Petya.A
Очередной вирус-вымогатель Petya, который заразил компьютеры десятки компаний Украины, пошёл по миру: Россия, Великобритания, Индия, Нидерланды, Испания и Дания.
Как происходит заражение
Вариант 1
Вирус распространяется через почту, при открытии вложения из письма, используя уязвимость CVE-2017- 0199
Зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.
Вариант 2
Атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc, которая имеет встроенную функцию обновления и периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55)
с помощью User Agent medoc1001189
. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54
. Большинство легитимных пингов равняется примерно 300 байт. Утром 27 июня в 10:30 программа обновилась, обновление составило примерно 333 КБ
После обновления произошло следующее:
- был создан файл rundll32.exe;
- прошло обращение к локальным IP на TCP-порты 139 и 445;
- был создан файл perfc.bat;
- была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
- был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
- был создан файл dllhost.dat.
В дальнейшем вирус распространялся через уязвимость в протоколе Samba.
Как защититься от вируса
- Установить последние обновления Windows
- Отключить протокол SMBv1 (недавно писал в посте о WannaCry).
- Заблокировать на сетевом оборудовании или в настройках файерволла порты 137, 138, 139 и 445.
- Установить программу для защиты MBR от несанкционированных изменений. К примеру, Mbrfilter.
- Не использовать программу M.E.doc или не устанавливать последнее её обновление.
Разлочка жесткого диска
Подробную информацию смотрите в посте «Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами«.