Як вберегтися від комп’ютерного вірусу Petya
Влад Стиран – експерт з кібербезпеки, співзасновник Berezha Security Security, White Hat Hacker пояснив, як не стати жертвою вірусу Petya, який атакував сервери сайтів державних установ, медіа, фінансових установ в Україні і не лише.
Зараження
Початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx). Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам #WannaCry.
Антивіруси
Схоже Windows Defender відловлює та ідентифікує як DOS/Petya.A.
Symantec ніби зловив (прим. – лише остання версія АВ)
IoC
Результати аналізу семплів за допомогою Cisco ThreatGrid. Люб'язно надано компанією Cisco. http://bit.ly/2tgh3Ex
Індикатором компрометації може бути наявність файлу C:\Windows\perfc.dat
Хеші деяких семплів:
101cc1cb56c407d5b9149f2c3b8523350d23ba84 Order-20062017.doc
e614365d97498a6c26be9fd337e3709a1aa0a4fe Request for Quote-PO26062017A.msg
9288fb8e96d419586fc8c595dd95353d48e8a060 myguy.exe
736752744122a0b5ee4b95ddad634dd225dc0f73 myguy.xls
Для зупинки поширення хробака мережею, треба заблокувати на всіх комп'ютерах під керуванням Windows TCP-порти 1024-1035, 135, 139 и 445.
А експерт з кібербезпеки Микола Костинян радить відімкнути свої комп’ютери від мережі у разі, якщо немає резервної копії даних.
Нагадаємо, в Україні заблокована низка сайтів, зокрема Кабінету Міністрів, Ощадбанку, Укрпошти, «Нової пошти» тощо. Причиною став вірус під назвою Petya.A.
Коментарі