taiba: (Default)
[personal profile] taiba
Поради:

-не платіть біткойни - поштову скриньку злодіїв заблоковано

-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat

-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc — файл без розширення)

-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.

-закрити дірки Віндовс
а) MS17-010
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit

Посилання для інших версій шукати тут на сайті Microsoft.

b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows

d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.

e) закрити TCP-порти 1024–1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445

f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482

g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:

• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;

• зріле рішення Greatis http://www.greatis.com/security/;

• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.



=============
Посилання
https://www.facebook.com/victor.klevtsov/posts/10213756299529501

Украина подверглась самой крупной в истории кибератаке вирусом Petya
PETYA malware. Recovery is possible
Очередная атака криптовымогателя парализует крупные компании
11 апреля 2016 в 12:02 Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами

http://biz.liga.net/all/it/novosti/3696331-v-ukraine-proiskhodit-globalnaya-kiberataka.htm

http://www.segodnya.ua/ukraine/specialisty-nashli-sposob-ostanovit-ataku-virusa-v-ukraine-1033404.html

https://twitter.com/ptsecurity/status/879779327579086848

http://cert.gov.ua/?p=2641

https://www.facebook.com/yuri.woloshin/posts/1453839667987989?hc_location=ufi

https://www.facebook.com/SecurSerUkraine/posts/1958917667671562
https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.uiUe7Jy0.dpbs

https://www.facebook.com/vstyran/posts/10155511714262372

https://www.facebook.com/cyberpoliceua/posts/536947343096100

https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/

https://www.facebook.com/notes/ruslan-ivanov/%D0%BF%D1%80%D0%BE-%D0%BF%D0%B5%D1%82%D1%8E/10154695919078027/

https://xakep.ru/2017/06/29/petya-wiper/
https://xakep.ru/2017/06/28/petya-write-up/

https://inforesist.org/virus-petya-atakuet-ukrainu/

Profile

taiba: (Default)
taiba

September 2017

S M T W T F S
      12
3456789
10111213141516
17181920212223
24252627282930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 26th, 2017 05:33 am
Powered by Dreamwidth Studios