Σε εξέλιξη μεγάλη επίθεση με το ransomware Petya

[akis1009]

Εταιρίες μεγάλου βεληνεκούς ή πολυεθνικές, γιατι δεν χρησιμοποιούν virus killers;
Τόσο πολύ θα επιβαρυνθεί ο προϋπολογισμός τους; Σε πολλά μικρά μαγαζιά με PC, το virus killer είναι standard στο σύστημα.
Είναι ν'απορεί κανείς.

Βασικά πολλοί στις εταιρείες μεγαλου βεληνεκούς φαντάζομαι δεν έχουν ακούσει την ορολογία virus killers , και ομολογώ και εγώ δεν ξέρω τι ειναι virus killer ....

[DaRk]

Βασικά πολλοί στις εταιρείες μεγαλου βεληνεκούς φαντάζομαι δεν έχουν ακούσει την ορολογία virus killers , και ομολογώ και εγώ δεν ξέρω τι ειναι virus killer ....

Να πω την αλήθεια και εγώ δεν καταλαβαίνω τι είναι οι virus killers... Μήπως ο φίλος μας αναφέρεται σε τεχνολογίες τύπου Deep Freeze;

[Hetfield]

Επίσης σύμφωνα με τελευταίες αναφορές ο ιός δεν κρυπτογραφεί τα αρχεία, αλλά τα καταστρέφει. Αυτό έχει κάνει πολλούς να εικάζουν πως πρόκειται για επίθεση με στόχο την υποδομή της Ουκρανίας, η οποία ξέφυγε. Και όχι για κλασσική περίπτωση ransomware για οικονομικό όφελος.

Αυτο παρατηρησα κι εγω.
Στη δικη μας περιπτωση, οι υπολογιστες εβγαζε το κλασικο μηνυμα "No bootable media found".
Κανενα μηνυμα για λυτρα.

[cmaniac]

Για την ακριβεια,
το λογισμικο αυτο το οποιο ειναι φορολογικος μηχανισμος η κατι παρεμφερες ειχε εναν αυτοματοποιημενο μηχανισμο αναβάθμισης, ο οποιος μολυνθηκε και διεδωσε τον ιο. Αν μολυνθει ενα συστημα δεν σε σωζει ουτε το να εισαι patchαρισμενος ουτε να εχεις κλειστο το SMB.

Αυτο παρατηρησα κι εγω.
Στη δικη μας περιπτωση, οι υπολογιστες εβγαζε το κλασικο μηνυμα "No bootable media found".
Κανενα μηνυμα για λυτρα.

Δεν καταστρεφει, κρυπτογραφει, αλλα υπαχει ενα κενο. Επειδή είχαν αποφασισει οτι τα λυτρα θα τα μαζεψουν με mail (!), ο παροχος του mail εκανε suspend την δνση λογω παρανομης κίνησης, αρα δεν υπαρχει τρόπος να πληρωσει κανεις τα λυτρα για να αποκρυπτογραφησει τα αρχεια του. Επίσης κρυπτογραφει πολλα ειδη αρχειων και καποια απο αυτα επηρεαζουν και την εκκίνηση του υπολογιστη.

Edit: Πράγματι, διαγράφει το MBR. Οπότε ναι, πρακτικά γινεται ο δισκος unbootable. Αυτό λύνεται βέβαια.

Edit2: Έμεινα λίγο πίσω στην έρευνα. Καταστρέφει MBR (φτιάχνεται), MFT (δεν φτιάχνεται) και μετα ζηταει λυτρα για κατι το οποιο δε διορθωνεται και πεταει και ακυρο ransom key το οποίο δεν μπορείς να χρησιμοποιησεις πουθενά. Αρα ναι. Δεν πηγανε για χρήματα. Πηγανε για καταστροφή.

[DaRk]

Για την ακριβεια,
το λογισμικο αυτο το οποιο ειναι φορολογικος μηχανισμος η κατι παρεμφερες ειχε εναν αυτοματοποιημενο μηχανισμο αναβάθμισης, ο οποιος μολυνθηκε και διεδωσε τον ιο. Αν μολυνθει ενα συστημα δεν σε σωζει ουτε το να εισαι patchαρισμενος ουτε να εχεις κλειστο το SMB.



Δεν καταστρεφει, κρυπτογραφει, αλλα υπαχει ενα κενο. Επειδή είχαν αποφασισει οτι τα λυτρα θα τα μαζεψουν με mail (!), ο παροχος του mail εκανε suspend την δνση λογω παρανομης κίνησης, αρα δεν υπαρχει τρόπος να πληρωσει κανεις τα λυτρα για να αποκρυπτογραφησει τα αρχεια του. Επίσης κρυπτογραφει πολλα ειδη αρχειων και καποια απο αυτα επηρεαζουν και την εκκίνηση του υπολογιστη.

