«Роснефть» перешла на резервную IT-систему на фоне хакерской атаки. Вот тут молодцы, да. Если правда так, то это оперативно и здорово.

https://rns.online/energy/Rosneft-pereshla-na-rezervnuyu-IT-sistemu-upravleniya-na-fone-hakerskoi-ataki-2017-06-27/

⚡️BREAKING
Атака затронула Evraz и Хоум Кредит Банк.

В Питере идёт акция "Весны" по поминкам совести Минсвязи, люди несут цветочки.

Супермаркет "Рост", Харьков, Украина.

Тем временем, компьютеры Nestle также заражены :(

Совесть и здравомыслие РКН и Министерства Связи умерли, не родившись.

Вы прикиньте, парня задержали за то, что он просто принёс цветы. https://ovdinfo.org/express-news/2017/06/27/v-moskve-za-vozlozhenie-cvetov-k-zdaniyu-minkomsvyazi-zaderzhali

Вернёмся к теме вирусного апокалипсиса — это оказался не Petya. Всё-таки это другой зловред.
Общаюсь с представителями двух антивирусных компаний, разбираемся.

Или Petya...
В общем, разбираемся. Какая-то дичь.

Подписчик подсказывает, что это точно не Sasha или Vladislav.

Тем временем в Киеве. Прислал подписчик.

Так, похоже, что компьютеры европейских компаний поразил вирус типа Win32/Diskcoder.Petya.C, а вернее, его модификация. Он повреждает запись MBR, но, похоже, не трогает сами данные. Распространяется через уязвимость в SMB, но это не единственный способ распространения.

Можно попробовать fixmbr в консоли восстановления, или восстановить MBR запись Testdisk'ом.

Мне написал технический директор ESET Israel и подтвердил, что это новая модификация Petya.

Присылает подписчик:
В связи с масштабной атакой вредоносного ПО Petya напоминаем о бесплатном инструменте защиты от перезаписи MBR
(это делают программы-вымогатели перед шифрованием), разработанном Cisco TALOS:
http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter

Статья со ссылкой на это средство
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241

Анализ действий старой версии Petya с указанием варианта расшифровки (злоумышленники могли доработать свой продукт)
https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html

Инструкция по расшифровке для старой версии (с инструкцией «как снимать данные»)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Сам расшифровальщик (повторяем, злоумышленники могли доработать свой продукт)
https://github.com/leo-stone/hack-petya

Чтобы сдержать самостоятельное распространение этого образца вредоносного ПО по сетевой инфраструктуре необходимо закрыть TCP-порты 1024-1035, 135, 445 (или жёстко контролировать взаимодействие по ним).
Данные действия не являются панацеей, для блокирования распространения вредоносного ПО в результате неосторожных действий пользователей потребуются другие решения.

Сигнатуры для Snort
https://www.snort.org/advisories/talos-rules-2016-04-08
Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает),

Также напоминаем о видеоролике, демонстрирующем использование решений Cisco для обнаружения и блокировки активности программ-вымогателей (без использования «точной сигнатуры» вредоносного ПО, на основании поведенческого анализа, обнаружения аномалий и индикаторов компрометации) => https://www.youtube.com/watch?v=NO-X8US9IuE

Наш замечательный подписчик из Чехии принёс цветочки к консульству. Минсвязи там, увы, нет :)

Помогу всем, кто пострадал от вируса. Выключайте компьютеры и пишите на security@litreev.com, обязательно разрулим.

Maersk тоже грустит от новой модификации Petya.

⚡️ BREAKING
Чернобыльская АЭС перешла на ручной мониторинг радиации из-за кибератаки.