Избранное сообщение

Использование списков для ввода данных в Excel / Office / Excel

Вообще при работе с любой информацией, а уж с управленческой в первую очередь, первоочередное значение имеет ее качество. Она обеспечивае...

Ездил на экскурсию на хлебокомбинат.
Больше я хлеб не ем...
Ездил на экскурсию на мясокомбинат.
Больше я мясо не ем...
Завтра экскурсия на ликеро-водочный завод.
Я не поеду...

пятница, 30 июня 2017 г.

Белые львы / Забавные и милые


Эксперты: NotPetya – не вымогательское ПО, а кибероружие / Шифровальщики файлов

Вредоносное ПО Petya.A (оно же NotPetya, SortaPetya и Petna), за два дня зашифровавшее данные на тысячах компьютеров по всему миру, на самом деле не вымогательская программа, а кибероружие. Как показал анализ, проведенный экспертами «Лаборатории Касперского» и Comae Technologies, вредонос представляет собой инструмент для уничтожения данных на жестком диске с целью саботажа работы предприятий и организаций.
По словам исследователей, NotPetya действует подобно вымогателю, однако не предоставляет никакой возможности восстановить файлы. Дело даже не в том, что немецкий почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.
NotPetya генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки (вредонос не использует C&C-сервер). Как пояснил эксперт ЛК Антон Иванов, поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен. То есть, даже если жертва заплатит требуемый выкуп, нет никаких шансов получить назад свои файлы. В связи с этим эксперты пришли к выводу, что главной целью операторов NotPetya была не финансовая выгода, а саботаж.
Злоумышленники хотели не обогатиться, а посеять хаос, уверены исследователи. За два дня заплатить выкуп согласились только 45 жертв NotPetya. Именно столько переводов было осуществлено на биткойн-кошелек, указанный в уведомлении с требованием выкупа. В общей сложности киберпреступники «заработали» на NotPetya только 3,99 биткойна (порядка $10,3 тыс.). Эта сумма ничтожно мала по сравнению с $1млн, который получили операторы вымогателя Erebus, заразившие всего одну компанию в Южной Корее.
Стоит отметить, NotPetya не удаляет данные с жесткого диска, но шифрует их без возможности восстановления, что равнозначно удалению. Согласно твиту автора оригинального вымогателя Petya, NotPetya – не его рук дело. Такое же заявление в свое время сделал разработчик AES-NI по поводу вымогателя XData. И NotPetya, и XData использовали один и тот же вектор атаки – обновления ПО для бухучета, используемого украинскими организациями. Возможно, за обоими вредоносами стоят одни и те же люди, желавшие внести хаос в работу украинских организаций. 
Михаил Лисневский, руководитель группы регионального развития департамента информационной безопасности компании Softline
В новой атаке прослеживается серьезная «работа над ошибками» создателей WannaCry.
Во-первых, использовался массовый способ первичного заражения: как утверждают исследователи вируса, первые атаки были после обновления распространенной зарубежной системы, аналога отечественного 1C. Нетрудно предположить, что такие системы взаимодействуют друг с другом по всему миру, что способствует распространению.
Во-вторых, к уже имеющимся в WannaCry инструментам добавились новые для распространения и взлома систем в сети — если раньше WannaCry использовало уязвимость протокола SMB, то новый вирус использует еще инструменты WMI и PSExec. Также к использованному в WannaCry эксплойту ETERNALBLUE добавились инструменты ETERNALROMANCE. А по почте шифровальщик распространяется посредством использования уязвимости Windows - CVE-2017-0199.
В-третьих, вирус уже шифрует не просто пользовательские данные, а MTF — главную файловую таблицу. Грубо говоря, шифрует адресную книгу, справочник всех файлов системы. Также перезаписывает MBR — данные, необходимые для загрузки системы.
В-четвертых, что на данный момент является самым актуальным, исследователи вируса сообщают о том, что идентификатор, появляющийся у пользователя на экране, не содержит в себе информации, способной расшифровать данные, используя индивидуальный ключ мошенников, а это всего лишь случайная генерация символов. Это говорит о том, что на данный момент данные расшифровать совершенно невозможно.
Если сложить все эти факторы вместе, то можно заметить, что эта атака-вымогатель — это кибер-оружие, которое создано для того, чтобы уничтожать данные. Тем более для получения денег хакеры использовали один единственный кошелек и одну почту — легко было предположить, что эту почту сразу-же заблокируют.

