Масштабное заражение вирусом-шифровальщиком украинских государственных и коммерческих компаний от 27 июня, которую в Киберполиции классифицировали как самое настоящее кибернападение с целью дестабилизации и хищения данных, может стать не последним. Об этом предупреждает украинская команда реагирования на киберугрозы CERT-UA, которая работает под управлением Госспецсвязи. По данным команды, украинские компьютеры могут быть все еще заражены и стать объектами следующей атаки. Поэтому в CERT-UA рассказали, как выявить следы заражения и что сделать, чтобы этого избежать.
Напомним, как удалось выяснить международным и отечественным киберэкспертам в результате исследования и анализа атаки, заражение украинских компьютеров через M.E.Doc бэкдором Diskcoder.C могло произойти еще в апреле-мае 2017 года. Этот бэкдор мог собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей. То есть передавать конфиденциальную информацию из украинских государственных и коммерческих структур заинтересованным лицам.
Что касается вируса-вымогателя Petya – по данным Киберполиции, это было лишь прикрытие вышеописанной кибератаки: целью шифровальщика было удаление следов атаки. Более подробно о том, как это происходило, можно почитать в нашем материале.
В связи со всем вышесказанным, специалисты CERT-UA подчеркивают, что владельцы сетей, подвергшихся этой кибератаке, даже восстановив после нее свои компьютеры, могут стать потенциальным объектом повторной атаки. “Существует высокая вероятность того, что злоумышленникам известна информация о сети, пароли к учетным записям пользователей, администраторские пароли, примерные схемы сетей, пароли к электронным почтовым ящикам, ЭЦП и др.“, – акцентируют в CERT-UA.
Чтобы уберечься от повторного поражения вирусом, команда CERT-UA рекомендует выполнить следующие действия:
- Прекратить использование ПО M.E.Doc до официального объявления о решении проблемы, отключить от сети компьютеры, на которых оно было установлено. Провести перезагрузку операционной системы на таких компьютерах.
- Изменить все пароли и другие идентификационные данные, которые могли быть скомпрометированы. Целесообразно изменить пул внутренних IP-адресов и структуру сети – схема сети может быть известна злоумышленникам, что облегчает реализацию следующей атаки.
- Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat. Для предупреждения шифрования нужно создать файл C:\Windows\perfc. Перед началом процесса шифрования вирус проверяет наличие файла perfc в папке C:\Windows\ – и если файл уже существует, вирус завершает работу и не шифрует файлы.
- Для предотвращения вредоносным ПО менять MBR (в котором в данном случае и записывалась программа-шифровальщик). Рекомендуется установить одно из решений по запрету доступа к MBR: решение Cisco Talos, решение Greatis или свежее решение SydneyBackups.
- Убедитесь, что на всех компьютерах установлено антивирусное программное обеспечение, оно функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установите и/или проведите обновление антивирусного программного обеспечения.
- Установите официальный патч MS17-010.
- Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445.
- Ограничьте возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий % TEMP%, % APPDATA%.
- Отключите устаревший протокол SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft доступна здесь.
Также CERT-UA привел список индикаторов компрометации:
- С&C: transfinance.com[.]ua (IP: 130.185.250.171), bankstat.kiev[.]ua (IP: 82.221.128.27), www.capital-investing.com[.]ua (IP: 82.221.131.52)
- Легитимные серверы, которые были инфицированы и несанкционированно использованы угрозой: api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)
- VBS бекдор: 1557E59985FAAB8EE3630641378D232541A8F6F9 31098779CE95235FED873FF32BB547FFF02AC2F5 CF7B558726527551CDD94D71F7F21E2757ECD109
- Mimikatz: 91D955D6AC6264FBD4324DB2202F68D097DEB241 DCF47141069AECF6291746D4CDF10A6482F2EE2B 4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D 4134AE8F447659B465B294C131842009173A786B 698474A332580464D04162E6A75B89DE030AA768 00141A5F0B269CE182B7C4AC06C10DEA93C91664 271023936A084F52FEC50130755A41CD17D6B3B1 D7FB7927E19E483CD0F58A8AD4277686B2669831 56C03D8E43F50568741704AEE482704A4F5005AD 38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF 4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B F4068E3528D7232CCC016975C89937B3C54AD0D1
- Win32/TeleBot: A4F2FF043693828A46321CCB11C5513F73444E34 5251EDD77D46511100FEF7EBAE10F633C1C5FC53
- Win32/PSW.Agent.ODE (CredRaptor): 759DCDDDA26CF2CC61628611CF14CFABE4C27423 77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70 EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88 EE275908790F63AFCD58E6963DC255A54FD7512A EE9DC32621F52EDC857394E4F509C7D2559DA26B FC68089D1A7DFB2EB4644576810068F7F451D5AA
- Win32/Filecoder.NKH: 1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E Python/Filecoder.R: AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E
- Win32/Filecoder.AESNI.C: BDD2ECF290406B8A09EB01016C7658A283C407C3 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9 D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD
- Win32/Diskcoder.C: 34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D PHP shell: D297281C2BF03CE2DE2359F0CE68F16317BF0A86
Напомним, хакеры, называющие себя авторами вируса Petya, сделали первое заявление: вымогают $256 000.