27 июня зафиксирована масштабная вирусная атака (вирус-шифровальщик PETYA.A), атаке подверглись энергетические, телекоммуникационые компании, а также государственные органы в нескольких странах.
Атака началась с Украины, которая пострадала больше всего. В первую десятку пострадавших стран вошли: Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. В Украине атакованы правительственные компьютеры, банковские системы, а также Чернобыльская АЭС.
Вирус блокирует компьютеры и требует 300 долларов в биткоинах. Распространяется вирус самостоятельно, как и WannaCry.
Первоначальное заражение происходит через фишинговые сообщения (файл Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc) или обновления бухгалтерской программы M.E.doc. Затем вирус распространяется по локальной сети через DoblePulsar и EternalBlue, аналогично методам WannaCry.
Рекомендации для предотвращения данного инцидента
KZ-CERT рекомендует, для предотвращения распространения вируса необходимо закрыть ТСР-порты 1024-1035, 135 и 445. Также следует отключить SMB1 Protocol.
При выявлении заражения, не выключать компьютер, а перевести устройство в режим гибернации с отключением от Интернета.
Кроме того, необходимо запретить:
1) доступ по http к серверам:
french-cooking.com:80
84.200.16.242:80
111.90.139.247:80
COFFEINOFFICE.XYZ:80
2) почтовые вложения и скачивание файлов с именами:
Петя.apx;
myguy.exe;
myguy.xls;
Order-[любая дата].doc.
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:
C: \ Windows \ perfc.dat
В зависимости от версии операционной системы Windows установить патч ( https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx) с интернет-ресурса Microsoft ( внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:
— для Windows XP ( http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...)
— для Windows Vista 32 bit ( http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...)
— для Windows Vista 64 bit ( http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)
— для Windows 7 32 bit ( http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)
— для Windows 7 64 bit ( http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)
— для Windows 8 32 bit ( http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)
— для Windows 8 64 bit ( http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)
— для Windows 10 32 bit ( http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)
— для Windows 10 64 bit ( http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)
Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения).
В случае если вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам.
KZ-CERT – 1400 – бесплатная горячая линия
