sensu atakowania 0.1% wszystkich komputerów z którego to 0,1 procenta niemal 90% to świadomi userzy, a dużo łatwiej jest atakować system, który ma 90% rynku, z czego 80% kompletnie nieświadomych niczego userów. Zupełnie inny wektor ataku.

      Btw. Jeżeli potwierdzą się plotki że zarażenie poszło przez autoupdate to korporacyjny linux nic by tu nie dał. Ot, mieli byśmy powtórkę z “left-pada” (słynna inba w świecie javascriptu, polecam sobie poszukać o co chodziło i dlaczego linuxy się wysypywały tak samo jak obecnie robią to windowsy).

    • Ile musi być jeszcze serwerów Linuxa i ilu musi być więcej użytkowników Androida, aby Wasza teoria o “za małej ilości użytkowników” była porzucona? 70% rynku to za mało rozumiem?
      Beton w IT musi zrozumieć że OS pozwalający przeglądarce i klientowi pocztowemu na zaszyfrowanie czegokolwiek jest fundamentalnie źle zaprojektowany.
      Na zdalne zaszyfrowanie zaktualizowanego Linuxa/Androida musicie jeszcze poczekać.
      Tylko nie przywołujcie mi “ataków” w ktorych ktoś zainstalował sam .apk ze strony porno…

    • > Dokładnie. Te linuksowe trolle (sam to piszę z pod Ubuntu) kompletnie nie rozumieją, że jak biznes się przestawi na Linuxa, to ransomware i inne dziadostwo podąży za nim i śmiganie na linuchu przestanie być bezpieczne.

      Jasne. Android najlepszym dowodem.

      Nie słyszałem, żeby ktoś na Androidzie zaraził się klikając w załącznik maila. To samo na iOSie.
      O samorozprzestrzeniających się wirusach nie wspominając.

    • po kija uczesniczycie w dyskusji, skoro żadne argumenty nie są w stanie zmienić Waszego myślienia? Nie istnieje żaden w 100% bezpieczny system. Niemniej jednak, z wielu względów, wszelkie linuksy są bezpieczniejsze. Niema na nie specjalistycznego softu? No i co z tego? Zastanówcie się jaka jest suma sprzedanych legalnie autocadów, photoshopów i innego oprogamowania które kosztuje więcej niż przeciętny samochód polaka, w stosunku do komputerów na świecie? JEden procent czy mniej? Więc gdyby udział windowsa w rynku kompów wynosił jeden….. co ja gadam…. Ruszcie głową! To jest pierwszy duży atak który przenosi się głównie przez kompurery firmowe. A cała reszta? Przez kompy które były podłączone do urządzeń medycznych? Stacji roboczych tworzących firmy u pixara? W biurach projektowych w których powstają samoloty? Nie! Wirusy rozprzestrzeniaja się przez malutkie komputerki na których niema żadnego płatnego programu, które służą do oglądania kotów i głupich filmików na YT, więc właśnie na nich linuks byłby idelanym systemem. Nikt WAS nie zmusza na przejście na linuksa, ale jeśli więcej ludzi będzie się nad tym ZASTANAWIAC to drogi, połączenia którymi docierają do Was wirusu, zostaną odcięte.

    • Jakoś nikt nie szyfruje serwerów na Linux.
      Dlaczego?

  82. Do mnie, na firmową skrzynkę, przychodziły wiadomości z autentycznych adresów email np. Metro Warszawskie, firmy budowlane, kurierskie jak DHL, itp. z info o nieopłaconych fakturach. Wszystkie zawierały załącznik RAR, w którym był pliczek .js. Sam usuwałem z miejsca te wiadomości, niestety ktoś u nas musiał byc na tyle nierozgarnięty, żeby otworzyć plik. Teraz cała firma, z kilkoma wyjątkami ma zaszyfrowane komputery. Praca odbywa się tylko na tabletach i mamy zakaz przychodzenia do biura.

  83. Tak sie zastanawiam z Petya
    Przeciez to uzywa PBA – pre boot authentication wiec jesli juz zaintalowane mamy PBA dellowskie albo Wave badz jakeis inne to nie wydaje mi sie zeby Petya byla w stanie to nadpisac szczerze mowiac, wiec nawet plikow tez nie zaszyfruje bo nei bedzie dostepu do dysku

    • Nie działa na komputerach z partycjami GPT i bootowaniem przez UEFI – działanie wirusa opiera się na “prymitywnej” pracy z MBR :)

  84. Wszystkim polecającym Linuxa przypomnę tylko ostatniego dużego buga w kernelu z tego roku,
    pozwalająceg na remote code execution.
    Każdy system jest dziurawy, a jak ktoś uważa inaczej to znaczy, że się nie zna,

    • Mam kilka bezpiecznych systemów: Commodore 128D, Atari 1040STe, Atari 130XE, Amiga 1200, CPC6128, Timex 2068, Spectravideo 728.

    • Amiga? Wyskoczy GURU MEDITATION i masz pozamiatane…

    • No i co ile serwerów padło?
      Masz jakieś dane zapewne.

  85. Juz 40 transakcji wpłat. Jeszcze się łudzą….

  86. Antyiru do lazenia po sieci? Nigdy nie instaluje zadnych antywirusow
    wywalam wszystkie niepotrzebne services, wywalam ms newtwork client, sharing i inne podobne pierdoly

    i mam viste na wielu kompach, nawet xpka na latopach, i zero problemow

  87. Od wczoraj, gdzieś tak od 17:00-18:00 leży community site od Adobe (z tego co widziałem szyfrowane są też pliki *.ai) Wyrzucając stronę błędu:
    “System Error

    We’re sorry but a serious error has occurred in the system.”

    Ciekawe czy też padli ofiarami Petyi. Jeszcze nie zauważyłem downtimu dostępu do subskrypcji CC – może trzymają serwery autoryzacyjne gdzie indziej.

  88. > Petya
    > Mischa
    > Janus Cybercrime Solutions

    No kurde, jeszcze zaraz generał Orumow okaże się stać za wypuszczeniem tej wersji!
    Widać fascynację twórcy malware Bondem i “Goldeneye”, już nie wspominając o tym, że w istocie wirus zrobił niemałe zamieszanie pewnie też na giełdach światowych.

  89. aby stworzyć plik:
    “stwórz plik: C:\Windows\perfc”
    musi być rozszerzenie… albo mi się wydaje?

