Semalt Expert - Jak walczyć z Petyą, NotPetyą, GoldenEye i Petrwrp?

Forcepoint Security Labs określił to mianem epidemii Petya, ale inni dostawcy używają do tego alternatywnych słów i dodatkowych nazw. Dobrą wiadomością jest to, że ta próbka przeszła test kaczki, a teraz pliki można szyfrować na dyskach bez zmiany ich rozszerzeń. Możesz także spróbować zaszyfrować główny rekord rozruchowy i sprawdzić jego następstwa na urządzeniach komputerowych.

Spłacanie żądania okupu Petyi

Igor Gamanenko, Customer Success Manager firmy Semalt , sugeruje, aby nie płacić okupu za wszelką cenę.

Lepiej dezaktywować swój identyfikator e-mail niż płacić okup hakerowi lub napastnikowi. Ich mechanizmy płatnicze są zwykle kruche i niezgodne z prawem. Jeśli chcesz zapłacić okup za pośrednictwem portfela BitCoin, osoba atakująca może ukraść znacznie więcej pieniędzy z Twojego konta bez powiadomienia Cię.

Obecnie uzyskanie niezaszyfrowanych plików jest bardzo trudne, niezależnie od tego, że narzędzia deszyfrujące będą dostępne w nadchodzących miesiącach. Oświadczenie o infekcji i ochronie Firma Microsoft twierdzi, że początkowy dostawca infekcji ma różne złośliwe kody i nielegalne aktualizacje oprogramowania. W takich okolicznościach sprzedawca może nie być w stanie lepiej wykryć problemu.

Obecna wersja Petya ma na celu uniknięcie wektorów komunikacyjnych, które zostały zapisane przez zabezpieczenia poczty e-mail i bramy bezpieczeństwa sieci. Wiele próbek zostało przeanalizowanych przy użyciu różnych danych uwierzytelniających, aby znaleźć rozwiązanie problemu.

Kombinacja poleceń WMIC i PSEXEC jest znacznie lepsza niż exploit SMBv1. Na razie nie jest jasne, czy organizacja ufająca sieciom osób trzecich zrozumie zasady i przepisy innych organizacji.

Możemy zatem powiedzieć, że Petya nie przynosi niespodzianek dla badaczy Forcepoint Security Labs. Od czerwca 2017 r. Forcepoint NGFW może wykrywać i blokować wykorzystanie exploitów SMB przez atakujących i hakerów.

Deja vu: Petya Ransomware i możliwości propagacji SMB

Ognisko Petyi odnotowano w czwartym tygodniu czerwca 2017 r. Miało to ogromny wpływ na różne międzynarodowe firmy, a serwisy informacyjne twierdziły, że efekty są długotrwałe. Forcepoint Security Labs przeanalizował i przeanalizował różne próbki związane z epidemiami. Wygląda na to, że raporty Forcepoint Security Labs nie są w pełni przygotowane, a firma potrzebuje dodatkowego czasu, aby dojść do pewnych wniosków. W związku z tym wystąpi znaczne opóźnienie między procedurą szyfrowania a uruchomieniem złośliwego oprogramowania.

Biorąc pod uwagę, że wirus i złośliwe oprogramowanie ponownie uruchamiają komputery, może upłynąć kilka dni, zanim zostaną ujawnione ostateczne wyniki.

Wnioski i zalecenia

Na tym etapie trudno wyciągnąć wnioski i ocenić daleko idące implikacje wybuchów. Wygląda jednak na to, że jest to ostatnia próba wdrożenia samorozprzestrzeniających się programów ransomware. Na razie Forcepoint Security Labs zamierza kontynuować badania nad możliwymi zagrożeniami. Firma może wkrótce opracować ostateczne wyniki, ale wymaga to dużo czasu. Wykorzystanie exploitów SMBvi zostanie ujawnione, gdy Forcepoint Security Labs przedstawi wyniki. Należy upewnić się, że aktualizacje zabezpieczeń są zainstalowane w systemach komputerowych. Zgodnie z zasadami firmy Microsoft klienci powinni wyłączyć SMBv1 w każdym systemie Windows, w którym ma to negatywny wpływ na funkcje i wydajność systemu.