Верх страницы
Обложка к записи Petya.A
Время для прочтения: 0 мин. 30 сек.

Petya.A

Очередной вирус-вымогатель Petya, который заразил компьютеры десятки компаний Украины, пошёл по миру: Россия, Великобритания, Индия, Нидерланды, Испания и Дания.

Как происходит заражение

Вариант 1

Вирус распространяется через почту, при открытии вложения из письма, используя уязвимость CVE-2017- 0199

Зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.

Вариант 2

Атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc, которая имеет встроенную функцию обновления и периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent medoc1001189. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром 27 июня в 10:30 программа обновилась, обновление составило примерно 333 КБ

После обновления произошло следующее:

  • был создан файл rundll32.exe;
  • прошло обращение к локальным IP на TCP-порты 139 и 445;
  • был создан файл perfc.bat;
  • была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
  • был создан файл dllhost.dat.

В дальнейшем вирус распространялся через уязвимость в протоколе Samba.

Как защититься от вируса

  • Установить последние обновления Windows
  • Отключить протокол SMBv1 (недавно писал в посте о WannaCry).
  • Заблокировать на сетевом оборудовании или в настройках файерволла порты 137, 138, 139 и 445.
  • Установить программу для защиты MBR от несанкционированных изменений. К примеру, Mbrfilter.
  • Не использовать программу M.E.doc или не устанавливать последнее её обновление.

Разлочка жесткого диска

Подробную информацию смотрите в посте «Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами«.

Ссылки

Автор: Кобзарёв Михаил

Русский разработчик с 20-ти летним стажем. Работаю с PHP, ООП, JavaScript, Git, WordPress, Битрикс, Joomla, Drupal, Opencart, DLE, Laravel, Moonshine, SuiteCRM.

Оптимизирую сайты под Google Page Speed, настраиваю импорты для больших магазинов на WooCommerce + WP All Import. Пишу плагины на заказ. Все мои услуги.

Веду блог о разработке, дайджест в телеграмме и в ВК.

Вы всегда можете нанять меня.

Комментарии
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
Предыдущая запись

Давайте дружить
в Телеграме

Авторский блог вашего покорного слуги в Telegram про web, программирование, алгоритмы, инструменты разработчика, WordPress, Joomla, Opencart, Laravel, Moonshine, фильмы и сериалы