    • nie musi :). W Tottal Commanderze lub Free Comannderze wciskam Shift + F4 i tworze plik o tej nazwie bez rozszerzenia. Zapisuje go w trybie “read only” lub “tylko do odczytu” nastepnie zakladam czapeczke z cienkiej aluminiowej foli i czekam aby przypadkiem podczas kolejnego uruchomienia nie pojawil sie tryb konsoli z uruchomionym podstepnie bez mojej wiedzy – zmodyfikowanym “programem” CHKDSK ..

    • z tego co piszą w innych miejscach to musi być bez rozszerzenia, a żeby zadziałał to plik powinien być READ ONLY :)

    • @PG, @Michał itp: Jeśli dobrze zrozumiałem sztuczka z tym killswitchem polega na tym, że zamiast oryginalnego pliku perfc.bat podstawiamy jakiś inny, bezpieczny plik.
      W DOSie i jego spadkobiercy “wierszu poleceń systemu MS WIndows” uruchamialny plik możemy uruchomić wpisując jego nazwę z rozszerzeniem (np. zupa.exe, zupa.bat, zupa.com) lub bez rozszerzenia (np. zupa) – wtedy system sprawdzi czy jest plik wykonywalne o takiej nazwie i go uruchomi (jeśli jest i zupa.exe, i zupa.cmd, to wykonywany jest tylko jeden z nich wg określonej w systemie ważności/kolejności sprawdzania; nie pamiętam dokładnie tej kolejności).
      I teraz: jeśli wirus wywołuje tylko “perfc” to wystarczy jakikolwiek plik lub podkatalog/folder o takiej nazwie, a jeśli wywołuje nazwę z rozszerzeniem to nasza osłonka powinna mieć nazwę z rozszerzeniem (perfc.bat – jak wynika z tego co tu przeczytałem).

    • > perfc.bat
      perfc.dat gwoli formalności :) I nie, nie jest to binarka, tylko jeden z payloadów, a cała sztuczka polega na tym, że jeżeli istnieje, to malware nie wykonuje dalszych działań myśląc, że komputer jest już zarażony. A to, że działa bez rozszerzenia, to zasługa działania komendy WinAPI, której użył twórca, bo użył wyszukiwania po ścieżce (co się dopasuje do pierwszego znalezionego perfc*).

  90. wystarczy utworzyć plik, usunąć rozszerzenie i nazwać go perfc czy trzeba to zrobić w jakiś “specjalny” sposób? jestem laikiem.

    • Najprostszy sposób: w katalogu c:\windows znajdź plik “notepad.exe” i zrób jego kopię. Zmień jego nazwę na “perfc” (bez rozszerzenia) i w właściwościach tego pliku zaznacz “tylko do odczytu”. Po drodze pojawi się kilka komunikatów o uprawnienia administratora, które akceptujemy.

    • 1. Uruchom wiersz polecenia z prawami admina ( prawym na skrót, kliknij Uruchom jak administrator )
      2. wpisuj i klikaj enter:
      cd \windows [enter]
      copy con: perfc [enter]
      wciśnij F6, pojawi się znaczek ^Z [enter]
      3. wypij piwo

  91. Nie żebym jakoś się strasznie obruszył, ale teksty w stylu, że na Maki nie ma branżowego oprogramowania w korporacjach świadczy raczej o ignorancji danego “informatyka”. Inna sprawa to kwestia świadomości użytkowników o bezpieczeństwie – szczerze współczuję Windziarzom.

    • Powiedz to np 1500 komornikom :D
      To nie korpo, ale łącznie mają dość dużo komputerów które MUSZĄ mieć Windowsa. Chyba że ktoś im napisze nową aplikację do obsługi kancelarii.

    • A to w Polsce nie ma małych i średnich firm, tylko same korporacje?

  92. Gibtelecom ma jakies powazne problemy z siecia od samego rana. Jedna z ich stron gibconnect.net nie jest dostepna. Ciekawe czy to ten ransomware?…

  93. Myślałem że Niebezpievcznik.pl padł ofiarą malware, rano pokazywała się tylko strona Cloudflare.

    • Raczej ofiarą administratorów polskich firm, którzy przyszli o 9.00 do pracy i chcieli zobaczyć co robić, jak żyć ;)

  94. https://blockchain.info/address/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

    Już 42 transakcje.
    Ciekawe na ilu się kończy.

  95. Już czytałem na ten temat parę artykułów. Bardzo dobrze, ze przestrzegacie innych o zagrożeniu.

  96. Żeby utworzyć pusty plik “perfc” uruchomić wiersz polecenia w trybie administratora i wpisać:
    echo. 2>C:\Windows\perfc

  97. CERT Polska nic nie pisze na ten temat – czy nie powinni oni przynajmniej ostrzegać ?

  98. Poczta Polska też ma dziś awarię. Ciekawe czy to też Petya.

    • nie

  99. Chyba dostałem emaila z wirusem
    Jakby ktoś chciał potestować to tutaj jest paczka
    http://www.filedropper.com/dokvat

  100. >tworzyłą plik perfc.bat

    literówka ? na blogu MS jest info o .dat

  101. – wymaga e-maila by odebrać klucz do odblokowania plików
    – blokuje cały komputer, czyniąc korzystanie z e-maila niemożliwym.
    logika tak bardzo.

    • E, tam. Przestępcy wiedza, że masz jeszcze tableta, albo smartfona. :)

  102. Goldeneye też używa kawałku Petyi :)

  103. ‘atrybucja’

    Musieliście zrodzić taki makaron ?

    • Ten “makaron” jest starszy od całej redakcji Niebezpiecznika. Nie żartuję, kup sobie jakiś stary porządny słownik w antykwariacie, polecam np. Doroszewskiego.

  104. CERT się obudził jest artykuł https://www.cert.pl/news/single/atak-petya-mischa/

    Ładnie rozebrane, ale nic po za tym. Wg info na webie, celem są również kontrolery domeny i dlatego leżą duże korpo, chociaż dzisiaj serwer i na nim PDC można mieć za 5kilo zł, więc takich co mogą paść ofiarą NotPetya będzie więcej.

    • Z tego co widzę mowa jest o pliku C:\Windows\perfc.dat

  105. Witam,

    Mam pytanie dot fragmentu “Błyskotliwi administratorzy serwera pocztowego, z którego korzystają przestępcy, zablokowali im skrzynkę, odcinając ofiary od możliwości odzyskania swoich plików…”. Poprawcie mnie jeśli się mylę, ale określenie “błyskotliwi” ma tu chyba wydźwięk sarkastyczny, a reszta akapitu sugeruje że administratorzy zrobili coś niezbyt mądrego, wyrządzając ofiarom krzywdę.