Еще по теме: 


Режим инкогнито в Chrome, Яндекс Браузер, Firefox, Opera, Edge, Internet Explorer / Программное обеспечение. Интернет

режим инкогнитоРежим инкогнито — приватный режим работы браузера, при работе в браузере не сохраняются данные о посещенных сайтах, поисковых запросах, другие сведения о деятельности пользователя. Браузер, при посещении тех, или иных ресурсов в интернете, собирает определенное количество сведений о действиях пользователя.
В основном, это необходимо для того, чтобы быстрее открыть нужный сайт, автоматически ввести ранее вводимые данные в форме входа на сайт, и т. п.
В некоторых случаях, пользователю необходимо приватно использовать браузер, не сохраняя историю посещений и поиска, не оставлять других следов своей деятельности. Это может понадобиться, например, если нужно что-то скрыть от родственников, или коллег по работе, если они имеют доступ к вашему компьютеру.
Для этого нужно в браузере включить режим инкогнито. Все основные браузеры поддерживают приватный режим, который называется в браузерах по-разному: «режим инкогнито», «приватный просмотр», «режим InPrivate».
После включения режима инкогнито в браузере не сохраняются следующие данные:
  • история посещенных веб-страниц
  • история поисковых запросов
  • вводимые данные в формах для входа на веб-страницах
  • файлы cookie (куки)
  • список загрузок
  • браузер не запоминает пароли
  • после выхода из приватного режима, удаляется кэш и автономные данные
Закладки, созданные в режиме приватного просмотра, сохранятся в обычном браузере. Загруженные в режиме инкогнито файлы не удаляются с компьютера. Имейте в виду, что режим инкогнито не обеспечивает анонимность.
Режим инкогнито работает в отдельном окне, которое открывается параллельно обычному окну браузера. Во время работы в приватном режиме, пользователь может одновременно использовать обычный браузер и браузер, открытый в режиме «инкогнито». История и другие приватные данные не будут сохранены только в браузере, открытом в приватном режиме.
Для входа в режим инкогнито используются горячие клавиши. Подробнее о сочетаниях горячих клавиш читайте в разделах этой статьи, посвященных конкретному браузеру.

Как войти в режим инкогнито в Google Chrome

Режим инкогнито в Хроме не оставляет следов на компьютере (файлы cookie, история поиска и просмотра и т. п.) после закрытия вкладок инкогнито. Закладки, добавленные в браузер, и скачанные файлы сохранятся на компьютере.
Интернет провайдер и системный администратор в организации смогут увидеть ваши действия. Посещенные веб-сайты также будут знать о вашем визите.
Режим инкогнито в Гугл Хром запускается несколькими способами:
  1. Войдите в «Настройки и управление Google Chrome» нажмите на «Новое окно в режиме инкогнито».
  2. Нажмите на клавиатуре на клавиши «Ctrl» + «Shift» + «N».
  3. Кликните правой кнопкой мыши по значку браузера Google Chrome на Панели задач, выберите пункт «Новое окно в режиме инкогнито».
  4. Кликните по ссылке правой кнопкой мыши, выберите в контекстном меню «Открыть ссылку в окне в режиме инкогнито».
Далее откроется окно браузера Google Chrome в режиме инкогнито.
инкогнито в google chrome
Для того, чтобы отключить режим инкогнито, достаточно закрыть окно браузера Chrome, запущенное в приватном режиме.

