Honda Mafia

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

IntenT — Wed, 05 Jul 2017 10:44:14 GMT

"В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."

Єто понятно.

Там в заключении Лаборатория Касперского названа войсковой частью 43573

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Wed, 05 Jul 2017 10:23:36 GMT

Вперше за історію існування ПЗ "M.E.Doc" стався безпрецедентний факт взлому, внаслідок якого до продукту було внесено шкідливий програмний код до пакету оновлення.

https://www.facebook.com/medoc.ua/posts/1908536359433942

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Wed, 05 Jul 2017 08:12:19 GMT

https://www.facebook.com/arsen.avakov.1/posts/1448496371907131

Arsen Avakov додав 2 нові світлини.
8 год. · Kyiv ·
Сьогодні спеціальні агенти департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури - припинили другий етап кібератаки Petya.
Пік атаки планувався на 16.00. Стартувала атака о 13.40. До 15.00 Кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Є. Doc.
Атака була зупинена. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російськой Федерації.

т.е. первого раза было недостаточно, чтоб изъять сервак на исследования????????

из энторнетов принесло -

[... ] а если вспомнить, что Интелект-сервис это российская компания, то все становится еще интереснее. Интеллект-сервис был основан товарищем Линником совместно с россиянами. Потом россиян оттуда как бы выпилили и официально это полностью украинская компания, но и Яндекс тоже был голландской компанией, если что.

Added after 2 hours 40 minutes:

IntenT:Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567
Дивіться кому видане свідоцтво

https://ru.wikipedia.org/wiki/%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%B8%D0%B9,_%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9_%D0%92%D0%B0%D0%BB%D0%B5%D0%BD%D1%82%D0%B8%D0%BD%D0%BE%D0%B2%D0%B8%D1%87

"В 1987 году окончил 4-й (технический) факультет Высшей школы КГБ[7] (в настоящее время факультет известен как Институт криптографии, связи и информатики Академии ФСБ России) в Москве, где изучал математику, криптографию и компьютерные технологии, и получил специальность «инженер-математик»."

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

dens — Tue, 04 Jul 2017 14:57:40 GMT

IntenT, итак понятно что касперский всегда был "под органами тама", ВС РФ не исключение
AKyr, на выходных ставил тёще медок, подтягивал их все архивы и в том числе обновлялся - пока всё работает (сплюнул 3 раза), спецом узнал только что

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

IntenT — Tue, 04 Jul 2017 13:00:20 GMT

Трохи поза темою, але
https://scontent-frt3-1.xx.fbcdn.net/v/t31.0-8/19620439_10212038552872377_1093800164182233249_o.jpg?oh=44fc91d00e4765d75491164de1eb8f07&oe=59CDC567
Дивіться кому видане свідоцтво

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Tue, 04 Jul 2017 12:04:12 GMT

ну и вишенка

The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.

Added after 3 minutes:

mazy, Согласен.
Added after 59 seconds:

Самое страшное, что программа Медок продолжает работать и в последнем релизе .189 зараженная dll-ка

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Tue, 04 Jul 2017 11:58:09 GMT

AKyr, Conclusions

As our analysis shows, this is a thoroughly well-planned and well-executed operation. We assume that the attackers had access to the M.E.Doc application source code. They had time to learn the code and incorporate a very stealthy and cunning backdoor. The size of the full M.E.Doc installation is about 1.5GB, and we have no way at this time to verify that there are no other injected backdoors.
There are still questions to answer. How long has this backdoor been in use? What commands and malware other than DiskCoder.C or Win32/Filecoder.AESNI.C has been pushed via this channel? What other software update supply chains might the gang behind this attack have already compromised but are yet to weaponize?

как по мне - инсайдер в медке был.. 100%.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Tue, 04 Jul 2017 11:56:31 GMT

mazy, так точно

Added after 2 minutes:

Проверить или у вас зловредная dll:

Скачать YARA https://github.com/VirusTotal/yara/releases

создать текстовый mdoor.yara:

rule mdoor
{
meta:
author = "CSC"
description = "Rule to check for mdoor "
strings:
$str_1 = "MeComDoWork" ascii wide
$str_2 = "Started Infinite:" ascii wide
$str_3 = "I'm not admin (" ascii wide
condition:
all of them
}

C:\yara64.exe -s -r mdoor.yara C:\ProgramData\Medoc (куда установлен Медок)

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Tue, 04 Jul 2017 11:53:06 GMT

AKyr, And here is the most cunning part! The backdoored module does not use any external servers as C&Cs: it uses the M.E.Doc software’s regular update check requests to the official M.E.Doc server upd.me-doc.com[.]ua. The only difference from a legitimate request is that the backdoored code sends the collected information in cookies.

т.е. центр управления зловредом - сервер апдейтов медка ..

