Knowledgebase
Knowledgebase
Троян-шифровальщик "Petya"
Posted by Stanislav Linnik on 28 June 2017 03:05 PM

Во вторник 27 июня, компании Украины пострадали от атак модифицированной версией ПО "Petya".

По последним данным, пострадала не только Украина, но и Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения).

Методы первоначального заражения:

1) По данным киберполиции Украины троян атакует через механизм обновления в ПО M.E.Doc.

2) Через эксплойт "EthernalBlue" и эксплойт устаревшей версии SMB (SMBv1)

 

Троян-шифровальщик "Petyа" можно детектировать по наличию файла perfc.dat в системной папке, с помощью планировщик задач. Он добавляет задание перезагрузки ПК, через 60 минут после заражения ПК перезагружается. 

После заражения ПК, он распростроянется по локальной сети с помощью инструмента LSADump. LSADump - инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть, без необходимости в эксплойтах, которые указаны в методах первоначального заражения.

Так как троян-шифровальщик модифицированная версия "WannaCry", то необходимо:

  • Удостоверится, что все версии операционных систем Windows имеют последние актуальные патчи;
  • Отключить SMBv1;
  • Изолировать ПК с непропатченными ОС Windows от большого сегмента сети;
  • Добавить правило межсетевого экрана, в UserGate UTM, с блокировкой Botnet сетей;
  • Включить модуль СОВ и настроить его политику;
  • Включить проверку Почтового трафика - Mail Security.

Таким образом ваша компания минимизирует риски заражения.

(1 vote(s))
This article was helpful
This article was not helpful

Comments (0)

Copyright © 2001-2017 Entensys, Inc

Terms of use   Privacy policy