укр рус Дошка оголошень Додати оголошення
Шукати на сайті та у каталозі товарів
Переглянути каталог

Вірус Petya може атакувати знову. Як виявити сліди зараження? Як вберегтися?


Масштабний кібернапад на українські державні та комерційні компанії може повторитися. Про це попередила українська команда реагування на кіберзагрози CERT-UA, яка працює під управлінням Держспецзв’язку.

 

Як виявити сліди зараження?

 

Зараження українських комп’ютерів відбувається через M.E.Doc Бекдор Diskcoder. Цей бекдор може збирати коди ЄДРПОУ заражених компаній і відправляти їх на віддалений сервер, а також завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів. Таким чином конфіденційна інформація з українських державних та комерційних структур надходила зацікавленим особам.

 

Вірус Petya може атакувати знову. Як виявити сліди зараження. Як вберегтися.

Код бібліотеки ZvitPublishedObjects.dll.

 

Вірус Petya може атакувати знову. Як виявити сліди зараження. Як вберегтися.

Фахівці CERT-UA наголошують, що власники мереж, які зазнали цієї кібератаки, навіть відновивши після неї свої комп’ютери, можуть стати потенційним об’єктом повторної атаки.

 

“Існує висока ймовірність того, що зловмисникам відома інформація про мережу, паролі до облікових записів користувачів, адміністраторські паролі, паролі до електронних поштових скриньок тощо”, – зазначають фахівці.

 

Як вберегтися?

 

- Припинити використання ПЗ M.E.Doc до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було встановлено. Провести перезавантаження операційної системи на таких комп’ютерах.

- Змінити всі паролі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх IP-адрес і структуру мережі – схема мережі може бути відома зловмисникам, а це полегшує реалізацію наступної атаки.

- Для ідентифікації шифрувальника файлів необхідно завершити всі локальні завдання і перевірити наявність наступного файлу: C: Windows perfc.dat. Для попередження шифрування потрібно створити файл C: Windows perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C: Windows – і якщо файл вже існує, вірус завершує роботу і не шифрує файли.

- Для запобігання шкідливим ПЗ міняти MBR (в якому у цьому випадку записувалася програма-шифрувальник). Рекомендують встановити одне з рішень щодо заборони доступу до MBR: рішення Cisco Talos, рішення Greatis або SydneyBackups.

- Переконайтеся, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, яке функціонує належним чином і використовує актуальні бази вірусних сигнатур. За необхідності встановіть або проведіть оновлення антивірусного програмного забезпечення.

- Встановіть офіційний патч MS17-010.

- Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в брандмауері локальних ПК і мережевого устаткування заблокувати TCP / IP порти 135, 139 і 445.

- Обмежте можливість запуску виконуваних файлів (*. exe) на комп’ютерах користувачів з директорій% TEMP%,% APPDATA%.

- Вимкніть застарілий протокол SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft доступна за посиланням.

 

AIN також наводить індикатори компрометації:

 

С & C: transfinance.com [.] Ua (IP: 130.185.250.171), bankstat.kiev [.] Ua (IP: 82.221.128.27), www.capital-investing.com [. ] ua (IP: 82.221.131.52)

Легітимні сервери, які були інфіковані і несанкціоновано використані загрозою: api.telegram.org (IP: 149.154.167.200, 149.154.167.197, 149.154.167.198, 149.154.167.199)

VBS бекдор: 1557E59985FAAB8EE3630641378D232541A8F6F9 31098779CE95235FED873FF32BB547FFF02AC2F5 CF7B558726527551CDD94D71F7F21E2757ECD109

Mimikatz: 91D955D6AC6264FBD4324DB2202F68D097DEB241 DCF47141069AECF6291746D4CDF10A6482F2EE2B 4CEA7E552C82FA986A8D99F9DF0EA04802C5AB5D 4134AE8F447659B465B294C131842009173A786B 698474A332580464D04162E6A75B89DE030AA768 00141A5F0B269CE182B7C4AC06C10DEA93C91664 271023936A084F52FEC50130755A41CD17D6B3B1 D7FB7927E19E483CD0F58A8AD4277686B2669831 56C03D8E43F50568741704AEE4 82704A4F5005AD 38E2855E11E353CEDF9A8A4F2F2747F1C5C07FCF 4EAAC7CFBAADE00BB526E6B52C43A45AA13FD82B F4068E3528D7232CCC016975C89937B3C54AD0D1

Win32 / TeleBot: A4F2FF043693828A46321CCB11C5513F73444E34 5251EDD77D46511100FEF7EBAE10F633C1C5FC53 Win32 / PSW.Agent.ODE (CredRaptor): 759DCDDDA26CF2CC61628611CF14CFABE4C27423 77C1C31AD4B9EBF5DB77CC8B9FE9782350294D70 EAEDC201D83328AF6A77AF3B1E7C4CAC65C05A88 EE275908790F63AFCD58E6963DC255A54FD7512A EE9DC32621F52EDC857394E4F509C7D2559DA26B FC68089D1A7DFB2EB4644576810068F7F451D5AA

Win32 / Filecoder.NKH: 1C69F2F7DEE471B1369BF2036B94FDC8E4EDA03E Python / Filecoder.R: AF07AB5950D35424B1ECCC3DD0EEBC05AE7DDB5E

Win32 / Filecoder.AESNI.C: BDD2ECF290406B8A09EB01016C7658A283C407C3 9C694094BCBEB6E87CD8DD03B80B48AC1041ADC9 D2C8D76B1B97AE4CB57D0D8BE739586F82043DBD Win32 / Diskcoder.C: 34F917AABA5684FBE56D3C57D48EF2A1AA7CF06D PHP shell: D297281C2BF03CE2DE2359F0CE68F16317BF0A86

До слова, зараз автори вірусу Petya вимагають 6 000.

Лілія Матвіїв LVIV.COM


За матеріалами: https://lviv.com/

 

Вірус Petya може атакувати знову. Як виявити сліди зараження. Як вберегтися.

Фото: компьютер, пострадавший от вируса Petya.A (Мирослав Ганущак)

 

Все по темі: Кібератака на Україну

-  Нагадаємо, 27 червня хакери атакували низку українських банків, енергетичних і транспортних компаній, а також органи влади, заразивши комп'ютери вірусом-здирником.

-  Кібератаку здійснили з використанням модифікованої під Україну версії вірусу Wanna Cry.

-  Компанія Microsoft заявила, що програма для звітності та документообігу M.E.doc стала причиною масових кібератак проти України.

-  Розробники програми M.E.Doc відхрестилися від зараження вірусом-здирником.


Останні коментарі до сторінки
«Вірус Petya може атакувати знову. Як виявити сліди зараження? Як вберегтися? »:
Всьго відгуків: 0    + Додати коментар