Печать

Пожалуйста, войдите или зарегистрируйтесь.
1 час 1 день 1 неделя 1 месяц Навсегда

[Lutyk]

Рекомендации CERT-UA по обеспечению защиты от заражения вирусом-шифровальщиком:

• Обеспечить недопустимость открытия вложений в подозрительных сообщениях (в письмах от адресантов, относительно которых возникают подозрения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора; нетипичное обращение к адресату и т.д.; сообщения с нестандартным текстом, побуждающие к переходу на подозрительные ссылки или к открытию подозрительных файлов — архивов, исполняемых файлов и т.д.).
• Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.
• Установить https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.
• В случае инфицирования персонального компьютера не перезагружать систему.
• Ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%..
• Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec.

Источник: CERT-UA

[Voha]

 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx - оно ж в марте вышло... у нас походу макаки с гранатами сидят вместо специалистов

[plastilin]

Уточненка по атаке от 27.06.2017

Вирус распространялся по URL

http://www.1c-sed.com.ua/downloads/9/zvit9.php     
http://upd.me-doc.com.ua/
http://1c-sed.com.ua/

Дата та версія для оновлення M.E.Doc що містили бекдор

14.04.2017      01.175-10.01.176
15.05.2017      01.180-10.01.181
22.06.2017      01.188-10.01.189

Перелік веб-шеллів:
hxxp://me-doc.com.ua/TESTUpdates/med.php [1 KB     11/12/14     12:00:00 AM]
hxxp://me-doc.com.ua/TESTUpdates/medoc_online.php [16 KB     5/31/17     2:45:00 PM]
hxxp://me-doc.com.ua/TESTUpdates/MedocZarplata/index.old.php [ 1 KB     11/11/14     12:00:00 AM]
Веб-шелл просить авторизації - або по COOKIE або по параметру в URI.

Процеси, що відбувались на уражених ПЕОМ:
- на комп'ютері реєструєтся подія, Logon’е (код події 4624);
- на комп'ютері реєструєтся подія, Logon’у (код події 4672);
- на комп'ютері реєструєтся запуск служби PSEXESVC (код події 7045);
- на комп'ютері запускаєтся процес типу:
          %WINDIR%\rundll32.exe
          “C:\Windows\perfc.dat”,#1,
          “%HOSTNAME%\%USERNAME%:%PASSWORD%”
- на комп'ютері створюється файл « C:\Windows\dllhost.dat », представляє собою PsExec;
- на комп'ютері в директорії «%TMP%» створюється виконуючий файл з довільним іменем.mimikatz;
- на комп'ютері реєструєтся багато подій, які свідчать про спроби авторизації з явно вказаними аутентифікаційними даними на інших комп'ютерах в мережі (код події 4648); при цьому, активність йде на мережеві порти 445/tcp або 139/tcp.

Зібрану інформацію шкідливий код збирає та записує в реєстр Windows в директорію HKEY_CURRENT_USER\SOFTWARE\WC.

Перелік Індикаторів, повязаних з активністю бекдорів (з квітня по т.ч.)

82.221.131.52
82.221.128.27
130.185.250.171
176.123.2.250
193.29.187.78
176.31.182.167
hххps://bankstat.kiev.ua
hxxps://capital-investing.com.ua
hxxps://transfinance.com.ua
hxxps://invest-trade.com.ua
hxxps://banky.com.ua
Microsoft Help Service (имя службы для VBS-бекдора)
Windows Help Service (имя службы для VBS-бекдора)
37.59.10.101
api.telegram.org
149.154.167.200
149.154.167.197
149.154.167.198
149.154.167.199