Про Петю

Вчера, 27 июня 2017 года, была зарегистрирована масштабная хакерская атака, характеризуемая большим количеством фактов заражений вредоносным ПО. Ниже мы приводим краткую информацию о выявлении шифровальщика и шагах, которые надо совершить для предотвращения заражения.

Речь пойдет о шифровальщике Petya и в частности о его разновидностях — Petya.A, Petya.C, PetrWrap, PetyaCry.

Алгоритм работы у Petya следующий:

1. Загрузка вредоносного кода на объект атаки. Загрузка может происходить множеством способов, в атаках на корпоративный сегмент как правило злоумышленники действуют с помощью рассылки спам-сообщений с зараженными вложениями
2. Запуск вредоносного кода
3. Загрузка шифровальщика
4. Дальнейшее распространение в сети ЛВС, происходит с использованием эксплойта EternalBlue в комбинации с WMI-инструментами по портам TCP: 1024-1035, 135-139, 445
5. Заражение MBR
6. После успешного выполнения предыдущего шага компьютер выдает BSoD и перезагружается. После перезагрузки пользователю отображается стандартная проверка жесткого диска Windows — Check Disk. Таким образом Petya маскирует процесс шифрования информации на жестком диске.

Внимание! Если вы наблюдаете симптомы заражения то на последнем шаге данные, или их часть, все еще можно спасти, для этого срочно нужно выключить компьютер, отключить жесткий диск и подключить его к другому компьютеру (НЕ в качестве загрузочного диска). Уцелевшую информацию можно скопировать с зараженного диска.

Как проверить инфраструктуру на отсутствие признаков заражения?

Если вашу организацию атака обошла стороной и вы не наблюдаете явных признаков заражения, рекомендуется произвести проверку наличия следов заражения шифровальщиком Petya. Таковыми могут быть:

1. Наличие файла C:\Windows\perfc
2. Наличие файла C:\myguy.xls.hta
3. Задача в планировщике Windows с пустым именем и действием «%WINDIR%\system32\shutdown.exe /r /f»

Мероприятия для защиты от Petya

Нижеописанный комплекс мероприятий существенно снизит вероятность успешной атаки на вашу инфраструктуру.

Обязательные мероприятия:

1. Проверка наличия антивирусного ПО на всех компонентах инфраструктуры. Зачастую антивирусное ПО с ключевых серверных компонент организации убирают по различным причинам (повышение производительности, конфликты с прикладным ПО и др.). Атака от 27.06.2017 наглядно показывает что пренебрегать антивирусным ПО не стоит, лучше уделить этому вопросу больше времени и произвести установку с последующей корректной настройкой если это не было сделано ранее
2. Запуск обновления баз сигнатур антивирусного ПО для всех компонентов инфраструктуры. Также необходимо убедиться в  наличии расписания автоматического обновления баз сигнатур с минимально возможным интервалом проверок наличия свежих обновлений
3. Установка актуальных обновлений безопасности Microsoft Windows (включая KB 4013389 если не был установлене ранее)  и Microsoft Office. Если установка обновлений безопасности по каким-либо причинам невозможна, то на компонентах инфраструктуры организации следует отключить использование протоколов SMB v1/v2/v3
4. Обновление баз сигнатур используемых в организации IDS/IPS, проверка наличия расписания обновлений баз сигнатур
5. Проверка наличия регламентов резервного копирования ключевой информации и их добросовестного исполнения.

Вспомогательные мероприятия:

1. Включение аудита использования портов TCP: 1024-1035, 135-139, 445  с уведомлением администраторов о возможных аномалиях в сети
2. Ручное создание файла C:\Windows\perfc (без расширения) или C:\Windows\perfc.dll с помощью Блокнота и настройка разрешения доступа к этому файлу в режиме «только чтение» может помочь против обнаруженного экземпляра ПО
3. Использование инструментов защиты от редактирования MBR, например MBRFilter (Важно! Перед применением протестируйте утилиту в тестовой среде и убедитесь, что она вам подходит)
4. Создание запрещающих правил доступа на средствах защиты периметра сети к следующим ресурсам:

• 84.200.16.242
• 84.200.16.242/myguy.xls
• french-cooking.com/myguy.exe
• 111.90.139.247
• COFFEINOFFICE.XYZ