Защититься от вируса, который блокирует компьютеры компаний
Сегодня по всей Украине компьютерные сети государственных и частных компаний заразились вирусом-шифровальщиком. Вирус работает по схеме, схожей с недавней атакой WannaCry, от него пострадали сети «Укрпочты», «Укртелекома», «Фармака», «Киевэнерго» и многих других крупных и мелких компаний. Вирус атакует только системы на Windows: к примеру, в «Укртелекоме» системы, зависящие от Unix-серверов, не пострадали. Редакция собрала мнения о том, как происходила атака и защититься от вируса, чтобы обезопасить свои компьютеры.
В компании ISSP, которая занимается кибербезопасностью, исследуют сегодняшнюю атаку и уже готовы делиться промежуточными выводами. По мнению экспертов ISSP Labs, сама атака началась ориентировочно в марте-апреле 2017 года с изучения инфраструктуры, перехвата паролей, административно-технологических учетных записей.
По словам Олега Деревянко, главы совета директоров ISSP, такие атаки называются APT-атаками (APT — advanced persistence threat, то есть, стойкие угрозы высокого уровня). Хакеры проникают и находятся внутри сетей длительное время, изучают их, мимикрируют в среде информационных систем, устанавливают дополнительные бэкдоры и «спящих агентов». После очередной активной фазы они возвращаются и в нужное время запускают финальную фазу атаки, направленную или на вывод систем из строя, или на эксфильтрацию данных.
В настоящий момент проходит финальная стадия кибератаки, известная в модели ThreatSCALE, как Clean up, отмечают эксперты ISSP Labs. На этой стадии выполняются уничтожение MBR (главная загрузочная запись — код и данные, нужные для загрузки системы — ред.) и шифрование диска.

«Специалистам по информационной безопасности и IT-специалистам компаний настоятельно рекомендуем в случае успешного восстановления загрузочной области (MBR) срочно собрать log-записи и проанализировать их с помощью экспертов для выяснения действительной причины и способа первоначального проникновения злоумышленников», — советуют в компании.
Украинская Киберполиция советует, чтобы обезопаситься, предпринять такие шаги:
- Обновляться и отключить протокол SMBv1 (инструкции, как это сделать, можно найти на сайте Microsoft).
- По возможности заблокировать на сетевом оборудовании или в настройках файерволла порты 137, 138, 139 и 445.
- Установить программу для защиты MBR от несанкционированных изменений. К примеру, Mbrfilter.
Важно: по последним данным ведомства, атака проходила через программу для отчетности M.E.doc, поэтому компаниям не рекомендуется устанавливать последнее обновление, которое предлагает программа.
В Киберполиции также рекомендуют установить последние патчи для ОС:
- для Windows XP
- для Windows Vista 32 bit
- для Windows Vista 64 bit
- для Windows 7 32 bit
- для Windows 7 64 bit
- для Windows 8 32 bit
- для Windows 8 64 bit
- для Windows 10 32 bit
- для Windows 10 64 bit
Для менее распространенных, а также серверных версий ОС патчи можно найти по ссылке.
В «Бакотек» согласны с тем, что заражение могло произойти много месяцев назад и вирус активировался сегодня по команде извне. По оценкам специалистов компании, вирус распространяется через почту. При открытии вложения из письма, используя уязвимость CVE-2017- 0199, зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.
Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017- 0199 и показала, как эксплуатируется этот код. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.
Компания также выпустила серию рекомендаций о том, как защититься от вируса:
- блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
- на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
- на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
- блокировка SMB и WMI-портов. В первую очередь 135, 445;
- после заражения – не перезагружайте компьютер;
- не открывайте подозрительные письма и особенно вложения в них;
- принудительно обновите базу антивируса и операционные системы.
Еще немного полезных ссылок на тему (пока не установлена точно разновидность шифровальщика, однако есть данные о том, что это модификации уже известного вируса Petya):
- Данные о вирусе Win32/Petya.A в базе Microsoft.
- Статья о генерации ключей для дешифровки заблокированного диска на Geektimes.
- Статья об одной из улучшенных версий «Пети» на MalwareBytes.
- Обсуждения и советы по обнаружению вируса от специалистов (к примеру, обновляемый пост основателя компании Berezha Security Влада Стырана). Один из его советов о том, как заблокировать распространение вируса по сети: заблокировать TCP-порты 1024-1035, 135, 139 и 445.
- Советы по генерации ключей для дешифровки с Bleeping Computer.
Напомним, в конце прошлого года ночь с 17 на 18 декабря в нескольких районах Киева и прилегающих районах Киевской области произошло отключение электричества. Основной версией глава госпредприятия «Укрэнерго» Всеволод Ковальчук назвал «внешнее вмешательство в системы передачи данных», то есть кибератаку.
Комментарии | 12
Сайт korrespondent.net пострадал
Подсказали такое. у кого восьмерка и выше пишем в консоле
dism /online /norestart /disable-feature /featurename:SMB1Protocol
https://youtu.be/eEZAQD6YeSU
какой антивирус вовремя определил и среагировал на него? какой вообще антивирус вы порекомендуете?
Лучший антивирус — прямые руки
Ну да, прямые руки прям таки помогут от атак ,которые происходят, на «низком» для пользователя уровне. + Если учесть что у нас ~ 80% страны на пиратском софте сидит.
прямые руки это само-собой, вопрос был про антивирусы
Эти обновления полная лажа, приводят к синему экрану смерти.
https://youtu.be/C8Jea4ZB_sI
Интересный взляд на ситуацию
После установки заплатки • для Windows 7 64 bit (скачано по ссылке) система не запускается, постоянная перезагрузка (не запускается ни в каком режиме). Теперь вопрос что страшнее Вирус «Петя-А» или официальная обнова Майкрософт windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Немного аналитики о Петьке
http://youtu.be/jpHFVlZgSlo
В первую очередь нужно быть очень аккуратным и смотреть что бы обновляете и какую систему допускаете) Также я бы вам посоветовал защитить свою технику пломбами http://control.in.ua/ru/ , чтобы при попытках взлома — все осталось у ваших руках. У меня и дома и на работе вся техника под защитой, потому меня вирус не торкнулся.