    Jest wiadome, że człowiek któremu tu i teraz zaszyfrowano dane, jest gotów zapłacić okup. Ale co z perspektywą szerszą i długofalową, w ramach której chyba inaczej powinniśmy oceniać działania wszelkich organizacji nakierowanych na utrudnienie (każdy wedle możliwości) złodziejom działania?

    Ja np. z perspektywy szczęśliwego niezarażonego, patrzę na to tak, że utrudniono komunikację szantażowanym ze złodziejami, dzięki czemu złodzieje nie zarobią, a do szerokich mas użytkowników pójdzie sygnał, że zapłata okupu nie gwarantuje odzyskania danych. Im bardziej komunikacja ze złodziejami będzie zakłócona, im częściej zdarzy się że zapłata okupu nie przywróci naszych danych, tym mnie osób się na to zdecyduje i tym mniej opłacalnym procederem to będzie. Użytkownik prędzej powie “trudno, straciłem dane, następnym razem będę mądrzejszy i ostrzegę znajomych”, niż zasili portfel jakiegoś gnojka, pozwalając mu rozwinąć i przetestować wersję 2.0 swojego wirusa, a może zatrudnić do tego kolejnych programistów.

    Poprosiłbym o możliwie poważną wypowiedź z tej bardziej globalnej perspektywy, argumenty “to ja ci zaszyfruję dane i co wtedy powiesz” z góry odrzucam ;-)

    Pozdrawiam
    Werner339

    • Ten tekst w ogóle jest jakiś dziwny:
      – kupić bitcoiny na zapas by w przyszłości płacić okup
      – admin pocztowy zły bo zlikwidował sensowność płacenia okupu

      Są dwie możliwości albo autor pomylił światy (w normalnym świecie zapłacenie okupu jest przestępstwem!) albo gra na zwyżkę kursu bitcoinów.

    • Zwłaszcza że brak reakcji że strony dostawcy poczty może ich narazić na zarzuty związane z ułatwieniem prania brudnych pieniędz.

      Reakcja dostawcy poczty jak najbardziej słuszna

  106. Informacje o ataku na Kronospan są potwierdzone http://www.gawex.pl/wiadomosci/wydarzenia/13827/Globalny-atak-hakerow-dotarl-rowniez-do-Szczecinka

  107. Kraj jest bezpieczny. Premier ma wszystko pod kontrolą.
    Idę się napić.

  108. Mała pomyłka…
    Gościu który znalazł killswitcha (https://twitter.com/0xAmit)
    napisał, żeby to zadziałało, to musi to być plik z rozszerzeniem dll, czyli:
    perfc.dll

    • Panie…czytaj ze zrozumieniem.

  109. Rozbawił mnie przed chwilą komunikat naszego PiSnierządu, że w Polsce zagrożenia nie ma, co innego twierdzą mapy przedstawiane przez np. McAfee https://www.scoopnest.com/user/mikko/879984107463344128
    Co za banda dyletantów. Ehh… szkoda słów.

    • Heh, więcej zarażeń w USA niż na Ukrainie? Mam nadzieję, że większość z tego to maszyny NSA ;-)

  110. Co jeżeli podczas uruchamiania włącza mi się chkdsk który mogę pominąć (i tak robię)?
    Na razie lepiej aby się nie wykonywał?

  111. Czy taki zwykły użytkownik jak ja, ze zwykłym komputerem w Netii ma szansę złapać coś takiego? Nigdy się nie bałem wirusów itp. bo nic dziwnego nie otwierałem, ale teraz sam nie wiem. Nie zrozumiałem z artykułu, czy w końcu żeby taka Petya u mnie zadziałała muszę wcześniej kliknąc coś, otworzyć załącznik, czy jednak po prostu może mnie dopaść o tak po prostu?
    Znajoma często dostaje emaile od jednej z firm, które zostały zainfekowane i teraz nawet nie wiem, co jej poradzić. Żeby nie otwierała załączników? Żeby je wcześniej skanowała, defenderem albo online?

  112. Uwaga, Metabo Polska również padło, podobno załapały się też laptopy przedstawicieli

  113. Niektóre zainfekowane komputery (pierwszym i drugim screenem) udało się uratować, pliki które nie zostały zaszyfrowane działają poprawnie. Te które zostały zaszyfrowane niestety jeszcze sie nie udało otworzyć( wyświetlany jest komunikat dot. uszkodzenia pliku).
    Po uratowaniu komputera na dysku są jeszcze podejżane 2 wpisy w rejestrze oraz 1 plik w katalogu systemowym.

  114. Czy jeśli główne narzędzie należało do NSA w takim razie odpowiedzialność powinien ponosić rząd USA?

    • A za zabicie nozem zony przez meza powinien odpowiadac producent noza?

    • @gosc żebyś się nie zakrztusił swoja pewnością.
      Nie wszystko jest takie oczywiste. Nie raz producenci broni byli pozywani przez rodziny ofiar. (https) press,umich,edu/pdf/0472115103-intro.pdf

    • @mnmnc Zebys sie nie zakrztusil swoja niewiedza czym sie rozni oskarzenie od skazania i prawomocnego wyroku.

  115. Dostałem wczoraj maila na pocztę WP z domniemaną fakturą z maila wychodzącego z serwisu netia.pl – jandze@netia.pl. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że nie posiadam tam żadnego abonamentu + mail jest mało profesjonalny.
    Zespół Gmaila (tam podpiąłem pocztę) zablokował mi tą wiadomość przez podejrzenie wirusa w załączniku – także jednak jakieś antywiry to wykrywają.

  116. http://status.uhub.biz

  117. https://pastebin.com/Gj4nUJsA

  118. “Plus wydanie zaleceń o zabezpieczeniu środowisk domenowych przed atakami w stylu Mimikatz, które sprawiły, że NotPetya rozprzestrzeniała się nawet na w pełni zaktualizowane Windowsy.”
    A podpowie ktoś w jaki sposób zabezpieczyć środowisko?

  119. Nie wiem na co liczyliscie po tym spotkaniu Rządowego Zespołu Zarządzania Kryzysowego? Przeciez po 2 latach rzadow juz powinienescie wiedziec, ze nie ma zadnej dobrej zmiany. Mamy ciag dalszy ch… d.. i kamieni k… A Polska jest panstwem teoretycznym pelnym pijaru i propagandy.

