Вирус-вымогатель Petya: как избежать заражения и защитить собственные системы

Безопасность
Екатерина Юдина
30.06.2017
Количество просмотров
3343
Во вторник, 27 июня Россия, Украина, Индия и ряд стран Евросоюза столкнулись с новой вирусной атакой, затронувшей сотни компьютеров различных предприятий. В России о заражении сообщили «Башнефть», «Роснефть», «Рязанская нефтеперерабатывающая компания», «Хоум Кредит» банк, металлургическая компания Evraz и другие.

Принцип работы Petya

Представляя собой модификацию вируса-шифровальщика WannaCry, от которого в мае пострадало более 200 тысяч пользователей, вирус-вымогатель Petya по версии Forbes, оказался гораздо мощнее хакерского инструмента предыдущей атаки. Обладая способностью извлекать пароли из памяти или локальной файловой системы, Petya с легкостью распространяется на другие системы и в отличие от WannaCry, который внедрялся в более старые версии операционных систем семейства Microsoft, пробивает защиту ОС Windows 10. При этом схема действия Petya не нова: вирус шифрует данные, а для их расшифровки запрашивает 300 долларов в биткоин эквиваленте.

Экран локера

Экран локера

Вот только расшифровка на самом деле не происходит. Именно по этой причине Petya успел приобрести известность псевдовируса-вымогателя, цель которого – портить системы пользователей, мешать инфраструктуре и уничтожать данные.

Во всем виноват M.E.Doc

Источник распространения вымогателя Petya найден. Им стала скомпрометированная бухгалтерская программа M.E.Doc, в обновление которой был добавлен вирус. После запуска такого обновления, вирус распространился на огромное количество компьютеров по всей Украине, затронув компании в странах Европы, Азии и США. В ходе обновления M.E.Doc запускается цепочка нетиповых запросов, что способствует распространению вируса. Диаграмма ниже иллюстрирует картину происходящего:

Запуск нетиповых запросов при обновлении M.E.Doc

Запуск нетиповых запросов при обновлении M.E.Doc

Помимо рассмотренного варианта заражения, Petya проникает в корпоративные сети путем распространения фишинговых писем, содержащих вредоносную ссылку. Перейдя по указанному адресу происходит блокировка компьютера пользователя.

Как бороться с вирусом

Согласно мнению экспертов в области безопасности, для защиты от вируса необходимо полностью обновить ОС и антивирусное ПО, а также не забывать про выполнение регулярного резервного копирования.

Чтобы минимизировать распространение вируса и заражения систем, компания Microsoft выпустила обновления, автоматически распространяемые на бесплатные антивирусные продукты Windows Defender и Microsoft Security Essentials. Кроме того, последнюю версию обновлений можно загрузить вручную, посетив Malware Protection Center. При этом Windows Defender ATP автоматически определяет поведение, вызываемое вирусом-вымогателем и не требует установки каких-либо обновлений. Помимо озвученного, выполнение нижеописанного ряда действий, позволит минимизировать потенциальные риски заражения:

  • Используйте функцию AppLocker с помощью которой запретите исполнение файла с названием perfc.dat и заблокируйте запуск утилиты PSExec из пакета Sysinternals.
  • Отключите протокол SMBv1, используя статью из базы знаний Microsoft Knowledge Base Article 2696547.
  • Заблокируйте на сетевом оборудовании или в настройках брадмауэра порты 137, 138, 139 и 445, которые Petya использует для распространения в локальных сетях.
  • Не загружайте подозрительные файлы из электронных писем, а в случае нарушения работы системы, выполните немедленное отключение компьютера от сети.
  • Выполняйте своевременную установку апдейтов ОС и патчей систем безопасности.
  • Настройте почтовые фильтры для отсеивания зашифрованных архивов.
  • Проводите регулярные тренинги по информационной безопасности сотрудникам компании.

Не забывайте о профилактических мерах безопасности и установленных security-политиках. Соблюдение таких элементарных правил позволит уберечься не только от вируса Petya, но и других программ-вымогателей.

Средняя оценка: 0, всего оценок: 0
Поделиться

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Безопасность
Palo Alto Networks серии VM и VMware NSX: кейс конфигурации динамических политик безопасности
15.02.2016
Количество просмотров
4300

Palo Alto Networks серии VM и VMware NSX: кейс конфигурации динамических политик безопасности

В этой статье рассмотрим практический пример, который демонстрирует возможности брандмауэра Palo Alto Networks серии VM, работающего в связке с Panorama и VMware NSX, уделив особое внимание особенностям конфигурации динамических политик безопасности.
Истории успеха
Tata Motors: как облачные технологии нашли свое применение в автомобильном бизнесе
08.10.2015
Количество просмотров
5314

Tata Motors: как облачные технологии нашли свое применение в автомобильном бизнесе

Облачные технологии все больше и больше проникают в различные сферы деятельности, укрепляя свои позиции в самых разных областях, включая и автомобильную. Как показывает практика, использование производителями автомобилей облачных технологий не только упрощает решение различных задач, но и существенно снижает расходы. Являясь универсальным решением, облако открывает уникальные возможности и преимущества. Какие именно — рассмотрим в этой статье.
Технологии
vCloud Availability: глубокое погружение в репликацию трафика
17.03.2017
Количество просмотров
4831

vCloud Availability: глубокое погружение в репликацию трафика

 В конце января этого года VMware анонсировала выход семейства продуктов vCloud Availability для vCloud Director, представляющее собой простое облакоориентированное средство аварийного восстановления. Инструмент предназначен для решения актуальных проблем как поставщиков облачных услуг, так и непосредственно клиентов.

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.