Semalt Expert - Как да се борим с Петя, NotPetya, GoldenEye и Petrwrp?

Системните лаборатории за сигурност Powerpoint го определиха като огнище на Petya, но други производители използват алтернативни думи и допълнителни имена за него. Добрата новина е, че тази извадка изчисти теста за патица и сега файловете могат да бъдат криптирани на дискове, без да променят разширенията си. Можете също да опитате да криптирате основния запис на Boot и да проверите последствията от него върху компютърните устройства.

Плащането на искането на откуп на Петя

Игор Гаманенко, мениджърът за успех на клиенти на Semalt , ви предлага да не плащате откупа на всяка цена.

По-добре е да деактивирате идентификационния си имейл, вместо да плащате откуп на хакер или нападател. Механизмите им за плащане обикновено са крехки и нелегитимни. Ако искате да платите откупа чрез портфейла на BitCoin, нападателят може да открадне много повече пари от вашата сметка, без да ви уведомява.

В наши дни стана много трудно да се получат незашифровани файлове, независимо от факта, че инструментите за декриптиране ще бъдат налични през следващите месеци. Декларация за заразяване и защита от инфекции Microsoft твърди, че първоначалният доставчик на инфекция има различни злонамерени кодове и нелегитимни актуализации на софтуера. При такива обстоятелства този доставчик може да не е в състояние да открие проблема по-добре.

Настоящата итерация на Petya има за цел да избегне векторите за комуникация, които бяха запазени от шлюзовете за сигурност на електронната поща и мрежата за сигурност. Много проби са анализирани с помощта на различни идентификационни данни, за да се намери решението на проблема.

Комбинацията от команди WMIC и PSEXEC е далеч по-добра от експлоатацията на SMBv1. Досега не е ясно дали организация, която се доверява на мрежи на трети страни, ще разбере правилата и разпоредбите на други организации или не.

По този начин можем да кажем, че Петя не носи изненади за изследователите на лаборатории за сигурност на Forcepoint. От юни 2017 г. Forcepoint NGFW може да открие и блокира SMB експлоатационните лостове от нападателите и хакерите.

Deja vu: Petya Ransomware и SMB способности за разпространение

Избухването на Petya беше регистрирано през четвъртата седмица на юни 2017 г. Оказа голямо влияние върху различни международни фирми, като новинарските уебсайтове твърдят, че ефектите са дълготрайни. Forcepoint Security Labs анализира и прегледа различни проби, свързани с огнищата. Изглежда, че отчетите на Forcepoint Security Labs не са изцяло подготвени и компанията изисква допълнително време, преди да може да излезе с някои заключения. По този начин ще има значително забавяне между процедурата за криптиране и стартиране на зловредния софтуер.

Като се има предвид, че вирусът и зловредният софтуер рестартират машините, може да са необходими няколко дни, преди да бъдат разкрити окончателните резултати.

Заключение и препоръки

На този етап е трудно да се направи заключението и оценката на далечните последици от огнищата. Изглежда обаче, че това е последният опит за разгръщане на саморазпространяващи се части от износ. Към настоящия момент Forcepoint Security Labs цели да продължи изследванията си за възможните заплахи. Скоро компанията може да излезе с крайните си резултати, но това изисква значително време. Използването на SMBvi подвизи ще бъде разкрито, след като лаборатории за сигурност на Forcepoint представят резултатите. Трябва да се уверите, че актуализациите за защита са инсталирани на вашите компютърни системи. Съгласно политиките на Microsoft, клиентите трябва да деактивират SMBv1 във всяка Windows система, където това се отразява негативно върху функциите и производителността на системата.