Патч майкрософт от вируса петя
О вирусах-вымогателях в криптосообщества активно заговорили в мае 2017 года. В это время вирус WannaCry быстро распространился по компьютерным сетям. Он заражали компьютеры на Windows, шифровал файлы на жестком диске ПК, а затем требовал выкуп в биткоинах за засшифровку.
Это краткий принцип действия шифровальщиков. В этой статье разберемся, что такое WannaCry, как лечить зашифрованные компьютеры и что рассказывает source code вируса.
Читайте в статье
Каналы заражения
Технически, вектор атаки или заражения — это средство, с помощью которого вымогатели получают доступ. Самые популярные:
Феномен WannaCry
Несколько факторов привлекли внимание к WannaCry. В первую очередь из-за того, что он заразил крупнейшие компании. В их числе Британская национальная служба здравоохранения. Вирус-шифровальщик эксплуатировал уязвимость Windows, которая была впервые обнаружена Агентством национальной безопасности США. Symantec и другие исследователи безопасности связывали его с Lazarus Group — организацией, которая занимается киберпреступностью и может быть связана с правительством Северной Кореи.
WannaCry Ransomware состоит из нескольких компонентов. Он попадает на зараженный компьютер в форме дроппера. Это отдельная программа, которая извлекает встроенные в нее компоненты приложения. Эти компоненты включают в себя:
- приложение, которое шифрует и дешифрует данные,
- файлы, содержащие ключи шифрования,
- копию Tor.
Как WannaCry выбирает компьютеры?
Вектор атаки для WannaCry более интересен, чем сам шифровальщик. Уязвимость, которую использует WannaCry, заключается в реализации Windows протокола SMB. Он помогает различным узлам сети взаимодействовать, а реализацию Microsoft можно обмануть специально созданными пакетами для выполнения любого кода.
Считается, что Агентство национальной безопасности США обнаружило эту уязвимость уже давно. Вместо того, чтобы сообщить общественности, оно разработало код под названием EternalBlue. Этот эксплойт, в свою очередь, был похищен группой хакеров. Shadow Brokers, название этой группы, создали пост 8 апреля 2017 на Medium (это сообщение полно политики, в нем заявлена позиция этой группы. Мы не будем переводить текст, там есть и отрывок про отношение к России, так как опасаемся, что это будет звучать экстремистски).
В Microsoft обнаружили уязвимость за месяц до этого и выпустили патч. Тем не менее это не помешало WannaCry, который опирался на EternalBlue, быстро распространиться по устройствам. После этого Microsoft обвинила правительство США, что оно не поделилось информацией об этой уязвимости раньше.
Хатчинс не только обнаружил жестко запрограммированный URL-адрес, но и заплатил 10,96 долларов и открыл там сайт. Это помогло замедлить распространение вредоносного ПО. Вскоре после того, как его признали героем, Хатчинс был арестован за то, что предположительно разрабатывал вирусы в 2014 году.
Symantec считают, что код вируса может иметь северокорейское происхождение. WannaCry бродил по сети в течение нескольких месяцев, прежде чем началась эпидемия. Это более ранняя версия вредоносного ПО, получившая название Ransom.Wannacry. Она использовала украденные учетные данные для запуска целевых атак. Использованные методы похожи на Lazarus Group.
Lazarus Group является хакерской группировкой, которая связана с Северной Кореей. В 2009 году они проводили DDoS-атаки на правительственные компьютеры Южной Кореи, затем атаковали Sony и банки.
Но так как исходный код вируса был открыт, нельзя точно приписать атаку кому-либо.
WannaCry source code
Немного технических деталей.
Имя вируса: WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY
Вектор: Все версии Windows до Windows 10 уязвимы, если не исправлены для MS-17-010.
Выкуп: от 300 до 600 долларов. В вирусе есть код для удаления файлов.
Backdooring: червь проходит через каждый сеанс RDP в системе, чтобы запустить вымогателя от имени этого пользователя. Он также устанавливает бэкдор DOUBLEPULSAR. Это делает восстановление труднее.
