<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<p><a class="moz-txt-link-freetext" href="https://www.facebook.com/photo.php?fbid=1534429176630721&set=a.118247578248895.19787.100001909618416&type=3">https://www.facebook.com/photo.php?fbid=1534429176630721&set=a.118247578248895.19787.100001909618416&type=3</a><br>
</p>
<p>Укрпочта, Новая почта<br>
ОТП банк, Ощад банк<br>
ДТЭК, Центрэнерго<br>
Новус, Фоззи<br>
Датагруп, Киевстар, Астелит</p>
<p><br>
</p>
<p><a class="moz-txt-link-freetext" href="https://www.facebook.com/vstyran/posts/10155511714262372">https://www.facebook.com/vstyran/posts/10155511714262372</a><br>
</p>
<p> - Зараження<br>
Початкова інфекція відбувається через фішингове повідомлення (файл
Петя.apx) або оновлення програми M.E.doc. Поширення локальною
мережею – через DoblePulsar та EternalBlue, аналогічно методам <a
class="_58cn"
href="https://www.facebook.com/hashtag/wannacry?source=feed_text&story_id=10155511714262372"
data-ft="{"tn":"*N","type":104}"><span
class="_5afx"><span class="_58cl _5afz">#</span><span
class="_58cm">WannaCry</span></span></a>. </p>
<p> - Антивіруси<br>
Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.<br>
Symantec ніби зловив (прим. – лише остання версія АВ)<br>
McAfee у всіх відомих випадках облажався.<br>
Eset не реагує.</p>
<p> - IoC<br>
Індикатором компрометації може бути наявність файлу
C:\Windows\perfc.dat</p>
<br>
<div class="moz-cite-prefix">On 6/27/17 3:52 PM, Oles Girniak wrote:<br>
</div>
<blockquote type="cite"
cite="mid:c9d274ac-305b-6f48-a248-57e909aed3fd@uar.net">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<p>а хтось знає спосіб розповсюдження ?</p>
<p>0-day exploit ?</p>
<br>
<div class="moz-cite-prefix">On 27.06.2017 15:09, Volodymyr
Litovka wrote:<br>
</div>
<blockquote type="cite"
cite="mid:374ae4ec-4634-7113-c394-fcde02b23997@gmail.com">
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8">
<p><font face="SFNS Display">Відомо, що постраждали також
енергетичні компанії: "</font>Майже всі комп'ютери
Запоріжжяобленерго, Дніпроенерго та Дніпровської
електроенергетичної системи заблоковані вірусною атакою" -- <a
class="moz-txt-link-freetext"
href="https://www.obozrevatel.com/ukr/finance/economy/93746-pid-zagrozoyu-vsya-ukraina-virus-zablokuvav-robotu-kilkoh-oblenergo.htm"
moz-do-not-send="true">https://www.obozrevatel.com/ukr/finance/economy/93746-pid-zagrozoyu-vsya-ukraina-virus-zablokuvav-robotu-kilkoh-oblenergo.htm</a><br>
</p>
<br>
<div class="moz-cite-prefix">On 6/27/17 3:04 PM, Oles Girniak
wrote:<br>
</div>
<blockquote type="cite"
cite="mid:01cb4cec-71de-abac-501b-741edd5f2168@uar.net">хто що
знає про нову хвилю "атаки crypto-virus" на Windows? <br>
Кажуть сильно постраждав Ощадбанк, Укрпошта, Укртелеком. <br>
<br>
_______________________________________________ <br>
uanog mailing list <br>
<a class="moz-txt-link-abbreviated"
href="mailto:uanog@uanog.kiev.ua" moz-do-not-send="true">uanog@uanog.kiev.ua</a>
<br>
<a class="moz-txt-link-freetext"
href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog"
moz-do-not-send="true">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</blockquote>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
uanog mailing list
<a class="moz-txt-link-abbreviated" href="mailto:uanog@uanog.kiev.ua">uanog@uanog.kiev.ua</a>
<a class="moz-txt-link-freetext" href="http://mailman.uanog.kiev.ua/mailman/listinfo/uanog">http://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></pre>
</blockquote>
<br>
<pre class="moz-signature" cols="72">--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
</pre>
</body>
</html>