Astral in UA

1. причини зараження
2. етапи зараження
3. Що робити - якщо заразилися?

Наша взаимовыгодная связь https://banwar.org/

Вчора 27 червня 2017 року сталась наймасовіша за всю історію України атака вірусу-здирника - постраждали банківські установи, мережі супермаркетів, поштові компанії і величезна кількість приватних користувачів і комерційних організацій. Найбільші виробники Антивірусних продуктів (ESET, Bitdefender, AVG) вже до 13-30 відзвітували про блокування шкідливих програм їх антивірусної системи. Розберемося - що робити і як бути ..

Для початку почитаємо що з цього приводу написали в авторитетній Антивірусної компанії ЕСЕТ : «.. В даний час продукти ESET виявляють загрозу як Win32 / Diskcoder.C Trojan. У разі успішного інфікування MBR, шкідлива програма шифрує весь диск комп'ютера. В інших випадках загроза зашифровує файли, як Mischa.

Для поширення загроза, ймовірно, використовує експлойт SMB (EternalBlue), який був застосований для проникнення в мережу загрозою WannaCry, а потім поширюється через PsExec всередині мережі.

Ця небезпечна комбінація може бути причиною швидкості поширення Win32 / Diskcoder.C Trojan, навіть незважаючи на те, що попередні інфікування з використанням експлойтів широко висвітлювалися в ЗМІ, а більшість вразливостей було виправлено. Для проникнення в мережу Win32 / Diskcoder.C Trojan досить лише одного комп'ютера без відповідного виправлення, а далі шкідливе програмне забезпечення може отримати права адміністратора і поширюватися на інші комп'ютери.

Після шифрування файлів на екрані жертви з'являється повідомлення з вимогою про викуп: «Якщо ви маєте доступ до цього текст, то ваші файли недоступні, так як вони були зашифровані ... Ми гарантуємо, що ви можете відновити всі ваші файли безпечним і легким способом. Все, що вам потрібно зробити, це передати платіж [$ 300 біткойн] і придбати ключ дешифрування ».

Нагадаємо, ще в 2016 році компанія ESET повідомляла, що Petya здійснює шифрування не окремих файлів, а інфікує файлову систему. Основною метою шкідливої програми є головна загрузочноя запис (MBR), який відповідає за завантаження операційної системи.

У зв'язку з масовим поширенням шкідливої програми фахівці ESET рекомендують використовувати актуальні версії антивірусного та іншого програмного забезпечення, а також налаштувати сегментацію мережі, може допомогти запобігти поширенню загрози в корпоративній мережі.

Виявлення в сервіс ESET LiveGrid було додано 27 червня в 13:30 GMT + 2. «

причини зараження

І так розберемо причини зараження комп'ютерів новою модифікацією «Петі»:

• Зараження піддалися в першу чергу системи, на яких не було проведено оновлення за підсумками розбору зараження «зловредів» WannaCry шляхом експлуатації уразливості в SMB MS17-010 - це в першу чергу старі операційні системи Windows XP, Vista, Server 2003 - на які вже не випускаються оновлення безпеки і зняті з підтримки компанією Мікрософт, а так само сучасні системи на які користувачі не встановили останні оновлення або взагалі відключили систему оновлень.
• Використання вразливості для виконання шкідливого коду: CVE-2017-0199 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199);
• Використання вразливості для поширення і зараження: CVE-2017-0144, він же EternalBlue (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144);
• Використання Антивірусних продуктів з відключеною системою оновлення та вимкненим евристичним аналізатором. Сюди ж віднесемо і використання неліцензійних антивірусів, «антивірусів» сумнівної якості і просто їх відсутність;
• Людський фактор - відкритті користувачем вкладеного в електронний лист шкідливого ПО, замаскованого під документ, посилання на документ або зображення;
• Мережева інфраструктура з наявністю ресурсів SMB версії 1.

етапи зараження

Зараження комп'ютерної системи відбувається в більшості випадків за такою схемою:

1. При відкритті користувачем вкладеного в електронний лист шкідливого ПО, замаскованого під документ (це можуть бути файли Order-20062017.doc (або інша дата), myguy.xls або модифікації), комп'ютер звертається за адресою 84 [.] 200 [.] 16 [ .] 242, завантажуючи шкідливий файл Myguy.xls в корінь диска С :,
2. Відкриття шкідливого файлу за допомогою утиліти З: \ Windows \ System32 \ mshta.exe;
3. Завантаження шифрувальника з адреси french-cooking [.] Com;
4. На комп'ютері з'являються файли: C: \ Windows \ perfc.dat, C: \ myguy.xls.hta;
5. Підключення зараженого комп'ютера до адрес 111 [.] 90 [.] 139 [.] 247, coffeeinoffice [.] Xyz;
6. Поширення вірусу по мережі по портам TCP: 1024-1035, 135, 445 за допомогою вразливості CVE-2017-0144;
7. Зараження MBR (головний запис завантаження Windows). У разі, якщо зараження MBR відбулося успішно (для цього вірусу необхідно отримати привілеї локального адміністратора, що дозволяє реалізувати відома уразливість в SMB), комп'ютер видає «синій екран смерті» Windows і перезавантажується, при перезавантаженні завантажується шифрувальник і починається шифрування всього жорсткого диска, користувачеві при цьому відображається екран зі стандартною процедурою з аналізу жорсткого диска в Windows в разі непередбаченого збою - CheckDisk.
8. У разі, якщо вірусу не вдається отримати права локального адміністратора і заразити розділ MBR, він запускає утиліту шифрування файлів на диску, за винятком системної директорії Windows, а також папок, що містять файли браузерів - тобто фактично запускається модифікація «шифрувальника» Mischa.
9. Після перезавантаження користувачеві відображається вікно з вимогою виплати $ 300 в еквіваленті Bitcoin на гаманець 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX.

