Украина подверглась атаке опасного вируса-шифровальщика Petya.A. Инфицированы десятки украинских банков, сети мобильных операторов, а также компьютерные системы крупных энергокомпаний.
По некоторым данным, новый вирус является симбиозом вирусов Petya и WannaCry, который не только зашифровывает данные, хранящиеся на компьютере, но и переписывает главную загрузочную запись (MBR) жесткого диска. Новый подвид Petya.A, который сегодня атаковал Украину, это комбинация уязвимостей SMB и WMI - CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в WannaCry). Данная модификация на данный момент не определяется ни одним из антивирусных вендоров. Также на настоящий момент не существует средств по восстановлению данных.
Вирус распространяется в виде вложенного файлов и ссылок к сообщения электронной почты, при его открытии вредоносный код активируется. После заражения исходного ПК или сервера, вирус начинает сканировать локальную сеть посредством ARP-запросов и заражает другие уязвимые компьютеры в пределах видимости вашей локальной сети.
Особенно подвержены риску первичного заражения пользователи ПО «M.E.Doc», поскольку данное приложение использует email для получения обновлений и обрабатывает входящие электронные письма в автоматическом режиме.
Для предотвращения заражения вирусом, а также для минимизации возможного урона следует выполнить следующие шаги:
1. Отключить автоматическое обновление системы «M.E.Doc» или полностью отключить данное ПО.
2. Заблокировать доступ в интернет и остановить сервис электронной почты.
3. Экстренно информировать пользователей о том, что нельзя открывать никакие вложения и ссылки в уже поступивших письмах.
4. На уровне клиента и почтового сервера заблокировать сообщения, вложения и архивы имеющие исполняемый код: *.exe, *.js, *.vbs и т.д.
5. Сделать резервное копирование всех критических для бизнеса данных.
6. Выделить все сервера в отдельный VLAN и настроить соответствующие правила маршрутизации на коммутаторах и маршрутизаторах, а также защитить этот VLAN брандмауэром. Это позволит избежать автоматического заражения серверов в случае, если вирус поразил рабочие станции пользователей.
7. Установить обновления для ваших операционных систем Microsoft загрузив их с официального ресурса — https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
8. Использовать для вашего ПК или сервера режим UEFI (вместо классического BIOS) с активированной функцией Secure Boot, что исключает саму возможность перезаписи MBR.
9. Если вы используете гипервизор от Microsoft, то обязательно использовать виртуальные машины 2-го поколения с установленной по умолчанию функцией Secure Boot.
10. Обновите антивирусные базы вашего антивируса и выполните полную проверку системы.
Если ваш компьютер или сервер всё-таки были инфицированы, то:
1. Проверьте наличие следующего файла, если он существует, то это подтверждение того что компьютер действительно заражён — C:\Windows\perfc.dat
2. Не перегружайте компьютер.
3. Если ваш компьютер самопроизвольно перезагрузился, и начался якобы «процесс сканирование жесткого диска» — необходимо немедленно отключить питание компьютера, это позволит сохранить хотя бы часть данных.
Кроме того, рекомендуется пройти качественный аудит информационной безопасности и устранить все потенциальные уязвимости, не дожидаясь ещё одной подобной атаки.
Автор статьи — генеральный директор компании «ЭС АЙ ЦЕНТР»