holydiver_777 (holydiver_777) wrote,
holydiver_777
holydiver_777

Petya or not Petya

pc

“Беспечность есть причина всяких бедствий.”
/А. Джами/

Что-то за эту неделю устал слушать и отвечать на глупый вопрос: "У тебя как?" У меня все ОК. Видел этот вирус на одном из своих серверов.


На этом серваке "крутился" МеDоc (*сетевая версия). Сервер виртуальный оффтопик от одной известной компании /2003R2 (*его вполне достачно)/. Нода и Bacula установлены на Gentoo.
Началось все около 12 часов дня во вторник со звонков. Порты, питание компов и пр. ахинея, что нужно закрывать и отключать. Значения этому не придал. Backup есть. Все работало в штатном режиме.
Ближе к 19.00 на сервере появился характерный "синий" экран.  Дальше - в интернете много скринов о последовательности его действий.
Мне интереснее было поиграться. Выключил сетевую карту. Развернул ближайший бэк и стал ждать ))) Картинка повторилась. Потестил разные антивирусники и сделал вывод, что это не совсем Petya A.
Когда закончил опыты, восстановил бэк и уехал с работы. Среда был выходной и день чтений.

Умиляют такие вот перлы:

Ранее стало известно, что на Украине, которая первой пострадала от распространения вредоносной программы, вирус Petya изначально распространялся через программу M.E. Doc, которая пришла на замену российского софта для бухгалтерии "1С", после того как президент Петр Порошенко ввел санкции против российских IT-компаний.
Программа M.E. Doc была установлена в сотнях государственных учреждений и коммерческих организаций на Украине, и именно поэтому, по мнению экспертов, кибератака имела такой масштабный характер. В результате заражения шифровальщиком на Украине из строя вышли компьютерные сети аэропортов, железнодорожных вокзалов, банков, операторов сотовой связи, энергетических компаний, АЭС и госучреждений.


Она не пришла, а была достаточно давно. Вначале это был "БЕСТ ЗВІТ" (с1998 года). А потом М.Е.Doc.
1С Предприятие она не заменяет.

В ООН полагают, что сбор денег не был главным мотивом организаторов кибератаки.
Руководитель отдела по борьбе с киберпреступностью Управления ООН по наркотикам и преступности и Глобальной программы по киберпреступности Нил Уолш сообщил, что неумелая попытка хакеров получить выкуп от своих жертв свидетельствует об отсутствии у них обширного криминального опыта и указывает на то, что атака была любительской или же проводилась на государственном уровне. "Это может быть что угодно - от одного ребенка, сидящего у себя в подвале, до государства", - приводит радио "Свобода" слова главного эксперта ООН по киберпреступности.
По словам Уолша, своевременное обновление защитного программного обеспечения на компьютере снизит риск возможного заражения вирусом, но не устранит его полностью.

Брайан Лорд, бывший заместитель директора по разведывательным и компьютерным операциям в Центре правительственной связи Великобритании (британского эквивалента АНБ), также считает, что главным мотивом хакеров были не деньги.

"Это кто-то, кто хочет отключить Украину и создать видимость того, что поработал вирус-вымогатель, - говорит Маттье Суше, основатель провайдера кибербезопасности Comae Technologies. - Мотив политический - так же, как в декабре с электросетью ".

Такой вот интересный шифровальщик.
================================
Всегда было смешно, что в государственных структурах Украины (*бывает исключение) ПК и сервера есть, а должности системного администратора нет ))) Есть инженеры, секретари, врачи и др. с функциями сисадмина. Нет, ну понятно, что "слугам народа" до этого нет никакого дела.

Интересное наблюдение. В одной из компаний, которая достаточно хорошо стоит на рынке, увольнялся коллега. Причина обычная - деньги. Искали замену.
Резюме просто супер. Все умею и могу)) Хочу работать и денег.
Собеседование. Что такое DNS? DHCP? Как Вы видите топологию сети организации? А в ответ тишина... Тему портов совсем не трогали :)
Смотришь в резюме - ожидаемая з.п. 8000 грн., 9000 грн.
За какой?
Жесть.

Что там рассказывают о кибербезопасности?
----------------------------------------------------------------
*UPD

Petya - это лишь один из целой "стаи" вирусов. Похожий на Petya - друг Misha :) Предположу, что от Petya 2016 года, шифровальщик от 18 июня 2017 года взял только название ибо "собран" из нескольких вредоносных программ. Подождем результатов антивирусных лабораторий.

Очень кратенько:
вирус "Groysman" - поражает преимущественно операционную систему "Windows". Если винницк ... простите, "Windows" на компе нет, приводит ее с собой, устанавливает и поражает;
вирус "Oleg.L" - разговорчивый криптовирус после заражения начинает басом обвинять пользователя во всех преступлениях Уголовного кодекса Украины. Для прекращения потока платить вирусу нужно ежедневно;
вирус "Andriy.Lviv" - зашифровывает содержимое "корзины" пользователя и начинает рассылать его по всей адресной книге;

вирус "Semen" - полностью блокирует ваш компьютер. Денег не просит - уже взял у других;
вирус "Sirjozha" - сообщает, что на ваших жестких дисках ему недостаточно места, и требует срочно докупить диск на 200ТВ. В случае невыполнения условий направляет ваши документы руководству Совета Европы и депутатам ПАСЕ;
вирус "Guzhva" - приходит на компьютер со своими данными и требует от жертвы заражения по 10000 за снятие, 20000 за "гомосятину" и 35000 за "помолчать". При перемещении в карантин пищит о свободе слова;

вирус "Nestor" - вирус-шифровальщик, самый жесткий из всех перечисленных вирусов. Зашифрованные данные восстановлению не подлежат;
вирус "Khuilo" - гибридный вирус, заражающий и шифрующий целые области жестких дисков. При попытке удаления визжит, что его на зараженных участках нет.

Будет ли модифицированный Misha? Вполне возможно.

Интересное время для тупикал (
*typical) админов :)





Tags: gentoo, linux, windows, Киев, Украина, жизнь, люди, настроение, общество, работа
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 19 comments