Вирус Petya. Как проверить, заражены ли вы. Как предотвратить и остановить заражение.
Вирус очень опасный. Содержит в себе набор инструментария, способный поразить даже инфраструктуры с хорошим уровнем безопасности. В локальных сетях заражение легко доходит до контроллера домена, что полностью компрометирует инфраструктуру.
Как проверить, заражены ли Вы.
Даже если "все идет нормально" и "я ничего не нажимал", заражение могло произойти по сети и шифрование могло быть запущено. На текущий момент известны следующие маркеры заражения:
1. Наличие у вас файлов:
- C:\myguy.xls.hta
- C:\Windows\perfc.dat
- %APPDATA%\10807.exe
- dllhost.dat
2. Задача в планировщике на перезагрузку, которую вы туда не добавляли:
"%WINDIR%\system32\shutdown.exe /r /f"
3. Этот пункт для экспертов, большинству стоит сразу читать дальше:
Срабатывание правил IDS/IPS:
· msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
· msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
· msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
· msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
· msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1
Как предотвратить заражение?
1. Обновить антивирус и Винду.
2. Не открывать вложения из писем от не пойми кого. И не переходить по ссылкам из этих писем.
3. Не сидеть под учеткой с правами администратора. В случае с Петей этот совет не помогает, но он помогает во многих других случаях.
4. Администраторам закрыть TCP порты 135, 139, 445 (пока нет заплаток и решений по вирусу).
5. Создать пустой файл без расширения C:\Windows\perfc. Есть информация, что вирус проверяет, есть ли этот файл в системной директории, и если есть, то процесс завершается. Значит если мы создадим пустой файл с таким именем, это предотвратит подмену MBR и шифрование данных. Решение жутко кривое, но несложное в выполнении, а других пока нет.
6. Администраторам заблокировать запросы сюда:
84.200.16[.]242
hxxp://84.200.16[.]242/myguy.xls
111.90.139[.]247
COFFEINOFFICE[.]XYZ
95.141.115[.]108
french-cooking[.]com
hxxp://french-cooking[.]com/myguy.exe
7. Администраторам установить обновление:
MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
8. Администраторам заблокировать запуск утилиты PSEXEC.
9. Администраторам временно отключить SMB:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-andsmbv3-in-windows-and-windows
10. Администраторам временно отключить удаленный доступ к WMI.
Что делать, если заразились?
0. Ничего никому не платить. Почтовый ящик распространителей уже заблокирован - код вам никто не пришлет, деньги потратите впустую.
1. Выключить ПК и ждать, когда и если эксперты найдут решение. Выключить ПК особенно важно, если вы работаете в локальной сети.
2. Начинать готовиться к тому, что данные спасти не удастся. Сокрушаться, что не делали бэкапы. Поклясться себе, что отныне будете их делать.
3. Есть некоторая вероятность, что вирус шифрует не вообще все файлы, а лишь расположенные на определенной глубине в структуре каталогов. Что-то запрятанное глубоко может остаться.
4. Снять жесткий диск и подключить его к заведомо здоровому ПК. Не запускать никакие исполняемые файлы с него. Проверить, возможно вирус зашифровал не все. Если осталось что-то нужное - скопировать.
Понимаю, что все рекомендации из пункта "что делать, если уже все произошло" практически бесполезны, но на текущий момент других решений нет.