Как защититься от вируса, который блокирует компьютеры украинских компаний

Gloss 27 июня, 2017, 19:00
 0

Сегодня по всей Украине компьютерные сети государственных и частных компаний заразились вирусом-шифровальщиком. Вирус работает по схеме, схожей с недавней атакой WannaCry, от него пострадали сети «Укрпочты», «Укртелекома», «Фармака», «Киевэнерго» и многих других крупных и мелких компаний. Вирус атакует только системы на Windows: к примеру, в «Укртелекоме» системы, зависящие от Unix-серверов, не пострадали. Редакция собрала мнения о том, как происходила атака и что делать, чтобы обезопасить свои компьютеры.

В компании ISSP, которая занимается кибербезопасностью, исследуют сегодняшнюю атаку и уже готовы делиться промежуточными выводами. По мнению экспертов ISSP Labs, сама атака началась ориентировочно в марте-апреле 2017 года с изучения инфраструктуры, перехвата паролей, административно-технологических учетных записей.

По словам Олега Деревянко, главы совета директоров ISSP, такие атаки называются APT-атаками (APT - advanced persistence threat, то есть, стойкие угрозы высокого уровня). Хакеры проникают и находятся внутри сетей длительное время, изучают их, мимикрируют в среде информационных систем, устанавливают дополнительные бэкдоры и «спящих агентов». После очередной активной фазы они возвращаются и в нужное время запускают финальную фазу атаки, направленную или на вывод систем из строя, или на эксфильтрацию данных.

В настоящий момент проходит финальная стадия кибератаки, известная в модели ThreatSCALE, как Clean up, отмечают эксперты ISSP Labs. На этой стадии выполняются уничтожение MBR (главная загрузочная запись - код и данные, нужные для загрузки системы - ред.) и шифрование диска.

«Специалистам по информационной безопасности и IT-специалистам компаний настоятельно рекомендуем в случае успешного восстановления загрузочной области (MBR) срочно собрать log-записи и проанализировать их с помощью экспертов для выяснения действительной причины и способа первоначального проникновения злоумышленников», - советуют в компании.

В украинской Киберполиции рекомендуют обезопаситься, не открывая вложения в письмах от неизвестных адресатов, а также установить последние патчи для ОС:

Для менее распространенных, а также серверных версий ОС патчи можно найти по ссылке.

В компании «Бакотек» согласны с тем, что заражение могло произойти много месяцев назад и вирус активировался сегодня по команде извне. По оценкам специалистов компании, вирус распространяется через почту. При открытии вложения из письма, используя уязвимость CVE-2017- 0199, зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.

Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017- 0199 и показала, как эксплуатируется этот код. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.

Компания также выпустила серию рекомендаций о том, как защититься от вируса:

  • блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
  • на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
  • на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
  • блокировка SMB и WMI-портов. В первую очередь 135, 445;
  • после заражения – не перезагружайте компьютер;
  • не открывайте подозрительные письма и особенно вложения в них;
  • принудительно обновите базу антивируса и операционные системы.

Еще немного полезных ссылок на тему (пока не установлена точно разновидность шифровальщика, однако есть данные о том, что это модификации уже известного вируса Petya):

  • Данные о вирусе Win32/Petya.A в базе Microsoft.
  • Cтатья о генерации ключей для дешифровки заблокированного диска на Geektimes.
  • Статья об одной из улучшенных версий «Пети» на MalwareBytes.
  • Обсуждения и советы по обнаружению вируса от специалистов (к примеру, обновляемый пост основателя компании Berezha Security Влада Стырана). Один из его советов о том, как заблокировать распространение вируса по сети: заблокировать TCP-порты 1024-1035, 135, 139 и 445.
  • Советы по генерации ключей для дешифровки с Bleeping Computer.

Комментарии

  • 13 мая 16:59 В Киеве на ВДНГ откроется 25-метровый открытый бассейн    0
  • 12 мая 17:52 В одном из районов Киева появятся новая школа и три детсада    0
  • 11 мая 11:27 В столице появится новая скульптура от автора "Малышей-основателей Киева"    0
  • 11 мая 09:31 Синоптики прогнозируют дождливую погоду и небольшое похолодание на этой неделе в Киеве    0
  • 10 мая 17:47 В Киеве в Мариинском парке появился памятник матерям    0
  • 10 мая 09:56 День Киева 2021: будет ли Пробег под каштанами и торжественные мероприятия, зависит от ситуации с COVID    0
  • 09 мая 15:43 В Киеве полицейские поймали подростка, который решил «зигануть» перед лицом ветерана    0
  • 09 мая 14:51 В Киеве с помощью новой системы начнут быстрее штрафовать водителей за неправильную парковку    0
  • 09 мая 13:58 В Микульте опровергли слова киевских властей, что им якобы запрещали проводить праздничные мероприятия    0
  • 09 мая 11:56 В Киеве планируют обустроить новые наземные переходы возле станций метро    0
  • 08 мая 13:39 В Киеве появилась электронная карта пунктов вакцинации против COVID-19    0
  • 08 мая 11:49 В Киеве и области из-за усиления ветра объявили штормовое предупреждение    0
  • 07 мая 18:50 На Днепровской набережной в Киеве обустроят парк активного семейного отдыха    0
  • 07 мая 14:24 Ливни, солнце и ветер: какая погода будет в Киеве на выходных    0
  • 07 мая 10:55 В Киеве появится новая зеленая зона с памп-треком и скейт-парком    0
  • 06 мая 15:58 Защити себя: в Киеве запускают курс женской самообороны    0
  • 05 мая 19:08 В Киеве обустроят скоростной трамвай до "Дворца спорта"    0
  • 05 мая 18:05 Впервые за 50 лет активисты отмыли историческую мозаику в Киеве. Видео    0
  • 05 мая 13:56 Большая фотозона: в центре Киева расцвели 100 тысяч тюльпанов. Фото    0
  • 05 мая 11:30 Мотопатруль открыл свой четвертый сезон на улицах Киева    0