    • *powinniście

    • Sołtysowa wydedukowała, że trzeba zgłaszać takie sprawy na policję… Żenada. Już widzę jak Janusze z miejskiej komendy w moim mieście zajmują się sprawą. W całym rządzie nie ma ani jednego specjalisty w tym temacie. I takie są fakty. Ogłaszanie spotkań to granie pod publiczkę i propaganda na potrzeby TVP.

    • Nie do końca się z Tobą zgodzę. Z tego co słyszałem jest plan aby Cyberbezpieczeństwo przenieść w struktury wojskowe – ze struktur ministerstwa cyfryzacji. oznacza to że będzie tak jak w większości europejskich państw. Gdy wracając w nocy z pracy (sprawdzanie serwerów, PC itp) i słyszałem że centrum kryzysowe spotyka się o 11:00 to pomyślałem że chcą wyłączyć zasilanie… bo nic innego im nie zostało ;) także pomysły w miarę dobre – tylko realizacja…

    • Sorry – ale akurat p. min. Strężyńska jest pierwszą kompetentną ministrzycą w ministerstwie cyfryzacji…

    • > Sorry – ale akurat p. min. Strężyńska jest
      > pierwszą kompetentną ministrzycą w ministerstwie cyfryzacji…

      Na tle całego obecnego jak i poprzedniego rządu to oczywiście p. Streżyńska jaśnieje jak zorza poranna na tle czarnej dziury – bez dwóch zdań.

      Ale ze smutkiem stwierdzam, że zapędza się za daleko i trochę naiwnie wierzy, że
      cyfryzacja to takie hop-siup i przenosi wszystko do sieci nie patrząc na konsekwencje:

      1) Potwierdzanie tożsamości przez bank – manna dla oszustów, banki zakładają konta przez kurierów, mają targety do wyrobienia i sprawdzają tożsamość *bardzo* pobieżnie.
      Jeżeli obywatel ma być bezpieczny, to mnie może być tak, że założone na niego przez przestępców konto jest bramą do wszystkich usług rządowych.

      2) mDokumenty – rzecz niebezpieczna, bo policja będzie miała docelowo skany naszych dowodów na swoich terminalach. Moim zdaniem należy dowody osobiste zlikwidować, a uprawnienia policji do legitymowania ograniczyć (dzisiaj po prostu legitymują jak leci, bo komendant kazał dzienny target wyrobić),

      3) Masowe pobieranie danych przez komorników – a p. Streżyńska utrzymywała, że “nie ma zagrożenia dla obywateli”. To, że dane nie wyciekły, nie znaczy że nie ma zagrożenia; sam fakt, że komornicy grzebią w bazie bez żadnej kontroli jest przerażający.

      4) W opisywanym na Niebezpieczniku artykule można przeczytać, że nie do końca była uczciwa, mówiąc o tym jak to bardzo skrupulatnie sprawdzano banki zanim dano im dostęp do profilu zaufanego:

      https://niebezpiecznik.pl/post/ministerstwo-ufa-bankom-bo-banki-sa-godne-zaufania-z-definicji/#comment-632396

      5) Jest fanką biometrii

      6) Wprowadza coraz większą centralizację, co też oznacza większe ryzyko masowego wycieku przy źle zabezpieczonych bazach – np. przy bazie danych *wszystkich* aktów stanu cywilnego.

      7) Budzi też moje duże wątpliwości planowana architektura podpisu cyfrowego w dowodzie osobistym. Jeżeli składanie podpisu będzie szło online, przez centralny serwer, to będzie to kolejne potężne narzędzie inwigilacyjne w rękach służb.

      Dlatego byłbym bardzo ostrożny z chwaleniem p. Streżyńskiej tylko dlatego, że jest inteligentniejsza od wielu ludzi z obecnego i poprzedniego rządu.

  120. Nie potwierdzone info, że oberwał też jeden, że szpitali. Nie cały ale część kompów. Może to zbieg okoliczności ale dyrektor raczej nie przyjeżdża w nocy żeby podjąć decyzje o zamknięciu izby przyjęć z powodu awarii komputerów.

  121. Ciekawe czy te ataki mogą być grą na ujawnienie przez np amerykańskie służby możliwości deszyfrowania takich szyfrów asymetrycznych w razie ataku na ogromną skalę.

    • zasad matematycznych nie da się obejść. Atak może dotyczyć konkretnej implementacji ale nie samego szyfrowania asymetrycznego.

    • Ale złożoność deszyfrowania nie jest udowodniona, tylko przyjmowana za pewnik z powodu braku znanych szybkich implementacji :) Poza tym służby mogą dysponować odpowiednio wielokubitowym komputerem kwantowym.

  122. Poważnie Niebezpiecznik sugeruje kupowanie Bitcoinów i płacenie haraczu? Przecież to najgorsze co w takiej sytuacji można zrobić. Po pierwsze wykonywanie poleceń przestępców może narazić nas na dalsze straty (np. nie tylko stracimy dostęp do danych, ale też przekażemy je przestępcom). Po drugie nie ma żadnej gwarancji, że odzyskamy dane. Po trzecie i najważniejsze przyczyniamy się do rozwoju tego typu przestępczości i narażamy siebie i wszystkich innych (również naszych klientów i kontrahentów) na kolejne ataki w przyszłości.

    Zasady są dwie:
    1. NIGDY nie płacić.
    2. Robić kopie bezpieczeństwa.

    • Przeczytaj uwaznie, co niebezpiecznik sugeruje i w jakim wypadku zaznacza ze placenie to ostatnia nadzieja.

    • czlowieku, to nie milion doalrow, ale 300 euro, a straty moga wynosic milion
      wiec nawet jak nic to nie da, to co za roznica, warto i trzeba to zrobic!

      sprawa innych jest smieszna, moje dane sa stracone, to ja mam straty, manm nauczek na przyszlosc i co mnie obchodzi reszta, niech sie martwia o siebie
      staram sie to odwrocic i place smieszne 300 euro

  123. Przeczytałem właśnie list od Nestle. Zaczyna się : Szanowni państwo globalny atak ……

  124. Dzisiaj posypały się maile z niby fakturami od obcych osób w pdf. .xls. .zip. Co jakiś czas są, ale nie tyle jednocześnie.
    Większość pro formy ale jeden mail wysłał niby korektę i przekonywał o zwrocie kasy na konto.

