Дата публикации:
Во вторник 27 июня компании ряда стран пострадали от атак модифицированной версией "Petya". По последним данным пострадали пользователи в таких странах, как Украина, Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения). Объектами атаки стали различные коммерческие и государственные учреждения, включая банки, энергетически и коммуникационные компании, аэропорты. Данный вирус является разновидностью так называемого ransomware, то есть он осуществляет шифрование данных после чего требует от пользователя выкупа. UserGate UTM обеспечивает возможность защиты от данной уязвимости на нескольких уровнях, при этом используется антивирусная проверка трафика, а также модуль защиты от атак и вторжений. Сигнатуры данного вируса были в тот же день включены в базы, используемые в UserGate UTM.
Заражение происходит через механизм обновления в ПО M.E.Doc, через эксплойт "EthernalBlue" и эксплойт устаревшей версии SMB (SMBv1). Троян добавляет задание перезагрузки, через 60 минут после заражения компьютер перезагружается. После заражения вирус распространяется по локальной сети с помощью инструмента LSADump. LSADump - инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть без необходимости в эксплойтах, которые указаны в методах первоначального заражения.
Данный троян-шифровальщик является модифицированной версией "WannaCry", в этой связи необходимо:
- Удостоверится, что все версии операционных систем Windows имеют последние актуальные обновления;
- Отключить SMBv1;
- Изолировать компьютеры с необновленными ОС Windows от большого сегмента сети;
- Добавить в UserGate UTM правило межсетевого экрана с блокировкой Botnet сетей;
- Включить модуль СОВ и настроить его политику;
- Включить проверку Почтового трафика - Mail Security.
Все эти меры позволяют свести к минимуму риски заражения сети компании. Подробнее...
