Petya vagy nem, új Ransomware hullám

 ( hendrick | 2017. június 27., kedd - 19:05 )

https://twitter.com/hashtag/petya?src=hash
https://twitter.com/cam3r0n9/status/879747795212742656 vagy nem Petya https://twitter.com/hashtag/NotPetya?src=hash

Egy Metro szupermarket összes kasszája ransomware-áldozat:
https://twitter.com/NewsReport365/status/879712029698912257

Repülő utastéri gépek:
https://twitter.com/HackAndDo/status/879745418086805505

A Maersk is az áldozatok között van, a tőzsde is reagált:
https://twitter.com/cam3r0n9/status/879747795212742656

Igazából úgy látom semmi új a nap alatt, aki még mindig nem kapcsolta be a win updatet/frissített, az megkapta. Ami érdekes, hogy nem csak Kelet-Európai szupermarketek hanem komoly IT-vel rendelkező nagyvállalatok is... Darwin díjas cégek? Mikor fog egy ransomware átlépni a Rubiconon, hogy igazán csináljanak valamit ellenük? A legszatirikusabb ebben az USA új direktívája ami alapján kibercsapásra, fizikai csapással is válaszolhatnak. Mikor érik el ezek a csoportok a küszöböt, hogy ez államilag üldözött kb kiberterrorizmus legyen? Nyilván ha valamelyik állam szponzorálja a csoportot, akkor ott védettséget élveznek.

És itt az i-re a pont: https://www.washingtonpost.com/world/national-security/russian-military-was-behind-notpetya-cyberattack-in-ukraine-cia-concludes/2018/01/12/048d8506-f7ca-11e7-b34a-b85626af34ef_story.html?utm_term=.4fd1e91430f5

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

- A repulos kep fake: https://lh5.googleusercontent.com/-nHhEFH6nEAY/USycqyt1M7I/AAAAAAAAQDs/cyI-JK9gBLc/s1024/P1190939a.jpg
- Eddig 2.13 BTC ($5,077.2 USD) folyt be kb 5 ora latt
- Azert tud ilyen gyorsan terjedni, mert nem csak szerver-oldali sebezhetoseget hasznal ki (MS17-010), hanem emailben, kliens oldalon is allashirdetesre jelentkezesnek alcazza magat: CVE-2017-0199
- Felkeszul: CVE-2017-8464 | LNK Remote Code Execution Vulnerability: When the user opens this drive(or remote share) in Windows Explorer, or any other application that parses the .LNK file, the malicious binary will execute code of the attacker’s choice, on the target system.
- Allitolag full patchelt es SMBv1 protokol mentes gepet is erintett:

Windows 10 64bit running McAfee AV + Encrypted HDD. Fully patched with June's updates and manually disabled/removed SMBv1.

Hit at 12:40 UK time with a BSoD. Reboot "Please install operating system - no boot device".

Machines that did not have HDD encryption showed the red DOS text Ransomware message ($300 payment demand). So we think McAfee enc conflicted with the Petya enc.

http://colsec.blogspot.hu/2017/06/petya-outbreak-june-27th.html

- A posteo blokkolta az email accountot, igy a visszaallitas nem lehetseges: https://posteo.de/blog/info-zur-ransomware-petrwrappetya-betroffenes-postfach-bereits-seit-mittag-gesperrt

Egy kicsit túltolták a marketinget néhol("better context, richer signals" a videó vége fele), de ettől még a termék jónak tűnik, ha az lesz aminek állítja magát...

Valoszinu ez magyarazat a full patched win10 fertozesre: https://twitter.com/0x09AL/status/879703568042909696 (wmic-n keresztul megfertozi az osszes halozatban levo gepet attol fuggetlenul, hogy azok patcheltek)

ouch, de legalább SOHO környezetben fellélegezhetnek, ez a féreg első blikkre a bálnákat célozza.