В Госспецсвязи предупредили о возможной повторной волне кибератаки на компьютеры тех пользователей, кто уже стал жертвой вируса Petya во время первой волны распространения.
“Владельцы сетей, подвергшихся поражения вирусом Petya Ransomware, даже восстановив свои компьютеры, могут стать потенциальным объектом повторной кибератаки”, – сообщает пресс-служба ведомства.
Также разработаны новые рекомендации для уменьшения рисков повторного поражения и минимизации (избегание) последствий, связанных с кибератакой:
Для зниження означених ризиків та попередження повторного ураження вірусом Команда CERT-UA рекомендує
1. Припинити використання ПЗ «M.E.Doc» до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було чи є встановленим. Рекомендуємо провести перезавантаження операційної системи на таких комп’ютерах.
2. Змініть всі паролі, які функціонують в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat.
Для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.
4. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
Рішення Cisco Talos https://www.talosintelligence.com/mbrfilter
вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter
Рішення Greatis http://www.greatis.com/security/
Свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/
5. Переконайтеся, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановіть та/або проведіть оновлення антивірусного програмного забезпечення.
6. Встановіть офіційний патч MS17-010.
7. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.
8. Обмежте можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
9. Відключіть застарілий протокол SMB1.
Інструкція з відключення SMB1 в TechBlog компанії Microsoft:
https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Напомним, как сообщало Инше ТВ, создатели вируса Pety.А сделали первое заявление