    • Dziś jeden ‘bystry’ pracownik uruchomił taki plik z fakturą pro forma, wysłana była z adresu email z domeną aster.pl .
      faktura cała było dobrze spolszczona i naturalnie pusta, zawierała jakieś kody VB ale przyznaje że nie potrafiłem tego rozpracować.
      Eset oczywiście nic nie wykrył, na szczęscie zareagował PaloAlto.
      Nazwa pliku to FS-5282.xls albo coś w tym stylu.

      Macie jakiś sposób żeby sprawdzić co ‘robi’ ten malware ??

  125. Chyba kupię bitcoiny bo przy takich atakach będzie można na nich nieźle zarobić.

  126. a mnie sie wydaje ze za tym atakiem stoi ktos z ukriany, wskazuje na to znajomsc tamtejszych systemow rzadowych
    dwa, najwiecej szkod na ukrainie. od ukrainy sie zaczelo

    na ukrainie duzo juz bylo prowokacji
    co powiedziano od razu na samym poczatku? winna ROSJA!

    nie pasuje to do ruskich czy w ogole wschodnich hakerow, ci by zarobli kase a nie niszczyli
    zmarnowac taki potencjal na zarobek??

    moze sie zaraz okazac ze ruskich odetna od internetu, “bo sa niebezpieczni”, albo cos w tym stylu, typu zaostrza sankcje :)

    • informatyczny bandyta to cracker, a nie haker

    • A myślisz, że w Rosji to nikt nie zna bardzo dobrze ukraińskich systemów rządowych?

    • Połowa ukraińców to ruscy

    • Patrze i podziwiajcie powyższy komentarz jak cyber-armia Putina sieje w sieci na forach.

  127. Krakowski ScanMed i szpital św. Rafała najwyraźniej oberwali też, bo dziś funkcjonowali na karteczkach, “bo hackerzy”.

  128. “Wygląda na to, że Petya to nie ransomware, a wiper. Bezpowrotnie nadpisuje początkowe sektory dysku tak, że nigdy nie będzie się dało ich odzyskać.” – czyli, że reinstalka systemu nic nie da i po infekcji mogę w zasadzie oddać komputer na złom? Pal diabli pliki, ale komputera jednak chciałbym móc poużywać.

    • Wydaje mi się, że jak wymienisz dysk na nowy to powinno pomóc, ale niech lepiej wypowie się jakiś spec w tej dziedzinie.

    • BIOSu raczej nie atakują, więc dysk do śmieci i tyle.

    • To znaczy, że nawet jak jakimś cudem klucz prywatny zostanie ujawniony, to i tak nie odzyskasz danych gdy wirus miał uprawnienia administratora. Trzeba na nowo utworzyć tablicę partycji. O ile można utworzyć na nowo partycje przy instalacji windowsa, to obawiam się, że dane na wszystkich partycjach na głównym dysku są nie do odzyskania.

    • Nie, po prostu nie zbootuje sie system z tego dysku i tablica partycji jest uszkodzona. Z dysku bedziesz mogl korzystac nadpisujac MBR przy instalacji kolejnego systemu.

    • Nie rozumiem, dlaczego nadpisanie kilku na początku dysku miałoby być taką katastrofą. Jeżeli było GPT, to jest przecież zapasowa tablica o wiele dalej na dysku. Jeżeli została nadpisana tablica alokacji plików, to przecież NTFS też ma zapasową.
      A nawet jeśli nie byłoby zapasowych tablic, to zawsze można popróbować PhotoRec odzyskać [zaszyfrowane] pliki.
      Poprawcie mnie, jeśli się mylę.

  129. Tak z ciekawości – podmontowane FTP-ki też mogą zostać zaszyfrowane?

  130. Wczoraj PlusGSM wysyłał informacje, że ich przewoźnik ma problemy i dostawa “umowy i kart SIM” opóźni się.
    W międzyczasie Plus Online nie działało poprawnie, i aplikacja na Androida także nie działała.
    Dziś strona plus.pl -> “Zaraz wracam”
    Może tylko zbieżność w czasie ;-)

    • A kto umarł… ten nie żyje…

    • Strona Plusa już działa.
      Poprawnie działa też Plus Online.
      Aplikacja na Andka też zaczęła działać poprawnie.

    • Już plus.pl działa

    • Znajoma obsługująca klientów biznesowych w Plusie wspominała, że stoi z robotą, poniewaź magazyn Arvato padł ofiarą ataku.

  131. > Warto też zwrócić uwagę, że “profesjonalni” twórcy ransomware (…)
    > nie zakładają skrzynek e-mailowych u publicznych dostawców poczty

    A gdzie je zakładają, poza usługami mailowymi oferowanymi w sieci TOR? Pytam serio.

  132. Czyli kopia zapasowa dla 2 pierwszych MB dysku zrobiona dzięki dd może uchronić przed całkowitą reinstalacją systemu i pozwala na analizę logów po ataku.

  133. Dziś włączam komputer, a uefi mi mówi że żeby pominąć sprawdzanie dysku wcisnij dowolny klawisz.. wczoraj hibernowałem komputer i odłączyłem od gniazda bo burze były, myślicie, że to może być to? Jak znaleźć jego ślad na komputerze? Oczywiście chkdska pominąłem.

  134. Kto na tym zarabia? Serwery NAS idą jak ciepłe bułeczki :)

  135. “oczekiwaliśmy raczej planu weryfikacji, na ile możliwe w Polsce jest przejęcie tzw. łańcucha dostaw aplikacji takich jak np. Płatnik lub innych wymaganych przez instytucje rządowe aplikacji ” – oczekiwaliście? Naprawdę?

    Czasami ludzie w prosty sposób rozśmieszają mnie do łez.
    Po pierwsze to nie problem rządu czy państwa. Tak samo jak założenie zamka czy trzech w drzwiach do mieszkanie. To “obowiązek” użytkownika.
    Po drugie oprogramowanie “rządowe” zawsze i wszędzie jest robione za łapówki lub inne formy przekupstwa. Np. jak wygramy to zatrudnimy pana syna lub córkę u nas.
    Po trzecie kadry rządowe i budżetówki pochodzą na ogół z prostej zasady BMW: Bierny, Mierny, ale Wierny. Czym wyższe stanowisko tym trzeba mieć zgromadzone więcej punków doświadczenia w każdej kategorii BMW.
    Mógłbym tak pisać i pisać, tytko po co, skoro i tak wszyscy to wiedzą lub wiedzieć powinni.
    A wy wiedząc to wszystko, stwierdzacie “oczekiwaliśmy raczej planu weryfikacji”. Przecież ci, którzy was zaprosili musieliby mieć z 1% waszej wiedzy, doświadczenia i umiejętności. Gdyby byli normalni, to słuchaliby was jak świnia grzmotu, a tak to wykorzystują was do budowania własnego wizerunku, że są ekspertami, znają się na bezpieczeństwie i słuchają innych, a wy to potwierdzacie swoją obecnością.
    Wystarczyło posłuchać wczoraj TVPiS, w której powiedziano, że Polska dzięki rządowi PiS jest bezpieczna i nic się nie stało, poza problemami, kilku mało istotnych firm prywatnych.