Edit: Πράγματι, διαγράφει το MBR. Οπότε ναι, πρακτικά γινεται ο δισκος unbootable. Αυτό λύνεται βέβαια.

Δυστυχώς δεν είναι μόνο ότι καταστρέφει το MBR. Αλλά και το installation id που σου δίνεται δεν είναι σωστό, με αποτέλεσμα τα αρχεία σου να μην μπορούν να αποκρυπτογραφηθούν ούτε από τον δράστη. Πηγή

[cmaniac]

Δυστυχώς δεν είναι μόνο ότι καταστρέφει το MBR. Αλλά και το installation id που σου δίνεται δεν είναι σωστό, με αποτέλεσμα τα αρχεία σου να μην μπορούν να αποκρυπτογραφηθούν ούτε από τον δράστη. Πηγή

Το διάβασα την ωρα που το έγραφες. Πράγματι, κακό. Το κατατάσσουν στα wipers κι όχι στα ransomware πλέον.

[lewton]

Από ότι διαβάζω στο Reuters το συγκεκριμένο ransomware, χρησιμοποιεί το ίδιο κενό ασφαλείας με το WannaCry. Δεν μπορώ να αντιληφθώ πως εταιρείες κολοσσοί, όπως η Maersk, δεν έχουν ενημερώσει ακόμα τα συστήματά τους

Μιλάμε για δανέζικη εταιρία...
Ξέρεις τι σημαίνει Δανία;
Ότι αν πει ο εργαζόμενος ότι νιώθει καταπίεση θα την πέσουν στο αφεντικό του 10 ψυχολόγοι, 20 εργατολόγοι και 50 κοινωνικοί λειτουργοί.
Μιλάμε για την αποθέωση της τεμπελιάς.
Πώς λοιπόν να έχουν τα συστήματά τους patched και up to date;

[racing4mat]

Να πω την αλήθεια και εγώ δεν καταλαβαίνω τι είναι οι virus killers... Μήπως ο φίλος μας αναφέρεται σε τεχνολογίες τύπου Deep Freeze;

Έστω, πάλι αδικαιολόγητοι είναι οι networking administrators.

Υ.Γ. Τα ίντερνετ καφέ χρησιμοποιούσαν κάτι τέτοιο νομίζω.

[sdikr]

Έστω, πάλι αδικαιολόγητοι είναι οι networking administrators.

Υ.Γ. Τα ίντερνετ καφέ χρησιμοποιούσαν κάτι τέτοιο νομίζω.

Είναι προφανές πως δεν έχεις διαβάσει πως δουλεύει το συγκεκριμένο, αλλά τουλάχιστον ας κρατήσουμε ενα επίπεδο

[racing4mat]

Είναι προφανές πως δεν έχεις διαβάσει πως δουλεύει το συγκεκριμένο, αλλά τουλάχιστον ας κρατήσουμε ενα επίπεδο

Το Deep Freeze όντως το είχα δει σε ίντερνετ καφέ σαν μέθοδος για να μην "κολλάνε" τίποτα τα PCs.
Ότι αλλαγές γινότανε, μετά το reset υπήρχε ολική επαναφορά. Για περιπτώσεις όμως όπως του Petya, δεν γνωρίζω αν λογισμικά τύπου deep freeze
μπορούν να επαναφέρουν το μηχάνημα εκεί που ήταν.
Το συγκεκριμένο malware, "μολύνει" και καταστρέφει με πολλούς τρόπους ΑΛΛΑ οι μεγάλες εταιρείς θα έπρεπε να είναι check σε θέματα ασφαλείας,
διότι τα χρήματα που θα δαπανήσουν για την ασφάλεια τους είναι πολύ λιγότερα από τα χρήματα που θα πληρώσουν όταν θα γίνει η ζημιά..

Επίσης, διάβασα ότι ουσιαστικά η επίθεση έγινε από μεταλλαγμένο Petya, το καταστροφικότερο NotPetya κι ότι η Ελλάδα είναι στην πρώτη πεντάδα με τα θύματα του. (Πηγή)

Χαμηλά στην τελευταία παράγραφο του άρθρου, γράφει κάτι για την ESET (virus killers-internet security κλπ), προϊόντα της που εγώ γνωρίζω και χρησιμοποιώ μιάς και είναι ελαφρά για το σύστημα και με γλυτώσανε πολλάκις από διάφορους ιούς και "κακοτοπιές" (επικίνδυνα websites).

Μεγάλη εμπειρία από ιούς δεν έχω, την πάτησα μερικές φορές ξεκινώντας από παλιά (εποχές Amiga 500, μετά στα Windows 98) και προσπαθώ να μην την ξαναπάθω (σαν οικιακός χρήστης).
Όμως σε επίπεδο εταιρειών, τα λάθη είναι ασυγχώρητα.

