Вирус Petya. Как не стать жертвой

Что делать, чтобы не попасть, краткая инструкция ниже (не аналитика, так как атака в самом разгаре времени на анализ очень мало):
– первое и основное правило, не кликать на непонятные вложенные файлы, которые пришли от непонятного адреса, даже если очень хочется. Если кратко: “не трогайте г*, вонять не будет”.

Почему? Потому что первичное заражение происходит через фишинговое письмо с вложением Петя.apx. Далее распространяется через уязвимости в Windows DoblePulsar (https://ru.wikipedia.org/wiki/DoublePulsar) и EternalBlue (https://ru.wikipedia.org/wiki/EternalBlue).Если Вы не стали жертвой вируса Petya, то это не Ваша заслуга, а его недоработка))

Что делать, чтобы не попасть, краткая инструкция ниже (не аналитика, так как атака в самом разгаре времени на анализ очень мало):

– первое и основное правило, не кликать на непонятные вложенные файлы, которые пришли от непонятного адреса, даже если очень хочется. Если кратко: “не трогайте г*, вонять не будет”.

Почему? Потому что первичное заражение происходит через фишинговое письмо с вложением Петя.apx. Далее распространяется через уязвимости в Windows DoblePulsar (https://ru.wikipedia.org/wiki/DoublePulsar) и EternalBlue (https://ru.wikipedia.org/wiki/EternalBlue).

Также заражение могло происходить через сообщение в почте или мессенджере с ссылкой на Dropbox, при переходе на которую загружался установочный файл вируса.

Также один из векторов атаки идет через украинское программное обеспечение M.E.doc – информация департамента КиберПолиции Украины, но опровергнуто самой компании (https://www.facebook.com/medoc.ua/posts/1904044929883085)

Если Вас пронесло (пока что) или что делать, чтобы не попасть:
– Закройте доступ на своих рабочих станциях через протоколы SMB.
Это сделать можно так: https://www.youtube.com/watch?v=SVd1CzIV3h4

– сделайте бэк-ап важной информации и храните копии важных данных в клауде;
– используйте лицензионный Windows и желательно не ниже 7 (а по возможности вообще работайте на ios\linux) – вирус поражает компьютеры с операционными системами Windows XP / Vista / 2003 / 2008.
– включите Windows Firewall – это сделать можно так: https://www.youtube.com/watch?v=hmWqgk4IxIQ
– включите функцию UserAccessControl – это можно сделать так: https://www.youtube.com/watch?v=5ayT-cNwmV4
– установите патч от Windows, в зависимости от версии ОС на которой Вы работаете: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

Как понять, что “вы уже”:
– проверьте появление файла perfc.dat в папаке Windows, его наличие ожет быть индикатором заражения. (C:\Windows\perfc.dat)

Что делать, чтобы остановить дальнейшее заражение:
Необходимо заблокировать на всех компах с Windows TCP-порты 1024-1035, 135, 139 и 445.
Как это сделать: в командной строке запускаем скрипт:
— netsh advfirewall firewall add rule name=”Petya TCP” dir=in action=block protocol=TCP localport=1024-1035,135,139,445 netsh advfirewall firewall add rule name=”Petya UDP” dir=in action=block protocol=UDP localport=1024-1035,135,139,445

Что делать, если “совсем беда”, Ваш компьютер заблокировали и просят денег:
– НЕ платить! деньги будут потрачены, а компьютер будет и далее заблокирован!!!
– если Вы вовремя сделали бек-ап, то просто сносите все и устанавливайте Windows заново с совсеми шагами выше;
– попробуйте сгенерить ключ: https://github.com/leo-stone/hack-petya, правда не факт, что сработает, так как вирус новой модификации.

И еще раз повторю главное правило “не кликайте г*но всякое” и обучите своих сотрудников поступать также – курсы по информационной безопасности, хотя бы начального уровня, будут полезны всем.

Для “любознательных” дополнительно информацию можно получить вот здесь вот:
– http://blog.talosintelligence.com/…/worldwide-ransomware-va…
– https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
– https://www.talosintelligence.com/mbrfilter
– https://krebsonsecurity.com/…/petya-ransomware-outbreak-go…/

Берегите свое кибер-здоровье!

Leave a Reply

Your email address will not be published. Required fields are marked *