Що робити - якщо заразилися?

Ні в якому разі не переказуєте гроші на рахунок зловмисників! Їх електронна пошта заблокована, і ви в будь-якому випадку не зможете таким чином відновити дані.

1. Вимкніть заражену систему від локальної мережі.
2. У більшості випадків «синій екран смерті» дозволяє переключитися на робочий стіл (ALT-Tab) і терміново вимкнути комп'ютер, або викликати Диспетчер Завдань (Ctrl-Alt-Del) і знову ж вимкнути комп'ютер. ВАЖЛИВО - ні в якому разі не перезавантажувати заражений комп'ютер !!!

Якщо Ви зважилися самі відновлювати інформацію - етапи будуть наступні (при наявності ще одного комп'ютера або ноутбука):

• Потрібен комп'ютер з актуальною ОС і останніми оновленнями;
• На комп'ютері повинен бути встановлене антивірусне ПЗ останньої версії з оновленими базами;
• Вимкніть автозапуск зі знімних носіїв;
• Зробіть резервну копію на зовнішній носій;
• Перевірте наявність вільного місця;
• Підключіть жорсткий диск з зараженого комп'ютера - краще за USB, якщо зважилися підключити по SATA, не забудьте зайти в БІОС і перевірити завантаження з правильного жорсткого диска!
• Зробіть резервну копію зараженого диска на випадок, якщо з'явиться розшифровщик - ПО XData - творець вірусу опублікував ключі шифрування через кілька днів після поширення вірусу;
• Перегляньте документи та інші важливі для Вас дані - якщо вони не зашифровані - скопіюйте на інший диск;
• Перевірте заражений диск Антивірусним ПО. Передайте кілька заражених файлів і зашифрованих документів (що не містять персональну або комерційну інформацію) на аналіз розробникам Антивірусного ПО;
• Зробіть носій з віссю відповідної версії зараженого комп'ютера.

Далі всі операції проводяться на комп'ютері з зараженим носієм (HDD або SSD).

• При включенні ВІДРАЗУ зайдіть в БІОС і вимкніть завантаження з жорсткого диска;
• Завантажити з підготовленого носія;
• При зараженні MBR в окремих випадках вдається відновитися за допомогою bootrec / RebuildBcd, bootrec / fixMbr, bootrec / fixboot - якщо вийшло - завантажити з диска відновлення Антивірусного ПО - скажімо ESET SysRescue Live - і перевірте диск згідно з інструкцією розробника Антивірусного ПО, далі якщо лікування пройшло успішно і всі загрози були видалені, можете спробувати завантажитися з жорсткого диска;
• При наявності актуальною резервної копії - повністю отформатируйте жорсткий диск і встановіть потрібну ОС на ново з обов'язковим встановленням усіх оновлень! Встановити оновлення безпеки для Windows KB4013389 від 14 березня 2017 року (див. Microsoft Security Bulletin MS17-010). Завантажити оновлення можна за посиланням: technet.microsoft.com/en-us/library/security/ms17-010.aspx .
• На комп'ютери із застарілими ОС Windows XP і Windows 2003 необхідно встановити патчі безпеки вручну, скачавши їх за прямими посиланнями: Windows XP SP3: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe Windows Server 2003 x86: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe Windows Server 2003 x64: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
• Встановити оновлення безпеки для Microsoft Office. Завантажити оновлення для своєї версії можна за посиланням: portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
• У разі неможливості встановлення оновлень безпеки відключити протокол SMB v1 / v2 / v3 на робочих станціях і серверах відповідно до інструкції support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1 , -Smbv2, -and-smbv3-in-windows-vista, -windows-server-2008, -windows-7, -windows-server-2008-r2, -windows-8, -and-windows-server-2012;
• У разі наявності засобів захисту типу NGFW / NGTP / IPS налаштувати блокування атак, що експлуатують EternalBlue (MS17-010);
• Встановити Антивірусне ПО і оновити бази;
• Відновити інформацію з резервної копії;
• Перевірити комп'ютер Антивірусом.

У разі якщо Ви самі не можете провести операції відновлення - зверніться до фахівців!

схоже