Украину атаковал вирус-шифровальщик Petya

Компьютерные сети органов власти и коммерческого сектора атакованы вирусом, похожим на WannaCry. Как Petya Ransomware попадает на компьютер и рекомендации по предотвращению заражения.

27 июня, с 14:00, компьютерные сети центральных органов власти подверглись масштабной хакерской атаки вирусом-шифровальщиком под названием «Petya», сообщается на Правительственном портале.

Зараженными стали системы Министерства инфраструктуры, Укртелекома, Укрпочты, «Новой почты» и ряда банковских учреждений.

Серверы Кабинета Министров Украины не пострадали, однако отдельные персональные компьютеры подверглись нападению. Почти 150 стратегических для экономики страны предприятий, сети которых подключены и контролируются специалистами Государственной службы спецсвязи (ГССЗИ), в том числе АЭС и предприятия, связанные с обеспечением безопасности государства, также не пострадали.

Вечером специалисты Государственной службы специальной связи и защиты информации Украины заявили, что ситуация была взята под контроль.

«Ни один государственный е-ресурс, защищены общим контуром киберзащиты, реализованным Госспецсвязи в Системе защищенного доступа к Интернету, не пострадал. Не претерпели повреждений или иных несанкционированных действий и электронные государственные реестры страны», - отмечают в Госспецсвязи.

Petya Ransomware использует ту же уязвимость, что и WannaCry (WanaCrypt0r), указывают в Команде реагирования на компьютерные чрезвычайные события Украины (CERT-UA).

Вирус может попасть в компьютер, как пример, из прикрепленного к электронному письму документа Word. При открытии такого документа загружается xls-файл, содержащий обфуксированный javascript-код, и загружает исполняемый файл, который, в свою очередь, используется в качестве загрузчика дальнейшего функционала шифровальщика файлов Petya Ransomware. В дальнейшем в планировщик задач устанавливается команда на перезапуск системы, а после перезагрузки на инфицированный компьютер приходит фейковый chkdsk (утилита для проверки диска).

В CERT-UA рекомендуют:

1. Обеспечить недопустимости открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают сомнения, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).

2. Системным администраторам и администраторам безопасности обратить внимание на фильтрование входящих/исходящих информационных потоков, в частности почтового и веб-трафика.

3. Установить официальный патч MS17-010.

4. На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.

5. В случае инфицирования персонального компьютера не перезагружать систему (а быстро скопировать важные данные на сменный носитель, - ред.).

6. Ограничить возможность запуска исполняемых файлов (*.exe) на компьютерах пользователей из директорий %TEMP%, %APPDATA%.

7. Обратиться к рекомендациям CERT-UA по поводу безопасности почтовых сервисов.

8. Для возможности восстановления зашифрованных файлов воспользоваться программами ShadowExplorer или PhotoRec (эти программы редко когда смогут помочь, - ред.).

OstanniPodii.com