Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
madrid
7 лет назад

Вирус Petya. Как проверить, заражены ли вы. Как предотвратить и остановить заражение.

Вирус очень опасный. Содержит в себе набор инструментария, способный поразить даже инфраструктуры с хорошим уровнем безопасности.  В локальных сетях заражение легко доходит до контроллера домена, что полностью компрометирует инфраструктуру.

Как проверить, заражены ли Вы.

Даже если "все идет нормально" и "я ничего не нажимал", заражение могло произойти по сети и шифрование могло быть запущено. На текущий момент известны следующие маркеры заражения:

1. Наличие у вас файлов:

- C:\myguy.xls.hta

- C:\Windows\perfc.dat

- %APPDATA%\10807.exe

- dllhost.dat

2. Задача в планировщике на перезагрузку, которую вы туда не добавляли:

 "%WINDIR%\system32\shutdown.exe /r /f

3. Этот пункт для экспертов, большинству стоит сразу читать дальше:

Срабатывание правил IDS/IPS:

· msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;

· msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;

· msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;

· msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1

· msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1

Как предотвратить заражение?

1. Обновить антивирус и Винду.

2. Не открывать вложения из писем от не пойми кого. И не переходить по ссылкам из этих писем.

3. Не сидеть под учеткой с правами администратора. В случае с Петей этот совет не помогает, но он помогает во многих других случаях.

4. Администраторам закрыть TCP порты 135, 139, 445 (пока нет заплаток и решений по вирусу).

5. Создать пустой файл без расширения C:\Windows\perfc. Есть информация, что вирус проверяет, есть ли этот файл в системной директории, и если есть, то процесс завершается.  Значит если мы создадим пустой файл с таким именем, это предотвратит подмену MBR и шифрование данных. Решение жутко кривое, но несложное в выполнении, а других пока нет.

6. Администраторам заблокировать запросы сюда:

84.200.16[.]242

hxxp://84.200.16[.]242/myguy.xls

111.90.139[.]247

COFFEINOFFICE[.]XYZ

95.141.115[.]108

french-cooking[.]com

hxxp://french-cooking[.]com/myguy.exe

7. Администраторам установить обновление:

MS17-010

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

8. Администраторам заблокировать запуск утилиты PSEXEC.

9. Администраторам временно отключить SMB:

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-andsmbv3-in-windows-and-windows

10. Администраторам временно  отключить удаленный доступ к WMI.

 Что делать, если заразились?

0. Ничего никому не платить. Почтовый ящик распространителей уже заблокирован - код вам никто не пришлет, деньги потратите впустую.

1. Выключить ПК и ждать, когда и если эксперты найдут решение. Выключить ПК особенно важно, если вы работаете в локальной сети.

2.  Начинать готовиться к тому, что данные спасти не удастся. Сокрушаться, что не делали бэкапы. Поклясться себе, что отныне будете их делать.

3. Есть некоторая вероятность,  что вирус шифрует не вообще все файлы, а лишь расположенные на определенной глубине в структуре каталогов. Что-то запрятанное глубоко может остаться.

4. Снять жесткий диск и подключить его к заведомо здоровому ПК. Не запускать никакие исполняемые файлы с него. Проверить, возможно вирус зашифровал не все. Если осталось что-то нужное - скопировать. 

Понимаю, что все рекомендации из пункта "что делать, если уже все произошло" практически бесполезны, но на текущий момент других решений нет.

3
0.142 GOLOS
На Golos с May 2017
Комментарии (1)
Сортировать по:
Сначала старые