Семальт Експерт - Як боротися з Петю, NotPetya, GoldenEye та Petrwrp?

Силові лабораторії Forcepoint назвали це спалахом Петя, але інші постачальники використовують альтернативні слова та додаткові назви. Хороша новина в тому, що цей зразок очистив тест на качку, і тепер файли можна зашифрувати на дисках, не змінюючи їх розширення. Ви також можете спробувати зашифрувати основний запис завантаження та перевірити його наслідки на комп'ютерних пристроях.

Оплата вимоги за викуп Петя

Ігор Гаманенко, керівник відділу успішних клієнтів компанії Semalt , пропонує вам не платити викуп за будь-яку ціну.

Краще деактивувати свій ідентифікатор електронної пошти, а не сплачувати викуп хакеру чи зловмиснику. Їх механізми оплати зазвичай неміцні та нелегітимні. Якщо ви платите викуп через гаманець BitCoin, зловмисник може викрасти з вашого рахунку набагато більше грошей, не повідомляючи про це.

У наші дні дуже важко отримати незашифровані файли незалежно від того, що інструменти розшифровки будуть доступні в найближчі місяці. Заява щодо вектора та захисту від інфекції Корпорація Майкрософт стверджує, що початковий постачальник зараження має різні шкідливі коди та неправомірні оновлення програмного забезпечення. За таких обставин цей постачальник може не в змозі виявити проблему кращим чином.

Поточна ітерація Petya має на меті уникнути векторів зв'язку, які були збережені шлюзами безпеки електронної пошти та веб-безпекою. Дуже багато зразків було проаналізовано за допомогою різних даних, щоб з’ясувати рішення проблеми.

Поєднання команд WMIC та PSEXEC набагато краще, ніж експлуатація SMBv1. На сьогодні незрозуміло, чи зрозуміє організація, яка довіряє стороннім мережам, правила чи положення інших організацій чи ні.

Таким чином, можна сказати, що Петя не приносить сюрпризів для дослідників лабораторій Forcepoint Security. Станом на червень 2017 року, Forcepoint NGFW може виявити та заблокувати використання SMB підручників зловмисників та хакерів.

Deja vu: Petsa Ransomware та SMB здібності до поширення

Спалах Petya був зафіксований на четвертому тижні червня 2017 року. Він мав великий вплив на різні міжнародні фірми, на веб-сайтах з новинами стверджується, що наслідки є тривалими. Лабораторії Forcepoint Security проаналізували та розглянули різні зразки, пов’язані із спалахами. Схоже, звіти лабораторій Forcepoint Security не повністю підготовлені, і компанії потрібен додатковий час, перш ніж вона зможе прийти до деяких висновків. Таким чином, відбудеться значна затримка між процедурою шифрування та запуском зловмисного програмного забезпечення.

Зважаючи на те, що вірус та зловмисне програмне забезпечення перезавантажують машини, може знадобитися кілька днів, перш ніж будуть виявлені остаточні результати.

Висновок та рекомендації

Висновок та оцінка далекосяжних наслідків спалахів важко зробити на цьому етапі. Однак, схоже, це остання спроба розгортати саморозмножуються шматочки викупу. На сьогоднішній день Forcepoint Security Labs прагне продовжувати дослідження можливих загроз. Невдовзі компанія може прийти до своїх кінцевих результатів, але це потребує значної кількості часу. Використання подвигів SMBvi буде виявлено, коли лабораторії Forcepoint Security представлять результати. Ви повинні переконатися, що оновлення безпеки встановлені на комп'ютерних системах. Відповідно до політики Microsoft, клієнти повинні відключати SMBv1 у будь-якій системі Windows, де це негативно впливає на функції та продуктивність системи.