Внимание! Новая эпидемия трояна-шифровальщика!

27 июня, началась новая эпидемия трояна-шифровальщика. На этот раз, эпидемию устроил шифровальщик Petya.

Petya стал широко известен в 2016 году, после ряда громких атак. На днях, шифровальщик Petya обзавелся новым функционалом, аналогичным функционалу WannaCry: использование эксплойта для Windows EternalBlue. Данный эксплоит использует уязвимость в протоколе SMB, которую Microsoft закрыла 14 марта этого года. Используя эту уязвимость, злоумышленники получали удаленный доступ к компьютеру и устанавливали на него троян-шифровальщик.

Petya имеет сложную архитектуру и серьезную инфраструктуру, поэтому есть все предпосылки к тому, что масштабы бедствия будут не менее разрушительны, чем после эпидемии WannaCry.

На данный момент, больше всех от данного шифровальщика пострадали компании на Украине. Но атака затронула и крупные Российские компании.

Рисунок 1 - Сообщение от Petya с требованием оплаты

Эксперты Positive Technologies нашли способ «остановить заражение». Перед началом шифрования, Petya проверяет наличие файла perfc (без расширения) в директории C:Windows. Если файл присутствует в данной директории, то шифрование не происходит (Petya думает, что шифрование уже идет).

Рекомендации по экстренному предотвращению заражения

Способа расшифровать файлы в данный момент не существует. И мы не рекомендуем платить выкуп – это не поможет вернуть файлы.

Рекомендуется срочно установить обновление MS17-010.

Если нет возможности установить обновление прямо сейчас, обратитесь к системным администраторам с просьбой ограничить доступ к компьютеру по протоколу SMB.

Пример команды для ограничения доступа к портам SMB:

1. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135"
2. netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Пример команды для отключения поддержки протокола SMBv1:

1. dism /online /norestart /disable-feature /featurename:SMB1Protocol

Рекомендации для корпоративных систем

Для предотвращения атак, своевременного их обнаружения, локализации и ликвидации заражения мы рекомендуем использовать в корпоративных системах следующие средства защиты:

1. Системы предотвращения внешних атак;
2. Межсегментные сетевые экраны;
3. Системы мониторинга сетевых запросов;
4. Средства антивирусной защиты;
5. Средства защиты электронной почты.

Также рекомендуем выполнять следующие организационные меры:

1. Регулярная установка обновлений программного обеспечения;
2. Регулярное выполнение резервного копирования критичных данных;
3. Регулярное обучение персонала путем тематических рассылок, тренингов, внутренних семинаров или внешнего обучения;
4. Регулярное проведение контрольных мероприятий: тестирований на проникновение, выборочного тестирования пользователе на знание установленных правил по обеспечению ИБ.