![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Petya.A / Nyetya
Jun. 29th, 2017 11:21 amПоради:
-не платіть біткойни - поштову скриньку злодіїв заблоковано
-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat
-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc — файл без розширення)
-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.
-закрити дірки Віндовс
а) MS17-010
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit
Посилання для інших версій шукати тут на сайті Microsoft.
b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.
e) закрити TCP-порти 1024–1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445
f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482
g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;
• зріле рішення Greatis http://www.greatis.com/security/;
• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.
( Посилання )
-не платіть біткойни - поштову скриньку злодіїв заблоковано
-про наявність віруса свідчить наявність файла C:\Windows\perfc.dat та/або C:\Windows\dllhost.dat
-зупнити руйнування після зараження допоможе: “kill switch” для Petya, зупинити роботу шифрувальника можна створивши файл "C:\Windows\perfc" (perfc — файл без розширення)
-за посиланням https://geektimes.ru/post/274104/ є інструкція для дешифрації попередньої версії. Про доречність для нинішньої атаки даних немає.
-закрити дірки Віндовс
а) MS17-010
— для Windows XP
— для Windows Vista 32 bit
— для Windows Vista 64 bit
— для Windows 7 32 bit
— для Windows 7 64 bit
— для Windows 8 32 bit
— для Windows 8 64 bit
— для Windows 10 32 bit
— для Windows 10 64 bit
Посилання для інших версій шукати тут на сайті Microsoft.
b) Запуск програм через Офіс та WordPad CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
c) SMB1
http://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
d) Також щоб зупинити розповсюдження віруса необхідно заблокувати запуск «PSEXEC.EXE» за допомогою засобів локальної або групової політики безпеки на потенційно вражувальних машинах, а також, якщо можливо, заблокувати або відключити видалений доступ до WMI.
e) закрити TCP-порти 1024–1035, 135 и 445
для цього в командній консолі запустіть 2 команди:
netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445
f) ще рекомендовані дії https://www.facebook.com/ujeenator/posts/1610085395699482
g) Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
• рішення Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут https://github.com/Cisco-Talos/MBRFilter;
• зріле рішення Greatis http://www.greatis.com/security/;
• свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.
( Посилання )
