Украина подверглась атаке опасного вируса-шифровальщика Petya.A. Инфицированы десятки украинских банков, сети мобильных операторов, а также компьютерные системы крупных энергокомпаний.

По некоторым данным, новый вирус является симбиозом вирусов Petya и WannaCry, который не только зашифровывает данные, хранящиеся на компьютере, но и переписывает главную загрузочную запись (MBR) жесткого диска. Новый подвид Petya.A, который сегодня атаковал Украину, это комбинация уязвимостей SMB и WMI - CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в WannaCry). Данная модификация на данный момент не определяется ни одним из антивирусных вендоров. Также на настоящий момент не существует средств по восстановлению данных.

Вирус распространяется в виде вложенного файлов и ссылок к сообщения электронной почты, при его открытии вредоносный код активируется. После заражения исходного ПК или сервера, вирус начинает сканировать локальную сеть посредством ARP-запросов и заражает другие уязвимые компьютеры в пределах видимости вашей локальной сети.

Особенно подвержены риску первичного заражения пользователи ПО «M.E.Doc», поскольку данное приложение использует email для получения обновлений и обрабатывает входящие электронные письма в автоматическом режиме.

Для предотвращения заражения вирусом, а также для минимизации возможного урона следует выполнить следующие шаги:

1.    Отключить автоматическое обновление системы «M.E.Doc» или полностью отключить данное ПО.

2.    Заблокировать доступ в интернет и остановить сервис электронной почты.

3.    Экстренно информировать пользователей о том, что нельзя открывать никакие вложения и ссылки в уже поступивших письмах.

4.    На уровне клиента и почтового сервера заблокировать сообщения, вложения и архивы имеющие исполняемый код: *.exe, *.js, *.vbs и т.д.

5.    Сделать резервное копирование всех критических для бизнеса данных.

6.    Выделить все сервера в отдельный VLAN и настроить соответствующие правила маршрутизации на коммутаторах и маршрутизаторах, а также защитить этот VLAN брандмауэром. Это позволит избежать автоматического заражения серверов в случае, если вирус поразил рабочие станции пользователей.

7.    Установить обновления для ваших операционных систем Microsoft загрузив их с официального ресурса https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

8.    Использовать для вашего ПК или сервера режим UEFI (вместо классического BIOS) с активированной функцией Secure Boot, что исключает саму возможность перезаписи MBR.

9.    Если вы используете гипервизор от Microsoft, то обязательно использовать виртуальные машины 2-го поколения с установленной по умолчанию функцией Secure Boot.

10. Обновите антивирусные базы вашего антивируса и выполните полную проверку системы.

Если ваш компьютер или сервер всё-таки были инфицированы, то:

1.    Проверьте наличие следующего файла, если он существует, то это подтверждение того что компьютер действительно заражён — C:\Windows\perfc.dat

2.    Не перегружайте компьютер.

3.    Если ваш компьютер самопроизвольно перезагрузился, и начался якобы «процесс сканирование жесткого диска» — необходимо немедленно отключить питание компьютера, это позволит сохранить хотя бы часть данных.

Кроме того, рекомендуется пройти качественный аудит информационной безопасности и устранить все потенциальные уязвимости, не дожидаясь ещё одной подобной атаки.

Автор статьи — генеральный директор компании «ЭС АЙ ЦЕНТР»