Как включить режим инкогнито в Яндекс.Браузер

Режим инкогнито в Яндекс Браузере позволит не сохранять свои запросы и посещения, файлы куки (cookie) и т. д.
Существует несколько способов открыть режим инкогнито в Яндекс Браузере:
  1. Войдите в «Настройки Яндекс.Браузера», нажмите на «Режим инкогнито».
  2. Нажмите одновременно на клавиши клавиатуры «Ctrl» + «Shift» + «N».
  3. Щелкните правой кнопкой мыши по значку браузера на Панели задач, выберите пункт «Новое окно в режиме Инкогнито».
  4. После клика по ссылке правой кнопкой мыши, выберите «Открыть ссылку в режиме Инкогнито».
инкогнито в яндекс браузере
Закройте окно Яндекс Браузера, запущенное в приватном режиме, для того, чтобы выйти из режима инкогнито.

Как включить приватный просмотр в Mozilla Firefox

Режим инкогнито в Мозиле называется «Приватный просмотр». Войти в режим инкогнито в Firefox можно следующими способами:
  1. Нажмите на клавиатуре на клавиши «Ctrl» + «Shift» + «P».
  2. Нажмите на кнопку «Открыть меню», а затем на «Приватное окно».
  3. После нажатия на значок браузера Mozilla Firefox на Панели задач, выберите «Новое приватное окно».
  4. Щелкните правой кнопкой мыши по ссылке, выберите пункт «Открыть ссылку в новом приватном окне».
В браузере Mozilla Firefox в режиме «Приватный просмотр» включена защита от отслеживания, для того, чтобы запретить некоторым сайтам использовать трекеры, собирающие информацию о поведении пользователя.
приватный просмотр в mozilla firefox
Закройте вкладки, работающие в режиме инкогнито, для того, чтобы выйти из приватного режима в браузере Mozilla Firefox.
В настройках Mozilla Firefox, во вкладке «Приватность», в пункте «История» можно выбрать другой режим работы браузера, например, «Firefox не будет запоминать историю».

Как перейти в режим инкогнито в Opera

Режим инкогнито в Опере называется «Приватный просмотр». Есть несколько вариантов войти в приватный просмотр в браузере Opera:
  1. Нажмите на кнопку «Меню», выберите пункт «Создать приватное окно».
  2. Нажмите на клавиатуре на «Ctrl» + «Shift» + «N».
  3. Правой кнопкой мыши нажмите на Панели задач на значок браузера Opera, а затем выберите «Создать приватное окно».
  4. Кликните по ссылке правой кнопкой мыши, нажмите «Открыть в приватном окне».
После закрытия окна браузера в режиме инкогнито, все данные будут удалены. Для обеспечения большей конфиденциальности, используйте VPN, который встроен в браузер Опера.
приватный просмотр в опера

Приватный просмотр в Microsoft Edge

В браузере Microsoft Edge режим инкогнито называется «Просмотр InPrivate». Включить приватный режим в браузере Microsoft Edge можно несколькими способами:
  1. Войдите в «Параметры и другое», нажмите на пункт «Новое окно InPrivate».
  2. На Панели задач, кликните по значку браузера Edge правой кнопкой мыши, выберите пункт контекстного меню «Новое окно InPrivate».
  3. Для включения режима приватного просмотра, нажмите на сочетание клавиш клавиатуры «Ctrl» + «Shift» + «P».
После этого, в браузере Microsoft Edge откроется окно в режиме инкогнито.
приватный просмотр в microsoft edge
После закрытия всех вкладок InPrivate, в браузере Microsoft Edge будут удалены временные данные, использовавшиеся в приватном в режиме.

Как включить режим инкогнито в Internet Explorer

Режим инкогнито в браузере Internet Explorer называется «приватный просмотр» — InPrivate. Зайти в режим инкогнито в Internet Explorer можно следующими способами:
  1. Войдите в приватный просмотр при помощи одновременного нажатия на клавиши клавиатуры «Ctrl» + «Shift» + «P».
  2. Кликните правой кнопкой мыши по значку браузера Internet Explorer на Панели задач, выберите «Начать просмотр InPrivate».
  3. Войдите в меню «Сервис», выберите «Безопасность», а затем нажмите на пункт «Просмотр InPrivate».
После этого, откроется окно браузера Internet Explorer сообщением о том, что «Просмотр InPrivate включен». По умолчанию, в режиме «Просмотр InPrivate» в браузере отключены панели инструментов и расширения (эту настройку можно изменить).
inprivate в internet explorer
Режим InPrivate отключится в браузере после закрытия данного окна.

