Общество

28 июня 2017, 23:10
ESET: источником эпидемии Petya стал E.Doc

ESET: источником эпидемии Petya стал E.Doc

У шифровальшика нет аварийного рубильника, но исследователи нашли "вакцины"

Специалисты ESET установили источник эпидемии трояна-шифратора Win32/Diskcoder.CTrojan (Petya.С). Злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки, сообщает ЕНВ.

Напомним, 27 июня 2017 года, спустя чуть больше месяца после массовых атак шифровальщика WannaCry, компании и пользователей по всему миру настигла новая угроза, шифровальщик Petya (также известный под названиями NotPetya, SortaPetya и Petna).

Вымогатель не просто шифрует файлы, но также шифрует MFT (Master File Table) для разделов NTFS, перезаписывает MBR (Master Boot Record) и имеет кастомный загрузчик, который отображает вымогательское послание, вместо загрузки операционной системы. Более того, в настоящее время платить выкуп попросту бесполезно, так как адрес (для отображения адреса необходимо включить JavaScript), по которому нужно связываться с операторами малвари, был заблокирован администрацией Posteo еще вчера.

Исследователь Cybereason Амит Серпер создал своего рода "вакцину" от Petya. Он обнаружил, что превентивно защитить свои данные можно создав на жестком диске файл с определенным именем.

"Когда вредоносная программа начинает работу, она в сущности проверяет, шифровала ли она в прошлом файлы, чтобы не зашифровать их дважды. Она ищет запускающий ее файл без окончания в архиве Windows", — рассказал Серпер.

Дело в том, что перед началом процесса шифрования вымогатель проверяет наличие файла perfc по адресу C:Windows. Если файл уже существует, Petya прекращает работу и не шифрует данные. Выводы Серпера уже подтвердили специалисты PT Security, TrustedSec и Emsisoft.

Таким образом, чтобы "вакцинировать" свое устройство от атак Petya стоит не только установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика, но и создать в директории C:Windows файл perfc (без расширения) и сделать его доступным только для чтения (read-only).

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESETNOD32 пришлось на Украину, Италию и Израиль.

Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Рекомендации для пользователей:

  1. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. 
  2. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке
  3. По необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке
  4. При подозрении на заражение отключите инфицированные рабочие станции от корпоративной сети и обратитесь в службу технической поддержки вашего антивирусного вендора. 
  5. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам. Почтовый адрес злоумышленников был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена. 
  6. Домашние пользователиESET. Установить обновление антивирусногопродукта. ESETNOD32 детектирует новую модификацию Petya. C начиная с 14:30 по московскому времени 27 июня. 
  7. Корпоративные пользователиESET. Отправить обновления на все рабочие станции или установить обновление

Метки: Petya.C, троян

 

Последние новости

Китайская компания "Юй Пэн" заинтересовалась строительством жилья в ПриморьеКитайская компания "Юй Пэн" заинтересовалась строительством жилья в Приморье
сегодня, 11:00
Компании предложили участие в строительстве жилья для детей-сирот и для переселяемых из аварийного жилого фонда
Президент США планирует запретить людям, сменившим пол, служить в армииПрезидент США планирует запретить людям, сменившим пол, служить в армии
вчера, 17:20
Годом ранее Барак Обама отменил данный запрет
Японский историк получил известную в Азии научную премиюЯпонский историк получил известную в Азии научную премию
вчера, 16:50
Профессор Йошиаки Ишизава получил большое признание за свою работу по защите и восстановлению объекта всемирного наследия в Камбодже

От первого лица

Самые популярные

Горячие обсуждения

19.07.2017 14:00
18.07.2017 13:00

Все комментарии

Метки

авто администрация Владивостока Артем бюджет Владивосток выборы ГИБДД Дарькин депутаты детские сады дороги Дума Владивостока ЖКХ интернет кино Китай кризис Луч-Энергия Медведев милиция Приморский край прокуратура Путин Пушкарев Саммит АТЭС-2012 строительство суд убийство УВД футбол

Все метки