Вирус петя как защититься: Как работает вирус Petya (Петя) и как от него защититься — СКБ Контур

Содержание

Как работает вирус Petya (Петя) и как от него защититься — СКБ Контур

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель —  нанесение массового ущерба. 

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe. 
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК». 

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.  

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы. 
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. 
    Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Узнать больше

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться. 

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.   

От вируса Petya легко защититься. Вот что следует сделать прямо сейчас

Когда компании по всему миру пострадали от WannaCry, стало очевидно, что многие недобросовестно относятся к такому базовому процессу информационной безопасности, как установка обновлений. Злоумышленники пользовались возможностями атаковать необновлённые системы и раньше, но теперь это наконец получило большую огласку.

Вирус не использовал никакого «секретного оружия», «уязвимостей нулевого дня». Он использовал уязвимости, «заплатки» на которые существуют уже довольно давно. Просто традиционно угрозы информационной безопасности недооценивают. Непосредственная задача директора по информационной безопасности — объяснять коллегам на C-level, что игры кончились и современная кибератака может просто остановить работу их бизнеса.

Новый вирус сначала казался похожим на вирус Petya 2016 года, но потом выяснилось, что к старому вирусу он имеет весьма отдалённое отношение. Если вообще имеет. Так что теперь он фигурирует под хештегами #Petya, #NotPetya, #petrWrap и имеет идентификатор Win32/Diskcoder.Petya.C.

Мне этот вирус кажется очень любопытным и даже, можно сказать, нравится (технически). Как и в WannaCry, в нём задействована украденная у Агентства национальной безопасности США программа EternalBlue, которая использует одну из уязвимостей в компьютерах под управлением Windows. Но у распространения нового вируса есть ещё один вектор: попав на одну машину, он добывает данные учётных записей с заражённой рабочей станции и, используя их, пытается проникнуть на все остальные компьютеры. Именно поэтому получилось так, что многие, кто установил патч против WannaCry, всё равно пострадали при атаке Petya / NotPetya. Системные администраторы в компаниях часто совершают ошибку при проектировании инфраструктуры: выстраивают её так, чтобы локальная учётная запись администратора подходила ко всем машинам.

Кроме того, Petya / NotPetya интересен тем, что цели его создателей неочевидны. Если бы они хотели много денег, они бы сделали вирус, который не пытается всё зашифровать и не требует выкуп, а тихонько сидит в системе, как классический троян, и потом используется для целенаправленной атаки. Но в данном случае злоумышленники заработали копейки, зато парализовали работу многих крупных компаний по всему миру. Может, это какая-то манипуляция с курсами валют, акций?

Тем, кто хочет уберечь свою компанию от таких угроз, могу дать только один совет: уделите внимание системным администраторам, службе безопасности и их требованиям. Базовые процессы информационной безопасности могут быть не выстроены по разным причинам. Но часто основная проблема — это то, что бизнес не поддерживает действия ИТ- и ИБ-департаментов, потому что не хочет расходовать на это деньги и ресурсы, не понимая, зачем это нужно. Но ведь иногда проще потерпеть неудобства, связанные с обновлением программного обеспечения, чем лишиться всего, недооценив угрозу.

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Вирус-вымогатель Petya: как защититься или удалить?

Недавно многие интернет ресурсы и компьютеры пользователей подверглись атаке, за ней стоял вирус-вымогатель Petya. Были заблокированы сайты крупнейших госучреждений, от Ощадбанка и сайта правительства до Новой почты и т.д. За последнее время Petya/NoPetya является самым масштабным вирусом, который поразил множество компьютеров. Благо, как и от любого вируса, от него есть возможность защититься и удалить, только ничего не стоит делать самостоятельно.

Petya вирус: как работает?

Компьютерный вирус Петя относится к нише шифровальщиков, он проникает в систему и провоцирует перезапуск системы, а во время загрузки ОС шифрует файлы, а также реестр. По окончании процесса показывается сообщение, в котором требуется выкуп в 300-400$ на биткоин счет, затем придет пароль для обратной расшифровки файлов.

Особенность вируса в том, что он поражает систему необратимым образом и доступа к её функциям нет вовсе. Наибольшее распространение приобрел на территории Украины и России. Эксперты еще устанавливают пути заражения вирусом, но сегодня считается, что он проникал через фальшивое обновление известной программы M.E.Doc. Механизм действия вируса построен на использовании уже известной уязвимости ETERNALBLUE, которая была задействована у печально известной Wanna Cry, а также эксплойт ETERNALROMANCE. При помощи подбора паролей и указанных дыр в защите Windows вирус распространялся и поражал все компьютеры в рамках одной локальной сети.

Настолько широкого распространения как у Wanna Cry вирус не приобрел, так как распространение через сеть не происходит, но использование обоих эксполойтов помогает заразить все компьютеры локальной системы.

[tip]Читайте также: Как проверить компьютер на вирусы? [/tip]

Вирус Петя: как удалить?

Вирус Петя защита не всегда помогает, тем более, что на стадии распространения многие антивирусы не распознавали файл в качестве вируса. Столь масштабное поражение ПК не было проигнорировано разработчиками антивирусных сигнатур и риск в дальнейшем столкнуться с вирусом невысок, а вот другие модификации встретить возможно.

Сразу после проникновения в ПК вирус перезапускает его, процедура выполняется принудительно. В процессе загрузки появляется окно, в котором предлагается выполнить процедуру восстановления системы. Ничего не подозревающий пользователь нажимает Enter и начинается процесс шифрования. На самом деле окно, которое подделано под системное CHKDSK, не является оригинальным, таким образом пользователь подтверждает действия вируса.

Не стоит идти на поводу, просто перезагрузить ПК повторно. При помощи F9 перейти к выбору накопителя и перейти на другой диск, если такой есть. Далее необходимо с рабочего стола Windows выполнить сканирование системы на предмет наличия вирусов, сегодня уже практически все передовые антивирусы правильно распознают шифровальщик и позволят удалить его.

Иначе просто выполнить загрузку при помощи диска восстановления (установочный диск или флешка).

Вирус Петя: как защититься?

Вирус Петя как не поймать его на свой компьютер, а соответственно защитить свои данные? Сразу после проявления вируса, его образец поступил ко многим продвинутым администраторам, которые пытались найти методы борьбы с Petya. Сам вирус использует уязвимости системы для проникновения и поражения ее, а программисты нашли уязвимости в коде вредителя.

[tip]Читайте также: Корпоративный комплексный антивирус Symantec Endpoint Protection [/tip]

От пользователя требуется минимальное количество действий, нужно создать файл perfc, который должен находиться в каталоге C:\Windows и иметь параметр «Только чтение». Нельзя назвать метод панацеей, так как дальнейшие модификации вируса обойдут это ограничения и проблема появится снова, но до того времени появится полноценная защита со стороны антивирусов.

Процесс создания файла:

  1. Изначально стоит сделать доступными расширения файлов для редактирования. Необходимо открыть любую папку и нажать на «Упорядочить» и выбрать «Параметры папок и поиска», если у вас десятка, то пункт можно найти в разделе «Файл»;
  2. Перейти во вкладку «Вид» и пролистать перечень к концу, снять галочку с раздела «Скрывать расширения для зарегистрированных типов файлов»;

  1. Теперь создайте или скопируйте любой файл на диске;

  1. ПКМ по нему и «Переименовать», не стоит менять уже имеющиеся файлы, иначе может возникнуть ошибка;
  2. Введите имя perfc, никаких расширений стоять не должно и подтвердите окно предупреждения;
  3. ПКМ по созданному защитному файлу и установить галочку возле «Только чтение».

В большей мере направленность вируса приходится на корпоративные сети, таким образом компания теряет колоссальные средства за простой и это может подвигнуть заплатить вымогателю. Существуют общие способы защиты от всех видов вирусов.

[tip]Читайте также: Лучший бесплатный антивирус для Андроид [/tip]

Вирус вымогатель Петя – способы защиты

Команда из Kaspersky Lab определила, что ко многим компаниям на компьютер проник вирус через банальные ссылки на облако, обычно отсылаются файлы типа резюме.

Когда Вирус Петя атаковал, то уже поздно предпринимать действия для защиты, разве что нужно сразу отключить локальную сеть, поэтому нужно защититься предварительно:

  1. Бекапы – это основа любого бизнеса, без них присутствует высокий риск потери важнейших данных. Важно делать 2 копии: первая хранится на облаке, вторая на обычном съемном диске и заблокировать доступ к редактированию и изменению файлов на накопителе;
  2. Фишинг – подделка сайтов, писем и т.д. от других организаций, например, банков, магазинов, интернет ресурсов информационного характера. Помимо подделанного текста всегда в сообщении есть ссылка на страницу, которая загрузит файл, скрипт и система будет поражена вирусом;
  3. Взлом – друзей, знакомых могут взломать в Skype, ВК, Gmail, Facebook и т.д. не стоит доверять никому, иначе можно получить вирус Petya;
  4. Загружая файлы из сети обратите внимание на расширения, самые опасные – exe, vbs и scr.
  5. Выполняйте обновления антивируса, ОС.

Заключение

Новый вирус Петя по сути использует уже известные уязвимости с целью получения прав администратора, потом вводит пользователя в заблуждение поддельным окном восстановления. Таким образом, когда вы уже знаете алгоритм действия Petya/NoPetya, можно не попасть на удочку злоумышленников.


Если у Вас остались вопросы по теме «Как удалить или защититься от вируса вымогателя Petya?», то можете задать их в комментариях

Вирус Petya.A — как защитить свои ПК, сервера, инфраструктуру?

Вирус Petya.A — APT-атака (APT — advanced persistence threat, то есть, стойкие угрозы высокого уровня), которая была качественно спланирована. Первый этап (заражение вредителем), по мнению экспертов, произошел в марте – апреле. Сейчас же мы наблюдаем уже финал, называемый Clean up, во время которого выполняется уничтожение главной загрузочной записи и шифрование диска.

Как распространяется вирус?

Однозначного ответа сейчас нет. Для того, чтоб наверняка узнать пути заражения, эксперты кибербезопасности советуют ИТ-специалистам предприятий в случае успешного восстановления загрузочной области (MBR) срочно собрать log-записи и проанализировать их.

По последним данным ведомства, атака проходила через программу для отчетности M.E.doc, но на сейчас нет ни одного официального документа, заверяющего этот факт. Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017- 0199 и показала, как эксплуатируется этот код. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office, а значит еще одним путем заражения могли стать письма с вредоносным содержанием.

Как защитить свою инфраструктуру от вируса?
[fusion_alert type=»error» accent_color=»» background_color=»» border_size=»1px» icon=»» box_shadow=»no» hide_on_mobile=»small-visibility,medium-visibility,large-visibility» class=»» id=»» animation_type=»» animation_direction=»left» animation_speed=»0.3″ animation_offset=»»]

  1. Составить памятку для всех сотрудников компании, в которой обозначить запреты на открытие электронных писем от неизвестных или сомнительных отправителей и переходы по ссылкам на сомнительные ресурсы, предоставленные неизвестными отправителями.
  2. При подозрении в заражении компьютеров локальной сети необходимо как можно скорее отключиться от сети интернет — Petya заражает все устройства в одном домене.
  3. Регулярно обновлять резервные копии систем и файлов. Резервные копии — это единственный шанс полностью предотвратить потерю данных. UCloud предлагает услуги резервирования данных для компаний любого размера и разворачивает индивидуальные инфраструктуры в течение часа.
  4. Установить последние обновления на все операционные системы Windows и офисные пакеты. Напоминаем, что Office 365 обновляется самостоятельно.
  5. Заблокировать внешние соединения с интернетом по протоколам SMB / NetBIOS. Для предотвращения распространения вируса необходимо срочно закрыть TCP-порты 1024-1035, 135 и 445.
  6. Использовать антивирусное программное обеспечение для всех персональных компьютеров. Базы сигнатур антивируса регулярно обновляются и помогут обезопасить ПК.

[/fusion_alert]

Что делать, если пришел Petya?

Первые признаки Petya.A: перезагрузка компьютера, запуск шифрования данных под видом проверки диска (Check Disk).

Как спасти данные:

  1. Выключить компьютер (системно или принудительно).
  2. Загрузиться с Live CD (ОС на сменном носителе). С этого устройства — запустить антивирус и попробовать очистить систему. Антивирусы могут помочь, но не являются панацеей. Скорее, антивирусное ПО – это профилактика уцелевших данных. Список антивирусов, которые реагируют на Petya.A предоставлен по ссылке (https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/)
  3. При помощи сервисов восстановления данных попробовать возобновить информацию. Благодаря тому, что Petya.A шифрует таблицу, не затрагивая файлы, реставрация данных может быть вполне успешной.

Если данные уже зашифрованы:

В сети есть «лекарства» от старых версий Petya, «таблетки» от Petya.A сейчас в разработке.

Компания UCloud напоминает о важности бэкапов (резервное копирование)!
Наличие резервных копий позволяет разворачивать инфраструктуру на полностью переустановленные операционные системы, восстанавливать информацию, включая базы данных. Очень важно, чтоб бэкапы хранились на сторонних ресурсах (резервная площадка) и не имели доступа к локальной сети иначе они так же могут пострадать.