[KernelPanic]

Το συγκεκριμένο malware, "μολύνει" και καταστρέφει με πολλούς τρόπους ΑΛΛΑ οι μεγάλες εταιρείς θα έπρεπε να είναι check σε θέματα ασφαλείας,
διότι τα χρήματα που θα δαπανήσουν για την ασφάλεια τους είναι πολύ λιγότερα από τα χρήματα που θα πληρώσουν όταν θα γίνει η ζημιά..

Χμμ πολύ εύκολα κατηγορείτε χωρίς να ξέρετε...
Ναι δαπανούν πολλά μα πολλά χρήματα και για FW και για AV και για IPS/IDS και ειδικα μεγάλες πολυεθνικές που έχουν και ομάδες για τετοιες καταστάσεις ( CERT=Computer Emergency Responce Team ή αλλιώς Red teams)

Αλλά βλέπεις δέν είναι εύκολο να "αγοράσεις" security aware ανθρώπους (Μην κοιτάτε μόνο το τεχνολογικό κομμάτι δείτε λίγο γραμματείς, procurement κ.α τμήματα μιας εταιρίας)

Επίσης, διάβασα ότι ουσιαστικά η επίθεση έγινε από μεταλλαγμένο Petya, το καταστροφικότερο NotPetya κι ότι η Ελλάδα είναι στην πρώτη πεντάδα με τα θύματα του. (Πηγή)

Το NoPetya εξαπλώνεται και μέσω wmic και psexec οπότε αν έχει περάσει στο εσωτερικό δίκτυο εξαπλώνεται ακόμα και σε μηχανήματα που έχουν γίνει update και είναι στο ιδιο domain...

[SfH]

Χμμ πολύ εύκολα κατηγορείτε χωρίς να ξέρετε...
Ναι δαπανούν πολλά μα πολλά χρήματα και για FW και για AV και για IPS/IDS και ειδικα μεγάλες πολυεθνικές που έχουν και ομάδες για τετοιες καταστάσεις ( CERT=Computer Emergency Responce Team ή αλλιώς Red teams)

Αλλά βλέπεις δέν είναι εύκολο να "αγοράσεις" security aware ανθρώπους (Μην κοιτάτε μόνο το τεχνολογικό κομμάτι δείτε λίγο γραμματείς, procurement κ.α τμήματα μιας εταιρίας)

Συμφωνώ απόλυτα. Οι εταιρίες που δαπανούν σοβαρά ποσά σε σχετικό εξοπλισμό, ανθρώπους, εργαλεία, περιοδικά audits, κτλ, συνήθως έχουν σαν core business ή αρκετά κοντά του, είτε την παροχή υπηρεσιών από ηλεκτρονικά μέσα, ή την παροχή ασφάλειας/εμπιστευτικότητας .Τα σοβαρά ποσά συνήθως είναι της τάξης των μερικών εκατομμυρίων το χρόνο, κι εδώ βρίσκεται το όλο πρόβλημα στην παρούσα κατάσταση. Το κόστος της επιτυχημένης άμυνας είναι απίστευτα μεγάλο, ειδικά αν το συγκρίνουμε με το κόστος της επιτυχημένης επίθεσης. Η αλήθεια είναι ότι για ένα μεγάλο ποσοστό των κρουσμάτων που ακούγονται στα νέα, είναι πιο φτηνό να έχουν πρόβλημα παρά να έχουν σοβαρή ασφάλεια.

[zaranero]

Εφτιαξα το perfc προσωπικα στο φακελλο των Windows ... το δικο μου συστημα ειναι πατσαρισμενο , ενημερωμενο antivirus κλπ .... αλλα εχω οικιακο τοπικο δικτυο που συνδεονται μεχρι και μηχανημα με xp .... και δεν ειναι υπο την επιτηρηση μου

[akis1009]

Το NoPetya εξαπλώνεται και μέσω wmic και psexec οπότε αν έχει περάσει στο εσωτερικό δίκτυο εξαπλώνεται ακόμα και σε μηχανήματα που έχουν γίνει update και είναι στο ιδιο domain...

Ο μολυσμένος υπολογιστής πρέπει να έχει δικαιώματα administrator στο target pc αλλιώς δεν γίνεται σύνδεση ούτε με psexec ούτε με wmic κανονικά . Έχουν βρει και exploit σε αυτές τις υπηρεσίες ?

[Hetfield]

Ο μολυσμένος υπολογιστής πρέπει να έχει δικαιώματα administrator στο target pc αλλιώς δεν γίνεται σύνδεση ούτε με psexec ούτε με wmic κανονικά . Έχουν βρει και exploit σε αυτές τις υπηρεσίες ?

Φυσικα.