Как защититься от вируса, который блокирует компьютеры украинских компаний

Сегодня по всей Украине компьютерные сети государственных и частных компаний заразились вирусом-шифровальщиком. Вирус работает по схеме, схожей с недавней атакой WannaCry, от него пострадали сети «Укрпочты», «Укртелекома», «Фармака», «Киевэнерго» и многих других крупных и мелких компаний. Вирус атакует только системы на Windows: к примеру, в «Укртелекоме» системы, зависящие от Unix-серверов, не пострадали. Редакция собрала мнения о том, как происходила атака и что делать, чтобы обезопасить свои компьютеры. , пишут AIN.UA

В компании ISSP, которая занимается кибербезопасностью, исследуют сегодняшнюю атаку и уже готовы делиться промежуточными выводами. По мнению экспертов ISSP Labs, сама атака началась ориентировочно в марте-апреле 2017 года с изучения инфраструктуры, перехвата паролей, административно-технологических учетных записей.

По словам Олега Деревянко, главы совета директоров ISSP, такие атаки называются APT-атаками (APT — advanced persistence threat, то есть, стойкие угрозы высокого уровня). Хакеры проникают и находятся внутри сетей длительное время, изучают их, мимикрируют в среде информационных систем, устанавливают дополнительные бэкдоры и «спящих агентов». После очередной активной фазы они возвращаются и в нужное время запускают финальную фазу атаки, направленную или на вывод систем из строя, или на эксфильтрацию данных.

В настоящий момент проходит финальная стадия кибератаки, известная в модели ThreatSCALE, как Clean up, отмечают эксперты ISSP Labs. На этой стадии выполняются уничтожение MBR (главная загрузочная запись — код и данные, нужные для загрузки системы — ред.) и шифрование диска.

«Специалистам по информационной безопасности и IT-специалистам компаний настоятельно рекомендуем в случае успешного восстановления загрузочной области (MBR) срочно собрать log-записи и проанализировать их с помощью экспертов для выяснения действительной причины и способа первоначального проникновения злоумышленников», — советуют в компании.

В украинской Киберполиции рекомендуют обезопаситься, не открывая вложения в письмах от неизвестных адресатов, а также установить последние патчи для ОС:

Для менее распространенных, а также серверных версий ОС патчи можно найти по ссылке.

В компании «Бакотек» согласны с тем, что заражение могло произойти много месяцев назад и вирус активировался сегодня по команде извне. По оценкам специалистов компании, вирус распространяется через почту. При открытии вложения из письма, используя уязвимость CVE-2017- 0199, зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.

Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017- 0199 и показала, как эксплуатируется этот код. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.

Компания также выпустила серию рекомендаций о том, как защититься от вируса:

  • блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
  • на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
  • на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
  • блокировка SMB и WMI-портов. В первую очередь 135, 445;
  • после заражения – не перезагружайте компьютер;
  • не открывайте подозрительные письма и особенно вложения в них;
  • принудительно обновите базу антивируса и операционные системы.

Еще немного полезных ссылок на тему (пока не установлена точно разновидность шифровальщика, однако есть данные о том, что это модификации уже известного вируса Petya):

  • Данные о вирусе Win32/Petya.A в базе Microsoft.
  • Cтатья о генерации ключей для дешифровки заблокированного диска на Geektimes.
  • Статья об одной из улучшенных версий «Пети» на MalwareBytes.
  • Обсуждения и советы по обнаружению вируса от специалистов (к примеру, обновляемый пост основателя компании Berezha Security Влада Стырана). Один из его советов о том, как заблокировать распространение вируса по сети: заблокировать TCP-порты 1024-1035, 135, 139 и 445.
  • Советы по генерации ключей для дешифровки с Bleeping Computer.

Ольга Карпенко, AIN

Коды для вставки в блог\форум




Интересные новости
Google улучшил защиту паролей в ChromeGoogle улучшил защиту паролей в Chrome
Аудитория приватного браузера Brave превысила 10 млн пользователейАудитория приватного браузера Brave превысила 10 млн пользователей
Блок рекламы


Похожие новости

Chrome и Firefox перестанут показывать в адресной строке названия компанийChrome и Firefox перестанут показывать в адресной строке названия компаний
Новая версия Adblock Plus блокирует рекламу в пять раз быстрееНовая версия Adblock Plus блокирует рекламу в пять раз быстрее
Компьютеры Apple поразил опасный вирус. Виноват WindowsКомпьютеры Apple поразил опасный вирус. Виноват Windows
Чип Apple T2 на новых MacBook блокирует установку LinuxЧип Apple T2 на новых MacBook блокирует установку Linux
Chrome 71 заблокирует всю рекламу на сайтах, злоупотребляющих еюChrome 71 заблокирует всю рекламу на сайтах, злоупотребляющих ею
Новое приложение от Microsoft перенесет возможности смартфонов на компьютеры с Windows 10Новое приложение от Microsoft перенесет возможности смартфонов на компьютеры с Windows 10
На iOS и macOS новый баг. Символ перезагружает устройства и блокирует приложения
Украинец, который программирует Falcon: Алексей Пахунов, старший инженер полетного ПО в SpaceXУкраинец, который программирует Falcon: Алексей Пахунов, старший инженер полетного ПО в SpaceX
Правительство Литвы запретило пользоваться антивирусами КасперскогоПравительство Литвы запретило пользоваться антивирусами Касперского
Украинцы создали ИИ-фоторедактор, который улучшает фото в один кликУкраинцы создали ИИ-фоторедактор, который улучшает фото в один клик
Последние новости

Подгружаем последние новости