Например, ноутбук 17"
г. Киев, ул. Голосеевская, 7, оф. 231
Разделы
28 июня 2017

Всё что нужно знать и как себя обезопасить от вирусной эпидемии PetyaA


Всё что нужно знать и как себя обезопасить от вирусной эпидемии PetyaAЗловред #PetyaA, класса червь.
На самом деле это смесь вредоносов, которая объединила в себе #XData и последний нашумевший #WannaCry и это вторая версия данного вируса. Версия #Petya образца 2016 года - была не такой мудреной и не достигла таких масштабов, как в этом году. Территория распространения: 80% Украины.

Всё что нужно знать и как себя обезопасить от вирусной эпидемии PetyaA


Считается, что транспортом для распространения зловредного червя может быть приложение #MEDoc, поэтому настоятельно рекомендую отобрать права суперпользователя у данного приложения - скрин с ресурса #virustotal, если туда загрузить последнюю версию M.E.Doc - достаточно красноречив. Поэтому лучше всего от его использования вообще отказаться.

Всё что нужно знать и как себя обезопасить от вирусной эпидемии PetyaA


Помимо этого:
Никогда, ни при каких обстоятельствах, не открывать вложения из писем, пришедших с незнакомых адресов, «по ошибке», предназначенных не вам, и так далее. Даже казалось бы «БЕЗОБИДНЫЕ» файлы в форматах *.DOCX, *.XLS, *.PPTХ - могут содержать вредоносные макросы и ссылки. Тем более нельзя открывать/запускать установочные файлы (*.exe, *.iso, *.bat).

Для того что бы заразить все компьютеры в локальной сети достаточно одного компьютера (на то он и имеет классификацию - червя), на котором может быть запущена угроза через уязвимость SMB (EternalBlue), которую широко освещали с шифровальщиком Wanacry и которая, была закрыта основными производителями ПО (Microsoft), но скорее всего, обновления не были установлены на такие ПК и далее они себя тиражирует через PsExec. Поведение зловреда Petya бывает разным, у одних он шифрует файлы, у других - подменяет Master Boot Record (MBR). Такое поведение, пока сложно объяснить, но скорее всего это всего лишь разные фазы заражения.

Как остановить заражение?
- Локальний kill-switch: создать файл "C:\Windows\perfc" или "C:\Windows\perfc.dat" с атрибутом ReadOnly на всех машинах, которые могут быть инфицированы

- Для остановки распространения по локальной сети, нужно заблокировать на всех ПК работающих под Windows TCP-порты: 1024-1035, 135, 139 и 445. Как это сделать из консоли:
---
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445

- Как бы это не было тривиально: обновляем Windows через центры обновления до актуальных версий и делаем службу обновления всегда активной. Не забываем о необходимости обновить и ваши антивирусные программы.

Что делать, если вы попались и инфицированы?
1) Не паниковать
2) Не платите вымогателям!
Есть уже достоверная информация о том, что те кто заплатил, спустя 3 часа - де шифровальных ключей не получили По состоянию на эту ночь e-mail вымогателей заблокирован
3) Средство решающее проблему, ввиду простоты алгоритмов разработчика зловреда - уже есть:
- от ESET
- Ручками: есть удачные попытки замены и исправления записей MBR с загрузочного диска вашей ОС с помощью следующих команд из консоли:
bootrec /rebuildbcd
bootrec /fixmbr
bootrec /fixboot

Дмитрий Юкин