Petya.А: підсумки і перспективи

[1]

Очень на это похоже, о чем и пишется в самом конце.

"27 червня 2017 відбулося масове ураження комп'ютерів українських підприємств та установ вірусом-здирником Petya.A.
Кіберполіція припустила[9], а фахівці з комп'ютерної безпеки компанії Microsoft підтвердили, що атака розпочалась з системи автоматичного оновлення програми «M.E.Doc» близько 10:30 GMT (13:30 за київським часом, кіберполіція стверджує, що атака розпочалась о 10:30 за київським часом)[10]. Розробник програми M.E.Doc, компанія «IT Експерт» розмістила на своєму сайті повідомлення, яким визнавала джерело атаки, але невдовзі його прибрала. Згодом було розміщене нове повідомлення, в якому компанія відкидала будь-яку причетність до поширення вірусу або про злам своїх інформаційних систем."
Є запитання до СБУ.
Чому на даний час не проведено обшуки і не вилучена вся техніка української компанії "IT Експерт" (розробник M.E.Doc), яка тісно зв'язана з державною фіскальною службою?
Чому на даний час сайт компанії працює і компанія надає платні послуги?
Все йде по плану?

Некоторые наблюдения по поводу Пети, что б не отвечать каждому позвонившему.
Новый вредонос определенно был построен на основе исходных кодов того самого «Пети», однако новая версия малвари настолько отличается от оригинала, что многие сочли логичным присвоить ей новое название.
Ранее сообщалось, что малварь шифрует не только файлы пользователя, но и MFT (Master File Table), перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы.
Операторы малвари требуют от своих жертв выкуп в размере 300 долларов в биткоин эквиваленте. Так, после оплаты следовало отправить письмо на адрес wowsmith123456@posteo.net, чтобы получить инструкции по расшифровке данных. Однако уже вечером 27 июня платить выкуп стало попросту бесполезно, так как адрес, по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo.
Специалисты «Лаборатории Касперского» и исследователь Comae Technologies Мэтью Сюиш (Matt Suiche) пришли к выводу, что Petya вообще некорректно называть шифровальщиком. Дело в том, что вредонос, по сути, создан для уничтожения информации, — восстановить пострадавшие данные мало реально, и это не ошибка, а замысел авторов малвари. Поэтому Petya скорее следует называть вайпером (wiper).
Каждой зараженной машине Petya присваивает собственный ID, однако данный ID не передается на управляющий сервер (Petya вообще не имеет таковых) и не содержит в себе никакой ценной информации, которая позже помогла бы злоумышленникам «опознать» жертву и предоставить ей ключ для расшифровки файлов. Малварь использует для этого функцию CryptGenRandom, то есть генерирует случайную последовательность ничего не значащих символов. Такой ID не несет в себе ровным счетом никакой информации, создается лишь для отвода глаз и точно не поможет расшифровать файлы. Таким образом, платить выкуп бесполезно не только из-за того, что Posteo заблокировал почтовый ящик преступников. Зашифрованные Petya диски практически невозможно восстановить. Сравнив Petya образца 2016 года с новой версией, эксперты не могли не заметить существенную разницу: новая версия намеренно уничтожает первые 25 секторов на диске. Первый сектор диска шифруется с помощью XORс 0x07, после чего сохраняется в другом секторе и заменяется кастомным загрузчиком. Но все 24 следующие за ним сектора перезаписываются намеренно и нигде не сохраняются.
Оригинальный Petya тоже производил похожие операции, однако он действительно мог обратить все сделанные изменения, тогда как новый Petya повреждает данные умышленно и гораздо серьезнее.
Кому это надо и для чего это было сделано - решайте сами. Я воздержусь от комментариев, в силу сложившейся в стране политической обстановке. Имея некоторый опыт в криптографии, могу сказать одно - что сделано очень профессионально и не одним человеком!

Скопирую свой пост по этой теме из ветки недвиги, а то там могут удалить как оффтоп:

Вирус приходил через апдейт MEDoc

что это меняет кардинально?

То, что это официальный программный продукт, для бухгалтеров - рабочий инструмент.
Что если у Вас на работе обновится какой-либо официальный программный продукт (нужный для работы), и вместе с апдейтом скачается и вирус?
Я бы из этой ситуации сделал 2 вывода:
1. "Диверсанты" реально неплохо подготовились, и знали куда бить. Возможно это была некая "разведка боем", и сейчас они увидев реакцию, уровень подготовки персонала, скорость распространения вируса, ущерб и т.д. - подкорректируют свою стратегию, и следующий "удар" будет ещё более эффективным.
2. Наша сторона подыграла им тем, что выступила в роли ленивых тюленей, или груш для битья. Уровень подготовки = 0. Реакция - я даже не знаю как и выразиться. С прошлых вирусных волн - не сделано никаких выводов, никакой подготовки. Бюджеты (айтишные в том числе) - тупо пилятся. Ненуашо: ITшник спит - зарплата начисляется.
Гос. органы и всякие кибер-полиции - сами не могут очухаться от этой заразы.

Вот почему, например, у конторы-создателя этого "MEDoc" СБУ до сих пор не изъяла серверы, и не сняла все логи? И т.д. (Флаймен говорит, что ДФС парит эту прогу через свою прокладку, т.е. гос. структура имеет с этого "откат")

Очень советую прочитать совсем немного ІТшного текста по теме:

[url]https://medium.com/@gray25/серверы-обновлений-m-e-doc-оказались-на-хостинге-wnet-f3f35db4de73[/url]

Поддержу слова Флаймена:

медок парит ДСФ через свою прокладку.
тобто держава у нас (кыбэр)тэрорыст.
Голова ДСФа мав би вже зробити собi сепуку.

По поводу вайпера интересная версия. И мне кажется близкой к истине, т.к. заработать много им бы все равно не дали. Следовательно на что они вообще могли надется и какова была их истинная цель? На плюшку от заказчика?
А что же ищут эксперты из киберполиции и СБУ? Какие возможности расшифровывания?

[1]

Однажды я столкнулся с интересной ситуацией. Бухгалтерия интересной конторы начала нервничать по поводу того, что у них на компьютерах много важного, а вокруг много историй про хакеров. Каким-то чудом долгие годы к ним приходил 1Сник и система работала. Чудо заключалось в основном в ограничении интернета. Меня пригласили на чай спросить как быть. Я посоветовал простейшее решение: прикинуть как часто формируется критический объем новых данных, потеря которых неприятна, и, откинув от этого срока немного, просто бекапить рабочий диск целиком. Для верности предложил бекапить в 2 разных физических места. Далее бухгалтерия терроризировала директора на предмет покупок и кое-как укатала. В итоге найти эникийщика для этой работы они не смогли по причине того, что ему надо было что-то да платить. В общем грустно.

Другой случай из далекого прошлого. Директор бизнеса, далекий от ИТ, приглашает решить вопрос чтобы бухгалтерия нескольких предприятий не полягла в один непрекрасный день. Пояснил ему, что в его случае надо было купить несколько жестких дисков и снимать образы систем периодически. Директор, будучи очень далеким от любого вида ИТ, спокойненько отсчитал и сказал купить с запасом. Через пару месяцев была жуткая гроза и после одного из раскатов грома компьютер главбуха не выжил. Главбух нервничала. Но компьютер никто даже не стал пытаться чинить. В магазине была куплена такая же плата, новый диск, блок питания и на все это развернут образ, снятый за пару дней до событий. Безвозвратно оказалось потеряно часа 3 чистого рабочего времени и к вечеру все было восстановлено. После этого разработано правило всегда иметь запасное новое железо для бухгалтерских компьютеров. Для того бизнеса эти затраты были исчезающе микроскопическими, а последующие 10 лет бухгалтерия не знала проблем.
Во втором случае ввиду специфики делать все автоматизированно было нельзя.

Это самые простейшие формы защиты данных. Сегодня существуют очень продвинутые автоматизированные облачные системы, которые инкриментно могут постоянно бекапиться и в случае большой проблемы не потеряется вообще ничего, кроме простоя для восстановления.

Поэтому в большинстве случаев у корпоративного сегмента расшифровывать особо и нечего - все забекаплено и надо только восстановить данные. Это может потребовать чисто физически времени. Настройки там всякие и прочая техническая работа.

Если же вирус шифровал с рендомным длинным ключом, то вполне оправдано предположение, что восстановить не будет возможности ничего и никогда. Но, как указано выше, во многих случаях это и не нужно.

Чому на даний час не проведено обшуки і не вилучена вся техніка української компанії "IT Експерт" (розробник M.E.Doc), яка тісно зв'язана з державною фіскальною службою?

М да а в податковой в начале года не хотели брать отчет на бумажном носителе. Причем оборот копейки третья группа.. жалуйтесь говорят нам похрен . Только потом на не запланированные проверки не жалуйтесь. Спецом присаживали на это ПО а потом .. имеем что имеем.

Вопрос знатокам. Подскажите пожалуйста, что делать, чтобы не заразиться? Вирус распространяется только через M.E.Doc или есть другие пути инфицирования (вирус же распространился и в другие страны, где этот софт не используют)?
То, что нельзя открывать вложения писем из неизвестных источников - понятно. А каие еще возможны пути попадания этой заразы в компьютер?

[1]

Видео заражения



Пострадавашие

СМИ: медиахолдинг ТРК "Люкс" (24 Канал, радио "Люкс", Радио Максимум, Zaxid.net Без Табу); Укранский медиахолдинг ("Комсомольская правда в Украине", "Корреспондент", Football.ua); Черноморская ТРК; Телеканал AT; по некоторым данным – "Интер" и UA:Первый.

Банки: Ощадбанк, Восточный, ОТП, ПУМБ, ТАСКомерцбанк, Укргазбанк, Расчетный центр, Мега банк, Кристалл банк, Укрсоцбанк, Радабанк, Кредо банк, Idea банк, Юнисон, Первый инвестиционный банк, Кредит оптима, Траст капитал, Проминвестбанк, Реконструкции и развитие, Вернум, Глобус.

Предприятия энергетики: ДТЭК, Укрэнерго, Киевэнерго и другие.

Предприятия инфраструктуры: аэропорт "Борисполь", "Укрзализныця", Киевский метрополитен и другие.

Сети заправок ОККО, ТНК, WOG, KLO

Мобильные операторы: Киевстар, Vodafone, Lifecell.

Медицина: компания "Фармак", клиника "Борис", по неподтвержденным данным, больница "Феофания".

Укрпочта

"Новая почта"

Укртелеком

Сеть гипермаркетов "Эпицентр"

ГП "Антонов"

Киевводоканал

Укргаздобыча

Кабинет Министров Украины

[1]

А тем временем от вредоносной программы страдают корпоративные пользователи не только в Украине, но и в мире.