Вирус-вымогатель Petya: как избежать заражения и защитить собственные системы

Безопасность
Екатерина Юдина
30.06.2017
Количество просмотров
2667
Во вторник, 27 июня Россия, Украина, Индия и ряд стран Евросоюза столкнулись с новой вирусной атакой, затронувшей сотни компьютеров различных предприятий. В России о заражении сообщили «Башнефть», «Роснефть», «Рязанская нефтеперерабатывающая компания», «Хоум Кредит» банк, металлургическая компания Evraz и другие.

Принцип работы Petya

Представляя собой модификацию вируса-шифровальщика WannaCry, от которого в мае пострадало более 200 тысяч пользователей, вирус-вымогатель Petya по версии Forbes, оказался гораздо мощнее хакерского инструмента предыдущей атаки. Обладая способностью извлекать пароли из памяти или локальной файловой системы, Petya с легкостью распространяется на другие системы и в отличие от WannaCry, который внедрялся в более старые версии операционных систем семейства Microsoft, пробивает защиту ОС Windows 10. При этом схема действия Petya не нова: вирус шифрует данные, а для их расшифровки запрашивает 300 долларов в биткоин эквиваленте.

Экран локера

Экран локера

Вот только расшифровка на самом деле не происходит. Именно по этой причине Petya успел приобрести известность псевдовируса-вымогателя, цель которого – портить системы пользователей, мешать инфраструктуре и уничтожать данные.

Во всем виноват M.E.Doc

Источник распространения вымогателя Petya найден. Им стала скомпрометированная бухгалтерская программа M.E.Doc, в обновление которой был добавлен вирус. После запуска такого обновления, вирус распространился на огромное количество компьютеров по всей Украине, затронув компании в странах Европы, Азии и США. В ходе обновления M.E.Doc запускается цепочка нетиповых запросов, что способствует распространению вируса. Диаграмма ниже иллюстрирует картину происходящего:

Запуск нетиповых запросов при обновлении M.E.Doc

Запуск нетиповых запросов при обновлении M.E.Doc

Помимо рассмотренного варианта заражения, Petya проникает в корпоративные сети путем распространения фишинговых писем, содержащих вредоносную ссылку. Перейдя по указанному адресу происходит блокировка компьютера пользователя.

Как бороться с вирусом

Согласно мнению экспертов в области безопасности, для защиты от вируса необходимо полностью обновить ОС и антивирусное ПО, а также не забывать про выполнение регулярного резервного копирования.

Чтобы минимизировать распространение вируса и заражения систем, компания Microsoft выпустила обновления, автоматически распространяемые на бесплатные антивирусные продукты Windows Defender и Microsoft Security Essentials. Кроме того, последнюю версию обновлений можно загрузить вручную, посетив Malware Protection Center. При этом Windows Defender ATP автоматически определяет поведение, вызываемое вирусом-вымогателем и не требует установки каких-либо обновлений. Помимо озвученного, выполнение нижеописанного ряда действий, позволит минимизировать потенциальные риски заражения:

  • Используйте функцию AppLocker с помощью которой запретите исполнение файла с названием perfc.dat и заблокируйте запуск утилиты PSExec из пакета Sysinternals.
  • Отключите протокол SMBv1, используя статью из базы знаний Microsoft Knowledge Base Article 2696547.
  • Заблокируйте на сетевом оборудовании или в настройках брадмауэра порты 137, 138, 139 и 445, которые Petya использует для распространения в локальных сетях.
  • Не загружайте подозрительные файлы из электронных писем, а в случае нарушения работы системы, выполните немедленное отключение компьютера от сети.
  • Выполняйте своевременную установку апдейтов ОС и патчей систем безопасности.
  • Настройте почтовые фильтры для отсеивания зашифрованных архивов.
  • Проводите регулярные тренинги по информационной безопасности сотрудникам компании.

Не забывайте о профилактических мерах безопасности и установленных security-политиках. Соблюдение таких элементарных правил позволит уберечься не только от вируса Petya, но и других программ-вымогателей.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

IT-инфраструктура
Как сократить энергопотребление SSD-хранилищ в ЦОД
02.07.2019
Количество просмотров
4490

Как сократить энергопотребление SSD-хранилищ в ЦОД

В MIT предложили систему, которая в два раза уменьшит объем электричества, потребляемого «твердотельниками» в ЦОД. Рассказываем, как она устроена.
Технологии
Эволюция VMware vMotion: вчера, сегодня, завтра
19.02.2018
Количество просмотров
4074

Эволюция VMware vMotion: вчера, сегодня, завтра

Каждый, кто хотя бы раз использовал возможности vMotion, знает, что с помощью этой технологии выполняется миграция виртуальных машин между хостами, причем без остановки и прерывания работы ВМ и запущенных на них приложений.
Новости рынка
NetApp – признанный лидер в области флеш-СХД согласно Gartner Magic Quadrant 2016
21.09.2016
Количество просмотров
1933

NetApp – признанный лидер в области флеш-СХД согласно Gartner Magic Quadrant 2016

Компания NetApp, технологический лидер среди производителей систем хранения данных, заняла почетное место в магическом квадранте Gartner, опубликованном в августе 2016 года. Благодаря целостной стратегии развития и способности ее реализации, компания показала собственную готовность к технологическим изменениям. Согласно Gartner Magic Quadrant 2016, NetApp – признанный лидер отрасли в области флеш-СХД.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.