Каждое заражение генерирует новую пару ключей RSA-2048:
- Открытый ключ экспортируется как BLOB-объект и сохраняется в 00000000.pky.
- Закрытый ключ шифруется с помощью открытого ключа вымогателя и сохраняется как 00000000.eky
Каждый файл зашифрован с AES-128-CBC, с уникальным ключом AES на файл. Каждый ключ AES генерируется CryptGenRandom.
Ключ AES зашифрован с использованием пары ключей RSA, уникальной для каждого. Открытый ключ RSA, используемый для шифрования приватного ключа, встроен в DLL и принадлежит авторам вируса.
Три адреса для выкупа жестко запрограммированы в программе:
Как лечить WannaCry — патч
По иронии судьбы, патч, который защищает от WannaCry, был уже доступен до начала атаки. Microsoft в обновлении MS17-010, что вышло 14 марта 2017 года, исправил реализацию протокола SMB для Windows. Несмотря на критическое обновление, многие системы все еще не обновились до мая 2017 года. Больше повезло Windows 10, так как функция автоматического обновления сработала. То есть решение, как защититься от вируса-шифровальщика, уже было, но халатность на местах заставила компании поплатиться.
Для тех систем не было дешифровщика и выхода, кроме восстановления файлов из безопасной резервной копии. Хотя те, кто следит за кошельками биткоина, что указаны в сообщении от вируса, говорят, что некоторые платят выкуп. При этом мало доказательств того, что они вновь получили доступ к файлам.
Эта атака заставила Microsoft выпустить патч даже для XP, что поддержка прекращена. Большинство заражений было на Windows 7.
Другие вирусы-вымогатели
Несмотря на всю гласность WannaCry все еще заражает системы. В марте 2018 года Boeing был поражен WannaCry. Однако компания заявила, что это был небольшой ущерб.
Большую опасность сегодня представляют варианты WannaCry или, точнее, новые вредоносные программы, основанные на том же коде EternalBlue. В мае 2018 года ESET выпустила исследование: количество обнаружений вредоносного ПО на основе EternalBlue превысило свой максимальный уровень в 2017 году.
Например, известен апгрейд вируса Petya и NotPetya. Это две связанные вредоносные программы, которые затронули тысячи компьютеров в 2016 и 2017 годах. Как Petya, так и NotPetya стремятся зашифровать жесткий диск. Между ними много общих черт, но у NotPetya есть больше потенциальных инструментов, которые помогают распространять и заражать компьютеры.
Вирус Petya — это стандартный вымогатель, целью которой является получение небольшого количества BTC от жертв.
NotPetya считается некоторыми кибератакой, которая спонсируется Россией и маскируется под вирус.
После перезагрузки компьютер зашифрован.
Точнее, он не зашифрован. Вместо того, чтобы искать файлы и шифровать их, вирус устанавливает собственный загрузчик. Он перезаписывает основную загрузочную запись уязвимой системы, а затем шифрует таблицу файлов, которая является частью файловой системы. По сути, файлы не зашифрованы, но компьютер не может получить доступ к той части файловой системы, которая сообщает их местонахождение.
Почему Петя получил такое имя?
Название происходит из фильма о Джеймсе Бонде 1995 года GoldenEye. Аккаунт в Твиттере, который подозревали в принадлежности к вредоносному ПО, использовал на аве изображение Алана Камминга, сыгравшего злодея.
История NotPetya
Через пару месяцев после того, как Петя распространился, появилась новая версия, под названием Mischa. Миша включается, если пользователь отказывает Пете в доступе на уровне администратора.
В июне 2017 года все кардинально изменилось. Новая версия вредоносного ПО начала быстро распространяться, причем зараженные сайты были в основном украинскими. Также он появился в Европе. Новый вариант быстро распространился от сети к сети, без спам-писем или социальной инженерии. Kaspersky Lap переименовал эту программу в NotPetya.
NotPetya распространяется самостоятельно. Он использует несколько способов:
- через блэкдор в M.E.Doc (ПО для бухгалтерского учета, популярное на Украине).
- С этих серверов вирус ушел на другие компьютеры, используя EternalBlue и EternalRomance.
