Время для прочтения: 2 мин. 1 сек.

Petya.A

Очередной вирус-вымогатель Petya, который заразил компьютеры десятки компаний Украины, пошёл по миру: Россия, Великобритания, Индия, Нидерланды, Испания и Дания.

Как происходит заражение

Вариант 1

Вирус распространяется через почту, при открытии вложения из письма, используя уязвимость CVE-2017- 0199

Зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.

Вариант 2

Атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc, которая имеет встроенную функцию обновления и периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent medoc1001189. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром 27 июня в 10:30 программа обновилась, обновление составило примерно 333 КБ

После обновления произошло следующее:

  • был создан файл rundll32.exe;
  • прошло обращение к локальным IP на TCP-порты 139 и 445;
  • был создан файл perfc.bat;
  • была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
  • был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
  • был создан файл dllhost.dat.

В дальнейшем вирус распространялся через уязвимость в протоколе Samba.

Как защититься от вируса

  • Установить последние обновления Windows
  • Отключить протокол SMBv1 (недавно писал в посте о WannaCry).
  • Заблокировать на сетевом оборудовании или в настройках файерволла порты 137, 138, 139 и 445.
  • Установить программу для защиты MBR от несанкционированных изменений. К примеру, Mbrfilter.
  • Не использовать программу M.E.doc или не устанавливать последнее её обновление.

Разлочка жесткого диска

Подробную информацию смотрите в посте «Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами«.

Ссылки

Пошерить
Плюсануть
Отправить
Вотсапнуть

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

1. Нажимая на кнопку "Отправить", я даю согласие на обработку персональных данных.

2. Для вставки кода используйте специальные теги [code lang="php"]ваш код[/code]