Новости

Вирус-шифровальщик Petya: описание угрозы и способ защиты

28.06.2017
Вирус-шифровальщик Petya: описание угрозы и способ защиты

27.06.2017 Национальный координационный центр по компьютерным инцидентам системы ГосСОПКА (НКЦКИ) разослал описание механизма распространения вредоносных программ-шифровальщиков семейств Petya и Misha, а также рекомендации по их обнаружению.

Компьютерные атаки с использованием указанного вредоносного программного обеспечения (ВПО) затронули объекты критической инфраструктуры разных стран, в том числе организации финансового и топливно-энергетического сектора России.

Уровень угрозы высокий, ВПО способно шифровать не только пользовательские файлы, но и главную файловую таблицу (Master File Table, MFT).

Первичное заражение происходит через вредоносные ссылки в фишинговых письмах с использованием уязвимости СVE-2017-0199. Дальнейшее распространение осуществляется через эксплоит EternalBlue для уязвимости протокола SMB v.1 (CVE-2017-0144), которая была устранена 14 марта 2017 года компанией Microsoft (бюллетень безопасности MS17-010).

Рекомендации по противодействию угрозе:

  1. Установить актуальные обновления операционной системы Windows.
  2. Установить актуальные обновления антивирусных баз.
  3. Закрыть TCP-порт 445.
  4. Защитить главную загрузочную запись (Master Boot Record, MBR) от перезаписи.
  5. Заблокировать запуск программы «PSEXEC.EXE» на потенциально уязвимых машинах.
  6. Отключить удаленный доступ к инструментарию управления Windows (Windows Management Instrumentation, WMI).

Также пользователям рекомендуется регулярно делать резервные копии, хранить их на отдельных носителях.

Скачать брошюру НКЦКИ в формате PDF: