Предыдущий глава Белого дома Барак Обама в конце своего президентства распорядился провести секретное размещение кибероружия в системах инфраструктуры России, которое бы сработало в случае обострения отношений между США и РФ.
кстати я тоже об этом сначала подумал, не зря об этом последние пару дней трещали, и кричали что это все лажа и понты... серьезно нужно к таким заявлениям относиться...
Пока ясно одно- дешевле связать кадровичку япона-стайл (шибари, или как там у извращенцев восточных это называется) чтоб левые вложения в письмах не открывала
Кадровичка не при чем, вирус через SMB уязвимость винды атакует, на которую уже 3 месяца как выпустили исправление. Надо админов на курсы мазохистов отправлять - плетки, кляпы, наручники:)
Контора на линухах давно! Ток у нас, технарей винда семёрка лицензия. В сеть на наших ноутах не влезть. Один хрен - кипишь.
Пока ясно одно- дешевле связать кадровичку япона-стайл (шибари, или как там у извращенцев восточных это называется) чтоб левые вложения в письмах не открывала
Кадровичка не при чем, вирус через SMB уязвимость винды атакует, на которую уже 3 месяца как выпустили исправление. Надо админов на курсы мазохистов отправлять - плетки, кляпы, наручники:)
Иди в * со своим снобизмом. Сам лично, после предыдущего шума, проверял и ставил все обновления. Свой WSUS. Сегодня из 400+ компов в живых осталось 7. И антивирус с самыми последними базами, бодро рапортующий "Ваша система защищена" на зашифрованых по самые помидоры компах. У юзеров минимальные права доступа и полное отсутствие инета, если че...
Это сообщение отредактировал telnet - 27 июн. 2017 г. в 21:19
1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.
2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.
3. Чтобы удалить вирус, вам необходимо скачать со здорового компьютера загрузочный диск с антивирусом, который способен вылечить компьютер от «Пети». Это умеют например ESET NOD32 LiveCD или Kaspersky Rescue Disk.
После скачивания, по инструкции запишите загрузочный диск на флешку и загрузите компьютер с него. Далее антивирус все сделает сам.
Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.
Эти способы не гарантируют полного восстановления файлов.
Есть и более сложный способ, однако пользоваться им стоит на свой страх и риск.
Так, чтобы использовать инструмент дешифрования Leostone, придется снять винчестер с компьютера и подключить его к другому ПК, работающему под управлением ОС Windows. Данные, которые необходимо извлечь, составляют 512 байт, начиная с сектора 55 (0x37h). Затем эти данные необходимо преобразовать в кодировку Base64 и использовать на сайте https://petya-pay-no-ransom.herokuapp.com/ для генерации ключа.
Чтобы снять информацию с поврежденных дисков, можно воспользоваться инструментом Petya Sector Extractor для извлечения необходимой информации с диска.

После того как пользователь подключит зашифрованный диск с зараженного компьютера к другому ПК, нужно запустить инструмент Fabric Wosar’s Petya Sector Extractor, который обнаружит пораженные шифровальщиком области.
Как только Petya Sector Extractor завершит свою работу, пользователю нужно нажать первую кнопку Copy Sector («Скопировать сектор») и перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).
Затем вернуться к утилите, нажать вторую кнопку Copy Sector и вновь скопировать данные на сайт Стоуна, вставив их в другое поле ввода (Base64 encoded 8 bytes nonce).

После заполнения обоих полей пользователь может нажимать Submit и запускать работу алгоритма.
Сайт должен предоставить пароль для расшифровки данных, после чего нужно вернуть жесткий диск в пострадавший компьютер, запустить систему и ввести полученный код в окне вымогателя. В результате информация будет расшифрована.

