557538
27.06.2017 Национальный координационный центр по компьютерным инцидентам системы ГосСОПКА (НКЦКИ) разослал описание механизма распространения вредоносных программ-шифровальщиков семейств Petya и Misha, а также рекомендации по их обнаружению.
Компьютерные атаки с использованием указанного вредоносного программного обеспечения (ВПО) затронули объекты критической инфраструктуры разных стран, в том числе организации финансового и топливно-энергетического сектора России.
Уровень угрозы высокий, ВПО способно шифровать не только пользовательские файлы, но и главную файловую таблицу (Master File Table, MFT).
Первичное заражение происходит через вредоносные ссылки в фишинговых письмах с использованием уязвимости СVE-2017-0199. Дальнейшее распространение осуществляется через эксплоит EternalBlue для уязвимости протокола SMB v.1 (CVE-2017-0144), которая была устранена 14 марта 2017 года компанией Microsoft (бюллетень безопасности MS17-010).
Рекомендации по противодействию угрозе:
- Установить актуальные обновления операционной системы Windows.
- Установить актуальные обновления антивирусных баз.
- Закрыть TCP-порт 445.
- Защитить главную загрузочную запись (Master Boot Record, MBR) от перезаписи.
- Заблокировать запуск программы «PSEXEC.EXE» на потенциально уязвимых машинах.
- Отключить удаленный доступ к инструментарию управления Windows (Windows Management Instrumentation, WMI).
| Скачать бюллетень НКЦКИ в формате PDF: |  |
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru
