×

Petya наносит удар. Средства борьбы и рекомендации от IBM

Продукты IBM Security обеспечивают превентивную защиту от любых типов вирусов
Опубликовано 29 июня 2017
Petya наносит удар. Средства борьбы и рекомендации от IBM
Продукты IBM Security обеспечивают превентивную защиту от любых типов вирусов

Не прошло и двух месяцев с момента появления шифровальщика WannaCry, как на горизонте возник еще более агрессивный вирус Petya. Всего за один день он парализовал работу крупнейших компаний России и Европы, затронув предприятия атомного и топливно-энергетического сектора. Как и в случае с WannaCry, шифровальщик требует выкуп в биткоинах в обмен на ключи. Специалисты категорически не рекомендуют платить злоумышленникам.

Самый лучший способ обезопасить себя – защитить периметр сети с помощью современных аппаратно-программных средств.

Пул технологий IBM Security насчитывает несколько десятков таких продуктов, среди которых можно особо выделить IBM QRadar. Это аналитическая платформа, которая обеспечивает полную прозрачность сети, отслеживая инциденты из тысяч источников, вовремя сигнализируя о возможных проблемах.

Особенностью работы системы предотвращения вторжений QRadar Network Security (XGS) является то, что она использует эвристический анализ для выявления угроз, определяя характерные для вирусов сценарии поведения. В то время как сигнатурный анализ направлен на точное определение вирусов и может пропустить атаку. Также QRadar обменивается данными с облачной лабораторией IBM X-Force, которая содержит обширный архив информации об уже существующих вредоносных программах и рекомендации по их устранению.

Еще одним средством превентивной защиты в портфеле IBM Security является IBM BigFix – комплекс по управлению конечными устройствами, серверами и рабочими станциями. Используемый в нем модуль Patch Management позволяет закрывать уязвимости, ранее выявленные c помощью QRadar на всех устройствах и любых типах операционных систем в автоматическом режиме.

Все вышеперечисленные элементы — QRadar Network Security (XGS), IBM X-Force, IBM BigFix работают в связке, что и обеспечивает комплексную превентивную защиту в режиме реального времени.
А теперь рекомендации для тех, кому уже пришлось столкнуться с этой проблемой.

Как это делает Petya

Вирус попадает в систему с помощью электронной почты, зараженных флэшек, скачивания, используя SMB-протокол и уязвимость MS17-010. Программа-шифровальщик осуществляет перезагрузку, которая сопровождается появлением BSOD (синего экрана смерти).
После перезагрузки запускается стандартный CheckDisk, который якобы проверяет жесткий диск на ошибки файловой системы. На самом деле в это время происходит шифрование всего диска целиком! Хотя тот же WannaCry избирательно блокировал те или иные типы файлов. Вот почему Petya более опасен.

Соответственно

1) При появлении синего экрана и CheckDisk нужно немедленно выключить компьютер, чтобы не дать вирусу зашифровать все блоки диска один за другим.
2) Необходимо извлечь диск, подключить его к внешней системе и попытаться произвести диагностику и лечение. Если это не поможет, можно подождать ключи расшифровки.
3) Отключить сетевой протокол SMB1 и TCP-порты 1024-1035, 135 и 445.

Если есть подозрения, что ваш компьютер могут заразить, можно сделать следующее:

— Завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
Таким путем можно идентифицировать вирус.
— Пользователи ПК с операционной системой Windows могут скачать закрывающий уязвимость патч с официального ресурса https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
— Просканировать файловую систему самой последней версией вашего антивируса с актуальными базами.
— Eсли создать файл C:\Windows\perfc без расширения, то вирус, возможно, не запустится.

Это были рекомендации по безопасности от подразделения IBM Security.
Будьте здоровы, пусть вирусы обойдут вашу систему стороной!

Мне необходимо решение


×