Вирусы-вымогатели: как бороться?

/
/ Вирусы-вымогатели: как бороться?

NotPetya. ExPetr. PetrWrap. Современная технология вымогательства, которая заражает компьютеры по всему миру, называется многими именами.

Petya, созданный в июле 2016 года, начал свою работу в качестве одного из штаммов вируса-вымогателя будущего, использующего MBR (Master Boot Record).

Вектор заражения

Как и WannaCry, этот новый вирус тоже использует EternalBlue SMB, который был замечен во время атаки, потрясшей общественность несколько месяцев назад.

На сегодняшний день всем известно, что Petya распространяется через почтовые системы посредством рассылки «заражённых» документов в целях мимолётного обогащения создателей вируса посредством получения выкупа за дешифровку данных пользователя.

Этот вирус-вымогатель использует PSExec в системе в целях размножения по сети пользователя.

Таким образом, ядерная смесь PSExec и EternalBlue дает вирусу-вымогателю Petya большую силу в его способности распространяться по сети.

Petya в действии

Как только вирус-вымогатель попадает в сеть пользователя, он поражает систему, изменяя MBR и выдаёт на экран такое предупреждение:

Однако, после перезагрузки операционной системы, Petya на Ваших глазах начинает шифровку файлов под видом проверки жёсткого диска:

Этот трюк нужен вирусу для того, чтобы выиграть время и беспрепятственно сделать свою работу (пользователь не может повлиять на запущенный процесс):

После сканирования MFT уже зашифрован, а MBR отображает для пользователя требования злоумышленников красным по-чёрному: «Либо вы платите нам, либо ваши файлы останутся зашифрованы навсегда».

Таким образом, пользователи, подвергшиеся атаке, были вынуждены заплатить «выкуп» в биткоинах, эквивалентный трём сотням долларов.

В основном, вирус шифрует такие типы файлов, как .vbs, .ova, .vbox и т.д. Можно сделать вывод, что целью злоумышленников были компании-разработчики ПО.

Согласно статистике, системы Windows 10 имеют шанс побороться с вирусом, но Windows 7 оказывается уязвимым при каждой атаке.

Защита нулевого дня

Специалисты компании ОЛЛИ помогут Вам обнаружить и предотвратить распространение Ransom.Petya или Ransom.Petya.EB в момента начала атаки с помощью комплексного подхода к обеспечению информационной безопасности Вашего предприятия. Мы используем новейшие технологии от таких производителей, как Cisco, CheckPoint, Fortinet, Eset, Касперский и другие.


Защита от вирусов-вымогателей достигается путём:

► Своевременного обновления и развертывания программного обеспечения;

► Обновления операционной системы и ПО, закрытия SMB-портов в Интернет;

►Разграничение прав доступа к информации среди сотрудников, внедрение системы администрирования «закрытого» типа;

► Информирования сотрудников об угрозах информационной безопасности бизнеса и о мерах предосторожности;

►Тщательной проверки скачанных файлов из сети Интернет и электронных писем при их открытии.

Защитите свой бизнес вместе с ОЛЛИ! Напишите нам на zakaz@olly.ru, и наши эксперты ответят на все интересующие Вас вопросы.

ИНТЕРЕСНЫЕ МАТЕРИАЛЫ В IT-СФЕРЕ
СМОТРЕТЬ ВСЕ