а вот еще подборка полезных ссылок по этому поводу, которую прислал читатель Игорь:

В связи с масштабной атакой зловреда Petya.A можно воспользоваться инструментом защиты от перезаписи MBR (это делает вирус перед шифрованием) от нашего TALOS:

http://blog.talosintelligence.com/2016/10/mbrfilter.html
https://www.talosintelligence.com/mbrfilter
https://www.snort.org/advisories/talos-rules-2016-04-08
http://www.darkreading.com/endpoint/new-free-tool-stops-petya-ransomware-and-rootkits/d/d-id/1327241

Реверс - https://0xec.blogspot.ru/2016/04/reversing-petya-ransomware-with.html
Спасибо Dmitry Kazakov за подборку!

Возможные индикаторы компрометации - наличие файла c:\windows\perfc.dat (ненадежный, но работает), для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024-1035, 135 и 445 или поставить обмен по ним на контроль.

P.S: AMP ловит эту заразу с момента появления ;)
P.P.S: Рецепт получения ключа расшифровки в статье про реверс ;)
Ещё один рецепт расшифровки и сам расшифровальщик
https://github.com/leo-stone/hack-petya

Инструкция (с информацией как снимать данные)
https://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

Petya.A в банкомате. Мне кажется, нужна интеграция между банкоматами и вирусами. Типа заразился — сразу нажимаешь кнопку "оплатить" и банкомат работает дальше

Последние новости: пишут, что вроде как Petya.A все же не использует уязвимость CVE-2017-0199, а путаница связана с тем, что атак одновременно две: одна в Украине, другая в мире. эксперты разбираются. А из Касперского вообще пишут, что это вроде и не Petya.A, поэтому новый вирус они назвали NotPetya

В любом случае, тут ещё одна лажа: почтовый провайдер, где находился ящик вымогателя, по которому надо было связываться для получения ключей дешифровки, заблокировал доступ к этому ящику. Теперь пострадавшие от вируса не могут даже толком и попробовать выкупить доступ к своим файлам

интересный совет по поводу Petya.A/NotPetya — если создать файл C:\Windows\perfc, то вирус не будет заражать компьютер. какая странная фигня.

Так, поправка: из других источников пишут, что создание файла не помогает предотвратить заражение. НО! Есть и хорошие новости: если вы увидели перезагрузку компьютера и начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам

На всякий случай напоминаю инструкцию о том, что нужно настроить в Телеграме, чтобы избежать последствий блокировки мессенджера, если таковая наступит http://telegra.ph/Kak-aktivirovat-SOCKS-5-v-Telegram-06-26

Petya killswitch from @0xAmit must match name of the spreading DLL - perfc.dll, providing it matches it'll prevent infections.

и снова здравствуйте. Вроде как основная волна заражений вирусом Petya.A улеглась, и можно, переведя дух, спокойно понять, что случилось. Во-первых, вирус оказался только похожим на Petya.A, а на самом деле это довольно сильно модифицированный вариант, поэтому разные компании называют его по-другому: кто NotPetya, кто ExPetya, есть еще Petrwrap, GoldenEye и Nyetya. Вирус устанавливал на компьютер файл Perfc.dat, который затем получал админские права, перезаписывал MBR для PhysicalDrive 0, перезапускал компьютер и шифровал данные. Распространялся по локальной сети он тремя методами: 1 используя уязвимость EternalBlue (та же, что и в случае с Wcry, 2 — используя админские инструменты Psexec и Windows Management Instrumentation.

Интересно, что вирус смог обмануть множество антивирусных приложений, демонстрируя фейковый и просроченный сертификат, якобы выпущенный Microsoft. С платежами у этого вируса не очень сложилось: во-первых, инструкция для оплаты была весьма сложной, во-вторых, единственный почтовый ящик для приема платежей практически сразу заблокировали. В целом, хорошая проработка вирусно-заразной части и плохая — платежной, вызывают подозрение, что цель этой атаки была вовсе не заработать денег, а внести побольше энтропии во вселенную. В Украине же источником заражения многих систем стало, похоже, бухгалтерское ПО MeDoc — похоже, что сначала заразили системы компании, а затем вирус оттуда распространился через автоматическую систему обновлений по клиентам компании. Насколько я понял, MeDoc — это популярное ПО, которое активно используется для учета и налоговой отчетности. Это, правда, не отвечает на вопрос, как заражались компьютеры в России — в той же РосНефти, например, так что не стоит спешить с выводами про спонсированную государством кибератаку.

