Новости
ОБНОВЛЕНО: Как распространяется шифровальщик DOS/Petya.A. Рекомендации БАКОТЕК по предотвращению заражения шифровальщиком
27 июн 2017
Сегодня в Украине прошла волна заражений компьютеров шифровальщиком, подобным WannaCry. Атаке подверглись многие облэнерго, банки, гос. органы, ритейл, производство, транспортные и логистические компании и др.
Специалисты по информационной безопасности компании БАКОТЕК подготовили базовые рекомендации, которые в условиях атаки помогут защитить компьютеры от заражения. Они включают в себя несколько шагов:
- блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
- на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
- на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
- блокировка SMB и WMI портов. В первую очередь 135, 445;
- после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
- не открывайте подозрительные письма и особенно вложения в них;
- принудительно обновите базу антивируса и операционные системы.
Рекомендация всем компаниям, которых пока что не коснулись атаки: пожалуйста, проведите качественный аудит безопасности и подготовьтесь. Вооружен – значит защищен.
Как распространяется шифровальщик DOS/Petya.A
Специалисты по информационной безопасности группы компаний БАКОТЕК провели анализ образца вируса DOS/Petya.A, который сегодня стал причиной массовых заражений в Украине и исс.
Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска. При этом по корпоративной сети он распространялся при помощи служебной программы PsExec.
Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017-0199 и показала как происходит эксплуатация этого кода. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.
Вполне вероятно, что компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.
О компании БАКОТЕК:
БАКОТЕК® – международная группа компаний, один из лидеров в сфере фокусной Value Added IT-дистрибуции. БАКОТЕК поставляет решения ведущих мировых ИТ производителей. Особое место в деятельности БАКОТЕК занимает направление информационной безопасности. Территориально группа компаний работает в 26 странах на рынках Восточной Европы, Балтии, СНГ и Балкан. Главный офис – в Киеве.
По всем вопросам, просьба обращаться к PR менеджеру БАКОТЕК Владиславу Мироновичу (+380 66 281 3423, Vladyslav.Myronovych@bakotech.com).