 

Автор: UCloud Team

Рубрика: #собственное_мнение

Как защитить компьютер от Пети? (вируса)

Как стало известно ранее вирус поражает ПК и серверы под управлением Windows. Вакцина от вируса-вымогателя найдена. Чтобы не заразится текущей версией (от 27 июня 2017 года) потребуется всего-то создать файл с именем perfc и поместить его в системную папку Windows на диске C (полный путь: C:\Windows) и сделать его доступным только для чтения. 

Есть два способа выполнить вакцинацию: автоматический и ручной.

Автоматическая вакцинация

Для создания защиты от вируса Petya/Petna/NotPetya/Petyа.A в автоматическом режиме скачайте файл nopetyavac.bat по адресу https://download.bleepingcomputer.com/bats/nopetyavac.bat и запустите его с правами администратора. Лоуренс Абрамс создал пакетный файл, который выполняет автоматическую вакцинацию от «Пети».

Ручная вакцинация

Чтобы выполнить ручную вакцинацию от «Пети» вам потребуются права администратора. Руководство по вакцинации будет пошаговым, на примере Windows 10, но подойдет и для предыдущих версий Windows.

Шаг №1

Активировать показ скрытых файлов и файловых расширений. 

Для этого вам потребуется зайти в параметры папок. Чтобы зайти в свойства папок: откройте проводник, затем переключитесь на вкладку «Вид», а затем нажмите «Параметры». Когда параметры папок откроются, спуститесь вниз дополнительных параметров и снимите галочку с «Скрывать расширения для зарегистрированных типов файлов» и установить переключатель отображения скрытых файлов и папок на «Показывать». 

Примените изменения.

Шаг №2

Откройте папку Windows на диске C. 

Найдите там файл notepad.exe (это обычный блокнот) и затем создайте копию этого файла: либо сочетанием клавиш ctrl+c и ctrl+v, либо через контекстное меню. У вас должен появится файл notepad – копия.exe

Шаг №3

После создания файла notepad – копия.exe его необходимо переименовать в perfc. 

Для этого воспользуйтесь клавишей F2 (когда файл выделен) или через контекстное меню. Переименовать файл требуется именно в «perfc» без кавычек.

Шаг №4

Откройте свойства вновь переименованного файла perfc и установите галочку атрибута «Только для чтения». 

Примените изменения. Окно свойств будет закрыто, а ваш компьютер теперь должен быть вакцинирован против вируса Petya/Petna/NotPetya/Petyа.A

найден простой способ обмануть вымогателя

Денис СУХОВ

28 июня 2017 10:09

Вирус-вымогатель Петя атаковал компьютеры по всему миру [фото]

Вредоносная программа Petya блокирует работу компьютеров и шифрует находящиеся на машине данныеФото: REUTERS

Компания по разработке програмного обеспечения Symantec нашла простой способ защитить компьютер от вируса вымогателя Petya (Петя). Специалисты рекомендуют сделать вид, что устройство уже заражено.

Удалось установить, что во время атаки вирус ищет на зараженной машине файл C:\Windows\perfc. Если он существует, вредоносная программа прекращает свою работу.

Во время атаки вирус ищет на компьютере файл C:\Windows\perfc. Пользователям рекомендуют самим создать такой файл, чтобы обмануть вирус Фото: www.symantec.com

Программисты рекомендуют пользователям создать либо файл perfc (без расширения), либо perfc.dll. В обоих случаях для этих целей можно воспользоваться обычным текстовым редактором «Блокнот». Также советуют сделать файл доступным только для чтения, чтобы вирус не смог внести в него изменения.

Так выглядит экран компьютера, зараженного вирусом Petya Фото: www.symantec.com

Во вторник, 27 июня, сначала Украина и Россия, а вслед за ними другие страны Европы и США пострадали от атак вируса-вымогателя Petya. Кроме того, случаи заражения были зафиксированы в Индии и Китае. Вредоносная программа блокирует работу компьютеров и шифрует находящиеся на машине данные. В обмен на дешифровку она требует перевести на указанный адрес 300 долларов в биткоинах.

В результате атак пострадали компьютеры правительственных организаций, банков, различных предприятий и коммерческих фирм. Отмечается, что принцип действия Petya напоминает работу вируса WannaCry, который распространился по миру месяц назад.

КСТАТИ

Новый вирус-вымогатель Petya маскируется под резюме кадровикам

Во вторник, 27 июня, крупнейшие компании России и Украины подверглись атаке вируса-вымогателя Petya. В числе пострадавших оказались компьютеры «Роснефти», «Башнефти», Ощадбанка и Приват банка, а также Nivea, Mars и других (подробности)

ЧИТАЙТЕ ТАКЖЕ

За чем на самом деле охотились хакеры, устроившие суператаку вируса WannaCry

Как и предполагала «КП», массовая кибер-атака 12 мая оказалась прикрытием для похищения баз данных, хранящихся на серверах государственных структур, в том числе персональных данных россиян. Напомним, в пятницу днем на десятках тысячах компьютеров появился вирус-шифровальщик WannaCry, который не давал возможность открывать хранящиеся на дисках данные, а за расшифровку требовал 300 долларов в криптовалюте (виртуальные деньги, которыми можно анонимно расплачиваться в цифровом мире) (подробности)

Как защититься от вируса-вымогателя Petya

В данной статье с практическими советами мы расскажем вам о том, что стоит за вирусом Petya, как от него можно от него защититься и как вы должны реагировать в случае хакерской атаки.

Вирус-вымогатель Petya: хакерская волна гигантских машстабов

Троянец Petya/ Изображение Bitdefender
  • Новая волна активности вируса-вымогателя Petya в кратчайшие сроки нанесла пользователям всего мира огромный ущерб. При этом хакеры сработали гораздо более организованно, чем в случае с WannaCry. Помимо прочего они смогли инфицировать троянцем атомную станцию в Чернобыле и Центральный банк Украины.
  • Многочисленные предприятия и органы власти пострадали прежде всего на Украине. Там Petya использовал уязвимости в бухгалтерском программном обеспечении, которое предписывает использовать украинское правительство. Таким образом, количество потенциально находящихся под угрозой предприятий в Украине оказалось просто огромным. В России и других странах троянцу пришлось искать для распространения другие уязвимые места. На данный момент проблемой были затронуты уже более чем 60 стран.
  • Требование троянца на экране пораженного компьютера очень похоже на сообщение от WannaCry: жертвы должны заплатить $300 в биткоинах. Однако новым при этом является то, что программа требовала еще и установить контакт с вымогателями по электронной почте.
  • Но здесь появились первые подводные камни, так как адрес электронной почты был взят у берлинского провайдера услуг электронной почты Posteo. Разумеется, руководство сервиса сразу же блокировало соответствующую учетную запись, так что теперь жертвы не могут установить контакт с вымогателями. Полиция принципиально рекомендует не платить выкуп.

