Наш ассоциированный член www.Bikinika.com.ua

  • Главная
    • /
  • Блог
    • /
  • Як комп'ютери заражаються вірусом Petya і як від нього захиститися

Як комп'ютери заражаються вірусом Petya і як від нього захиститися

  1. Використовує методи WannaCry
  2. Миттєво поширюється по Мережі
  3. Підозрюється українська програма
  4. Як уникнути зараження

Вчорашні новини з України, Росії і навіть Білорусі нагадували сюжет голлівудського фільму про хакерів - вірус заблокував комп'ютери життєво важливих об'єктів, в тому числі Чорнобильської АЕС , Зупинив роботу великих підприємств. Вчорашні новини з України, Росії і навіть Білорусі нагадували сюжет голлівудського фільму про хакерів - вірус заблокував комп'ютери життєво важливих об'єктів, в тому числі Чорнобильської АЕС , Зупинив роботу великих підприємств

Зображення: twitter.com

За даними криміналістичної лабораторії Group-IB, від вірусу Petya ( за останніми даними, ExPetr ) Постраждали більше 80 компаній в Росії і Україні. Українське видання AIN.UA оцінило кількість організацій-жертв в кілька сотень.

Також з'явилися повідомлення про атаки в інших країнах: в Литві, Іспанії, Португалії, Франції, Великобританії, Нідерландах, Данії та США.

Використовує методи WannaCry

Зовсім недавно світ пережив велику атаку вірусу-здирника WannaCry, який використав складний програмний експлойт EternalBlue, розроблений, як передбачається АНБ США, пише The Verge.

Повідомляється, що вірус Petya також використовує цей експлойт, однак зараз він перестав бути таким ефективним зброєю для швидкого поширення - більшість компаній оновило операційні системи, закривши вразливі для EternalBlue місця.

Зображення: Сайберсекьюріті і Ко / Telegram

Миттєво поширюється по Мережі

Замість цього Petya використовує більш фундаментальні уразливості в роботі комп'ютерних мереж. У цьому плані новий вірус більш просунутий і може залишати цілі організації в набагато більш скрутному становищі.

«Поширюється ДУЖЕ швидко. Бачив мережі з 5 тисячами комп'ютерів, які заразилися менше ніж за 10 хвилин ». Девід Кеннеді, глава компанії TrustedSec, що займається інформаційною безпекою.

Якщо WannaCry поширювався завдяки погано захищеним, неоновленими системам, то Petya «зосередився» на великих корпоративних мережах. Як тільки заражався один з комп'ютерів в мережі, вірус, швидше за все, використовував мережеві інструменти Windows, такі як інструментарій управління Windows (WMI) і PsExec, для зараження інших комп'ютерів, пише The Verge.

Обидва інструменти зазвичай використовуються для віддаленого доступу адміністраторів, але експерт з мережевої безпеки Леслі Кархарт каже, що вони ж часто є способом поширення шкідливого ПЗ в вразливою мережі. «WMI - це суперефективний метод для хакерів. Він вбудований в системи і рідко реєструється або блокується засобами безпеки », - каже Кархарт. «Psexec менше використовується і більше контролюється, але все ще дуже ефективний».

«Psexec менше використовується і більше контролюється, але все ще дуже ефективний»

Підозрюється українська програма

згідно з дослідженням Talos Intelligence, вірус міг почати поширення через фальсифіковане оновлення в українській бухгалтерській програмі MEDoc.

творці програми стверджують, що це не так , Оскільки останнє оновлення було розіслано ще 22 червня - за п'ять днів до атаки. Однак ряд інших дослідницьких груп погоджуються з Talos, вважаючи, що хакери підробили цифровий підпис в апдейте і таким чином проникли в мережі компаній. На це ж побічно вказує те, що 60% заражень вірусом довелося на Україну - там заражені багато великих підприємств, включаючи центральний банк і найбільший аеропорт.

Як уникнути зараження

У «Лабораторії Касперського» рекомендують включити всі рівні антивірусного захисту і вручну оновити антивірусні бази. Також слід встановити всі оновлення безпеки Windows (вони доступні на офіційному сайті Microsoft).

«В якості додаткової міри обережності за допомогою AppLocker забороніть виконання файлу perfc. dat і запуск утиліти PSExec з Sysinternals Suite », - відзначають фахівці.

Експерти компанії Positive Technologies і Symantec вважають , Що локально зупинити шифрувальника можна, створивши порожній файл без розширення з назвою perfc в каталозі С: \ Windows.

Справа в тому, що в момент атаки Petya шукає файл C: \ Windows \ perfc. Якщо такий файл на комп'ютері вже є, то вірус закінчує роботу без зараження.

Щоб створити такий файл для захисту від Petya можна використовувати звичайний «Блокнот». Причому різні джерела радять створювати або файл perfc (без розширення), або perfc.dll. Фахівці також радять зробити файл доступним лише для читання, щоб вірус не міг внести в нього зміни (це можна зробити у властивостях файлу).

Для припинення поширення вірусу слід закрити TCP-порти 1024-1035, 135 і 445, радить керівник криміналістичної лабораторії Group-IB Валерій Баулін.

Також фахівці радять зробити резервні копії важливих файлів на випадок можливого зараження в подальшому. Крім того, якщо комп'ютер заражений і вимагає перезавантажитися, не можна давати йому це робити. Як мінімум, у вас буде час зберегти всю цінну інформацію.

важливо

Якщо ваш комп'ютер вже заражений даними шифрувальником і файли заблоковані, платити викуп не рекомендується, пише «Лабораторія Касперського». Це не допоможе вам повернути файли: справа в тому, що служба e-mail, послугами якої користувалися зловмисники, заблокувала поштові адреси, на які повинні приходити дані про сплату викупу. Так що навіть якщо ви перекладете гроші, вам не вдасться зв'язатися з ними, підтвердити переказ і отримати ключ, необхідний для відновлення файлів.

Читайте також:

Глобальна епідемія вірусу: аналог WannaCry дістався до Білорусі

Новости