Заключение

Для того, чтобы не сохранять данные о работе в браузере, пользователь может использовать режим инкогнито, запускаемый в отдельном окне. В приватном режиме не сохраняются история просмотров, поиска, куки, другие данные.


Смотри также:

Запись iso образа на диск средствами windows / Для "чайников"

... Что делать, когда у вас есть образ диска с windows и вам нужно его переустановить?

Просто трудновато вам будет переустанавливать систему, если вы просто вставите виртуальный диск в тот же Daemon Tools (или любой другой эмулятор) или откроете пусковой файл. Нет, вы можете попробовать, но вам не дадут ничего разметить, отформатировать, произвести изменения в файловых системах. В общем, если вы будете устанавливать windows прямо из своей системы, то это жесть. Сразу говорю — не делайте так!

Чтобы нормально переустановить систему, вам обязательно нужно сделать загрузочный носитель (диск или флешку). Чтобы у вас не возникло каких-то непоняток, я расскажу вам как произвести запись iso образа на диск. И скажу вам, что никаких программ вам не понадобится.

Стандартная запись

Для начала подготовьте пустой DVD-диск и вставьте его в ваш привод.
Теперь найдите iso образ с операционной системой и нажмите на него правой кнопкой мыши и выберете пункт «Записать образ диска». 


Того же самого эффекта можно достичь, выделив сам файл образа, а потом в верхнем меню в графе «Средства работы с образами диска» нажать на «Управление». А там уже выбрать появившуюся иконку «Запись на диск». 



В любом случае у вас должно открыться сразу окно с параметрами записи на диск. Здесь вы можете вообще ничего не трогать, а просто нажать «Записать». Ну а теперь откиньтесь на спинку кресла или другого вашего предмета мебели и ждите, пока завершится запись образа на диск.

Но есть один нюанс. Если у вас стоит какая-то программа для чтения iso файлов, например тот же Daemon Tools, то по умолчанию файлы с этим расширением будут открываться через него, а значит вам не выползет окно с записью, а образ тупо вмонтируется в виртуальный привод.

Для того, чтобы нормально записать образ на диск, вам лучше всего изменить программу для открытия файлов по умолчанию на проводник. Ну а дальше дело техники. Повторяем то, что я писал выше.
Запись с помощью строки «Выполнить»

Вот она, моя любимая строчка. Благодаря ей мы также можем записать наш образ на диск. Ну это так, скорее для общего развития, потому что способы записи одинаковые, а вот способы открытия средства записи разные.

Откройте строку «Выполнить» и наберите там команду isoburn /q {путь к iso-образу}. То есть, если ваш iso файл под названием «win8.iso» лежит на диске D в папке образ «виндовс», то вы должны будете написать в строке isoburn /q {D:\образ виндовс\win8.iso}. Ну а после этого откроется стандартное окно средства записи и вы обычным образом делаете загрузочный диск.

  

После записи вы сможете вынуть уже загрузочный диск и воспользоваться им для установки windows. Хотя лучше всегда под рукой иметь не просто образ системы, а образ вашей системы со всеми настройками, программами и т.д. Для этого вы можете сами создать резервную копию системы средствами самой windows.

Смотри также:

четверг, 29 июня 2017 г.

0x80070422 как исправить ошибку Windows 10 / Системные сообщения об ошибках

Периодически во время использования Windows 10 или во время запуска брандмауэра (утилита, призванная защитить систему от атак хакеров, вирусов и червей), может «высвечиваться» ошибка с номером 0х80070422. Как исправить ошибку в Windows 10 – вопрос, который будет рассмотрен в рамках представленного материала.

