Захиститися від вірусу, який блокує комп’ютери компаній

Сьогодні по всій Україні комп’ютерні мережі державних і приватних компаній заразилися вірусом-шифрувальником. Вірус працює за схемою, схожою на нещодавню атаку WannaCry, від нього постраждали мережі «Укрпошти», «Укртелекому», «Фармака», «Київенерго» та багатьох інших великих і дрібних компаній. Вірус атакує тільки системи на Windows: наприклад, в «Укртелекомі» системи, що залежать від Unix-серверів, не постраждали. Редакція зібрала думки про те, як відбувалася атака і як захиститися від вірусу, щоб убезпечити свої комп’ютери.

У компанії ISSP, яка займається кібербезпекою, досліджують сьогоднішню атаку і вже готові ділитися проміжними висновками. На думку експертів ISSP Labs, сама атака почалася орієнтовно в березні-квітні 2017 року з вивчення інфраструктури, перехоплення паролів, адміністративно-технологічних облікових записів.

За словами Олега Дерев’янка, голови ради директорів ISSP, такі атаки називаються APT-атаками (APT – advanced persistence threat, тобто, стійкі загрози високого рівня). Хакери проникають і перебувають усередині мереж тривалий час, вивчають їх, мімікрують у середовищі інформаційних систем, встановлюють додаткові бекдори та «сплячих агентів». Після чергової активної фази вони повертаються і в потрібний час запускають фінальну фазу атаки, спрямовану або на виведення систем з ладу, або на ексфільтрацію даних.

Наразі триває фінальна стадія кібератаки, відома в моделі ThreatSCALE, як Clean up, зазначають експерти ISSP Labs. На цій стадії виконуються знищення MBR (головний завантажувальний запис – код і дані, потрібні для завантаження системи – ред.) і шифрування диска.

«Фахівцям з інформаційної безпеки та IT-фахівцям компаній наполегливо рекомендуємо в разі успішного відновлення завантажувальної області (MBR) терміново зібрати log-записи та проаналізувати їх за допомогою експертів для з’ясування дійсної причини та способу початкового проникнення зловмисників», – радять у компанії.

Українська Кіберполіція радить, щоб убезпечитися, зробити такі кроки:

• Оновлюватися і відключити протокол SMBv1 (інструкції, як це зробити, можна знайти на сайті Microsoft).
• За можливості заблокувати на мережевому обладнанні або в налаштуваннях фаєрвола порти 137, 138, 139 і 445.
• Встановити програму для захисту MBR від несанкціонованих змін. Наприклад, Mbrfilter.

Важливо: за останніми даними відомства, атака проходила через програму для звітності M.E.doc, тому компаніям не рекомендується встановлювати останнє оновлення, яке пропонує програма.

У Кіберполіції також рекомендують встановити останні патчі для ОС:

• для Windows XP 
• для Windows Vista 32 bit
• для Windows Vista 64 bit
• для Windows 7 32 bit
• для Windows 7 64 bit
• для Windows 8 32 bit
• для Windows 8 64 bit
• для Windows 10 32 bit
• для Windows 10 64 bit 

Для менш поширених, а також серверних версій ОС патчі можна знайти за посиланням.

У «Бакотек» згодні з тим, що зараження могло статися багато місяців тому і вірус активувався сьогодні за командою ззовні. За оцінками фахівців компанії, вірус поширюється через пошту. Під час відкриття вкладення з листа, використовуючи вразливість CVE-2017-0199, шкідник докачує файли, яких бракує, модифікує MBR, перевантажує ОС і починає шифрування жорсткого диска. Корпоративною мережею він поширюється за допомогою службової програми PsExec.

Команда Fire Eye ще у квітні цього року опублікувала у своєму блозі інформацію про експлуатацію вразливості CVE-2017-0199 і показала, як експлуатується цей код. Уразливості піддалися користувачі, у яких не було оновлено Microsoft Office.

Компанія також випустила серію рекомендацій про те, як захиститися від вірусу:

• блокування на рівні кінцевих точок запуску файлів *.exe, *.js*, *.vbs з %AppData%;
• на рівні поштового шлюзу – блокування повідомлень з активним вмістом (*.vbs, *.js, *.jse, *.exe);
• на рівні proxy – блокування завантаження архівів, що містять активний вміст (*.vbs, *.js, *.jse);
• блокування SMB і WMI-портів. Передусім 135, 445;
• після зараження – не перезавантажуйте комп’ютер;
• не відкривайте підозрілі листи і особливо вкладення в них;
• примусово оновіть базу антивірусу та операційні системи.

Ще трохи корисних посилань на тему (поки що не встановлено точно різновид шифрувальника, проте є дані про те, що це модифікації вже відомого вірусу Petya):

• Дані про вірус Win32/Petya.A у базі Microsoft.
• Стаття про генерацію ключів для дешифрування заблокованого диска на Geektimes.
• Стаття про одну з поліпшених версій «Петі» на MalwareBytes.
• Обговорення і поради щодо виявлення вірусу від фахівців (наприклад, оновлюваний пост засновника компанії Berezha Security Влада Стирана). Одна з його порад про те, як заблокувати поширення вірусу мережею: заблокувати TCP-порти 1024-1035, 135, 139 і 445.
• Поради щодо генерації ключів для дешифрування з Bleeping Computer.

Нагадаємо, наприкінці минулого року в ніч із 17 на 18 грудня в кількох районах Києва та прилеглих районах Київської області сталося відключення електрики. Основною версією голова держпідприємства «Укренерго» Всеволод Ковальчук назвав «зовнішнє втручання в системи передачі даних», тобто кібератаку.