  136. A może z tym plikiem perfc to “podpucha” i przygotowanie do czegoś większego ? Wyobraźcie sobie taką sytuację:
    Petya rusza do akcji. Paraliżuje ileś tam komputerów na świecie. W komunikatach szybciutko po ataku pojawia się informacja aby stworzyć plik perfc. Tworzymy plik i wszystko gra… do czasu. Wychodzi zaraz po tamtym następny ransomware sprawdzający np czy taki plik istnieje i “voila”… sami otwieramy drogę dla wirusa.

    • A po co miałby sprawdzać? Równie dobrze mógłby szukać każdego innego katalogu, np. Windows ;)

  137. W mojej miejscowości (na terenie Małopolski) sklep Pepco leży “z powodu ataku”

  138. Zapomniałem dodać, że za każdym największym złem na tej planecie zawsze stoją politycy wybierani albo przez społeczeństwo albo przez boga albo sami się wybierają jak Putin czy Saddam Husajn.
    Gdyby nie politycy na świecie Windowsy nie byłby dominującym systemem na Ziemi.

    • Chcesz mi powiedzieć ,że to wina Putina że ludzie korzystają z windowsa ?
      Poważnie ?
      Co do Saddam Husajna to chciał zrobić dobrze bo jako walutę proponował złoto, przez co wszystkie banki amerykańskie, żydowskie padły by w ciągu kilku miesięcy .
      Dlatego go między innymi zabili robiąc z niego terrorystę ,a on chciał tylko dobrze dla własnego kraju

    • @Mieszko I aż trudno mi uwierzyć, że można mieć tak zryty beret i się z tym publicznie obnosić.
      Saddam sam się wybrał na dyktatora i jest to jedyny z filmowany przypadek.

      Ludzie używają Windowsów, bo politycy niemający bladego pojecie o komputerach tak zadecydowali. Dzięki politykom i urzędnikom Microsoft stał się monopolistą na rynku PC.

    • Specjalnie dla ciebie @Mieszko I Saddam zostaje dyktatorem Live https://www.youtube.com/watch?v=kLUktJbp2Ug i od 4:44 https://www.youtube.com/watch?v=OPL8W9e_Wf4

    • John Sharkrat 2017.06.29 22:27
      Jak można się samemu wybrać na dyktatora ?
      Dyktatorem to się co najwyżej zostaje i to za zgodą obywateli lub przynajmniej części społeczeństwa.

      Mówisz ,że nie ma dyktatorów ? A niby przywódca Turcji to kto jest , albo taka Merker czy UE która będzie rządzić do usranej śmierci za sprawą manipulowania , cenzurowania treści czy niedopuszczania do głosu opozycji.

      Akurat w Rosji Putin promuje swój system gdzie już w urzędach stosuje się zmodyfikowanego linuxa. Po drugie jest demokracja więc nie można zabronić komuś korzystania z windowsa . Niby z ciebie taki demokrata ,a sam jesteś za dyktaturą .

      John Sharkrat 2017.06.29 22:39
      Kto twierdzi ,że jest dyktatorem , bo ludzie na niego nie zagłosowali ? Skoro z niego był taki zły człowiek to dlaczego społeczeństwo nie próbowało go obalić , a po jego śmierci , tysiące po nich płakało. Dodatkowo nie tylko nie próbowano go obalić ,ale i w jego imieniu mordowano amerykanów – poświęcając własne życie. To jest dowód jak bardzo ten człowiek był ceniony przez mieszkańców

      Na Ukrainie masz demokracje, w Grecji masz demokracje czy w Francji i co się dzieje w tych państwach ? Nie można nawet manifestować , czy wyrażać własnego zdania, o złodziejstwie , czy patologicznych przepisach prawa nawet nie będę wspominał. Władza robi co chce nie licząc się z głosem obywateli bo demokracja bo pic dla ciemnego ludu.

  139. InterCars ma już podobno milionowe straty. Od wtorku nic im nie działa.

  140. testował to ktoś z włączonym Credential Guadrem??

  141. Petya, sierp i młot, czerwona gwiazda, litery stylizowane na cyrylicę, niszczenie, Ukraina, dlaczego.

    Słowa klucze.

    A czasami ewidentność, wciskana na siłę, kłująca w oczy, eliminuje się sama…

  142. Wiem, że się czepiam, ale na filmiku Pan Piotr cały czas mówi o NSA jako o Agencji Wywiadowczej – agencja wywiadowcza to CIA, NSA to agencja bezpieczeństwa narodowego. Wiem, że zbierają oni dane, ale wciąż – moim zdaniem to wprowadzanie w błąd ;)

  143. Poczta Polska prawdopodobnie tez już leży. Wczoraj w intranecie ostrzegali, dzisiaj już potwierdzili atak.

    • Kto potwierdził? Bo na stronach nic nie ma, nawet na fb. Więc nie rozsiewaj fake newsów :)

    • bzdury piszesz

  144. Mabro 2017.06.29 08:28 | # |
    BIOSu raczej nie atakują, więc dysk do śmieci i tyle.

    Nie do śmieci, tylko na zerowanie pod Linuksem LiveCD. Jak puścisz FULL Format, (Linuks powinien wykryć dysk jako niesformatowany, bo wirus załatwił tablicę partycji), to żadna Pytya-NoPytja czy inne WannaCraje się nie uchowają.
    Oczywiście dane pójdą się kochać, ale i tak są nie do uratowania.

    P.S. Można próbować odzysku danych poprzez tzw. “głębokie skanowanie” programami typu Recuva i podobnymi (one jak nie odczytają MFT to jada cały dysk po kolei i niepofragmentowane pliki mogą czasem odzyskać), ale takie skanowanie trwa wiele godzin. Skoro wirus szyfruje tylko niektóre rozszerzenia (np. pomija zdjęcia), to właśnie te pominięte pliki można próbować odzyskiwać.

