Опасный вирус Petya распространяется по всему миру. Сегодня вымогатель добрался до Азии. О том, как можно защититься от вирусной атаки, поясняют специалисты Group-IB
27 июня многие страны оказались жертвами масштабной кибератаки вируса Petya. Он заблокировал тысячи компьютеров и потребовал за возвращение данных $300 в биткоинах (виртуальная валюта).
Заразились сотни компаний по всему миру, включая российские "Роснефть" и "Башнефть", украинские ("Приватбанк", "Борисполь", электроэнергетика, мобильные операторы и многие другие), а также ряд американских, индийских, австралийских и других компаний. Сегодня нападения продолжаются – Petya добрался и до Азии.
Сказать, что это опасно – ничего не сказать. Одно дело – блокировка данных простых пользователей, совсем другое – когда атакованы жизненно важные энергетические, телекоммуникационные и финансовые компании. От массовой кибератаки жизнь страны может попросту остановиться.
Как Petya это делает
Специалисты международной компании по предотвращению и расследованию киберпреступлений и мошенничеств Group-IB объясняют, что всё начинается с фишинговой рассылки на e-mail адреса сотрудников компаний. С момента открытия компьютер заражен, и происходит шифрование файлов. Говоря простым языком, доступ к вашим же данным блокируется.
Более того: вредоносный контент могут содержать любые вложения, включая форматы .doc, .docx, .xls, .xlsx, .rtf и другие файлы Microsoft Office. Если открыть вложение Petya, ваш компьютер автоматически захватывается вредителями.
Затем запускаются два потока.
Первый поток. Вредоносное ПО действует так, чтобы ваши антивирусы не срабатывали. Вирус использует уязвимость, известную как CVE-2017-0144. Это – инструмент АНБ США.
Массовая атака WannaCry, из-за которой пострадали полмиллиона компьютеров в 150 государствах, была основана на той же уязвимости. 14 апреля кибербандиты из ShadowBrokers выложили этот опасный инструмент в открытый доступ.
Второй поток. Вирус захватывает пароли администраторских учетных записей.
"Чтобы заразить всю сеть, нужен хотя бы один инфицированный компьютер, содержащий учетную запись администратора в LSA (доменную или локальную, если ее пароль одинаковый для других компьютеров в сети)", - подчеркнули специалисты Group-IB.
Достаточно всего 30-40 минут с момента заражения, чтобы Petya взялся за шифрования локальных файлов. Вымогатель пытается подменить MBR и MFT и уйти в перезагрузку.
Вирус очень хитрый: при перезагрузке шифровальщик притворяется сканированием системы, а затем довершает свои грязные дела на компьютере.
И вот оно – страшное сообщение на ваших мониторах с требованием прислать биткоины.
Защищайтесь, сударь
Как защититься от злобного Petya? Прежде всего – не платить вымогателям. Таким образом вы лишь спонсируете их, а гарантий восстановления данных нет. Лучше всего, конечно, подстраховываться и самые важные данные при возможности держать на внешних дисках.
Но можно потратить немного времени и обезопасить свой компьютер от вымогателей.
Group-IB предлагает следующие шаги:
Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows;
Установить патч KB2871997;
Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0;
Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные;
Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах;
Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010);
Экстренно отбирать администраторские права у всех, кому они не нужны;
Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети;
Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях;
Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников;
Отключите SMBv1 в сети;
Подпишитесь на Microsoft Technical Security Notifications.
Оценили 19 человек
19 кармы