Почему возникает

Как уже было сказано выше, описываемая проблема может возникнуть во время сбоя при функционировании системы защиты Виндовс. Но это не единственная причина. Сбой может произойти и в результате взаимодействия системного защитника с другими программными службами. Чаще всего конфликт возникает при работе автономного установщика обновлений Windows 10. Ошибка 0х80070422 выдается при прекращении работы служб:
  • вызова удаленных процедур (технология, позволяющая службам системы решать рабочие задачи на удаленных устройствах и приложениях);
  • обновления Виндовс;
  • криптографии (кодировка при обмене между службами и сторонними адресатами);
  • фоновой интеллектуальной передачи (обеспечение качественной передачи между сервером и клиентом, в первую очередь при скачивании новых файлов);
  • хранения загрузочной информации.
Еще одна причина проблемы - вирусное ПО. Чтобы решить ее, нужно просканировать устройство на наличие вирусов.

Как исправить

Установщик обнаружил ошибку с кодом 0х80070422. Как исправить в Windows 10? При появлении такого осложнения предписывается выполнить «откат» «операционки» до последней точки восстановления. Неблагоприятная ситуация будет ликвидирована, при этом, не придется вникать в системные тонкости проблемы и тратить время на ее устранение.
Если же нет возможности откатить систему, можно прибегнуть к другому способу. Последовательность действий, если всплыла ошибка обновления Windows 10 0х80070422, выглядит следующим образом.
Для начала нужно войти в ОС от имени Администратора:
  1. Кликаем правой кнопкой на значке «Пуск» (или используется комбинация Win+X). 
  2. Находим «Командная строка (администратор)» (в более свежих версиях "Windows PowerShell").
  3. В карточке «Контроль учетных записей» даем согласие на внесение изменений.
Через строку активируем учетную запись Администратора для устранения проблемы. Что делаем дальше?
  • вводим значение «net user администратор /active:yes»;
  • после появления записи «Команда выполнена успешно» закрываем окно.
Далее заходим в панель «Пуск» и находим блок Администратор. Заходим в эту учетную запись. 
Приступаем к непосредственному устранению ошибки брандмауэра с кодом 0х80070422 на Windows 10 через учетную запись Администратора:
  1. Нажатием Win+R вызываем «Выполнить».
  2. Вводим значение – services.msc.
  3. В карточке находим и выделяем «Центр обновления Виндовс».
  4. Правой кнопкой открываем его свойства.
  5. Во вкладке «Общее» меняем значение «Тип запуска» на «Автоматически». Применяем изменения.
  6. Перезагружаем ОС.
Если после проведения изменений ошибка по-прежнему появляется, стоит по такому же сценарию проверить другие службы.
Стоит проверить брандмауэр:
  1. Открываем «Панель управления».
  2. Меняем в «Просмотр» значение на «Крупные значки».
  3. Открываем блок Брандмауэр Виндовс.
  4. Выбираем ссылку включения и отключения.
  5. Устанавливаем активность в полях, как показано на изображении.
Если не удается вышеназванными способами решить проблему кода ошибки 0х80070422 в Windows 10, в магазине Microsoft вводим кодовое обозначение.

Просматриваем ссылки, читаем рекомендации и ищем возможные варианты устранения.

Как победить вирус Petya / Шифровальщики файлов

Сразу предупреждаю: "лекарства" от вируса на настоящий момент нет.

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.



Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbrдля восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.



На данный момент число транзакций увеличилось до 45.



Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010(EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).





Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.



Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:
  • C:\Windows\perfс
  • Задача в планировщике Windows с пустым именем и действием (перезагрузка)
  • "%WINDIR%\system32\shutdown.exe /r /f"
Срабатывание правил IDS/IPS:
  • msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
  • msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
  • msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
  • msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
  • msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1
Сигнатуры:

Eset: источником эпидемии шифратора Petya.C стало скомпрометированное обновление программы M.E.Doc

 , Текст: Владимир Бахур

Специалисты Eset установили источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С). Злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки.
По данным системы телеметрии Eset, большинство срабатываний антивирусных продуктов Eset NOD32 пришлось на Украину, Италию и Израиль.
Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты Eset детектируют ее как Win32/Diskcoder.C Trojan. Если Win32/Diskcoder.C Trojan успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).
Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.
Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.     
Продукты Eset детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.