Petya: так вы можете защититься

Фото: защита от Petya
  • Специалисты по компьютерной безопасности обнаружили возможность остановить Petya и защититься от него. Дело в том, что во время кодирования данных Petya ищет определенный файл. Как только он его найдет, кодирование прекращается.
  • Этот образ действий относится к числу так называемых Exit-стратегий (защитных стратегий завершения операции), которые хакеры разрабатывают при создании вредоносного программного обеспечения. Это нужно для того, чтобы защитить от поражения вымогателем собственных компьютеров и оставить возможности для остановки деятельности вируса.
  • Вот чем вы можете воспользоваться: скачайте файл с портала CHIP и запустите его от имени Администратора.
  • Если троянец попытается заразить ваш компьютер и зашифровать данные, он обнаружит нужный файл и будет остановлен.
  • Быстрая помощь: если вы уже пострадали от действий вируса-вымогателя Petya, пожалуйста, следуйте за нами к инструкциям «на крайний случай» (статья «Общие меры защиты от шифровальщиков»).

Эксперты по вредоносным программам дают дополнительные советы по борьбе с Petya

  • Специалисты по безопасности из компании F-Secure также рекомендуют закрыть в брэндмауэре для входящих подключений порт 445.
  • Кроме того, вы должны актуализировать свою операционную систему Windows, чтобы устранить уязвимости, а также использовать защитные программы. По словам представителей компании Microsoft, в Windows 10 Creators Update содержится дополнительная защита от вирусов-вымогателей. Что именно содержит это обновление и как вы можете его скачать, мы расскажем вам на этой странице.
  • Чтобы защитить ваш компьютер от этой и других атак вредоносного программного обеспечения, настоятельно рекомендуем использовать специальное антивирусное ПО, которое доступно даже в бесплатном виде.

Фото: компании-производители, «Лаборатория Касперского», Bitdefender

Теги Вирус-вымогатель Petya

Защита от атаки вредоносного ПО Petya

Примечание редактора: 29 июня эта статья была обновлена, чтобы отразить, что Petya изначально был ошибочно идентифицирован как атака программы-вымогателя, но теперь ее называют атакой вредоносного ПО.

Спустя почти два месяца после атаки программы-вымогателя WannaCry на сотни тысяч компьютеров по всему миру всплыла аналогичная атака под названием Petya. Атака была направлена ​​на правительство, местные банки и энергетические компании Украины и другие крупные компании по всему миру.Как и в случае с атакой WannaCry, жертвы Petya обнаружили свои файлы зашифрованными и потребовали 300 долларов в биткойнах за их освобождение.

Считается, что в этой атаке использовался эксплойт «ETERNALBLUE» через уязвимость в Microsoft Windows. В марте компания выпустила исправление для уязвимости.

При атаках типа WannaCry и Petya предприятиям необходимо проявлять упреждающий характер и информировать об угрозах.

Предотвращение атак программ-вымогателей на организацию

Джонатан Кэр, директор по исследованиям Gartner, поделился своими знаниями о предотвращении атак и защите вашей организации:

«Petya — это вредоносная программа, отличная от WannaCry.Обычные методы доставки — это фишинговые электронные письма или мошенничество, однако все более вероятно, что Petya использует обновление зараженного приложения от взломанного поставщика программного обеспечения в качестве исходного вектора заражения. Для полезной нагрузки требуется доступ локального администратора. После выполнения основная загрузочная запись системы (MBR) перезаписывается пользовательским загрузчиком, который загружает вредоносное ядро, содержащее код, запускающий процесс шифрования. Весьма вероятно, что Petya не может расшифровать данные, которые были зашифрованы, поэтому организациям следует учесть это. как деструктивное вредоносное ПО, а не вымогатель », — сказал г-н.Забота. «Организациям необходимо очень хорошо знать, как угрозы могут повлиять на их организацию через слабый контроль инфраструктуры, небезопасные обновления приложений или даже веб-рекламу, зараженную вредоносным ПО. Поэтому использование таких моделей, как Continuous Adaptive Risk Trust Assessment или Gartner Adaptive Security Architecture, которые подчеркивают не только защиту, но также обнаружение, реагирование и прогнозирование, являются ключевыми инструментами для CISO и команды ».

  1. Вредоносная программа требует прав администратора на локальном компьютере.Обычные пользователи не должны иметь этого разрешения. Рассмотрите возможность ограничения прав локального администратора, чтобы предотвратить выполнение кода эксплойта в организациях. Домашним пользователям также следует рассмотреть возможность использования стандартной учетной записи пользователя для повседневных операций.
  2. Многие системы Windows настроены на автоматическую перезагрузку в случае сбоя. Вы можете отключить эту функцию в Windows. Если вы можете предотвратить шифрование MFT, вы все равно можете восстановить данные с локального диска.

Подробнее: 7 мифов о программах-вымогателях

«После изменения MBR вредоносная программа вызовет сбой системы.Когда компьютер перезагружается, загружается вредоносное ядро, и появляется экран, показывающий поддельный процесс проверки диска. Именно здесь вредоносная программа шифрует основную таблицу файлов (MFT), которая находится на разделах диска NTFS и обычно встречается в большинстве операционных систем Windows », — сказал он. «Это когда машина перезагружается, чтобы зашифровать MFT, наносит реальный ущерб ».

Защитите свою организацию

Mr. Care предлагает семь шагов для защиты вашей организации от Petya, WannaCry и подобных атак.

  1. Разверните последние исправления Microsoft, включая MS17-010, исправляющее уязвимость SMB.
  2. Рассмотрите возможность отключения SMBv1, чтобы предотвратить распространение вредоносного ПО.
  3. Обучайте конечных пользователей сохранять бдительность при открытии вложений или переходе по ссылкам от отправителей, которых они не знают.
  4. Убедитесь, что у вас установлены последние обновления для вашего антивирусного программного обеспечения, поставщики выпускают обновления для защиты от этого эксплойта по мере анализа образцов.
  5. Убедитесь, что у вас есть резервные копии ваших файлов, хранящихся на локальных дисках.Обычно файлы пользователей на локальных дисках реплицируются из общей сетевой папки.
  6. Запретить пользователям записывать данные за пределами обозначенных областей на локальном жестком диске, чтобы предотвратить потерю данных в случае атаки.
  7. Используйте модель доступа с минимальными привилегиями с сотрудниками. Ограничьте доступ к локальной администрации.

