27 маусым күні ауқымды вирустық шабуылдың тіркелгенін хабарлайды (вирус-шифрлаушы PETYA.A)

27 маусым күні ауқымды вирустық шабуылдың тіркелгенін хабарлайды (вирус-шифрлаушы PETYA.A), шабуылға энергетикалық, телекоммуникациялық, сондай-ақ бірқатар елдердің мемлекеттік органдары тап болған.

Шабуыл Украинадан басталды, ол ең көбінен зардап шеккен. Зардап шеккен елдердің ондығына: Италия, Израиль, Сербия, Мажорстан, Румыния, Польша, Аргентина, Чехия и Германия елдері кірген. Украинада үкіметтік компьютерлерге, банктік жүйелерге, сондай-ақ Чернобыль АЭС шабуыл жасалды.

Вирус компьютердің жұмысын тоқтатып, биткоин есебінде 300 долларды талап етеді. Вирус WannaCry-ға ұқсас, еркін түріде таралады.

Бастапқы зақымдану фишингтік хабарлама (файл Петя.apx, myguy.exe, myguy.xls, Order-[кез келген күн].doc) немесе M.E.doc бухгалтерлік бағдарламасын жаңалау арқылы жүзеге асырылады. Кейін вирус WannaCry-ға ұқсас, DoblePulsar және EternalBlue локалды желі арқылы таралады.

 

Аталған инциденттің алдын алу үшін ұсынымдар

 

KZ-CERT вирус таралуының алдын алу үшін 1024-1035, 135 және 445  TCP-порттарын  жабу қажеттігін ұсынады. Сонымен қатар SMB1 Protocol өшіру қажет.

Зақымдануды анықтау кезінде компьютерді өшірмеу керек, құрылғыны Интернеттен өшіру арқылы гибернация тәртібіне ауыстыру қажет.

Сонымен бірге тыйым салу қажет:

1) http бойынша серверлерге қолжетімділікті:

    french-cooking.com:80

    84.200.16.242:80

    111.90.139.247:80

    COFFEINOFFICE.XYZ:80

2) пошталық салымдар және аты бар файлдарды жүктеу:

    Петя.apx;

    myguy.exe;

    myguy.xls;

    Order-[кез келген күн] doc.

Файлды шифрлауды сәйкестендіру үшін барлық жергілікті міндеттерді аяқтау және келесі файлдың бар болуын тексеру:

C: \ Windows \ perfc.dat

Windows операциялық жүйесінің нұсқасына байланысты патчты (https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx) Microsoft интернет-ресурсынан орнату (назар аударыңыз, бұл 100% қауіпсіздікті кепілдемейді, себебі вирустың зақымдануының көп векторлары бар), атап айтқанда:

—Windows XP (http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...)

 

— Windows Vista 32 bit (http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe) үшін

 

—Windows Vista 64 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...) үшін

 

—Windows 7 32 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...) үшін

 

—Windows 7 64 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...) үшін

 

—Windows 8 32 bit  (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...) үшін

 

—Windows 8 64 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...) үшін

 

—Windows 10 32 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...) үшін

—Windows 10 64 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...) үшін

Positive Technologies мамандары  Petya үшін “kill switch” жергілікті тапты, шифрлаушыны «C:\Windows\perfc (perfc — өрісі жоқ файл) файлын құру арқылы тоқтатуға болады.

Егер сіз компьютердік қайта жүктелгенін және «дискіні тексеру» үдерісінің бастамасы көрсеңіз, сол сәтте компютерді бірден өшіру қажет, және файлдар шифрленген емес болып қалады. LiveCD немесе USB-дискіден жүктелу файлдарға қолжетімділік береді.

KZ-CERT – 1400 – тегін жедел желі.