Рекомендации по предотвращению и устранению возможных последствий, связанных с ВПО “PETYA 2.0”

Общая информация

• Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
• Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
• Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
• Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue).

Превентивные меры:

• Заблокировать доступ к следующим ресурсам:
  http://185.165.29.78/~alex/svchost.exe
http://84.200.16.242/myguy.xls
http://french-cooking[.]com/myguy.exe
185.165.29.78
84.200.16.242
111.90.139.247
95.141.115.108
coffeinoffice.xyz
• До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
• Убедиться, что на всех хостах установлены последние обновления.
• Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).
• Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.
• В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-i...
• На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet). В случае, если сотрудники компании используют psexec для административных задач, меру исключить.

Рекомендации по факту заражения:

• отключить зараженную машину от сети;
• в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
• установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
• произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
• восстановить данные из резервной копии;
• при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
  bootrec /RebuildBcd
bootrec /fixMbr
bootrec /fixboot