Специалист по кибербезопасности Владимир Стыран рассказал в своем Facebook про вирус Petya, который атаковал Украину.
Стыран пишет, что заражение произошло из-за программы M.E.doc.
«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry»6 — пишет он.
По словам киберэксперта некоторые антивирусы могут вылечить компьютер.
Вирус Petya видят следующие антивирусники:
» -Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A.
— Symantec будто поймал (прим. — только последняя версия АВ)
— McAfee во всех известных случаях облажался.
— Eset не реагирует».
Индикатором компрометации может быть наличие файла C:\Windows\perfc.dat», – пишет он.
Свои рекомендации дает и спецпортал AIN
Что случилось? Сегодня в в полдень появилась информация, что на несколько украинских банков и инфраструктурных объектов была совершена хакерская атака. Позже появилась информация, что это вирус-вымогатель, который шифровал данные и требовал выкуп в размере $300 в биткоинах.
Следом стало известно о масштабах атаки. «Киевэнерго» (и ряд других облэнерго), «Нова Пошта», «Укрпошта», «Укрсоцбанк», «Укрализниця», «Эпицентр», «24 канал», разные министерства страны, аэропорты, больницы, «Ощадбанк» и нескольких других банков по всей стране подверглись атаке. Сообщают, что по всей стране закрываются банковские отделения, не работают банкоматы некоторых банков, закрывают магазины. В редакцию AIN.UA уже написало несколько человек из небольших городов о том, что атака зацепила местные коммунальные предприятия. Всего атака затронула тысячи компьютеров по всей стране.
Информации о международных заражениях почти нет, только несколько сообщений из РФ.
Кто основные жертвы? Компьютеры на базе Windows. Сообщений о том, что были заражены компьютеры на базе других операционных нет.
А что за вирус? Хакерская атака очень похожа на ту, которая была связана с вирусом WCry: это вирус-вымогатель, который шифрует данные и просит $300 выкупа. В прошлый раз заражались компьютеры на базе Windows 7 и младше. Но пока никому не удалось подтвердить информацию о том, что это WCry. В сообщение «Нова Пошта» говорится, что вирус называется Petya.A, а издание Лига указывает, что это DOS/Petya.A. Еще в 2016 году об этом вирусе писало издание «Хакер». Как обычно, заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.
Пользователь Сергей Лукашевич рассказал, что еще вчера заметил рассылку, похожую на фишинговую, от якобы реальных компаний. В подобном действительно был замечен WCry, который рассылал письма от имени известных компаний, после чего вирус получал доступ к системе.
У меня дома компьютер на Windows, мне стоит бояться? Есть данные, что рассылка фишинговых писем шла только на корпоративные ящики. Но как сообщает компания ISPP, были случаи заражения домашних компьютеров.
Что делать? У нас есть несколько базовых рекомендаций от компании «БАКОТЕК»:
- блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
- на уровне почтового шлюза – блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
- на уровне proxy – блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
- блокировка SMB и WMI-портов. В первую очередь 135, 445;
- после заражения – НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! — это действительно важно.
- не открывайте подозрительные письма и особенно вложения в них;
- принудительно обновите базу антивируса и операционные системы.
Пока это все, что известно на данный момент. Редакция следит за событиями.