Хороший технический анализ Nyetya есть у Talos http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

 а Wikileaks все не успокаивается и продолжает публиковать утекшие из ЦРУ инструменты. Теперь опубликовали документацию о проекте под названием ELSA. Это софтинка, которая устанавливается на компьютеры с Windows (используя какую-нибудь уязвимость, позволяющую поставить софт удаленно, например), и сообщает о местоположении пользователя. Фишка в том, что тулза сканирует доступные вокруг WiFi-сети, и, используя информацию о геолокациях, вычисляет, исходя из данных о WiFi-сетях, местоположение пользователя. Данные сохраняются на компьютере, а затем, по необходимости, оператор ЦРУ сливает данные с компьютера, используя другие известные уязвимости и бэкдоры. https://wikileaks.org/vault7/document/Elsa_User_Manual/

Интересно, NBC пишет, что сотрудники ФБР посетили около десятка сотрудников Kaspersky Lab в США, с вопросами о работе компании. в статье говорится, что это было некое "общее ознакомление", не в рамках какого-либо конкретного уголовного дела. Интересно еще, что в статье говорится о "миллиардере Евгении Касперском", хотя мне казалось, что все-таки до миллиардов Касперскому далеко. может, я ошибался. http://www.nbcnews.com/news/us-news/fbi-interviews-employees-russia-linked-cyber-security-firm-kasperky-lab-n777571

и еще немного о вирусной атаке. один из лучших отчетов о Petya/NotPetya/ExPetya/Nyetya https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/

Статья у Microsoft с деталями https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

И отчет у Касперского, из которого можно узнать, что у вируса просто НЕТ возможности расшифровать зашифрованные файлы. Выкуп платить еще более бессмысленно (после того, как заблокировали имейл-адрес вымогателей) https://blog.kaspersky.com/new-ransomware-epidemics/17314/

The 4 stages of Twitter during a malware outbreak.
1. OMG WE'RE ALL SCREWED IT'S SO BAD
2. It sucks
3. Should have patched
4. It was Russia

за всеми этими новостями про вирусы-вымогатели как-то даже руки не доходят писать об утечках информации (в общем-то, то, с чего этот канал начинался). есть такой сервис 8Track — популярная соцсеть вокруг музыки, плейлисты там, вот это все. У них взломали базу пользователей, 18 миллионов аккаунтов тютю, включая имена, имейлы, и замешанные с помощью SHA1 пароли. Теоретически эти пароли могут быть расшифрованы злоумышленниками, так что если вдруг вы там были зарегистрированы и этот логин-пароль используется еще где-то — самое время поменять пароли. https://blog.8tracks.com/2017/06/27/password-security-alert/

вы, наверно, слышали, что в iOS 11 появится специальный режим "не беспокоить, когда за рулем". Конечно, многие пользователи, скорей всего, не будут им пользоваться — "нужно срочно ответить на важную смс-ку!", поэтому полиция в Штатах со своей стороны тоже "вооружается". Похоже, что cellebrite (та самая контора, которая взламывала телефон террориста из Сан-Бернардино для ФБР) планирует обеспечить полицию как минимум в нескольких штатах устройствами, которое будет анализировать, что происходило на телефоне в определенное время. Типа, подключаешь телефон, и устройство расскажет полицейскому, какое приложение было активно в какой момент, не набирал ли юзер СМС. С одной стороны, если произошло ДТП и надо выяснить причину, то это вроде бы и полезно, но потенциально имеет некие осложнения для приватности информации. http://www.npr.org/sections/alltechconsidered/2017/04/27/525729013/textalyzer-aims-to-curb-distracted-driving-but-what-about-privacy

