Петя вымогатель

Общения на разные темы
BOMBODROMM
Сообщения: 8
Зарегистрирован: Пн мар 06, 2017 13:40
Откуда: Germany

Re: Петя вымогатель

Сообщение BOMBODROMM » Чт июн 29, 2017 16:38

wow this sick Hacker shit to Hell with them. I Hope you can find the Key to BLOWN away this Crap!!!!!!!!! Good Luck!!!

CRazs
Сообщения: 32
Зарегистрирован: Чт мар 16, 2017 22:53

Re: Петя вымогатель

Сообщение CRazs » Пт июн 30, 2017 00:23

i immediately turned it off and deleted it. and then installed a fix on all my computers

Аватара пользователя
Jeff
Сообщения: 452
Зарегистрирован: Пт янв 13, 2017 10:52
Откуда: Киев

Re: Петя вымогатель

Сообщение Jeff » Чт июл 06, 2017 00:42

CRazs писал(а):восьмерка и десятка НЕ подвержены вирусу WANNACRYPT.


Гг. как же. во первых речь идет о его клонах. даже Петя уже устаревшее название.

петя юзает уязвимость которая сидит в кажодм виндовсе начиная с XP заканчивая 2016 серваком.
https://ru.wikipedia.org/wiki/EternalBlue
Что как бы намекает что мелкософт не сильно заморачиваются переписыванием кода.

в свое время была такая шутка: мол хакеры украли исходники виндовс 98:

Код: Выделить всё

/* TOP SECRET Microsoft(c) Code
Projected release-date: Summer 1998
*/
#include "win31.h"
#include "win95.h"
#include "evenmore.h"
#include "oldstuff.h"
#include "billrulz.h"

/* printf("Welcome to Windows 3.11"); */
/* printf("Welcome to Windows 95"); */
printf("Welcome to Windows 98");

для тех кто не понял суть в том что новую операционку не создают заново, а вносят косметические изменения в исходник предыдущей ОС.
при этом оставляя куски старой системы.

шутки шутками а так оно и есть.
по официальным заявлениям мелкософта - сетевой стек переписали с нуля только начиная с windows vista.
По факту - SMBv1 не переписывали вообще никогда.
Если микрософт выпустил обновление затыкающее EternalBlue для XP которую уже хрен знает сколько лет официально не поддерижвает, то можно себе представить масштабы трагедии уязвимостей этой ОС.

с другой стороны они хотя-бы оперативно затыкают эти дыры еще до возникновения полномасштабных эпидемий.

По поводу метода распостранения:
Есть официальное подтверждение со стороны компании Медок что вирус заходил через обновление этой программы. (за 26 число) А так как ее юзают чуть менее чем абсолютно все компании где есть бухгалтерия, то не удивительно что было заражено столько локалок, которые как бы сидели за роутерами.

Аватара пользователя
Jeff
Сообщения: 452
Зарегистрирован: Пт янв 13, 2017 10:52
Откуда: Киев

Re: Петя вымогатель

Сообщение Jeff » Чт июл 06, 2017 00:53

еще пару слов о механизме его работы:

после ребута начинается якобы проверка диска. на самом деле шифруются часто используемые документы. причем во время этого чек диска вирус получает доступ к винту на физическом уровне и может перезаписывать любые файлы даже недоступные для записи из сеанса самой винды. так что замуты с пользователями с ограниченными правами не катят.
Был случай - у чувака был скрытый зашифрованый! раздел на винте, так петя успешно пошифровал файлы и там.

А там где винты были подключены к редким/хитрым внешним рейд контроллерам вирус не тронул, потому что у него небыло дров для них как ни банально.

Аватара пользователя
Jeff
Сообщения: 452
Зарегистрирован: Пт янв 13, 2017 10:52
Откуда: Киев

Re: Петя вымогатель

Сообщение Jeff » Чт июл 06, 2017 01:06

еще 2 уровня вакцинации от Пети:

2 бат файла. запускать от имени администратора.

1й создает на диске файлы, по которым вирус определяет заражен ли комп, и если эти файлы есть, то заражение не происходит. вернее заражение как раз происходит, но файлы не шифруются. он просто использует тачку для поиска других не зараженных компов
@echo off
echo Administrative permissions required. Detecting permissions...
echo.

net session >nul 2>&1

if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dat

attrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.dat

echo Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
)
) else (
echo Failure: You must run this batch file as Administrator.
)

pause

2й создает правила в стандартном виндовсовском фаерволе где закрываются порты которые использует вирус для передачи информации по сети.
естественно что этот фаервол должен быть включен.
netsh advfirewall firewall add rule name=ôPetya_TCPö dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name=ôPetya_UDPö dir=in action=block protocol=UDP localport=1024-1035,135,139,445

и еще. есть информация что платить вирусу бесполезно.


Вернуться в «Флудилка»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость