×
Вступайте в группу ESET на Facebook! Конкурсы, новости и полезные статьи для всех пользователей NOD32
«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
28 июня 2017 31573

Расширенная инструкция по защите и профилактике заражения шифратором Petya.C

Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали жертвами эпидемии трояна-шифратора Petya.C. Вирусная лаборатория ESET продолжает изучение новой угрозы и дополняет данное сообщение по мере поступления новой информации.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET с начала атаки детектируют ее как Win32/Diskcoder.C Trojan, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация бухгалтерского программного обеспечения M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации.

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает высокую скорость развития эпидемии.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.



Профилактика

1. Выключите все компьютеры в сети.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Live CD и создайте три пустых файла со следующими названиями и расширениями:
  • c:\windows\perfc
  • c:\windows\perfc.dat
  • c:\windows\perfc.dll
4. Если это возможно, отключите протокол SMBv1:
5. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.

6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный.

7. Если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.

8. Не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.

9. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке. Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.

10. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке.

11. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения:
12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

Если на экране появилось требование выкупа

1. Выключите компьютер.

2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО.

3. Проверьте, зашифрован ли диск. Если диск не зашифрован, выберите один из двух вариантов:

3.1. загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows;
восстановите MBR, запустив команду fixmbr

3.2. загрузите компьютер с Linux Live CD/USB;
используйте TestDisk, чтобы исправить MBR

4. Если диск уже зашифрован, возможны два варианта:

4.1. У вас нет важных данных на дисках:
  • переустановите операционную систему или восстановите ее из бэкапа
  • см. раздел «Профилактика»
4.2. На зашифрованных дисках были важные данные:
  • используйте ESET Sysrecue Live для создания полной копии диска
  • переустановите операционную систему или восстановите ее из бэкапа
  • см. раздел «Профилактика»
  • ожидайте дальнейших инструкций ESET
5. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
  • почтовый адрес операторов Petya.C был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
  • выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получит ключ расшифровки – его может не быть у самих хакеров;
  • получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
  • выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.

Комментарии

24
Оставьте комментарий!
Петр Абрахманов 29 июня 2017 в 12:42 #
СПАСИБО ЗА ИНСТРУКТАЖ!
Артем Костюков 29 июня 2017 в 15:36 #
всегда очень полезно крепко-накрепко запереть конюшню, когда лошадь спи$дили.
Эльдар Догалбаев 4 июля 2017 в 06:25 #
Добрый день, 

А если компьютер заражен, и на нем осталось много важных файлов, то как долго ожидать дальнейших инструкций? <ul style="margin: 1em 0px; padding: 0px 0px 0px 40px; list-style-type: none; font-family: 'Segoe UI', Arial, Helvetica, sans-serif; font-size: 16px; line-height: 20px; outline: none !important;"> <li style="outline: none !important; margin-bottom: 19px; position: relative;">
Алексей Губа 4 июля 2017 в 09:10 #
Если данные зашифрованы то расшифровать их можно только получив ключ от хакеров, взломать их ключи шифрования не возможно. я уже сталкивался с такой проблемой. Антивирусные компании просто отписались что не могут ничем помоч.
Но если заплатите рискуете ничего не получить.
Игорь Фесенко 4 июля 2017 в 12:24 #
Полностью согласен с Алексеем! Алгоритм шифрования таков, что ключ полученный от хакеров для одного ПК уникален и не подойдет для других... Вычислить алгоритм шифрования даже по нескольким ключам, практически не возможно... По собственному опыту могу сказать, что 2-х годичное общение с разными (официальными и "халявными") а/вирусными компаниями ни к чему не привели 2  Куча бэкапов с дисков клиентов лежат и "ждут дальнейших инструкций"... Так что запасайтесь терпением и... "спасение утопающих - ..." И если инструкции а/вирусных компаний не помогают (бэкапов нет, откат не работает и т.д.), попробуйте программы по восстановлению дисков/файлов (какие-то предыдущие версии в удаленных, автосохранениях, chkdsk и т.д.). Муторно, но реально помогает кое-что вытащить. Удачи!
Максим Кильянц 4 июля 2017 в 13:13 #
Добрый день, Эльдар!
1. Пожалуйста, заархивируйте вредоносный объект в файл формата *. ZIP или *.RAR
2. На архив с предполагаемым вирусом обязательно установите пароль — infected
3. В теле письма изложите обстоятельства, при которых был обнаружен образец вредоносного ПО
4. Отправьте архив нам на почту: sdd@esetnod32.ru
Анна Позднеева 4 июля 2017 в 11:58 #
Не поняла
- у меня ESET NOD обновляется автоматически каждый день - мне надо качать какие-то обновления по ссылке или нет?
  Обычный подписчик  ESET NOD защищён от этих "петь"?
- у меня довольно старый XP, мне это обновление от Билла не поставит раком всё?
Виктория Фирсанова 4 июля 2017 в 12:12 #
В наше время у вас уже не должно быть старых хр и даже 7 не гарантирует защиту, об этом и пишут... Сделать бекап и ставить обновление.
Виктория Фирсанова 4 июля 2017 в 12:21 #
И ещё запомните, не у кого и не когда не будет 100% защиты. Но максимум возможной защиты мы получаем. Как говорится ещё, помоги себе сам)))
Игорь Фесенко 4 июля 2017 в 13:18 #
О пристрастиях можно поспорить... как говориться "На вкус и цвет..."
А вот тут я согласен, "Как говорится ещё, помоги себе сам)))", в основном сами пользователи и запускают к себе трояны и вирусы... Ну очень уж хочется посмотреть (не взирая на то, что а/вирь ругается и предупреждает), что там мне прислал незнакомец... Многие просто щелкают, не задумываясь "отмена", и "вуаля"....2
Игорь Фесенко 4 июля 2017 в 13:08 #
Обновление от Билла поставьте, "рака" не должно быть, если у Вас "официал", однако, возможно, придется помучиться, подбирая версию обновления под Вашу версию ХР. (Хотя с не официалом, то же пока проблем не наблюдалось...9)
Максим Кильянц 4 июля 2017 в 13:18 #

Добрый день, Анна!

Для обновления операционной системы Windows XP SP2 до Windows XP SP3 необходимо загрузить файл по следующей ссылке:

Обновление операционной системы с SP2 до SP3

 
Распаковать содержимое в любую удобную папку, запустить файл с расширением .exe и согласиться на установку обновлений операционной системы. Обновление может занять продолжительный период времени, от 10 минут и до часа. После окончания установки компьютер у Вас перезагрузится, а по включении мы приступим к установке обновления безопасности для Windows XP SP3.

Скачиваем обновление безопасности по следующей ссылке:

Обновление безопасности

Тут всё гораздо проще, запускаем скачанный файл и дожидаемся окончания загрузки. Эта загрузка тоже может занять некоторое время, от 10 минут и до часа. После окончания установки снова перезагрузить компьютер, и всё готово.

Анна Позднеева 4 июля 2017 в 13:46 #
Собственно, я и хотела уточнить - БЕЗ обновления Windows XP SP3 - NOD меня защитить не сможет?
У меня довольно старые проги, я поэтому и держусь за XP, сильно сомневаюсь, что они заработают на новье, купить новые в этой жизни уже вряд ли (Oracle, например).
Анна Позднеева 4 июля 2017 в 14:08 #
Максим Кильянц : Windows XP SP3.До чего бесит эта система непрерывного выбрасывания хорошего инструмента. ОС - это инструмент. Такой же как отвертка. Почему надо непрерывно выбрасывать нормальные рабочие "отвертки" ради каких-то красивеньких прибамбасиков, а заодно и все шурупы, потому что новая отвертка их "не поддерживает"? Я понимаю, что у вас "общество потребления", и всё заточено на разгон колеса покупок, но не все же люди в состоянии непрерывно покупать, зачем этих людей выбрасывать на помойку?
Винды эти обновляются постоянно, и я уже не могу найти рабочие дрова для своего принтера. Принтер нормальный, работает, хоть ему и 15 лет уже, нет - покупайте новый. Старого Оракла 7.3.4. мне хватает за глаза и за уши для моих целей, отличная , устойчивая версия, вот на фиг мне все эти WEB-навороты 10-х версий за безумные деньги? Да на российскую пенсию их и не купишь. Игрушки у меня на компе всего две - Маджонг 1991 г издания, я на них медитирую, кому от этого больно?
Да что там Билл Гейтс - попросила системщиков припаять разболтавшийся контакт в отличном старом телевизоре - нет, говорят - выкинь его, сложились и купили мне телек на юбилей.. ну, что это за решение, да и мальчики не филологи..
Оголтело борются с пиратскими сайтами, а цены на книжки такие, что никакому пенсионеру не купить. Видимо борются те, кто считать чтение придурью или роскошью..
Максим Кильянц 4 июля 2017 в 18:09 #
На Windows 10 перешло уже около 25 миллионов пользователей. Нововведения сделали систему стабильной и более интерактивной.

Выпущенная в 2001 году Windows XP остается третьей по популярности операционной системой – она установлена на 7,44% компьютерах в мире.

С 8 апреля 2014 года Microsoft не предоставляет обновления безопасности и техническую поддержку для Windows XP. Компьютеры, работающие на базе этой операционной системы, потенциально уязвимы для вредоносного программного обеспечения.

Риску подвергаются как частные пользователи, так и корпоративный сектор. В частности, Windows XP установлена на значительном числе банкоматов.

Для работы на Windows XP рекомендуется использовать следующие антивирусные продукты ESET:

Для дома
ESET NOD32 Smart Security (версия 9)
ESET NOD32 Антивирус (версия 9)

Если отказаться от ХР нет возможности, настройте резервное копирование данных, своевременно обновляйте все программы и приложения и установите современное антивирусное ПО, сочетающее эвристические и сигнатурные методы детектирования.
Анна Позднеева 5 июля 2017 в 16:09 #
У меня ESET NOD32 Smart Security (версия 9), чему я очень рада.
Но я поняла уже, что так долго не протяну. Надо ставить на компик два винча. Один с Windows XP под принтер, Oracle, и мои старые проги, т.е. для работы. А второй винч заливать Windows 10, чтобы цеплялись все гаджеты и для серфа по инету. Единственно, у меня возникает вопрос - когда я буду ставить на второй винч ESET NOD32 Smart Security (версия 9) - мне потребуется покупать какой-то другой ESET NOD32 (для 10-ки) ? Так-то у меня на три устройства лицензия - два винча и смартфончик.
Максим Кильянц 5 июля 2017 в 18:21 #
Уникальная система мультилицензирования ESET позволяет использовать одну лицензию на 2-е ОС, при условии, что ОС будет второй на одном ПК. 

Вообщем, покупать дополнительную лицензию не нужно, еще и Linux можете поставить9
А на Win10 можно установить 10 версию Smart Security.
Katerina Semenova 4 июля 2017 в 12:45 #
"В главной директории Windows (например, C:\Windows) откройте текстовый редактор Linux" 0 прикол
Антон Тарасов 4 июля 2017 в 12:50 #
Мы слышали, что вы любите Linux, поэтому вставили Linux в ваш Windows, чтобы вы могли быть в Linux'e, пока вы в Windows 0
Игорь Фесенко 4 июля 2017 в 12:54 #
2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносного ПО. 3. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Linux и создайте три пустых файла со следующими названиями и расширениями: c:\windows\perfc c:\windows\perfc.dat c:\windows\perfc.dll...
что тут непонятного? Вы же уже загрузились с лайв сд под линуксом... Не правильный оборот... "Откройте текстовый редактор и в директории C:\windows создйте три пустых файла...
Максим Кильянц 4 июля 2017 в 18:15 #
Добрый день, Екатерина!

Откройте текстовый редактор Live CD и в главной директории Windows (например, C:\Windows) создайте три пустых файла со следующими названиями и расширениями 9
Максим Дудин 4 июля 2017 в 17:08 #
Какие инструкции есть для домашних пользователей?
Сергей Смоленский 6 июля 2017 в 22:07 #
[quote]и создайте три пустых файла со следующими названиями и расширениями:

c:\windows\perfc
c:\windows\perfc.dat
c:\windows\perfc.dll [/quote]

Интересно, а для Windows Mobile, Windows Phone и Windows10 Mobile данная инструкция применима?