Вирус Петя (Petya.A)

Вирус Petya.A — APT-атака (APT — advanced persistence threat, то есть, стойкие угрозы высокого уровня), которая была качественно спланирована. Первый этап (заражение вредителем), по мнению экспертов, произошел в марте – апреле. Сейчас же мы наблюдаем уже финал, называемый Clean up, во время которого выполняется уничтожение главной загрузочной записи и шифрование диска.

Как распространяется вирус?

Однозначного ответа сейчас нет. Для того, чтоб наверняка узнать пути заражения, эксперты кибербезопасности советуют ИТ-специалистам предприятий в случае успешного восстановления загрузочной области (MBR) срочно собрать log-записи и проанализировать их.

По последним данным ведомства, атака проходила через программу для отчетности M.E.doc, но на сейчас нет ни одного официального документа, заверяющего этот факт. Команда Fire Eye еще в апреле этого года опубликовала в своем блоге информацию об эксплуатации уязвимости CVE-2017- 0199 и показала, как эксплуатируется этот код. Уязвимости подверглись пользователи, у которых не был обновлен Microsoft Office, а значит еще одним путем заражения могли стать письма с вредоносным содержанием.

Как защитить свою инфраструктуру от вируса?
[fusion_alert type=»error» accent_color=»» background_color=»» border_size=»1px» icon=»» box_shadow=»no» hide_on_mobile=»small-visibility,medium-visibility,large-visibility» class=»» id=»» animation_type=»» animation_direction=»left» animation_speed=»0.3″ animation_offset=»»]

1. Составить памятку для всех сотрудников компании, в которой обозначить запреты на открытие электронных писем от неизвестных или сомнительных отправителей и переходы по ссылкам на сомнительные ресурсы, предоставленные неизвестными отправителями.
2. При подозрении в заражении компьютеров локальной сети необходимо как можно скорее отключиться от сети интернет — Petya заражает все устройства в одном домене.
3. Регулярно обновлять резервные копии систем и файлов. Резервные копии — это единственный шанс полностью предотвратить потерю данных. UCloud предлагает услуги резервирования данных для компаний любого размера и разворачивает индивидуальные инфраструктуры в течение часа.
4. Установить последние обновления на все операционные системы Windows и офисные пакеты. Напоминаем, что Office 365 обновляется самостоятельно.
5. Заблокировать внешние соединения с интернетом по протоколам SMB / NetBIOS. Для предотвращения распространения вируса необходимо срочно закрыть TCP-порты 1024-1035, 135 и 445.
6. Использовать антивирусное программное обеспечение для всех персональных компьютеров. Базы сигнатур антивируса регулярно обновляются и помогут обезопасить ПК.

[/fusion_alert]

Что делать, если пришел Petya?

Первые признаки Petya.A: перезагрузка компьютера, запуск шифрования данных под видом проверки диска (Check Disk).

Как спасти данные:

1. Выключить компьютер (системно или принудительно).
2. Загрузиться с Live CD (ОС на сменном носителе). С этого устройства — запустить антивирус и попробовать очистить систему. Антивирусы могут помочь, но не являются панацеей. Скорее, антивирусное ПО – это профилактика уцелевших данных. Список антивирусов, которые реагируют на Petya.A предоставлен по ссылке (https://virustotal.com/en/file/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745/analysis/)
3. При помощи сервисов восстановления данных попробовать возобновить информацию. Благодаря тому, что Petya.A шифрует таблицу, не затрагивая файлы, реставрация данных может быть вполне успешной.

Если данные уже зашифрованы:

В сети есть «лекарства» от старых версий Petya, «таблетки» от Petya.A сейчас в разработке.

Компания UCloud напоминает о важности бэкапов (резервное копирование)!
Наличие резервных копий позволяет разворачивать инфраструктуру на полностью переустановленные операционные системы, восстанавливать информацию, включая базы данных. Очень важно, чтоб бэкапы хранились на сторонних ресурсах (резервная площадка) и не имели доступа к локальной сети иначе они так же могут пострадать.