- Он также может воспользоваться инструментом Mimi Katz, чтобы найти учетные данные сетевого администрирования. Затем он включает встроенные в Windows инструменты PsExec и WMIC для удаленного доступа к локальной сети и заражает другие компьютеры.
NotPetya шифрует все. При этом он не расшифровывает данные. Если шифровальщики используют идентификатор на экране, который жертва отправляет вместе с выкупом. Тогда можно понять, кто именно заплатил. Но NotPetya генерирует случайное число. В процессе шифрования он повреждает их без возможности восстановления.
Из-за того, что вирус более совершенный, его подозревали в причастности к большим ресурсам, типа к госразведке. Плюс, из-за нападения на на Украину в 2017 году под подозрение попала Россия. Это обвинение огласило украинское правительство. Многие западные страны, в том числе США и Великобритания, поддержали ее. Россия отрицает свою причастность, указывая, что NotPetya заразил и многие российские компьютеры.
Еще о знаменитых вирусах-вымогателях
SecureList от Kaspersky сообщает, что с апреля 2014 года по март 2015 года наиболее известными были CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura и Shade. Им удалось атаковать 101 568 пользователей по всему миру, что составляет 77,48% всех пользователей, подвергшихся криптовымогательству за этот период.
CryptoLocker был одним из самых прибыльных видов вымогателей своего времени. В период с сентября по декабрь 2013 года он заразил более 250 000 систем. Он заработал более 3 миллионов долларов до того, как его ботнет Gameover ZeuS отключили. Это случилось в 2014 году в рамках международной операции.
Впоследствии создали инструмент для восстановления зашифрованных файлов, скомпрометированных CryptoLocker. Но на смену пришли его клоны — CryptoWall и TorrentLocker.
В мае 2016 года исследователи Лаборатории Касперского заявили, что в первом квартале этого года в тройку вымогателей входили: Teslacrypt (58,4 процента), CTB-Locker (23,5 процента) и Cryptowall (3,4 процента).
Один из первых вариантов вымогателей для Apple OS X также появился в 2016 году. KeRanger воздействовал на пользователей, использующих приложение Transmission, но за полтора дня затронул около 6500 компьютеров.
Согласно отчетам с начала 2017 года, шифровальщики принесли кибер-преступникам один миллиард долларов США.
Новый отчет Национального агентства по борьбе с преступностью предупреждает о развитии угроз, таких как мобильные вымогатели и IoT. Лучшие практики защиты от шифровальщиков — регулярное резервное копирование и обновление программного обеспечения. Но они не применяются к большинству IoT-устройств. Это делает их более привлекательными для хакеров.
Также под угрозой различные службы со старым ПО, типа коммунальщиков. Это может быть огромной проблемой, если хакеры захотят заработать на нашей безвыходности.
Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана сWannaCry.
Эксперты Positive Technologies представили разбор нового вымогателя и дали рекомендации по борьбе с ним
Жертвами вымогателя уже стали украинские и российские компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК "Люкс", Mondelēz International,TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах.
Именно в Украине зафиксированы первые атаки. Анализ образца вымогателя, проведенный экспертами Positive Technologies , показал, что принцип действия вымогателя основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.
После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся.
Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).
В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 - примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX[2].
Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.
Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI).
Распространение внутри сети на другие узлы происходит несколькими методами: с помощью WindowsManagement Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue).
WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах.
Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе.
Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.
Эксперты Positive Technologies выявили так называемую возможность “kill-switch” – что может помочь локально отключить шифровальщик. Если вирусный процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения). Таким образом создание файл C:\Windows\perfc может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения вируса завершается, таким образом, создание файла с таким именем C:\Windows\perfc может предотвратить подмену MBR и дальнейшее шифрование в некоторых случаях.
Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения зловреда. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.
С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MSWindows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.
В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов.
Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями.
Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов.
Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:
- C:\Windows\perfс
- Задача в планировщике Windows с пустым именем и действием (перезагрузка) "%WINDIR%\system32\shutdown.exe /r /f"
Срабатывание правил IDS/IPS:
· msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
· msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
· msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
· msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
· msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1
alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; flow: to_server, established; content: "|FF|SMB2|00 00 00 00|"; depth: 9; offset: 4; byte_test: 2, >, 0x0008, 52, relative, little; pcre: "/\xFFSMB2\x00\x00\x00\x00.<52>(?:\x04|\x09|\x0A|\x0B|\x0C|\x0E|\x11)\x00/"; flowbits: set, SMB.Trans2.SubCommand.Unimplemented; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001254; rev: 2;)
alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; flow: to_server, established; content: "|FF|SMB3|00 00 00 00|"; depth: 9; offset: 4; flowbits: isset, SMB.Trans2.SubCommand.Unimplemented.Code0E; threshold: type limit, track by_src, seconds 60, count 1; reference: cve, 2017-0144; classtype: attempted-admin; sid: 10001255; rev: 3;)
alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; flow: to_server, established; content: "|FF|SMB2|00 00 00 00|"; depth: 9; offset: 4; content: "|0E 00|"; distance: 52; within: 2; flowbits: set, SMB.Trans2.SubCommand.Unimplemented.Code0E; reference: url, msdn.microsoft.com/en-us/library/ee441654.aspx; classtype: attempted-admin; sid: 10001256; rev: 2;)
alert tcp any any -> $HOME_NET 445 (msg: "[PT Open] Petya ransomware perfc.dat component"; flow: to_server, established, no_stream; content: "|fe 53 4d 42|"; offset: 4; depth: 4; content: "|05 00|"; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content: "|70 00 65 00 72 00 66 00 63 00 2e 00 64 00 61 00 74 00|"; distance:0; classtype:suspicious-filename-detect; sid: 10001443; rev: 1;)
alert tcp any any -> $HOME_NET 445 (msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; flow:to_server, established, no_stream; content: "|fe 53 4d 42|"; offset: 4; depth: 4; content: "|05 00|"; offset: 16; depth: 2; byte_jump: 2, 112, little, from_beginning, post_offset 4; content:"|50 00 53 00 45 00 58 00 45 00 53 00 56 00 43 00 2e 00 45 00 58 00 45|"; distance:0; classtype:suspicious-filename-detect; sid: 10001444; rev:1;)
Криптовымогатели Petya и его младший брат Misсha появились в качестве франшизы в прошлом году, Первоначальная же версия появилась на свет в средине декабря 2015 года. Работают они дуэтом, С другой стороны, если Petya не может получить административные привилегии и перезагрузить ПК для замены загрузчика, то вступает в дело Misсha и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера, так сказать лайт версия шифрования но с подстраховкой.
Сегодня - это целая партнерская программа, которая предлагается всем желающим заработать на киберкриминале. Группа киберпреступников, стоящая за разработкой Petya и Misсha, называет себя Janus Cybercrime Solutions™. Рекламируется проект в основном в Даркнете, используются все возможности маркетинга, узнаваемые логотипы, привлекательная схема заработка, отзывчивая служба поддержки.
Эволюция логотипа киберпреступников
На момент публикации преступники получили на свой Bitcoin кошелек 33 платежа на общую сумму 3.39803736 BTC ($ 8,809.69 USD)
С ссылкой на полученную телеметрию, в Microsoft показали, что процесс обновления программного обеспечения MEDoc ( EzVit.exe), выполняет вредоносную командную строку, соответствующую этой точной схеме атаки во вторник, 27 июня, около 10:30 по Гринвичу. Телеметрия Microsoft в целом подтверждает описаный выше алгоритм действия вируса-вымогателя.
Исполнение цепи условий, что приводит к установке зловреда представлено на схеме ниже, и по существу , подтверждает , что процесс EzVit.exe от MEDOC, по неизвестным причинам, в какой - то момент выполняет следующие параметры командной строки:
C: \\ Windows \\ system32 \\ rundll32.exe \ "\" C: \\ ProgramData \\ perfc.dat \ ", # 1 30
Этот же вектор обновления также упоминается киберполицией Украины в открытом списке компроментирующих показателей (IOCs), в который входит программа обновления MEDoc.