Что такое программа-вымогатель Petya — Как удалить и защитить

Как и большинство программ-вымогателей, Petya сложно удалить после заражения системы.В большинстве случаев жертва должна решить, платить ли выкуп (в надежде получить ключ шифрования) или стереть все и восстановить из резервной копии. Лучший способ полностью избежать вымогательства. Вот что нужно делать до, во время и после приступа.

Перед атакой

Лучшая стратегия безопасности — полностью избегать программ-вымогателей. Это требует планирования и работы — до того, как разразится кризис.

  • Резервное копирование и восстановление
    Самой важной частью любой стратегии защиты от программ-вымогателей является регулярное резервное копирование данных.На удивление мало организаций проводят тренировки по резервному копированию и восстановлению. Обе половины важны; упражнения по восстановлению — единственный способ заранее узнать, работает ли ваш план резервного копирования.

  • Обновление и исправление
    Поддерживайте актуальность операционных систем, программного обеспечения безопасности и исправлений для всех устройств.

  • Обучите и обучите пользователей
    Обучение и осведомленность сотрудников имеют решающее значение. Ваши люди должны знать, что делать, чего не делать, как избежать программ-вымогателей и как сообщить о них.Если сотрудники получают запрос на вымогательство, они должны знать, что нужно немедленно сообщить об этом команде безопасности — и никогда, никогда не пытаться платить самостоятельно.

  • Инвестируйте в надежные решения для обеспечения безопасности, ориентированные на людей
    Даже самое лучшее обучение пользователей не остановит всех программ-вымогателей. Передовые решения для защиты электронной почты защищают от вредоносных вложений, документов и URL-адресов в сообщениях электронной почты, которые приводят к программам-вымогателям.

Во время атаки: сдержать повреждение и вернуться к делу

Хотя лучшая стратегия программ-вымогателей — это в первую очередь избегать их, этот совет ничего не значит, если вы недавно инфицированы.

У вас есть краткосрочные проблемы, которые необходимо решить, например, вернуть компьютеры, телефоны и сети в оперативный режим, или справиться с требованиями выкупа.

  • Выключите компьютер и отключите его от сети.
    После заражения системы Петя выжидает около часа, прежде чем перезагрузиться и отобразить сообщение о том, что файловая система «ремонтируется». Эксперты считают, что если машину сразу выключить, некоторые файлы могут быть сохранены. [2]
    В тот момент, когда сотрудники видят потребность в программах-вымогателях или замечают что-то странное, они должны отключиться от сети и доставить зараженную машину в ИТ-отдел.
    Только группа ИТ-безопасности должна пытаться перезагрузить компьютер, и даже это сработает только в том случае, если это поддельное пугающее ПО или обычное вредоносное ПО.
  • Позвоните в правоохранительные органы.
    Программы-вымогатели — это преступление. В игре участвуют воровство и вымогательство. Уведомление соответствующих властей является необходимым первым шагом.

  • Определите масштаб проблемы на основе информации об угрозах
    Ваш ответ, в том числе вопрос о том, платить ли выкуп, зависит от нескольких факторов:

    • Тип атаки
    • Кто в вашей сети скомпрометирован
    • Какие сетевые разрешения есть у скомпрометированных учетных записей
  • Организовать ответ
    Большая часть вашего ответа связана с решением, платить ли выкуп.Ответ сложен и может потребовать консультации с правоохранительными органами и юрисконсультом. В некоторых случаях оплата может оказаться неизбежной.

  • Не рассчитывайте на бесплатные инструменты для расшифровки программ-вымогателей
    Большинство бесплатных инструментов работают только с одним штаммом программ-вымогателей или даже с одной атакой. По мере того, как злоумышленники обновляют свои программы-вымогатели, бесплатные инструменты устаревают и, вероятно, не будут работать с вашей программой-вымогателем.

  • Восстановление из резервной копии
    Единственный способ полностью восстановиться после заражения программой-вымогателем — это восстановить все из резервной копии.Но даже с учетом недавних резервных копий выплата выкупа может иметь больший финансовый и операционный смысл.

После атаки: обзор и подкрепление

Мы рекомендуем проводить всестороннюю оценку безопасности, чтобы найти угрозы, которые все еще могут существовать в вашей среде. Внимательно посмотрите на свои инструменты и процедуры безопасности — и выясните, где они не работают.

  • Очистка
    Некоторые программы-вымогатели содержат другие угрозы или трояны-бэкдоры, которые могут привести к будущим атакам.В других случаях среда жертвы уже была скомпрометирована, что открывало дверь для программ-вымогателей.
    Присмотритесь к скрытым угрозам, которые вы, возможно, не заметили в хаосе.

  • Патологоанатомический анализ
    Изучите степень готовности к угрозе, цепочку событий, приведших к заражению, и ваш ответ. Не выяснив, как прошла атака программы-вымогателя, у вас нет возможности остановить следующую атаку.

  • Оцените осведомленность пользователей
    Хорошо информированный сотрудник — ваша последняя линия защиты.Убедитесь, что сотрудники, персонал или преподаватели справляются с поставленной задачей.

  • Образование и обучение
    Разработайте учебную программу для устранения уязвимости сотрудников к кибератакам. Составьте план кризисных коммуникаций на случай будущей атаки и проведите учения и тестирование на проникновение.

  • Усильте свою защиту
    Сегодняшний быстро меняющийся ландшафт угроз требует решений безопасности, которые могут анализировать, выявлять и блокировать в реальном времени вредоносные URL-адреса и вложения, которые служат основными средствами атаки программ-вымогателей.
    Ищите решения безопасности, которые могут адаптироваться к новым и возникающим угрозам и помочь вам быстрее на них реагировать.

Как защитить компьютер Windows от атак

4 способа предотвратить атаки программ-вымогателей

Эти простые шаги помогут предотвратить превращение вашего компьютера в следующую цель вымогателя.

США СЕГОДНЯ

САН-ФРАНЦИСКО — Во вторник новая программа-вымогатель по имени Petya поразила громкие цели во многих странах, включая США.

Хотя Petya не проник на такое количество компьютеров, как вымогатель WannaCry в мае, он более опасен и способен нанести еще больший ущерб. Вот как защитить себя и свой малый бизнес от атак типа Пети.