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Tue, 04 Jul 2017 11:35:03 GMT

Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua

https://www.welivesecurity.com/2017/07/04/analysis-of-telebots-cunning-backdoor/

Tale of a malicious update

The Cyberpolice Department of Ukraine’s National Police stated, on its Facebook account, as did ESET and other information security companies, that the legitimate Ukrainian accounting software M.E.Doc was used by the attackers to push DiskCoder.C malware in the initial phase of the attack. However, until now, no details were provided as to exactly how it was accomplished.
During our research, we identified a very stealthy and cunning backdoor that was injected by attackers into one of M.E.Doc’s legitimate modules. It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.
The backdoored module has the filename ZvitPublishedObjects.dll. This was written using the .NET Framework. It is a 5MB file and contains a lot of legitimate code that can be called by other components, including the main M.E.Doc executable ezvit.exe.
We examined all M.E.Doc updates that were released during 2017, and found that there are at least three updates that contained the backdoored module:
01.175-10.01.176, released on 14th of April 2017
01.180-10.01.181, released on 15th of May 2017
01.188-10.01.189, released on 22nd of June 2017

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Vorlock — Mon, 03 Jul 2017 17:52:47 GMT

Uri:С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco!
Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"...

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

allCh — Mon, 03 Jul 2017 11:22:51 GMT

лучше пробуйте диск покдлючить к линуксовой системе и там достать данные.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

SAINT — Mon, 03 Jul 2017 11:03:58 GMT

https://cyberpolice.gov.ua/article/rekomendacziyi-shhodo-variantiv-vidnovlennya-dostupu-do-danyx-na-systemi-yaka-bula-urazhena-modyfikovanoyu-troyanskoyu-programoyu-petya-1649/

Будем пробовать этот способ. Хуже уже все равно не будет

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

victor84 — Mon, 03 Jul 2017 07:28:15 GMT

mazy: »» булшит

прям теория заговора!

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Mon, 03 Jul 2017 06:32:20 GMT

Uri: »» Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне.

булшит

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Uri — Sat, 01 Jul 2017 08:10:35 GMT

С вирусом в госструктурах (и не только!!!) все очень серьезно. Это был не просто вирус, как у нас в основном пишут, а хорошо спланированная атака на наши инфраструктурные объекты, когда на сервера был осуществлен планомерный заход извне еще задолго(!) до "пети", скомпрометированы все сертификаты Microsoft и считаны все админские учетки.
Сейчас об этом рано еще писать подробно, но серьезно пострадали также сервера и под Linux у кого был вход извне в их корпоративную сеть, а уже оттуда произошла подмена образов и дана команда "под админом" загрузить образы ядра извне. Досталось также и коммутаторам Cisco!
Если у кого не пострадали сервера в корпоративке - это не их заслуга, а просто к вам не заходили ДО "пети", вы их просто не интересуете как потенциальный объект. Ну, а сам "петя" - это уже был финал реальной атаки, "вишенка на торте"...

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mpa — Fri, 30 Jun 2017 18:15:56 GMT

Вчера было одно попадание
MSE справился, но мусор оставался.
Руками дочищал

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Yashka — Thu, 29 Jun 2017 17:57:06 GMT

Bitdefender Total Security - rulez. который год продляю и продляю подписку...

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Ваванчег — Thu, 29 Jun 2017 16:06:43 GMT

sandro3:

Uri:У нас стоял корпоративный Симантек... Случился апокалипсис.

Про симантек по секрету скажу, что там уже 4-5 лет в основном только базы обновляются. Новые версии штампуются путем перекрашивания интерфейса и замены стартовых заставок

Оставайся на месте. За тобой уже выехали.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

sandro3 — Thu, 29 Jun 2017 14:50:54 GMT

Uri:У нас стоял корпоративный Симантек... Случился апокалипсис.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Ваванчег — Thu, 29 Jun 2017 13:15:56 GMT

Uri, Вин7 с секурити ессенчиалс тоже в танке

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Lexa1983 — Thu, 29 Jun 2017 07:09:12 GMT

кто пробовал?
http://cert.gov.ua/?p=2647

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

dens — Wed, 28 Jun 2017 18:53:03 GMT

di_di, ключевое слово M.E.Doc, у меня есть ноут допотопный на Win98SE - тоже полёт нормальный, ибо "калькулятор" урыть сложно )))

пс
https://scontent-arn2-1.xx.fbcdn.net/v/t1.0-9/19430190_147520365810152_524366511615056488_n.jpg?oh=e2b2d3301295e555f55a724148bc4255&oe=59C8ED29
и
https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
https://medium.com/@gray25/%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D1%8B-%D0%BE%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9-m-e-doc-%D0%BE%D0%BA%D0%B0%D0%B7%D0%B0%D0%BB%D0%B8%D1%81%D1%8C-%D0%BD%D0%B0-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B5-wnet-f3f35db4de73

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

di_di — Wed, 28 Jun 2017 18:45:33 GMT

ХР, 7 - полет нормальный

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

dens — Wed, 28 Jun 2017 18:31:51 GMT

Uri:ЗЫ: У многих сотрудников стояли Вин7 - им настала опа... У многих стоял М.Е.Док.