В Microsoft рекомендуют клиентам, которые еще не установили обновление безопасности MS17-010, сделать это как можно скорее. До тех пор, пока вы не сможете применить патч, в компании рекомендуют два возможных способа обхода проблемы, чтобы уменьшить радиус атаки:
Подумайте о добавлении правила на маршрутизатор или брандмауэр, чтобы заблокировать входящий SMB-трафик на порте 445
Поскольку угроза нацелена на порты 139 и 445, вы можете заблокировать любой трафик на этих портах, чтобы предотвратить распространение в сети или из нее. Вы также можете отключить удаленный WMI и общий доступ к файлам. Они могут иметь большое влияние на возможности вашей сети, но могут быть заблокированы в течение очень короткого периода времени, пока вы оцениваете влияние и применяете обновления определений .
Защитник Windows Antivirus обнаруживает эту угрозу как Ransom:Win32/Petya, как и в 1.247.197.0 обновлении.
Для предприятий используйте Device Guard для блокировки устройств и обеспечения безопасности на уровне виртуализации на уровне ядра, позволяя запускать только доверенные приложения, эффективно предотвращая запуск вредоносного ПО.
Напоминаем: НЕ стоит разгонять раньше времени панику, а дать время поработать экпертам, чтобы те разложили по полочкам алгоритмы работы вируса и варианты борьбы с ним.
Служба безопасности разработала инструкцию для борьбы с вирусом-вымогателем
27 червня 2017 19:16
Об этом сообщает Depo.ua со ссылкой на пресс-службу СБУ.
По данным СБУ, подавляющее большинство заражений операционных систем происходило из-за открытия вредоносных приложений (документов Word, PDF-файлов), которые прислали на электронные адреса многих коммерческих и государственных структур.
Атака, основной целью которой было распространение шифровальщика файлов Petya.A использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением осуществить оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат.
Инструкция от СБУ:
"1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал – также не перезагружайте его) – вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
2. Сохраните все файлы, которые наиболее ценные, на отдельный не подключенный к компьютеру носитель, а в идеале – резервную копию вместе с операционной системой.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить на наличие следующего файла: C:Windowsperfc.dat
5. Убедиться, что на всех компьютерных системах установленное антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.
6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланы с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания — связаться с отправителем и подтвердить факт отправки письма.
7. Сделать резервные копии всех критически важных данных.
Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или глобальной сети.
Дополнительно к указанным рекомендациям возможно воспользоваться рекомендациями антивирусных компаний.
c). Во вкладке "Режим сбора журналов Eset" установите: Выходной двоичный код с диска.
d). Нажмите на кнопку: Собирать (Собрать).
e). Пришлите архив с журналами.
Если пострадавший ПК включен и еще не выключался, перейдите к выполнению
п. 3 для сбора информации, которая поможет написать декодер,
п. 4 для лечения системы.
Из уже пораженного ПК (который не грузится) нужно собрать MBR для дальнейшего анализа.
Собрать его возможно по следующей инструкции:
a). Скачивайте с ESET SysRescue Live CD или USB (создание в описано в п.3)
b). Согласитесь с лицензией на пользование
c). Нажмите CTRL+ALT+T (откроется терминал)
d). Напишить команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите
e). Просмотрите список дисков и идентифицируйте поражен ли ПК (должен быть /dev/sda)
f). Напишите команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге, и нажмите клавишу (Файл /home/eset/petya.img будет создан)
g). Подключите флэшку и скопируйте файл /home/eset/petya.img
h). Компьютер можно выключить".
Напомним, в Украине сегодня, 27 июня, неизвестный вирус поразил сети целого ряда крупных компаний, в том числе и крупных государственных.
Это - вирус принадлежащий к вирусам-вымогателям.
Атака началась практически одновременно, около 11:30 утра. Вирус распространяется очень быстро. Проявляется в отказе работы компьютеров на платформе Windows. Перегружается и зашифровывается.
Больше новостей о событиях в мире читайте на Depo.Весь мир
Читайте также:
