„Semalt Expert“ - kaip kovoti su „Petya“, „NotPetya“, „GoldenEye“ ir „Petrwrp“?

„Forcepoint Security Labs“ tai pavadino „Petya“ protrūkiu, tačiau kiti pardavėjai tam naudoja alternatyvius žodžius ir papildomus pavadinimus. Geros žinios yra tai, kad šis pavyzdys pašalino ančių testą, o dabar failus galima užšifruoti diskuose nekeisdami jų plėtinių. Taip pat galite pabandyti užšifruoti pagrindinį įkrovos įrašą ir patikrinti jo padarinius kompiuterio įrenginiuose.

Apmokėti Petjos išpirkos reikalavimą

Igoris Gamanenko, Klientas Sėkmės direktorius Semalt , rodo jums nemokėti išpirkos bet kokia kaina.

Geriau išjungti el. Pašto ID, o ne mokėti išpirką įsilaužėjui ar užpuolikui. Jų mokėjimo mechanizmai paprastai yra trapūs ir neteisėti. Jei mokate išpirką per „BitCoin“ piniginę, užpuolikas gali pavogti iš jūsų sąskaitos daug daugiau pinigų, apie tai nepranešęs.

Šiomis dienomis tapo labai sunku gauti nešifruotus failus, nepaisant to, kad dešifravimo priemonės bus prieinamos per ateinančius mėnesius. Infekcijos vektorius ir apsaugos pareiškimas „Microsoft“ tvirtina, kad pradinis infekcijos pardavėjas turi įvairių kenkėjiškų kodų ir neteisėtų programinės įrangos naujinių. Tokiomis aplinkybėmis pardavėjas gali nesugebėti geriau nustatyti problemos.

Dabartiniu „Petya“ kartojimu siekiama išvengti ryšių vektorių, kuriuos išsaugojo el. Pašto ir interneto saugos šliuzai. Daugybė mėginių buvo išanalizuoti naudojant skirtingus kredencialus, norint išsiaiškinti problemos sprendimą.

WMIC ir PSEXEC komandų derinys yra daug geresnis nei išnaudojamas SMBv1. Kol kas neaišku, ar organizacija, kuri pasitiki trečiųjų šalių tinklais, supras kitų organizacijų taisykles ir nuostatus, ar ne.

Taigi galime pasakyti, kad „Petya“ nekelia siurprizų „Forcepoint Security Labs“ tyrėjams. Nuo 2017 m. Birželio mėn. „Forcepoint NGFW“ gali aptikti ir užkirsti kelią SMB išnaudojamiems užpuolikų ir įsilaužėlių svertams.

Deja vu: „Petya Ransomware“ ir SMB sklidimo galimybės

„Petya“ protrūkis buvo užfiksuotas ketvirtą 2017 m. Birželio savaitę. Jis padarė didelį poveikį įvairioms tarptautinėms įmonėms, naujienų svetainėse teigdamas, kad poveikis yra ilgalaikis. „Forcepoint Security Labs“ išanalizavo ir peržiūrėjo įvairius su protrūkiais susijusius pavyzdžius. Panašu, kad „Forcepoint Security Labs“ ataskaitos nėra visiškai parengtos, o įmonei reikia papildomo laiko, kad ji galėtų pateikti tam tikras išvadas. Taigi tarp šifravimo procedūros ir kenkėjiškos programos paleidimo reikės daug laiko.

Atsižvelgiant į tai, kad virusas ir kenkėjiška programa paleidžia kompiuterį iš naujo, gali reikėti kelių dienų, kol bus paskelbti galutiniai rezultatai.

Išvada ir rekomendacijos

Šiame etape sunku padaryti išvadas ir įvertinti plataus masto protrūkių padarinius. Tačiau panašu, kad tai yra paskutinis bandymas panaudoti savaime sklindančius išpirkos programų rinkinius. Nuo šiol „Forcepoint Security Labs“ siekia tęsti galimų grėsmių tyrimus. Netrukus įmonė gali pateikti galutinius rezultatus, tačiau tam reikia nemažai laiko. SMBvi išnaudojimas bus atskleistas, kai „Forcepoint“ saugos laboratorijos pateiks rezultatus. Turėtumėte įsitikinti, kad saugos naujinimai yra įdiegti jūsų kompiuterio sistemose. Remiantis „Microsoft“ politika, klientai turėtų išjungti „SMBv1“ kiekvienoje „Windows“ sistemoje, jei tai neigiamai veikia sistemos funkcijas ir našumą.