Azərbaycan
Република България 
Bosna i Hercegovina 
Česká republika
Eesti Vabariik
საქართველოს
Republika Hrvatska 
Kosovo 
Қазақстан 
Кыргыз Республикасы 
Latvija
Lietuva
Magyarország 
Moldova 
Република Македонија 
România 
Rzeczpospolita Polska
Република Србија 
Российская Федерация 
Republika Slovenija 
Slovensko
Тоҷикистон
Türkmenistan
Հայաստանի Հանրապետություն
Новости
ОБНОВЛЕНО: Как распространяется шифровальщик DOS/Petya.A. Рекомендации БАКОТЕК по предотвращению заражения шифровальщиком
27 июн 2017
Сегодня в Украине прошла волна заражений компьютеров шифровальщиком, подобным WannaCry. Атаке подверглись многие облэнерго, банки, гос. органы, ритейл, производство, транспортные и логистические компании и др.
Специалисты по информационной безопасности компании БАКОТЕК подготовили базовые рекомендации, которые в условиях атаки помогут защитить компьютеры от заражения. Они включают в себя несколько шагов:
- блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
- на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
- на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
- блокировка SMB и WMI портов. В первую очередь 135, 445;
- после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР!
- не открывайте подозрительные письма и особенно вложения в них;
- принудительно обновите базу антивируса и операционные системы.
Рекомендация всем компаниям, которых пока что не коснулись атаки: пожалуйста, проведите качественный аудит безопасности и подготовьтесь. Вооружен – значит защищен.
Как распространяется шифровальщик DOS/Petya.A
Специалисты по информационной безопасности группы компаний БАКОТЕК провели анализ образца вируса DOS/Petya.A, который сегодня стал причиной массовых заражений в Украине и исс.
Шифровальщик распространяется при помощи электронной почты. При открытии вложения из письма, используя уязвимость CVE-2017-0199, зловред скачивал недостающие файлы, модифицировал главную загрузочную запись (MBR), перезагружал ОС и начинал шифрование жесткого диска. При этом по корпоративной сети он распространялся при помощи служебной программы PsExec.
Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017-0199 и показала как происходит эксплуатация этого кода. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office.
Вполне вероятно, что компьютеры были заражены шифровальщиком много месяцев назад, а активировался он только сегодня по команде извне.
О компании БАКОТЕК:
БАКОТЕК® – международная группа компаний, один из лидеров в сфере фокусной Value Added IT-дистрибуции. БАКОТЕК поставляет решения ведущих мировых ИТ производителей. Особое место в деятельности БАКОТЕК занимает направление информационной безопасности. Территориально группа компаний работает в 26 странах на рынках Восточной Европы, Балтии, СНГ и Балкан. Главный офис – в Киеве.
По всем вопросам, просьба обращаться к PR менеджеру БАКОТЕК Владиславу Мироновичу (+380 66 281 3423, Vladyslav.Myronovych@bakotech.com).
