
<div><div dir="auto">Борисполь тоже вроде не уцелел. Я как то думал что в подобных структурах все зарезано.</div><br><div class="gmail_quote"><div>On Tue, Jun 27, 2017 at 17:55 Volodymyr Litovka <<a href="mailto:doka.ua@gmail.com">doka.ua@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


  <div bgcolor="#FFFFFF" text="#000000">


    <p><a class="m_-7709914467737127655moz-txt-link-freetext" href="https://www.facebook.com/photo.php?fbid=1534429176630721&set=a.118247578248895.19787.100001909618416&type=3" target="_blank">https://www.facebook.com/photo.php?fbid=1534429176630721&set=a.118247578248895.19787.100001909618416&type=3</a><br>


    </p>


    <p>Укрпочта, Новая почта<br>


      ОТП банк, Ощад банк<br>


      ДТЭК, Центрэнерго<br>


      Новус, Фоззи<br>


      Датагруп, Киевстар, Астелит</p>


    <p><br>


    </p>


    <p><a class="m_-7709914467737127655moz-txt-link-freetext" href="https://www.facebook.com/vstyran/posts/10155511714262372" target="_blank">https://www.facebook.com/vstyran/posts/10155511714262372</a><br>


    </p>


    <p> - Зараження<br>


      Початкова інфекція відбувається через фішингове повідомлення (файл


      Петя.apx) або оновлення програми M.E.doc. Поширення локальною


      мережею – через DoblePulsar та EternalBlue, аналогічно методам <a class="m_-7709914467737127655_58cn" href="https://www.facebook.com/hashtag/wannacry?source=feed_text&story_id=10155511714262372" target="_blank"><span class="m_-7709914467737127655_5afx"><span class="m_-7709914467737127655_58cl m_-7709914467737127655_5afz">#</span><span class="m_-7709914467737127655_58cm">WannaCry</span></span></a>. </p>


    <p> - Антивіруси<br>


      Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.<br>


      Symantec ніби зловив (прим. – лише остання версія АВ)<br>


      McAfee у всіх відомих випадках облажався.<br>


      Eset не реагує.</p>


    <p> - IoC<br>


      Індикатором компрометації може бути наявність файлу


      C:\Windows\perfc.dat</p></div><div bgcolor="#FFFFFF" text="#000000">


    <br>


    <div class="m_-7709914467737127655moz-cite-prefix">On 6/27/17 3:52 PM, Oles Girniak wrote:<br>


    </div>


    <blockquote type="cite">


      <p>а хтось знає спосіб розповсюдження ?</p>


      <p>0-day exploit ?</p>


      <br>


      <div class="m_-7709914467737127655moz-cite-prefix">On 27.06.2017 15:09, Volodymyr


        Litovka wrote:<br>


      </div>


      <blockquote type="cite">


        <p><font face="SFNS Display">Відомо, що постраждали також


            енергетичні компанії: "</font>Майже всі комп'ютери


          Запоріжжяобленерго, Дніпроенерго та Дніпровської


          електроенергетичної системи заблоковані вірусною атакою" -- <a class="m_-7709914467737127655moz-txt-link-freetext" href="https://www.obozrevatel.com/ukr/finance/economy/93746-pid-zagrozoyu-vsya-ukraina-virus-zablokuvav-robotu-kilkoh-oblenergo.htm" target="_blank">https://www.obozrevatel.com/ukr/finance/economy/93746-pid-zagrozoyu-vsya-ukraina-virus-zablokuvav-robotu-kilkoh-oblenergo.htm</a><br>


        </p>


        <br>


        <div class="m_-7709914467737127655moz-cite-prefix">On 6/27/17 3:04 PM, Oles Girniak


          wrote:<br>


        </div>


        <blockquote type="cite">хто що


          знає про нову хвилю "атаки crypto-virus" на Windows? <br>


          Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком. <br>


          <br>


          _______________________________________________ <br>


          uanog mailing list <br>


          <a class="m_-7709914467737127655moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a>


          <br>


          <a class="m_-7709914467737127655moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>


        </blockquote>


        <br>


        <pre class="m_-7709914467737127655moz-signature" cols="72">-- 


Volodymyr Litovka


  "Vision without Execution is Hallucination." -- Thomas Edison


</pre>


      </blockquote>


      <br>


      <br>


      <fieldset class="m_-7709914467737127655mimeAttachmentHeader"></fieldset>


      <br>


      <pre>_______________________________________________


uanog mailing list


<a class="m_-7709914467737127655moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a>


<a class="m_-7709914467737127655moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>


    </blockquote>


    <br>


    <pre class="m_-7709914467737127655moz-signature" cols="72">-- 


Volodymyr Litovka


  "Vision without Execution is Hallucination." -- Thomas Edison


</pre>


  </div>


_______________________________________________<br>


uanog mailing list<br>


<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


<a href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></blockquote></div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature">Best regards<br>Dmitriy Shamenko<br>DevOps engineer and Rock Star<br>Skype: destiskkthx</div>