[Tanel]

27. juuni hommikul tabas maailma uus lunavaralaine, nakatunud on mitmete suurettevõtete süsteemid. Praeguseks on teada, et pahavara levib ülikiiresti ning taaskord on sihikule võetud Windowsi süsteemid. Praeguseks on kinnitatud nakatumised toimunud kaheksas riigis, Eestis teadaolevalt ühtegi nakatumist senini toimunud pole.

Teadaolevalt on tegemist Petya lunavara täiendatud versiooniga. Sarnaselt WannaCry juhtumile, mis toimus vaid kuu aega tagasi, ei ole ka praegusel juhul leitud nakatumisvektorit, kuid kahtlustatakse taaskord SMBv1 ning ExternalBlue ärakasutamist.

Lunavaraga nakatumise oht on kõikidel Windowsi operatsioonisüsteemi kasutavatel seadmetel, eriti laialdaselt on seekordne nakatumine tabanud Windows 7 operatsioonisüsteemi kasutavaid seadmeid.

Petya lunavaraga nakatumise ärahoidmiseks soovitame paigaldada Windowsi operatsioonisüsteemi viimased turvauuendused ning sulgeda SMB versiooni 1 kasutamine organisatsiooni arvutites. Lisaks soovitame andmeid varundada.

Võimalike kahjude ärahoidmiseks soovitame veenduda, et Teil on tehtud järgmised toimingud:

Kriitiline Microsofti turvauuendus Windowsi SMB serverile: technet.microsoft.com/en-us/library/security/ms17-010.aspx
MS17-012 - Microsofti turvauuendus Windowsile (14/03/2017): support.microsoft.com/en-us/help/4013078/title
Keelake SMB1 kasutamine ettevõtte masinates: blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Teadaolevalt puudub seekordsel lunavaraversioonil nn väljalülitusnupp, samuti pole hetkel lähemat teavet ründajate tausta ega motiivide kohta.

Juhul, kui teie süsteemid on mainitud moel kannatada saanud, ootame teid sellest teada andma Riigi Infosüsteemi Ameti intsidentide käsitlemise osakonnale CERT-EE meiliaadressil cert@cert.ee

Lühijuhend lunavaraga nakatumise ennetamiseks ja lahendamiseks (.pdf)
Esimene ingliskeelne uudis Ukraina sündmuste kohta: www.nytimes.com/reuters/2017/06/27/business/27reuters-ukraine-cyber-attacks-ukrenergo.html
Kokkuvõttev uudis: thehackernews.com/2017/06/petya-ransomware-attack.html

Allikas: https://www.ria.ee/ee/uus-lunavaralaine.html

Loe ka: http://www.bbc.com/news/technology-40416611

EDIT: http://www.delfi.ee/news/paevauudised/valismaa/euroopa-riigid-ja-suurfirmad-sattusid-massiivse-venemaalt-alguse-saanud-kuberrunnaku-alla?id=78701366

[arny]

selline tunne, et mingitel antiviiruste tegijatel on raha vaja ja kuna eelmine ring väga palju raha ei toonud siis nüüd uuesti, et inimesed hakkaks nende tooteid ostma.

[Mnator]

eks kaspersky leiab oma turuosa liiga väikese olema, võttis ju ka vene valitsuse appi ms-ga jagelemisel

[LKits]

On juba olemas mõni usaldusväärne "plug-and-play" tool, millega saaks SMB de-aktiveerida?

Tean, et on olemas power-shell käsud, registry kirjed jms, millega saab toimingu teostatud - see kõik peaks ju olema lihtsasti programmina tehtav?

[degreal]

[Osiris]

http://kasulik.delfi.ee/news/uudised/rahvusvahelise-kuberrunnaku-tottu-on-koik-ehituse-abc-poed-suletud?id=78705658

[Etz]

[LKits]

[Fort7]

[Etz]

[LKits]

Sõbrale saadad ka powershell skripti / käsud ilma juhisteta?

.exe saad ilusasti saata.

[Osiris]

Kui raske saab olla sellist rida läbi powershelli lasta, et peab mingi exe veel leiutama?

[mikk351]

Igaks juhuks:

[Reaper]

[Janis]

[LKits]

[sukelduja]

[Etz]

[LKits]

[H_K]

Alustuseks oleks vaja sellist tarkvarajuppi, mis näitaks ära, kas süsteemis neid auke üldse on, mis ohtu kujutavad ja lappimist vajaksid. Ise olen paaril viimasel päeval Windows 10-l lasknud "käsitsi" uuendusi peale, muidu tulevad automaatselt pagan teab millal - aga kuidas ma teada saan, kas Windowsi turvaparandused on selle uue augu ka ära lappinud.
Ma registritesse ja käsuridadesse süveneda ei taha - tahaks, et asjad kuidagi kultuursemalt korda saaks

[Etz]

LKits, SMB2'e ma jätaks sinu asemel rahule...

Lisaks need 2 on AFAIK dubleerivad:

[Magic]

ehituse abc oli pime
Ikka tõsine teema kui hetkel ka mingit teguvust pole.

[LKits]

[Tanel]

[Magic]

sai backup kõigest ja seiffi

[Tanel]

https://www.am.ee/Petya-NotPetya-vaktsiin

[mega]

[Betamax]

Eestis kah nüüd: http://www.err.ee/604539/rahvusvahelise-kuberrunnaku-tottu-on-koik-ehituse-abc-poed-suletud

[Etz]

[Magic]

TNT ka blää...

[Etz]

[LKits]

Aina paremaks läheb - lõpuks saab ühe korraliku scripti kokku
Tänud heade käskude eest

[NAIRI2]

[Etz]

NAIRI2, keerataks siis ainult MBR segamini, oleks elu lill...recoverdad selle lihtsalt ära ja elu läheb edasi.
MFT krüptitakse ära, mis tähendab et ükski sama NTFS volume peal olev fail pole enam loetav.

[SirVorkars]

See kodistab tavakasutjate arvutis ka ringi või ainult serverites ja nende klientides?

[tahanteada]

[Etz]

[WAUZZZ]

[Lord Ami]

tahanteada,
Seekordne "Petya" on siiski muudetud variant ja siin seda dekrüpteerimise meetodit kasutada ei saa. Jälgi fwosar Twitteris
Viimased uudised on üldse sellised, et see ei olegi raha kogumise eesmärgil tehtud. Pigem selleks, et meedia tähelepanu võita. Samal ajal pidavat Ukrainat rünnatama. Seda seletaks ka asjaolu, et email provider oli väga lampi valitud...

[Pätu]

TNT käis täna tööjuures pakki toomas ja viimas. Paberileht oli näpus. Ütles, et sattusid ka selle ohvriks. Et pihuarvutid jms asjad pidid kõik maas olema. Käis siis oma paberilehe ja pastakaga ringi. Vanakool

[Magic]

[Pätu]

Magic, TNT enda süsteem vist osaliselt toimib. Igaljuhul saatelehed jms asjad sai välja printida. Samas saatelehel oli pikk tekst, et sattusid küberrünnaku ohvriks ja süsteem ei pruugi töötada.

[sukelduja]

[olavsu1]

kas me ikka päris täpselt teame mida NSA vendadelt tegelikult pihta pandi....

[Magic]

[sukelduja]

[Fort7]

[WAUZZZ]

[Tanel]

https://geenius.ee/uudis/pohjalik-analuus-ria-vottis-suuri-probleeme-tekitava-pahavararunnaku-pulkadeks-lahti/

[Betamax]

Tahaks kah mõnda e-kirja näha. Süsteemiadminid võiksid nüüd oma spämilistid üle vaadata ja screenshotte postitada