[uanog] New virus attack

Volodymyr Litovka doka.ua at gmail.com
Tue Jun 27 15:55:11 EEST 2017 

https://www.facebook.com/photo.php?fbid=1534429176630721&set=a.118247578248895.19787.100001909618416&type=3

Укрпочта, Новая почта
ОТП банк, Ощад банк
ДТЭК, Центрэнерго
Новус, Фоззи
Датагруп, Киевстар, Астелит


https://www.facebook.com/vstyran/posts/10155511714262372

- Зараження
Початкова інфекція відбувається через фішингове повідомлення (файл 
Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – 
через DoblePulsar та EternalBlue, аналогічно методам #WannaCry 
<https://www.facebook.com/hashtag/wannacry?source=feed_text&story_id=10155511714262372>. 


- Антивіруси
Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.
Symantec ніби зловив (прим. – лише остання версія АВ)
McAfee у всіх відомих випадках облажався.
Eset не реагує.

- IoC
Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat


On 6/27/17 3:52 PM, Oles Girniak wrote:
>
> а хтось знає спосіб розповсюдження ?
>
> 0-day exploit ?
>
>
> On 27.06.2017 15:09, Volodymyr Litovka wrote:
>>
>> Відомо, що постраждали також енергетичні компанії: "Майже всі 
>> комп'ютери Запоріжжяобленерго, Дніпроенерго та Дніпровської 
>> електроенергетичної системи заблоковані вірусною атакою" -- 
>> https://www.obozrevatel.com/ukr/finance/economy/93746-pid-zagrozoyu-vsya-ukraina-virus-zablokuvav-robotu-kilkoh-oblenergo.htm
>>
>>
>> On 6/27/17 3:04 PM, Oles Girniak wrote:
>>> хто що знає про нову хвилю "атаки crypto-virus" на Windows?
>>> Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком.
>>>
>>> _______________________________________________
>>> uanog mailing list
>>> uanog at uanog.kiev.ua
>>> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>>
>> -- 
>> Volodymyr Litovka
>>    "Vision without Execution is Hallucination." -- Thomas Edison
>
>
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> http://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20170627/b073e2a0/attachment-0001.html>

More information about the uanog mailing list