Скачать патчи

Как и WannaCry, Петя нацелен на уязвимость в старых системах Windows под названием EternalBlue. Один из лучших способов защитить себя от этих атак — это загрузить исправления, которые Microsoft предоставляет во время обновлений.В марте Microsoft выпустила патч для защиты от уязвимости в своей системе Windows XP. Ранее в этом месяце он выпустил дополнительные исправления для старых операционных систем Windows, сославшись на «повышенный риск разрушительных кибератак».

Если вы разрешите Microsoft автоматически обновлять ваш компьютер, у вас должен быть патч. Для более старых версий Windows, которые Microsoft обычно не поддерживает, вы можете перейти на веб-сайт Microsoft и загрузить исправления, необходимые для защиты ваших компьютеров на основе вашей версии Windows.

Подробнее:

Создайте резервную копию своего компьютера

Вы всегда должны делать резервную копию своего компьютера на случай, если программа-вымогатель атакует ваш компьютер, чтобы у вас были копии ваших файлов в другом месте, например, на внешнем жестком диске или в облаке.

Дон Фостер, старший директор по маркетингу решений компании Commvault, занимающейся бизнес-данными, советует выполнять резервное копирование данных чаще, чем раз в месяц. В случае атаки у вас могут быть самые последние файлы для использования без необходимости платить выкуп.

Установите программы защиты

Вам следует загрузить программы защиты, которые не только борются с атаками, но и уведомляют вас об угрозе вашему компьютеру. Эти программы включают брандмауэры, антивирусные программы и другое защитное программное обеспечение. Они могут предупредить вас, если вредоносная программа пытается зашифровать ваши файлы, и что они делают, чтобы остановить это. Это хорошая идея, говорит Билл Келли из специализированной страховой компании Argo Group, потому что, даже если вымогатель может добраться до некоторых ваших файлов, эти программы должны защищать остальные ваши файлы.

Не нажимайте ничего подозрительного

Некоторые из этих атак происходят из-за фишинговых писем. Эти электронные письма созданы для того, чтобы вы думали, что они законные, но устанавливаете вредоносные программы на свой компьютер, как только вы их откроете. Келли предлагает научиться определять, как выглядят эти электронные письма.

Часто бывает опечатка в названии компании или лица, предположительно отправившего вам электронное письмо. Это может быть всего одна буква, отличная от их настоящего имени.

Foster также рекомендует не посещать веб-сайты, на которых совершается незаконная или подозрительная деятельность.Вы можете раскрыть вредоносное ПО и открыть для себя уязвимость, даже не осознавая этого, просто щелкнув ссылку на этих сайтах.

Защитите себя при использовании общедоступного Wi-Fi

При использовании общедоступного Wi-Fi вы доступны для просмотра всем остальным, использующим эту сеть. Вы хотите убедиться, что вы изменили настройки безопасности на своем компьютере в общедоступной сети. Обычно компьютеры автоматически спрашивают вас, хотите ли вы, чтобы вас видели в сети, но проверьте настройки безопасности, чтобы убедиться, что вы не настроены как общедоступные.

Foster предлагает использовать VPN или виртуальную частную сеть, которая скрывает ваш компьютер от тех, кто использует общедоступную сеть. Использование VPN не поможет бороться с вредоносными программами, но может помочь вам не стать целью.

Связанный:

Следите за Мэдлин Пердью USA Today в Twitter @madelinepurdue.

Как защититься от вредоносного ПО Petya

Сейчас играет: Смотри: Вымогатель Nasty Petya быстро распространяется

1:29

Крупные предприятия, поставщики электроэнергии и государственные учреждения по всему миру страдают от вредоносного ПО, широко известного как Petya.Пострадала даже шоколадная фабрика.

Сначала считалось, что это программа-вымогатель, потому что она, по сути, блокирует зараженный компьютер, и на экране появляется записка о выкупе. Записка требует 300 долларов, выплаченных через биткойны, в обмен на разблокировку зараженных компьютеров. Эта атака очень похожа на атаку программы-вымогателя WannaCry, которая в мае затронула более 230 000 компьютеров в более чем 150 странах.

Значит, это программа-вымогатель? Ну, наверное, нет. Платежная система, созданная хакерами, практически бесполезна.Они использовали только один адрес для платежа в биткойнах, который уже был отключен провайдером электронной почты. Считается, что программа-вымогатель была просто прикрытием для вредоносного ПО, призванного нанести большой ущерб, особенно правительству Украины. Помимо того, что компьютер и его данные становятся бесполезными, в Petya также есть троян, который крадет имена пользователей и пароли жертв.

На самом деле это не

«Петя»

Петя — это на самом деле название старой версии вредоносного ПО.Когда выявились ключевые различия, исследователи дали ему разные названия, чтобы отметить его как новый штамм Petya. GoldenEye, кажется, застрял.

Как от этого защититься

Petya / GoldenEye может атаковать компьютер двумя способами. «Эксплойт атакует уязвимую службу Windows Server Message Block (SMB), которая используется для обмена файлами и принтерами в локальных сетях», — сказал Дэвид Сайкс, эксперт по безопасности бизнеса в Sophos. «Microsoft обратилась к этой проблеме в своем бюллетене MS17-010 в марте, но в прошлом месяце эксплойт сыграл важную роль в распространении WannaCry.Новый вариант Petya также может распространяться с помощью версии инструмента Microsoft PsExec в сочетании с учетными данными администратора с целевого компьютера ».

Эти проблемы были исправлены, но некоторые люди не загрузили исправление, поэтому оно продолжает распространяться. Первая линия защиты — убедиться, что у вас установлена ​​последняя версия Windows: если у вас включены автоматические обновления, вы в безопасности. Обновление уже должно быть установлено на ваш компьютер.

Если у вас не включено автоматическое обновление , вы можете загрузить обновление безопасности здесь:

Windows имеет страницу загрузки всех версий, доступных здесь.

Затем убедитесь, что у вас установлена ​​последняя версия антивирусного программного обеспечения. У большинства антивирусных компаний уже есть патчи, блокирующие Петю и эту новую версию.

Наконец, соблюдайте разумные повседневные меры предосторожности. Сайкс рекомендует регулярно выполнять резервное копирование вашего компьютера и хранить последнюю резервную копию вне офиса. И не открывайте вложения в сообщениях электронной почты, если вы не знаете, кто они из и , и вы их ожидаете.

4 способа избежать следующей атаки Petya или WannaCry

Сейчас играет: Смотри: Почему кибератака WannaCry настолько плоха и ее так легко избежать

2:18

Не давайте хакерам шанс заблокировать ваш компьютер.

Джеймс Мартин / CNET

За последние несколько месяцев компании и частные лица стали жертвами атак программ-вымогателей. Одна только атака WannaCry затронула более 230 000 компьютеров в более чем 150 странах.

