Задать вопрос

    Поставщик решений в области сетевой безопасности и корпоративной связи

Рекомендации по инциденту "вирусная атака Petya"

Компания "СМАРТ НЕТ" сообщает Вам информацию известную на данный момент нашим специалистам о вирусной атаке, которая произошла 29 июня 2017 года.

Одним из векторов атаки является программа Medoc. Предположительно злоумышленники скомпрометировали обновление данного ПО за 22.06.2017.

Как производится компрометация?

После запуска зараженного файла создается задача перезагрузки компьютера, отложенная на 2 часа. В этот момент времени еще можно восстановить загрузочный сектор с помощью команды:

bootrec /fixMbr

Зашифрованные файлы восстановить не удастся. Вирус шифрует только файлы в каталогах с вложенностью до 15ти. Поэтому даже после перезагрузки системы и компрометации загрузочного сектора файлы можно восстановить с помощью livecd и программы testdisk.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей.

Экспресс рекомендации

Не платите.  Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен.

Снимите образы скомпрометированных компьютеров. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем.

Отключите зараженные узлы от сети, а также сегментируйте сеть таким образом, чтобы при возможном заражении эпидемия локализовалась на фиксированное количество компьютеров.

Локальный kill-switch - создайте файл "C:\Windows\perfc" либо "C:\Windows\perfc.dat" с атрибутом ReadOnly на компьютерах, которые могут быть подвержены поражению.

Заплатка в windows firewall

netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445

Долгосрочные рекомендации

Проводите регулярные тренинги сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанные на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии.

Обеспечьте регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов.

Проводите регулярное резервное копирование критических данных пользователей. Храните резервные копии в безопасном месте (сейф, охраняемое помещение) на съемных носителях, которые не подключены к вашему оборудованию, поскольку вирус может обнаружить резервные копии и зашифровать их тоже.

Сигнатуры для Fortigate

AV Signature:

W32/Petya.EOB!tr

W32/Agent.YXH!tr

IPS Signature:

MS.Office.RTF.File.OLE.autolink.Code.Execution

Сигнатуры для Cisco AMP

W32.Ransomware.Nyetya.Talos

Полезные ссылки

Правила для Snort IPS

Обновляемый инцидент Talos

Блог Fortinet

Общие рекомендации ИБ

Полезные утилиты