Общая информация

  • Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
  • Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
  • Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
  • Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue).

Превентивные меры:

  • Заблокировать доступ к следующим ресурсам:
    http://185.165.29.78/~alex/svchost.exe
    http://84.200.16.242/myguy.xls
    http://french-cooking[.]com/myguy.exe
    185.165.29.78
    84.200.16.242
    111.90.139.247
    95.141.115.108
    coffeinoffice.xyz
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Убедиться, что на всех хостах установлены последние обновления.
  • Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.
  • В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-i...
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet). В случае, если сотрудники компании используют psexec для административных задач, меру исключить.

Рекомендации по факту заражения:

  • отключить зараженную машину от сети;
  • в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
  • установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
  • произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
  • восстановить данные из резервной копии;
  • при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
    bootrec /RebuildBcd
    bootrec /fixMbr
    bootrec /fixboot
Материалы по теме
  • Киберриски для детей в интернете. Как с ними бороться?

    Первое, что нужно сделать, предоставив компьютер и вход в интернет для самостоятельного пользования ребенку, - это установить родительский контроль и настроить безопасный поиск. Но даже это на 100% не устраняет возможность встречи юного пользователя с нежелательным контентом.

  • Истории из практики…Удаленный доступ

    Как правило, в рамках проведения своих проектов, мы встречаем удаленные подключения к внутренним ресурсам, организованные через VPN, использования Remote Desktop Gateway (RDP) или решение класса VDI (например, Ctirix XenApps).

  • Комплексный подход к организации удаленного доступа

    В современном мире недостаточно просто настроить VPN для удаленного подключения сотрудника к ресурсам компании.