После того, как жесткий диск будет дешифрован, программа ransomware предложит вам перезагрузить компьютер, и теперь он должен нормально загружаться.
перейти на сайты Лео Стоуна (https://petya-pay-no-ransom.herokuapp.com/ или https://petya-pay-no-ransom-mirror1.herokuapp.com/), вставив скопированные данные через Ctrl+V в поле ввода текста (Base64 encoded 512 bytes verification data).
1. ...........На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы............
Отправлено с мобильного клиента YAPik+
Интересно а если диск подключить к компу под управлением Linux или MacOS? Эти системы всяко файлы распознают, скопировать нужные файлы и форматнуть диск?
Это сообщение отредактировал FelixDZR - 27 июн. 2017 г. в 21:41
проскочила инфа, что вирус распространяется с обновлением бухгалтерской программы Медок.
и про Сонату что-то связанное с вирусом упоминали сегодня... а правда или нет
хз, хз... просто интересно - одновременно и медок и сонату заразить - это не случайность. и то, что в России в тот же день такая же шняга пошла... ну не бывает таких совпадений
А можно ли вынудить браузер запустить вредоносный скрипт при помощи HTML-письма (где не просто текст, а текст с форматированием и картинками)? Ну, типа чтобы не надо было даже вложение запускать, просто открыл письмо и всё, приплыли?
Цитата (Biomehanica @ 27.06.2017 - 18:17)
Те, кто чуть лучше разбирается в компьютерных системах, могут поставить блокировку: на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%; на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe); на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse).
Т.е. клуши запускают вложения с расширениями, блядь, JS и VBS? А админы столь серьёзных заведений не могут запретить локальный запуск файлов с этими расширениями и всем создать гостевые учётки? Или вирусный экзешник умеет повышение прав без запуска от администратора?
Ну и отдельный привет пидарской конторке под названием microsoft - вместо оперативного поиска уязвимостей (какого хуя АНБ о ней узнало раньше, чем авторы операционки?) они лишь напихали пидарскую телеметрию везде, где могли, даже в заплатку от уязвимости в SMB. Их надо пиздить ногами.
Пока ясно одно- дешевле связать кадровичку япона-стайл (шибари, или как там у извращенцев восточных это называется) чтоб левые вложения в письмах не открывала
Кадровичка не при чем, вирус через SMB уязвимость винды атакует, на которую уже 3 месяца как выпустили исправление. Надо админов на курсы мазохистов отправлять - плетки, кляпы, наручники:)
Иди в * со своим снобизмом. Сам лично, после предыдущего шума, проверял и ставил все обновления. Свой WSUS. Сегодня из 400+ компов в живых осталось 7. И антивирус с самыми последними базами, бодро рапортующий "Ваша система защищена" на зашифрованых по самые помидоры компах. У юзеров минимальные права доступа и полное отсутствие инета, если че...
А что техподдержка антивируса говорит по этому поводу? КАСКО предлагает?
А почему в новости не написали, что он во многих странах?
Ранее во вторник в компании Group-IB сообщили, что вирус-вымогатель Petya стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины, он блокирует компьютеры и требует за разблокировку сумму в биткоинах, эквивалентную 300 долларам. Позднее руководитель международной исследовательской команды "Лаборатории Касперского" Костин Райю (Costin Raiu) сообщил, что вирус распространился по всему миру.
По предварительным данным, от вируса пострадали многие компании, в том числе "Башнефть" и "Роснефть", а также украинские "Запорожьеоблэнерго", "Днепроэнерго" и Днепровская электроэнергетическая система. "Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк. Аэропорт Борисполь, предположительно, тоже подвергся хакерской атаке", — добавил представитель Group-IB.
А можно ли вынудить браузер запустить вредоносный скрипт при помощи HTML-письма (где не просто текст, а текст с форматированием и картинками)? Ну, типа чтобы не надо было даже вложение запускать, просто открыл письмо и всё, приплыли?
как нефиг делать. правда, видел такое только в IE. знакомый словил шифровальщика, дал мне доступы на почту, я в виртуалке открыл - и понеслась. ничего не скачивал и не запускал, просто открыл письмо в web-интерфейсе почтовика
1. ...........На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы............
Отправлено с мобильного клиента YAPik+
Интересно а если диск подключить к компу под управлением Linux или MacOS? Эти системы всяко файлы распознают, скопировать нужные файлы и форматнуть диск?
Через загрузочную флешку типа Live usb, у меня стрелец юсб есть
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
yaplakal.com