Вирус Petya A: последствия вируса и как защититься от него

«Петя» — так называется виртуальный вредитель, он распространяется через электронную почту и шифрует данные на жестком диске. Для этого пользователю достаточно лишь открыть полученное письмо — и компьютер зависает. При попытке перезагрузить или включить/выключить устройство вирус Петя «прописывается» в системе. Как вариант, его можно заполучить через программу электронного документооборота MEDoc, особенно после ее обновления и перезагрузки компьютера с целью активации.

Внимание

За дешифровку данных вирус требует провести оплату в кибервалюте — биткоинах. Требуемая сумма равна примерно 300 долларам, за которую взломщики обещают выслать код-дешифратор, позволяющий восстановить данные.

Специалисты оценивают такую перспективу весьма скептически. Многие считают, что для компьютеров, которые атаковал вирус Петя, лечение невозможно.

Узнать подробнее — Что такое компьютерный вирус?

«Петя» — это неофициальное пользовательское название вируса. Айтишники называют этот вирус-вымогатель чуть иначе — mbr locker 256.

mbr — это так называемая загрузочная часть. При следующем после попадания вируса включении компьютера BIOS грузит mbr в оперативную память, присваивает ему адрес 0x7C00 и передает управление данными. После этого вирус вымогатель petya имеет возможность делать с ними, что угодно. Например, блокировать, что и происходит.

Вирус Петя. а.

Подвержены этой напасти исключительно компьютеры на базе Windows, мобильные устройства от «Пети» не страдают. Также специалисты IT-сферы уже вычислили, что наш вирус petya — это аналог вируса WannaCry, «гулявшего» по Сети в мае 2017 года и нанесшего миллиардный ущерб экономике мира.

Последствия вируса Petya A или Кто пострадал в первую очередь?

Сперва пострадали крупные компании, имеющие реальное влияние на экономику Украины. Из компьютеров, на которые попал вирус шифровальщик petya, исчезла информация, данные клиентов, внутренняя документация. Разумеется, крупные компании делают back up — резервную копию — и потому имеют возможность вскоре восстановить данные. Но уже на другом не зараженном компьютере, на который не была предпринята атака petya. Поэтому о победе над вирусом было отрапортовано достаточно быстро.

Подразумевалось ли под победой применение мер по остановке вируса или просто восстановление данных на другом устройстве — это уже внутреннее дело компаний. В любом случае, вирус Петя новости принес печальные, и список пострадавших выглядит внушительно.

Крупные компании, пострадавшие от «Пети»:

  • Ощадбанк.
  • Пивденный.
  • Укргазбанк.
  • ТАСКОМБАНК.
  • Киевэнерго.
  • Укрпочта.
  • Аэропорт «Борисполь».
  • Укразализныця.
  • Новая почта.
  • Украинский медиахолдинг.
  • Холдинг Mouzenidis Group.
  • Туроператор ANEX Tour.
  • Кабинет министров.

И это только наиболее крупные украинские компании, пострадавшие от вируса.  Мелкие вряд ли кто-то сможет пересчитать точно.

Есть пострадавшие и в соседних странах, например, «Роснефть».

Советы по защите от вируса-вымогателя

В ситуациях разрушительного действия всегда возникают два вопроса: «Кто виноват?» и «Что делать?»

С виноватыми, вроде как разобрались — некие хакеры, пытающиеся «положить» экономику страны с помощью «Пети» и «получить» дивиденды за ее восстановление. А, может, и дискредитировать разработчиков системы «Виндоус» и убрать их с рынка в обозримом будущем.

Поиск персон и доказательство их реальных целей — дело соответствующих структур. Простых пользователей и бизнес больше волнует второй вопрос: «Что делать?»,  чтобы вирус вымогатель Петя и им подобные не вредили бизнесу?

Меры для рядовых пользователей

Для простых пользователей ответ прост: не открывать письма с незнакомых адресов, не переходить по незнакомым ссылкам и, вообще, по возможности пока вести всю переписку с мобильных устройств, работающих на Андроидах и iOS. Для желающих хранить верность старому доброму «Виндоус» — обновить операционную систему и антивирусную защиту до последней версии.

Пример письма с вирусом Петя

Из известных антивирусов лучше всего с «Петей» справляется «Аваст». А вот «Касперский» «Петю» просто не видит и ничем помочь компьютеру не может.  По поводу операционной системы — тем, кто использует новейшие версии и установил обновления, выпущенные «Майкрософт» в марте 2017 года, новый вирус Петя оказался не страшен.

Внимание

Если есть подозрение, что заражение произошло — не перезагружайте компьютер, так как именно это действие (либо включение/выключение) активирует «Петю».

Меры для крупных компаний

Для бизнеса, пока не готового расстаться с компьютерами и ноутбуками, работающими на «Видоус», комплекс мер будет более обширный. Не откладывайте, а  выполните в ближайшие месяцы вполне конкретные манипуляции с сетями компании.

