ESET: рекомендации по защите от Petya.C

Расширенная инструкция по защите и профилактике заражения шифратором Petya.C от ESET.

Начиная с 27 июня 2017 года сотни компаний в Европе, Азии и Америке стали жертвами эпидемии трояна-шифратора Petya.C. Вирусная лаборатория ESET продолжает изучение новой угрозы и дополняет данное сообщение по мере поступления новой информации. 

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET с начала атаки детектируют ее как Win32/Diskcoder.C Trojan, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация бухгалтерского программного обеспечения M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации.

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает высокую скорость развития эпидемии. 

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.
________________________________________

⇒ Рекомендуемый продукт: ESET NOD32 Smart Security Business Edition
Комплексная защита рабочих станций, мобильных устройств и файловых серверов. от 1032 руб/год. Подробнее>>
________________________________________

Профилактика от заражения шифратором Petya.C
1. Выключите все компьютеры в сети.
2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.
3. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Live CD и создайте три пустых файла со следующими названиями и расширениями:
c:\windows\perfc
c:\windows\perfc.dat
c:\windows\perfc.dll
4. Если это возможно, отключите протокол SMBv1:
- при помощи групповых политик
- локально на каждом компьютере
5. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.
6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный.
7. Если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.
8. Не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.
9. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке. Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
10. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке.
11. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения:
- корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление.
- для домашних пользователей также доступно обновление.
12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

Если на экране появилось требование выкупа трояна-шифратора Petya.C
1. Выключите компьютер.
2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.
3. Проверьте, зашифрован ли диск. Если диск не зашифрован, выберите один из двух вариантов:
3.1. загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows;
восстановите MBR, запустив команду fixmbr
3.2. загрузите компьютер с Linux Live CD/USB;
используйте TestDisk, чтобы исправить MBR
4. Если диск уже зашифрован, возможны два варианта:
4.1. У вас нет важных данных на дисках:
переустановите операционную систему или восстановите ее из бэкапа
см. раздел «Профилактика»
4.2. На зашифрованных дисках были важные данные:
используйте ESET Sysrecue Live для создания полной копии диска
переустановите операционную систему или восстановите ее из бэкапа
см. раздел «Профилактика»
ожидайте дальнейших инструкций ESET
5. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
почтовый адрес операторов Petya.C был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров;
получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Материал подготовлен Представительством ESET  в России ( www.esetnod32.ru )