Petya.A / Nyetya
Поради:
-не платіть біткойни - поштову скриньку злодіїв заблоковано
-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat
-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc - файл без розширення)
-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.
-закрити дірки Віндовс
а) MS17-010
- для Windows XP
- для Windows Vista 32 bit
- для Windows Vista 64 bit
- для Windows 7 32 bit
- для Windows 7 64 bit
- для Windows 8 32 bit
- для Windows 8 64 bit
- для Windows 10 32 bit
- для Windows 10 64 bit
Посилання для інших версій шукати тут на сайті Microsoft.
b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.
e) закрити TCP-порти 1024-1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445
f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482
g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;
• зріле рішення Greatis http://www.greatis.com/security/;
• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.
=============
Посилання
https://www.facebook.com/victor.klevtsov/posts/10213756299529501
Украина подверглась самой крупной в истории кибератаке вирусом Petya
PETYA malware. Recovery is possible
Очередная атака криптовымогателя парализует крупные компании
11 апреля 2016 в 12:02 Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
http://biz.liga.net/all/it/novosti/3696331-v-ukraine-proiskhodit-globalnaya-kiberataka.htm
http://www.segodnya.ua/ukraine/specialisty-nashli-sposob-ostanovit-ataku-virusa-v-ukraine-1033404.html
https://twitter.com/ptsecurity/status/879779327579086848
http://cert.gov.ua/?p=2641
https://www.facebook.com/yuri.woloshin/posts/1453839667987989?hc_location=ufi
https://www.facebook.com/SecurSerUkraine/posts/1958917667671562
https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.uiUe7Jy0.dpbs
https://www.facebook.com/vstyran/posts/10155511714262372
https://www.facebook.com/cyberpoliceua/posts/536947343096100
https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
https://www.facebook.com/notes/ruslan-ivanov/%D0%BF%D1%80%D0%BE-%D0%BF%D0%B5%D1%82%D1%8E/10154695919078027/
https://xakep.ru/2017/06/29/petya-wiper/
https://xakep.ru/2017/06/28/petya-write-up/
https://inforesist.org/virus-petya-atakuet-ukrainu/
This entry was originally posted at http://taiba.dreamwidth.org/1444678.html. Please comment there using OpenID.
-не платіть біткойни - поштову скриньку злодіїв заблоковано
-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat
-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc - файл без розширення)
-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.
-закрити дірки Віндовс
а) MS17-010
- для Windows XP
- для Windows Vista 32 bit
- для Windows Vista 64 bit
- для Windows 7 32 bit
- для Windows 7 64 bit
- для Windows 8 32 bit
- для Windows 8 64 bit
- для Windows 10 32 bit
- для Windows 10 64 bit
Посилання для інших версій шукати тут на сайті Microsoft.
b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.
e) закрити TCP-порти 1024-1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445
f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482
g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;
• зріле рішення Greatis http://www.greatis.com/security/;
• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.
=============
Посилання
https://www.facebook.com/victor.klevtsov/posts/10213756299529501
Украина подверглась самой крупной в истории кибератаке вирусом Petya
PETYA malware. Recovery is possible
Очередная атака криптовымогателя парализует крупные компании
11 апреля 2016 в 12:02 Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами
http://biz.liga.net/all/it/novosti/3696331-v-ukraine-proiskhodit-globalnaya-kiberataka.htm
http://www.segodnya.ua/ukraine/specialisty-nashli-sposob-ostanovit-ataku-virusa-v-ukraine-1033404.html
https://twitter.com/ptsecurity/status/879779327579086848
http://cert.gov.ua/?p=2641
https://www.facebook.com/yuri.woloshin/posts/1453839667987989?hc_location=ufi
https://www.facebook.com/SecurSerUkraine/posts/1958917667671562
https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.uiUe7Jy0.dpbs
https://www.facebook.com/vstyran/posts/10155511714262372
https://www.facebook.com/cyberpoliceua/posts/536947343096100
https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/
https://www.facebook.com/notes/ruslan-ivanov/%D0%BF%D1%80%D0%BE-%D0%BF%D0%B5%D1%82%D1%8E/10154695919078027/
https://xakep.ru/2017/06/29/petya-wiper/
https://xakep.ru/2017/06/28/petya-write-up/
https://inforesist.org/virus-petya-atakuet-ukrainu/
This entry was originally posted at http://taiba.dreamwidth.org/1444678.html. Please comment there using OpenID.