  145. Pracuję w jednej z tych firm gdzie za 2 czapki gruszek mam obowiązki co najmniej paru stanowisk, od dłubania w systemach, sprzętach – jeśli trzeba to ze śrubokrętem i czasami lutownicą, przez różne prace “biurowe” aż po administrację siecią, częścią serwerów i dłubaniem w firmowej stronie na deser + wszystko inne co tylko można zlecić murzynowi IT, żeby przypadkiem któregoś dnia nie miał chwili spokoju.
    Odkąd zaczęła się cała akcja, czekam tylko aż ta cała Petya “po mnie przyjdzie”, bo kompów mamy kilkaset, użytkowników ze 3-4x więcej, z czego z 1/3 nietechnicznych i zastanawiam się czy w razie gdy któryś z nich łyknie jakiegoś syfa, obecna konfiguracja wszystkiego przetrwa, czy całość posypie się jak domek z kart, oraz czy w razie W backupy zrobione na czym tylko się dało (ze względu na budżet=0), okażą się sprawne :D
    Czasami wolałbym się na niczym nie znać i nie czytać niebezpiecznika, przynajmniej spokojniej by się spało :D

  146. Za chwile konczy sie wsparcie office 2007 i pewnie znowu ktos skorzysta z okazji.Ciekawie bedzie.

  147. A co z USA? Były ataki w USA, bo na początku artykułu piszecie, że narazie nie ma, a później już nie masz zacznego frsh newsa na ten temat?

  148. Fuck, co się u mnie dzieje? Od 20 minut tworzą mi się na dysku C różne foldery z taką zawartością:

    2017-06-29 20:00 74˙731 boil.wine.rtf
    2017-06-29 20:00 11˙941 contrast grain judges.sql
    2017-06-29 20:23 0 dir.txt
    2017-06-29 20:00 515˙805 familiar-bobby-landscape-generally.xlsx
    2017-06-29 20:00 429˙392 habitsripedeer.doc
    2017-06-29 20:00 281˙284 intimacy-window.docx
    2017-06-29 20:00 59˙375 pope kennedy guard.pem
    2017-06-29 20:00 13˙813 printedstrictgerm.txt
    2017-06-29 20:00 200˙850 thus-occurring-target.mdb
    2017-06-29 20:00 254˙166 tim-entertainment-joined.jpg
    2017-06-29 20:00 65˙086 towel-either-barton.xls

    Przykładowe nazwy folderów:

    Amdetail135
    Ytransfer3

    • CybereasonRansomFree tworzy nieszkodliwe pliki dla “podpuchy” z najczęściej szyfrowanymi formatami i monitoruje, czy coś zmieniło ich zawartość… W ten sposób wykrywa ewentualny ransomware.

      Poczytaj co instalujesz ;)

      “Cybereason RansomFree deploys bait files strategically placed where ransomware often begins its encryption. The solution watches the way applications interact with files, and when it detects ransomware behavior, it stops it immediately before the files are encrypted.”

    • A jeżeli wirus szyfruje MFT czy tam jakiś tablice VFAT…
      To po co tworzyć te pliki…

  149. Co dziwne, po odinstalowaniu CybereasonRansomFree.msi w/w foldery zniknęły. Czyżby ten niby “anty ransomware” to był jakiś szkodnik ? Bo ja rozumiem tworzyć folder w program files (był taki z nazwą programu) ale oprócz tego różne foldery na C z dziwną zawartością j.w.?

    • CybereasonRansomFree to śmieć. Twórcy zakładają, że w pierwszej kolejności ransomware zacznie szyfrować poukrywane dokumenty poza katalogiem z dokumentami. Jedyne co potrafi świetnie zrobić to przerazić użytkownika.

  150. Wielkie fabryki leżą i kwiczą ale nie wolno nikomu mówić bo akcje polecą w dół. Działy IT nie wyrabiają. Ratują najpierw tam gdzie produkcja zależy od kompa, a reszta do karteczek wróciła.

    • kulejny ykspert od teorii spiskowych. Większość firm nie jest spółkami akcyjnymi, więc wartość akcji nie może spaść.

  151. NIe wiem co sie musi stać żeby goje przeszli na GNU/Linuksa….

    • Goje nigdy nie przejdą, pogódź się z tym i skończ żyć mrzonkami.

    • Tam gdzie komputer służy jako maszyna do pisania i prowadzenie profilu na FB, już zaczynają przechodzić.

    • Ty cicho siedź @anom, bo jak za wielu przejdzie na Linuksa to i tu zaczną się sypać wirusy, a wtedy zapłaczesz że wszystko trzeba samemu łatać.

  152. A ja ma zainstalowany Sophos InterceptX i mam w d… ten atak.

    • Fajna reklama, jednak któregoś pięknego dnia duu.. może zapiec ;)

    • Co to , dobre to bo pierwsze słyszę, a strone mają ładna jak by rozdawali coś pokroju avasta a sami ze avast przed niczym nie chroni.

    • WPP sophos nie pomógł

  153. Nie podoba mi się że namawiacie w tekście do zapłacenia – jest większa szansa że stracimy i dane i pieniądze niż że odzyskamy dane. Z terrorystami się nie dyskutuje – jeżeli ludzie będą ulegać to zachęci do tworzenia jeszcze większej ilości jeszcze wymyślniejszych ransomwareów. Jeśli zostałeś zainfekowany – trudno, niestety powinieneś ponieść ofiarę w imię dobra wszystkich, a na przyszłość mieć nauczkę i robić backupy

  154. Pytanie w takim razie czy dane backup na NAS-ie np.: Synology są bezpieczne ? skoro szyfruje tylko końcówki na Windows-e to takie dane powinny być bezpieczne ? Oczywiście na żadnym komputerze zasoby z NAS-a nie są zamapowane..

    • Podłączam się do pytania…

    • jest w sieci to nie jest bezpieczne!
      Nie wiem jak to ustrojstwo, ale mi rok temu końcówka z Windows zaszyfrowała ścieżkę smb na linuxowym serwerze o której “nikt” nie wiedział – był to zasób z dostępem dla każdego i wir po prostu zeskanował całą sieć, a nie szyfrował tylko końcówkę.

  155. Cos czuje ze jeszcze chwila i zaoraja cala hp(HPE) .Czy ktos ma statystyki na jakich maszynach przeszedl ransomware?

