taiba: (Default)
[personal profile] taiba
Поради:

-не платіть біткойни - поштову скриньку злодіїв заблоковано

-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat

-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc — файл без розширення)

-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.

-закрити дірки Віндовс
а) MS17-010
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit

Посилання для інших версій шукати тут на сайті Microsoft.

b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.

e) закрити TCP-порти 1024–1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445

f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482

g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:

• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;

• зріле рішення Greatis http://www.greatis.com/security/;

• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.



=============
Посилання
https://www.facebook.com/victor.klevtsov/posts/10213756299529501

Украина подверглась самой крупной в истории кибератаке вирусом Petya
PETYA malware. Recovery is possible
Очередная атака криптовымогателя парализует крупные компании
11 апреля 2016 в 12:02 Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

http://biz.liga.net/all/it/novosti/3696331-v-ukraine-proiskhodit-globalnaya-kiberataka.htm

http://www.segodnya.ua/ukraine/specialisty-nashli-sposob-ostanovit-ataku-virusa-v-ukraine-1033404.html

https://twitter.com/ptsecurity/status/879779327579086848

http://cert.gov.ua/?p=2641

https://www.facebook.com/yuri.woloshin/posts/1453839667987989?hc_location=ufi

https://www.facebook.com/SecurSerUkraine/posts/1958917667671562
https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.uiUe7Jy0.dpbs

https://www.facebook.com/vstyran/posts/10155511714262372

https://www.facebook.com/cyberpoliceua/posts/536947343096100

https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/

https://www.facebook.com/notes/ruslan-ivanov/%D0%BF%D1%80%D0%BE-%D0%BF%D0%B5%D1%82%D1%8E/10154695919078027/

https://xakep.ru/2017/06/29/petya-wiper/
https://xakep.ru/2017/06/28/petya-write-up/

https://inforesist.org/virus-petya-atakuet-ukrainu/
From:
Anonymous( )Anonymous This account has disabled anonymous posting.
OpenID( )OpenID You can comment on this post while signed in with an account from many other sites, once you have confirmed your email address. Sign in using OpenID.
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

taiba: (Default)
taiba

July 2017

S M T W T F S
      1
23 45 678
9101112131415
16171819202122
23242526272829
3031     

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 25th, 2017 10:35 pm
Powered by Dreamwidth Studios