Программа-вымогатель — это вредоносная программа, которая блокирует зараженный компьютер. На экране появляется записка с требованием выкупа с требованием определенной суммы денег в обмен на освобождение компьютера от атаки.

Согласно опросу ИТ-специалистов и специалистов по безопасности, проведенному компанией Guidance Software, количество атак программ-вымогателей в 2017 году не уменьшилось с 2016 года. Программы-вымогатели никуда не денутся, поэтому важно защитить себя.

Эти шаги подготовят вас к следующей атаке и любой другой вредоносной программе, которая может встретиться на вашем пути.

1. Не расслабляйтесь в вопросах безопасности в социальных сетях

Лучшая защита — это нанести серьезный удар, когда дело касается предотвращения атак программ-вымогателей. Ваше преступление может начаться с ваших учетных записей в социальных сетях.Убедитесь, что ваши профили конфиденциальны, и делитесь ими только с теми, кого вы действительно знаете.

«Не сообщайте слишком много личной информации, особенно в области биографии или личных данных», — сказал CNET Джейсон Брэдли, исполнительный вице-президент и глава службы безопасности Fujitsu America Inc. «Киберпреступникам, сталкерам и людям в целом легко получить адреса, номера телефонов, даты рождения и т. Д. Из этих мест как внутри сайта, например Facebook, LinkedIn и Twitter, так и из Google или Bing.»

2. Будьте осторожны со своими электронными письмами.

Поставщики ИТ-услуг сообщают, что 46% обнаруженных ими атак с использованием программ-вымогателей были вызваны электронной почтой или фишинговыми атаками, согласно исследованию Datto.

» Наиболее распространенная форма социальной инженерии, «Фишинговые электронные письма работают так хорошо, потому что злоумышленники все лучше маскируют свои намерения», — сказал Брэдли.

Не открывайте электронные письма от людей, которых вы не знаете, без предварительного сканирования их на наличие вредоносных программ. Gmail имеет встроенный сканер вредоносных программ, который предупредит вас, прежде чем вы откроете подозрительное электронное письмо.Многие программы для защиты от вредоносных программ также имеют возможности сканирования электронной почты. Некоторые хорошие варианты — Bitdefender и Kaspersky Anti-Virus. (Хорошее программное обеспечение для защиты от вредоносных программ также поможет защитить ваш компьютер в целом.)

Будьте осторожны, даже если электронное письмо выглядит законным. «Самая безопасная ставка — не нажимать на что-либо, что находится в электронном письме от кого-то, кого вы лично не знаете. Если электронное письмо отправлено из банка или службы, на которую вы подписаны, обязательно внимательно проверьте адрес электронной почты. , — посоветовал Брэдли.

Законный адрес электронной почты обычно имеет название компании после символа @. Электронные письма от бесплатных аккаунтов, таких как Gmail, MSN, Yahoo или других провайдеров, которые выдают себя за крупные компании, вероятно, тоже являются мошенниками.

Электронное письмо также может быть изменчивым, если оно просит вас:

  • Сбросить ваш ID
  • Сбросить пароль
  • Предоставить им учетные или личные данные
  • Откройте новую вкладку или окно веб-браузера и перейдите непосредственно к этот сайт вносить изменения

3.Не игнорируйте пароли

Да, пароли — это хлопотно, но они — ключевой способ помешать хакерам. Убедитесь, что ваши пароли сложны для защиты ваших данных. «Кроме того, полная смена паролей (т.е. не только одного символа, но и всего пароля) каждые пару месяцев поможет злоумышленникам угадывать, а ваши данные будут в большей безопасности», — сказал Брэдли.

У Шэрон Профис есть несколько полезных советов по паролю.

4. Держите Windows в актуальном состоянии.

Petya (вредоносная программа, имитирующая атаку вымогателя) и WannaCry использовали уязвимости на компьютерах, на которых не была обновлена ​​операционная система Windows.Регулярно выпускаются новые обновления, чтобы укрепить дыры, которые хакеры могут использовать для атаки на компьютерную систему. Вы должны убедиться, что ваш компьютер обновляется, как только эти исправления будут выпущены.

В Windows 10 обновления устанавливаются автоматически. Старые версии, возможно, потребуется включить вручную.

В Windows 8 и Windows 8.1 перейдите в Настройки > Изменить настройки ПК> Обновление и восстановление . Щелкните Выберите способ установки обновлений . В разделе « Важные обновления» выберите параметр «Авто», затем перейдите в раздел «Рекомендуемые обновления » и выберите Давать мне рекомендуемые обновления так же, как я получаю важные обновления, установите флажок и нажмите Применить .

Здесь вы можете увидеть, как изменить настройки для Vista, Windows 7 и XP.

Хотя еще одна атака программы-вымогателя может быть неизбежна, вы можете убедиться, что вы не являетесь ее жертвой, предприняв несколько простых шагов, чтобы защитить себя. Храните свою информацию в тайне, не переходите по подозрительным ссылкам, укрепляйте свои пароли и обновляйте свои компьютеры, чтобы не допустить хакеров.

Что такое программы-вымогатели Petya и NotPetya?

Как вирус Petya распространяется и заражает устройства?

Петя использует уязвимость CVE-2017-0144 в реализации Microsoft протокола Server Message Block.После использования уязвимости эта атака шифрует главную загрузочную запись среди других файлов. Он отправляет пользователю сообщение о необходимости перезагрузки системы, после чего система становится недоступной. Это делает операционную систему неспособной находить файлы, и нет возможности расшифровать файлы, что делает Petya скорее очистителем, чем программой-вымогателем, как первоначально предполагалось.

Новый вариант еще больше расширил свои возможности, добавив механизм распространения, аналогичный тому, что мы видели в WannaCry в мае 2017 года.14 марта Microsoft выпустила набор критических исправлений для устранения основной уязвимости в поддерживаемых версиях Windows, но многие организации, возможно, еще не применили эти исправления.

Как защититься от Пети?

Лучший способ защититься от Пети — это активные меры. Сообщается, что вирус Petya распространяется через фишинговые или спам-электронные письма, поэтому обязательно проверяйте содержимое электронного письма на предмет легитимности.Наведите указатель мыши на ссылку и посмотрите, ведет ли она к надежному URL-адресу. Или, если вы не уверены в содержании или источнике электронного письма, выполните быстрый поиск в Интернете и найдите другие экземпляры этой кампании и то, что они могут сказать вам о законности электронного письма. Вам также следует сделать полную резервную копию вашего устройства. Если машина заражена вирусом Petya, данные могут стать невосстановимыми. Вы можете создать резервную копию данных, хранящихся на внешнем жестком диске, в облаке или другом стороннем хранилище.Что наиболее важно, всегда применяйте обновления системы и приложений, когда они доступны, поскольку Petya и подобные атаки полагаются на незащищенные уязвимости для взлома систем.