Хорошие новости для пользователей Linux. если вам было скучно, глядя на все эти истории с вирусами для Windows, и вы чувствовали, что самое веселье проходит мимо вас — не расстраивайтесь! Если верить отчету WatchGuard, сейчас наблюдается активный рост количества атак вредоносным ПО под Linux. Говорят, малварь даже самому собирать не надо! https://media.scmagazine.com/documents/306/wg-threat-reportq1-2017_76417.pdf

Хорошие новости для сразу 100% аудитории этого канала (то есть пользователей Telegram). Хоть вроде как его уже не собираются блокировать в России, но разработчики все равно выпустили обновление, позволяющее обходить блокировки государствами. @durov им всем еще покажет кузькину мать! https://telegram.org/blog/admin-revolution#free-speech

Эпидемия NotPetya уже вроде бы и в прошлом, а волны от нее все еще расходятся. В частности, интересно, что продолжается расследование о том, как распространялся вирус. Уже ни у кого не вызывает сомнений тот факт, что основным первоисточником стали сервера обновления программного обеспечения компании MeDoc — бухгалтерского и налогового учета в Украине. Много рассказывают о том, что это могла быть атака, спонсированная другим государством (известно каким), но не стоит спешить с выводами. Тут специалисты поисследовали саму инфраструктуру MeDoc и обнаружили там ужасы-ужасы в плане того, на каких соплях там все держится. Их сервер для обновлений работал под управлением старой версии софта для FTP (ProFTPD), в котором существуют известные уязвимости, для эксплуатации которых можно использовать публично доступные хакерские инструменты (в частности, Metasploit). подробный отчет о лажах в инфраструктуре MeDoc — по ссылке https://wvusoldier.wordpress.com/2017/07/03/notpetya-so-easy-anyone-could-do-it/

Читатель Слава прислал историю про украденные у него iPhone в Барселоне. История поучительна тем, что после кражи телефона воришки пытались с помощью фишинговых сообщений выманить у Славы логин-пароль к Apple ID, к которому были привязаны устройства, чтобы снять блокировку. Так что внимательно смотрите на УРЛы, которые вам приходят, и не только когда у вас, не дай бог, украли айфон.
Мне, кстати, присылают всякие интересные ссылки все время, и моя врожденная паранойя (плюс тематика этого канала) приучила меня опасаться присланных мне ссылок, так что я никогда на них не кликаю просто так. обычно я делаю copy-paste и открываю ссылку в специальной виртуальной машине, у которой минимум интеграции с хостовой ОС. осторожность лишней не бывает. А теперь — история Славы:

"История для канала. У меня с девушкой неделю назад в Барселоне украли 2 айфона в метро разом. Как нормальные люди, включили lost mode в find my iPhone с указанием активного номера телефона. Сегодня мой телефон включили, о чем я получил оповещение, примерно на минуту и, разумеется, сразу же заблокировался.

После этого в течении нескольких часов я получил 2 смс с номеров FindMyPhone и SMS с сообщениями "Apple Tracking has located iPhone 7 Plus 256GB near Barcelona 05:24 pm on June 30, 2017. View location at http://icloud.com.tl1.pw/find/?location=546e3".

Все бы хорошо, но вот сайт - не iCloud.com, хотя внешне выглядит в точности как он. Вот так пытаются разблокировать украденные iPhone в цивилизованной Европе.

Дополнительный совет: не заходить с чемоданами в первый вагон метро в Барселоне, особенно если это пересадочная станция с поезда из аэропорта :)"

это, конечно, мало затрагивает читателей нашего уютного канала, но все же интересная инфа об утечке пользовательских данных. В Великобритании утекла часть базы пользователей крупного автомобильного страховщика The Automobile Association (The AA). 13ГБ данных на более чем 117 тыс пользователей, вклюая имена, имейлы и данные банковских карточек (последние 4 цифры). Причем сначала контора отмазывалась, что у них ничего не утекло, потоом говорили, что вроде как только имейлы, а потом признали, что речь идет и о платежной информации пользователей. https://theantisocialengineer.com/did-the-aa-have-a-minor-breakdown/
традиционное напоминание о том, что поскольку информацию нынче собирают вообще все, то таких утечек будет все больше и больше