  156. My przed chwilą dostaliśmy instruktarz stworzenia bata, który ma zakładać trzy pliki a nie jeden i z atrybutami tylko do odczytu.

    attrib +R C:\Windows\perfc
    attrib +R C:\Windows\perfc.dll
    attrib +R C:\Windows\perfc.dat

  157. Tak na szybko jak ktoś potrzebuje bat, wiadomo uruchomienie z uprawnieniami administratora:

    @echo off
    rem Batch by: RD-KTR
    echo Potrzebne uprawnienia Administratora… Sprawdzam…
    echo.
    net session >nul 2>&1
    if %errorLevel% == 0 (
    if exist C:\Windows\perfc (
    echo Komputer jest juz zabezpieczony na wypadek NotPetya…
    echo.
    pause
    ) else (
    echo Komputer nie jest zabezpieczony na wypadek NotPetya, poczekaj, tworze pliki…
    echo.
    echo Nie kasuj tego pliku, zabezpiecza przed szyforawniem NotPetya/Petya/Petna/SortaPetya > C:\Windows\perfc
    echo Nie kasuj tego pliku, zabezpiecza przed szyforawniem NotPetya/Petya/Petna/SortaPetya > C:\Windows\perfc.dll
    echo Nie kasuj tego pliku, zabezpiecza przed szyforawniem NotPetya/Petya/Petna/SortaPetya > C:\Windows\perfc.dat
    attrib +R C:\Windows\perfc
    attrib +R C:\Windows\perfc.dll
    attrib +R C:\Windows\perfc.dat
    echo Komputer został już zabezpieczony na wypadek NotPetya…
    )
    ) else (
    echo Uwaga: Uruchom z uprawnieniami administratora!)
    echo.
    pause

  158. Każdy pisze co innego, zwykły plik, teraz, .dll .dat, za chwile jeszcze jakiś inny bedzie.
    Czy nie mozna raz porządnie napisać w artykule wtedy nikt nie będzie coraz to nowych wersji w kometarzach wymyslał.

  159. DHL zainfekowany. Ja zresztą czekam na przesyłkę od wtorku, znajomego firma czeka na transport 3 serwerów od kilku dni również.

  160. Pracuje w międzynarodowym corpo gdzie zabezpieczenie było wczoraj przygotowywana we wspólpracy z Microsoft i znanym dostawcą antywirusa (co oczywiście niczego nie gwarantuje :) ) ale w katalogu Windows na firmowych maszynach mamy teraz 3 pliki: perfc , perfc.dat i perfc.dll więc na domowej maszynie zrobiłem tak samo.
    BTW po aktualizacji darmowy antywirus TOTAL360 na domowym laptopie wykrywa próbę utworzenia pliku perfc przy użyciu bat-a z postu powyżej “Ljelin 2017.06.30 14:41” jako wirus, czyli że mechanizmy przynajmniej niektórych antywirusów już uwzględniają ten atak. Można nadal utworzyć pliki z wiersza poleceń z prawami admina (instrukcje były powyżej) – ważny atrybut +R

  161. “ataków nie lekceważyć i niezwłocznie informować o nich policję,”

    “W naszej opinii, tę radę możecie spokojnie zignorować.”

    Dlaczego ?
    Przyjadą, spałują robala i będzie spokój :-)

  162. Czy ktoś może potwierdzić że atakowany jest tylko partycja systemowa ( najczęściej pod literą C ) ?? Jeśli trzymam dane na drugiej partycji tego samego dysku to nic im nie grozi??

  163. Mam w PC 4 dyski – 1 x SSD (na Windows) i 3 x HDD (na dane). Czy ten ransomware niszczy sektor MBR tylko w dysku na którym jest Windows, czy na wszystkich dyskach?

  164. Wiecie skąd można pobrać NotPetya, Petya lub WannaCry?

  165. Wojciech – z opisu wynika, że ransomware niszczy sektory rozruchowe całego dysku, a nie samej tylko pierwszej partycji. Czyli że w razie ataku nie będzie dostępu do całego dysku i wszystkiego co na nim (więc nie ma znaczenia na ile partycji dysk był podzielony, bo do żadnej nie będzie dostępu).

  166. Tak mi się skojarzyło, że ile pamiętam to w tych pustych sektorach mieści się licencja AutoCada. Jakoś dziwnie się to wiąże z tymi rozszerzeniami plików.

    Druga sprawa jak mi się nasunęła to refleksja po obejrzeniu zdjęcia ze sztabu kryzysowego. Patrząc na miny uczestników same cisną się na usta słowa piosenki “i co ja robię tu, uuu, co ty tutaj robisz?” Nie napawa to optymizmem. Komentarz po zdjęciem zbyt słabo porusza problem. Ci ludzie nie wiedzą w ogóle co się dzieje, po co tam są i co mają robić. To widać słychać i czuć.

  167. A w Angorze nazwali ten wirus “pietią”.

  168. Proxy z OVH. Można spokojnie zaryzykować tezę, że najbliższe 80% wszystkich przypadków przełamania obrony, będzie (musi być) realizowana przy pomocy takich hostingów. Pytanie do operatora OVH – kiedy zaczniecie skanować ruch wychodzący u siebie i zatrzymywać niepożądane zachowania na poziomie swojej własnej infrastruktury ?

    • Bardzo inteligentnie. Jak sobie wyobrażasz taką cenzurę? Na jakiej podstawie i w jaki sposób kwalifikować “niepożądane” zachowania?
      Niektórzy plotą “mądrości” co im ślina przyniesie.

    • A wtedy zawsze można przenieść się na publiczne proxy, vpn’y, DigitalCloud, Arubę, AWS czy kij wie co jeszcze.

  169. IP z 10 aktualki 159.148.186.214 jest łotewskie

  170. “Latvian” kochani niebezpiecznicy, to “łotewski” nie “litewski” :)

  171. Przypadkiem trafiłem na stronę, które mogła służyć do zainfekowania (?)
    h—ps://convertio.co/pl/konwerter-ai/

    Gdy chciałem ściągnąć plik to zobaczyłem, że coś nazwa linku mi nie pasuje:
    h–s://petya.convertio.me/p/P5poHQx4IGrrFy6Exe1UUQ/6e40a401286ede5f684715f996d43a01/DD-Gear-Shape-Set-67500.psd

    Czy moje obawy są słuszne, że ten plik/link mógł mi zablokować pc?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: