Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали жертвами эпидемии трояна-шифратора семейства Petya. Вирусные эксперты ESET продолжают изучение угрозы.
Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).
Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало масштабной атаке.
ESET установила, что пострадавшие от эпидемии системы имели доступ к украинским сетям через VPN. В настоящее время у вредоносной программы не обнаружено функций, позволяющих распространяться за пределы локальных сетей.
Шифратор распространяется внутри сетей посредством PsExec и SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Это сочетание обеспечивает высокую скорость развития эпидемии.
Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.
По данным системы телеметрии ESET, большинство атак, отраженных антивирусными продуктами ESET на рабочих станциях, нацелено на Украину, Германию, Польшу, Сербию, Грецию. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.
Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени 27 июня, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.
Более подробная информация о защите от шифраторов доступна на сайте noransom.esetnod32.ru
Профилактика:
- Если у вас нет SysRescue Live CD/DVD или USB для вашей системы, скачайте ESET SysRescue Live и создайте загрузочный диск.
- Выключите все компьютеры в сети.
- Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
- В главной директории Windows (например, C:\Windows) откройте текстовый редактор Linux и создайте три пустых файла со следующими названиями и расширениями. Вы можете создать эти файлы с помощью следующей команды: Echo.>%windir%\[filename], например, Echo.>%windir%\perfc
- c:\windows\perfc
- c:\windows\perfc.dat
- c:\windows\perfc.dl
- Если это возможно, отключите протокол SMBv1:
- при помощи групповых политик
- локально на каждом компьютере
- Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный: минимум 10 символов, включая прописные и строчные буквы, цифры и специальные символы. Не используйте обычные слова.
- если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.
- не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.
- Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.
- Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке.
- Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
- Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. Корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление. Для домашних пользователей также доступно обновление.
- При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке
- Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.
Если на экране появилось требование выкупа:
- Выключите компьютер.
- Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
- Проверьте, зашифрован ли диск. Это можно сделать разными способами:
- загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows
- восстановите MBR, запустив команду fixmbr
- загрузите компьютер с Linux Live CD/USB
- используйте TestDisk, чтобы исправить MBR
- Если диск уже зашифрован, и у вас нет важных данных на дисках:
- переустановите операционную систему или восстановите ее из бэкапа
- см. раздел «Профилактика»
- Если на зашифрованных дисках были важные данные:
- используйте ESET SysRecue Live для создания полной копии диска
- переустановите операционную систему или восстановите ее из бэкапа
- см. раздел «Профилактика»
- ожидайте дальнейших инструкций ESET
- Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
- почтовый адрес операторов Petya был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
- выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получает ключ расшифровки – его может не быть у самих хакеров;
- получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
- выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.