домашний пк на Win7+жены ноут рабочий на 7ке (МЕДКом пользуется постоянно что на ноуте что на пк), везде установил штатный MSE+обновляю постоянно от мс - полёт нормальный, никакой опы не замечено. У тёщи на работе на 10ке слетело нах всё

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Uri — Wed, 28 Jun 2017 14:44:52 GMT

IntenT:Uri, Касперский, realy?? Єто тот, что сотрудник фесебе?

Та ХЗ, наверное, я им не пользуюсь... У нас стоял корпоративный Симантек... Случился апокалипсис.
Дома все ОК, так-как на всех ПК стояла Вин10 со всеми обновлениями Дефендера. На работе у меня тоже стояла Вин10 и только ругнулась на вирус, а потом сразу его удалила.
ЗЫ: У многих сотрудников стояли Вин7 - им настала опа... У многих стоял М.Е.Док.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

IntenT — Wed, 28 Jun 2017 09:53:27 GMT

Uri, Касперский, realy?? Єто тот, что сотрудник фесебе?

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Uri — Wed, 28 Jun 2017 07:53:41 GMT

Это какой-то цирк... Куча специализированного антивирусного софта за многие миллионы бабла профукала момент заражения! И Симантек, и Касперский, и еще масса других программ просто НИЧЕГО не заметили и сразу слились!
При этом всем Вин10 с БЕСПЛАТНЫМ дефолтным встроенным защитником прекрасно справилась с задачей!
ЗЫ: Ни одного факта заражения где была Вин10 с Дефендером и всеми обновлениями, что накатывались автоматически! Про ХР я молчу, там практически ВСЕ машины превратились в мусор, где народ хоть как-то активно лазил по инету или работал с бухгалтерией и документооборотом имея выход в инет.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Ваванчег — Tue, 27 Jun 2017 23:20:10 GMT

я я, май фюрер!

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

uzaren — Tue, 27 Jun 2017 23:00:19 GMT

философы, итить

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Ваванчег — Tue, 27 Jun 2017 21:49:11 GMT

Студент:

Vorlock:Dimm, )) ни один из моих 17 клиентов виндузятников не пострадал
руки.sys тоже решают

руки.sys не решают, решают прямые_руки.sys

мозг как бэ подсказывает: "руки" подразумевают "прямые руки"

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Студент — Tue, 27 Jun 2017 21:21:54 GMT

Vorlock:Dimm, )) ни один из моих 17 клиентов виндузятников не пострадал
руки.sys тоже решают

руки.sys не решают, решают прямые_руки.sys

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Vorlock — Tue, 27 Jun 2017 21:05:06 GMT

Dimm, )) ни один из моих 17 клиентов виндузятников не пострадал
руки.sys тоже решают

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Dimm — Tue, 27 Jun 2017 20:46:50 GMT

Макось и линукс наше фсё

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Sub — Tue, 27 Jun 2017 19:39:01 GMT

На даний момент попередньо відомо, що вірусна атака на українські компанії виникла через програму "M.E.doc." (програмне забезпечення для звітності та документообігу)

https://www.facebook.com/cyberpoliceua/posts/536947343096100

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Tue, 27 Jun 2017 16:17:29 GMT

mazy:

AKyr:таки что-то новое похоже
https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

да ничего нового
"It is a combo of Petya/Misha (also known as GoldenEye).
It only encrypts files on disk if it can't run as admin.
If it can runs as admin, it willl encrypt mbr, but not the files on disk. "

тот же способ распространения - юзерклик + просьба админ прав

не все так однозначно.

пострадал клиентский сервер. пропатченный. на шифрованном файле права админы и система. системные логи очищены перед перезагрузкой

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Tue, 27 Jun 2017 16:13:07 GMT

есть сообщения что Пеця ту же дырку что и WannaCry юзает )
кто-то еще с марта не обновился?

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Uri — Tue, 27 Jun 2017 15:05:30 GMT

На ДМИ обслуживание клиентов приостановлено. Я тоже попал сегодня под раздачу после обеда. Карты не принимают. Компьютеры не работают. Доступа к базе нет.

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

android — Tue, 27 Jun 2017 14:57:11 GMT

поехал-ка я к морьку)

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Tue, 27 Jun 2017 14:50:53 GMT

AKyr:таки что-то новое похоже
https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

AKyr — Tue, 27 Jun 2017 14:21:09 GMT

таки что-то новое похоже
https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/

RE: DOS.Petya / mbr locker 256 : HONDA Теревені

Sub — Tue, 27 Jun 2017 14:20:23 GMT

полстраны походу

DOS.Petya / mbr locker 256 : HONDA Теревені

mazy — Tue, 27 Jun 2017 13:54:04 GMT

ну , признавайтесь, кто свалился?
http://biz.liga.net/all/it/novosti/3696331-v-ukraine-proiskhodit-globalnaya-kiberataka.htm

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:DOS/Petya.A&ThreatID=-2147257025