За последнюю неделю опубликовано 0 новых материалов.
Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc

  • Поучаствуй (в качестве покупателя) в любых пяти совместных покупках (кроме завершённых и "Моментальных") и получи группу "Новичок" навсегда -> ссылка на раздел
  • Получай до 480 рублей за каждого приглашенного пользователя!
    представляем Вам очередное расширение партнерской программы, подробности описаны тут -> ссылка
  • 90% материалов доступно к скачиванию после простой регистрации!
    Если же ты хочешь скачивать материалы без требования оставлять отзывы то получи группу "Новичок", 10 способов повышения описаны тут -> ссылка
  • К сожалению количество битых ссылок растет и мы уже не можем их оперативно восстанавливать поэтому просим помощи у каждого нашего пользователя.
    С сегодняшнего дня, за каждую восстановленную ссылку мы заплатим Вам.
    Подробнее тут -> ссылка
  • Перенесем твои заслуги с другого ресурса!
    Мы понимаем как сложно прокачивать аккаунты на форумах, вроде раскачал аккаунт, а тут появляется ресурс в 100 раз круче но тоже с системой прокачки и снова качать аккаунт...
    Предлагаем вам перенести Ваши заслуги на другом подобном ресурсе к нам.
    Подробности описаны тут -> ссылка
  • Вы можете получать по 2.5% с каждой покупки и продажи на маркете! Подробности в теме Партнёрская программа

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
38
20
Украинские компании атакует .NET клон WannaCry, а специалисты вновь обвиняют M.E.Doc



Внимание специалистов и СМИ всего мира в последние дни сосредоточено вокруг новой версии шифровальщика Petya (он же NotPetya, SortaPetya, Petna, Nyetya, ExPetr и так далее), которая, по сути, является не вымогателем, а вайпером, то есть умышленно повреждает информацию на диске, почти не оставляя шансов на ее восстановление.

От атак вредоноса в основном пострадали страны СНГ и Европы, но наибольший урон получили украинские компании. Ниже можно увидеть свежий график распределения атак, составленный специалистами компании ESET.



ИБ-исследователь, известный под псевдонимом MalwareHunter, и журналисты сайта Bleeping Computer обратили внимание, что Petya стал уже четвертым вымогателем, атаковавшим украинские организации за последнее время. Так, первыми были шифровальщики XData (в середине мая 2017 года) и PSCrypt (на прошлой неделе). Затем произошла массовая атака Petya, а теперь MalwareHunter обнаружил еще одну угрозу, которая тщательно копирует нашумевший вымогатель WannaCry.



MalwareHunter признается, что мог бы не заметить вредоноса, если бы практически все добавленные на VirusTotal образцы малвари не поступали от украинских пользователей. Эта особенность привлекла внимание специалиста. Судя по всему, атака началась еще 26 июня 2017 года, за день до начала массового распространения Petya.

По словам специалиста, внешне малварь выглядит в точности как WannaCry, но не является полноценным клоном этого шифровальщика. Так, оригинальный WannaCry был написан на C, тогда как подражатель использует .NET. При этом MalwareHunter отмечает, что это один из наиболее талантливо написанных .NET-вредоносов, что ему приходилось видеть.

Подражатель WannaCry

Также подражатель не применяет для распространения эксплоиты ETERNALBLUE и DOUBLEPULSAR, а их можно назвать «визитной карточкой» оригинального WannaCry. Фактически, сходство с WannaCry начинается и заканчивается на GUI нового шифровальщика. Кстати, в отличие от многих других подделок под WannaCry, данная малварь действительно работает и «умеет» шифровать файлы.

Внимание исследователя привлек и еще один небезынтересный нюанс. Изучая поступившие на VirusTotal образчики поддельного WannaCry, специалист заметил упоминание продукции компании M.E.Doc (см. скриншот ниже). Это название в последние дни часто встречается на страницах СМИ и в отчетах экспертов.



В нашем обзоре ситуации, сложившейся вокруг Petya, мы уже писали о том, что еще 27 июня 2017 года украинская киберполиция сообщила, что по предварительным данным, шифровальщик Petya распространился на территории Украины так быстро и масштабно «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos, Microsoft и «Лаборатории Касперского».
We are confident that trojanized MeDoc updates were used as an infection vector against several of our users. https://t.co/5lbvNhn6KX

— Costin Raiu (@craiu) June 29, 2017

Эксперты предположили, что именно M.E.Doc был «нулевым пациентом» и распространял Petya, так как вредонос применяет эксплоиты АНБ, переработанный опенсорсный инструмент Minikatz, а также WMI и PSEXEC для распространения внутри локальных сетей.

При этом 27 июня 2017 года на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре пропало с сайта и теперь доступно только в кеше Google. Вечером того же дня представители M.E.Doc опубликовали на своей странице в Facebook официальное сообщение, в котором категорически опровергли свою причастность к распространению Petya.

Теперь MalwareHunter заметил, что один из компонентов подражателя WannaCry скрывается по адресу C://ProgramData//MedocIS//MedocIS//ed.exe. После этого исследователь предположил, что компания ответственна за распространение не одного вредоноса.

Страница M.E.Doc в Facebook в последние дни изобилует опровержениями. Компания продолжает утверждать, что не имеет никакого отношения к распространению Petya и привлекла к расследованию происходящего правоохранительные органы и специалистов Cisco, тогда как пользователи задают разработчикам вполне здравые вопросы:



Более того, вечером 29 июня 2017 года компания сообщила, что в связи с появлением информации о второй волне заражения, M.E.Doc временно отключает возможность автоматической загрузки обновлений. Согласно официальному заявлению, это было сделано исключительно ради того, чтобы избежать «появления новых спекуляций», а не из-за того что компания решила признать факт компрометации.

Так выглядела главная страница сайта M.E.Doc на момент написания этого материала

MalwareHunter и журналисты Bleeping Computer резюмируют, что все шифровальщики, атаковавшие Украину в последнее время, имеют схожий «почерк». Так, XData был основан на украденных исходных кодах вымогателя AES-NI, PSCrypt базировался на исходных кодах GlobeImposter, а NotPetya является сильно переработанной версией Petya 2016 года. Новая угроза, в свою очередь, маскируется под WannaCry.

Учитывая, что в двух случаях из четырех также фигурирует компания M.E.Doc (возможно, даже в трех случаях, так как XData, вероятно, тоже был связан с бухгалтерским ПО M.E.Doc), исследователи пишут, что происходящее больше похоже на спланированную операцию «правительственных хакеров», нежели на цепь случайных совпадений. Впрочем, пока эксперты лишь строят теории о том, на каких именно «правительственных хакерах» может лежать ответственность за происходящее, так как речи о каких-либо уликах и доказательствах пока не идет.

Фото: Bleepingcomputer, ESET, Verge
 

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
414.370
Сообщения
475.396
Пользователи
96.561
Новый пользователь
starushka

Приложения форума для iOS и Android


У ркн там нет власти ;)
Приватные разговоры
Помощь Пользователи
    Вы не присоединились ни к одной комнате.