История и эволюция программы-вымогателя Petya

Petya был обнаружен в марте 2016 года исследователями в области безопасности, которые отметили, что, хотя вредоносная программа достигла меньшего числа заражений, чем другие активные в настоящее время штаммы, вирус по-прежнему уникален в своем действии, что заставляет многих в отрасли внимательно следить за расширенной атакой.Позже в 2016 году появился еще один вариант Petya, который содержал дополнительную возможность, которую можно было использовать, если вирус не мог получить доступ администратора к машине.

Перенесемся в июнь 2017 года, и появилась последняя версия Petya, которая за считанные часы уничтожала организации по всему миру. Обновленные возможности нового варианта заставили некоторых специалистов по безопасности назвать вирус NotPetya.

Как продукты McAfee нейтрализуют угрозу?

McAfee предлагает раннюю защиту для компонентов первоначальной атаки Petya в форме расширенного анализа поведения вредоносных программ с помощью Real Protect Cloud и новых методов анализа динамической нейронной сети (DNN), доступных в McAfee Advanced Threat Defense (ATD).McAfee ATD 4.0 представила новую возможность обнаружения с использованием многоуровневой нейронной сети с обратным распространением (DNN), использующей полу-контролируемое обучение.

В автономном режиме, при подключении к конечной точке McAfee или сетевым датчикам McAfee ATD сочетает анализ угроз с анализом поведения песочницы и передовым машинным обучением для обеспечения адаптируемой защиты нулевого дня. Real Protect, часть решения Dynamic Endpoint, также использует машинное обучение и анализ ссылок для защиты от вредоносных программ без сигнатур и обеспечивает богатый интеллект в Dynamic Endpoint и остальной части экосистемы McAfee.

По мере продолжения нашего анализа Petya мы будем предоставлять обновленную информацию о том, как использовать решения McAfee для защиты, обнаружения и устранения сложных киберугроз. Просмотрите KB89540 на предмет обновлений.

Что мне делать дальше?

Если вы уже приняли меры, описанные выше, вы должны быть защищены от Petya / NotPetya.Если вы пострадали от программы-вымогателя Petya или другого типа, зайдите на сайт NoMoreRansom.org. И помните, никогда не платите выкуп: если вы имеете дело с Петей, вы не получите свои файлы обратно.

Кроме того, крайне важно всегда сохранять бдительность в отношении будущих атак, поэтому убедитесь, что вы подписались на получение предупреждений об угрозах от McAfee Labs и узнали все, что можно, о программах-вымогателях и способах их предотвращения.

Программа-вымогатель Petya: откуда она взялась и как защитить себя

Атака подчеркивает растущую опасность использования скомпрометированного стороннего программного обеспечения для распространения вредоносных программ по компаниям.

По данным Microsoft, атака программы-вымогателя Petya, нанесшая ущерб компьютерам в 64 странах мира, была распространена с помощью программного обеспечения для бухгалтерского учета, что подчеркивает опасность, исходящую от скомпрометированных сторонних приложений.

Эпидемия началась в Украине, где было заражено более 12 500 компьютеров, и теперь есть свидетельства того, что этот новый вариант вредоносного ПО Petya изначально распространялся через программу обновления программного обеспечения налогового учета MEDoc.

«Мы наблюдали телеметрию, показывающую, что процесс обновления программного обеспечения MEDoc (EzVit.exe) выполняет вредоносную командную строку, соответствующую этому точному шаблону атаки», — написала исследовательская группа Microsoft Windows Defender Research, добавив, что команда была выполнена вчера в 10:30 по Гринвичу.

Украинская фирма, производящая MEDoc, сначала подтвердила, что их сервер «совершил вирусную атаку», а затем в своем сообщении на Facebook отрицала, что их программное обеспечение было взломано.

SEE: Как атака программы-вымогателя GoldenEye / Petya выявляет плачевное состояние кибербезопасности

Microsoft заявляет, что эта атака подчеркивает растущую опасность хакеров, использующих стороннее программное обеспечение для заражения большого количества организаций.

«Как мы подчеркивали ранее, атаки на цепочку поставок программного обеспечения — недавняя опасная тенденция для злоумышленников, которая требует усиленной защиты».

Другая атака на цепочку поставок программного обеспечения, проведенная ранее в этом году, скомпрометировала средство обновления для стороннего инструмента редактирования, используемого несколькими фирмами, заявила Microsoft, охарактеризовав этот подход как «тихий, но эффективный вектор атаки».

Было заражено большое количество организаций, многие из которых находятся в Украине, в том числе датская транспортная компания Maersk, российская нефтяная компания «Роснефть», Киевский метрополитен, Национальный банк Украины, юридическая фирма DLA Piper, американская фармацевтическая компания Merck и многие другие.

Как защитить себя

Как только программа-вымогатель заражает машину, она пытается распространиться на другие ПК в сети. Для распространения он попытается украсть учетные данные для получения прав локального администратора, попытается использовать общие файловые ресурсы для передачи вредоносного файла между компьютерами, а затем удаленно выполнит файл. Программа-вымогатель шифрует целые жесткие диски и требует оплаты в биткойнах в размере 300 долларов за их освобождение.

Вредоносная программа также может распространяться с помощью эксплойта EternalBlue для уязвимости SMB, который использовался WannaCry для распространения между машинами.Уязвимость была исправлена ​​Microsoft в марте этого года.

Microsoft рекомендует применить это обновление для системы безопасности, но тем, кто не может, оно предлагает фирмам «отключить SMBv1 с помощью шагов, описанных в статье 2696547 базы знаний Майкрософт» и «рассмотреть возможность добавления правила на маршрутизаторе или брандмауэре для блокировки входящих SMB-трафик на порт 445 «.

Другой обходной путь для блокировки заражения Petya — создать файл без расширения, доступный только для чтения, с именем perfc в папке C: \ Windows, выполнив описанные здесь действия.

Microsoft также предоставляет подробную разбивку команд и сетевой активности, которые указывают на заражение Petya.

Изображение: Microsoft

Информационный бюллетень для инсайдеров по кибербезопасности

Усильте защиту ИТ-безопасности вашей организации, следя за последними новостями, решениями и передовыми практиками в области кибербезопасности.Доставка по вторникам и четвергам

Зарегистрироваться Сегодня

Подробнее о программах-вымогателях

.

Добавить комментарий

Ваш адрес email не будет опубликован.