Comments 34

Хмм… Может в будущем удастся эти данные дешифровать. Пока отслеживаю.
Но как вижу PIK разный на всех зараженных машинах.
Интересно, а пароль у этого криптора может быть как 564820731?


Пока только отслеживаю.

https://blog.malwarebytes.com/threat-analysis/2017/10/badrabbit-closer-look-new-version-petyanotpetya/


Mimikatz и брут паролей, способствовал расползанию по сеткам. Непонятно почему все говорят о направленных атаках. Тут шла не адресная рассылка, а ломали всех без разбору кто новостные сайты посещал.
Взлом популярных сайтов это уже много раз было.

Судя по всему, никакой уязвимости и не было — просто доверчивые пользователи получали exe'шник, подтверждали скачивание и запуск, а дальше был банальный брут админских паролей и использование Mimikatz, чтобы получить инфу об учётках залогинившихся юзеров…
Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

Можно поподробнее про признаки? Как отсеивали посетителей сайтов для атак на корпоративные сети?
Решил пока кабель RJ-45 из розетки вытащить, маякните, как все утихнет…

Ethernet то зачем? (Просто могли сломать руты.(Конечно если вы в Windows, то отключили бы IPv4/IPv6 протоколы.))
А так всё уже упеклось.
Домен распространения закрыт.

Зачем всё так усложнять?

Это ещё пока просто.


Вырубил питание — и нет проблем…

А если нужно чтобы работал?

Таким образом, помимо создания дат файлов, обновлений ОС, нужно напомнить пользователям, чтобы не скачивали/инсталлировали Adobe Flash installer.

И все?
А если создать самому файлы: C:\windows\infpub.dat, C:\Windows\cscc.dat и потом выставить этому файлу права «только для чтения»?

Спустя 36 часов после его обнаружения, внутренности уже исследованы компаниями ну и подготовлен краткий дайджест о Ransomeware от Ройса Уильемса. Занимающегося разработкой открытого программного обеспечения для восстановления доступа к компьютерной системе.

Очень сильно ошибся со в временем.(На ~24 часа.) И даже не дайджест, а краткая информация не "о Ransomeware", а "о Bad Rabbit"

Я не местный, но… Как может файл .exe загрузиться и тем более запуститься без ведома администратора или пользователя компьютера?
Пользователь заходит на сайт, появляется всплывающее окно типа «обновление flash плеера», пользователь нажимает ок-далее-далее…
Всё ))
Я хапнул этого гада с сайта фонтанка ру. Обманулся обновлением флеш-плеера, хотя читал информацию про то, что его «похоронили».
Помогла переустановка ОС. Вирус не затронул мои файлы, которые лежали на другом винте.
Вирус не затронул мои файлы, которые лежали на другом винте.
— Он зашифровал только системный диск и не тронул остальное, или просто не успел?
я думаю, тупо не успел. ОС стоит на винте в 500 Гб, а данные на 1.5Тб.
Когда я опомнился, комп не отвечал ни какие шевеления ОС. Поэтому я тупо нажал Reset, потому что он не откликался даже на три пальца.
Думаю, это меня и спасло.
мало подробностей. судя по касперскому вообще на какой то фейк смахивает.
Возможность распространения и исполнения такого — это сознательный выбор пользователей (потерпевших). Сколько, какое время назад было сказано про элементарные пути защиты.
Это особенно касается таких крупных контор, как перечисленные СМИ, Киевский метрополитен и тем более международный аэропорт.
Админов и руководство надо тестировать при приеме на работу и периодически проводить превентивный ликбез по безопасности.
В этом случае, судя по всему, обошлось без ошибок в софте. А значит должны были сработать такие первоначальные меры, как ограничения учеток и srp (или аналоги).
Не имею отношения к админству и хелпдеску, но чем больше такого дерьма, тем больше рабочих мест для вышеназванных. По-моему, выгода для экономики ))
По сабжу: вирус расчитан на дебилов и хомячов (home user), ибо во всех более менее «корпоративных сетях» стоят фильтры на exe файлы, как в почте так и на проксях. Делается очень просто и бесплатными средствами ))
ибо во всех более менее «корпоративных сетях» стоят фильтры на exe файлы, как в почте так и на проксях. Делается очень просто и бесплатными средствами ))
следующая версия вируса будет идти в zip, его тоже предлагаете запретить?
Незапароленные zip вполне себе проверяются и фильтруются по контенту…
Заражать можно и через обычные doc файлы, так что полностью не защитишься. Можно лишь снизить шанс
Only those users with full accounts are able to leave comments. Log in, please.