Меры противодействия срочные (до 1 месяца)

  • Блокировать бесконтрольное использование учетных записей с правами локальных и доменных администраторов на рабочих станциях — локально и удаленно. Это можно сделать при помощи бесплатного сетевого сервиса LAPS. Расшифровывается как Local Administrator Password Solution. Скачать и найти инструкцию можно здесь.

    Суть работы сервиса — генерация динамических паролей, имеющих ограниченный срок действия, которого достаточно для выполнения стандартного набора действий по администрированию сети, но не достаточно для взлома и проникновения в сеть. При проникновении извне для вредоносных действий просто не хватит времени, в течении которого действует пароль.

Laps защита от вируса
  • Определить список разрешенных для запуска приложений на всех рабочих станциях. Найти можно в настройках AppLocker раздела «Управление групповыми политиками». После этого компьютер будет запускать только те приложения, напротив которых установлена галочка, и не будет запускать никакие другие, в том числе установленные вирусами.
Запуск разрешенных файлов
  • Установить на рабочих компьютерах систему защиты от «атак нулевого дня». Это делается при помощи бесплатного сервиса EMET. Расшифровывается как Enhanced Mitigation Experience Toolkit. Прочитать инструкцию и скачать можно тут. Или же с помощью сервиса ATP. Расшифровывается как Advanced Threat Protection. Доступно для ознакомления здесь.

    Суть работы подобных приложений — принудительное тестирование всех подозрительных файлов полученных по почте или скачанных пользователем из сети. Сервис проверяет, не содержит ли письмо фишинговых вредоносных ссылок, может ли содержимое файла самотираживаться и вредить компьютеру и так далее. Только удостоверившись, что письмо или файл безопасны, система разрешает открыть его.

EMET
ATP
  • Обеспечить мониторинг аномальной активности учетных записей. Такая активность, как правило, является первым признаком несанкционированного вторжения извне. Полезен в этом плане сервис MATA — Microsoft Advanced Threat Analytics. Ознакомиться и протестировать можно по этой ссылке.

    Суть работы сервиса — круглосуточное использование специальных алгоритмов, позволяющих отличать нормальное поведение учетных записей от аномального, фиксировать время действий с учетной записью, идентифицировать уровень угрозы и выдавать рекомендации по ее устранению. В ручном режиме подобные алгоритмы отнимают много времени и зачастую малоэффективны для блокировки быстрых атак.

MATA – Microsoft Advanced Threat Analytics

Меры противодействия среднесрочные (до 3 месяцев)

  • Внедрить автоматизированное управление идентификацией пользователей. Как вариант, использовать Microsoft Identity Manager 2016.
  • Обновить серверное программное обеспечение до Windows Server 2016 либо CAL и Exchange Server 2016 либо CAL. Полностью отказаться от Windows/ Exchange Server 2003.
  • Модернизировать компьютеры до машин, поддерживающих операционную систему от Win7 и выше. Полностью избавиться от Windows XP.
  • Организовать обучение системных администраторов для получения новейших знаний по системам безопасности серверов.

Меры противодействия долгосрочные (до 6 месяцев):

  • Произвести проверку и настройку конфигурации безопасности контроллеров домена. При необходимости можно найти руководство по Offline Assessment for Active Directory Security в сети.
  • Произвести выявление и ликвидацию действующих угроз внутренней сети компании с помощью сервиса PADS. Расшифровывается как Persistent Adversary Detection Service.
  • Запустить операционный сервис Microsoft Security Risk Assessment. Этот сервис исследует все IT-процессы, происходящие при эксплуатации информационных систем, что помогает планировать дальнейшие меры безопасности.
  • Внедрить процессы управления конфигурациями, изменениями и восстановлением после компрометации.

Рекомендации по приобретению софта для обеспечения безопасности сетей

В целом из перечня мер по противодействию внешним компьютерным угрозам понятно, какое программное обеспечение требуется для компаний. Поэтому уточним далее лишь некоторые параметры, по которым стоит выбирать тот или иной софт.

  • Azure Infrastructure As a Service — ориентируясь на необходимую мощность.
  • Windows Server 2016 — ориентируясь на количество серверов с Windows 2003.

  • Windows Server CAL — ориентируясь на количество пользователей.
  • Exchange Server 2016 — ориентируясь на количество ролей почтовых серверов. Exchange Server CAL – ориентируясь на количество пользователей.

  • Exchange ATP — ориентируясь на количество пользователей.

  • Windows 7 или 10 Pro — ориентируясь на количество пользователей с Windows XP.
  • Premier Support — в полном объеме.

В целом вышеприведенных мер должно хватить, чтобы защитить сеть от всех известных на сегодняшний день потенциальных угроз. Однако, что еще придумают кибермошенники в ближайшем будущем — не известно, так что быть начеку и повышать свой уровень подготовки нужно постоянно.

Видео — Что известно об эпидемии вируса «Петя» и как защититься

Поделитесь с друзьями

Комментарий (1)

  • Daniel Radostniy Reply

    мда, не расслабишься у нас) Переходим на маки!

    05.07.2017 at 10:46

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *