Общая информация

  • Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
  • Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
  • Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
  • Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue).

Превентивные меры:

  • Заблокировать доступ к следующим ресурсам:
    http://185.165.29.78/~alex/svchost.exe
    http://84.200.16.242/myguy.xls
    http://french-cooking[.]com/myguy.exe
    185.165.29.78
    84.200.16.242
    111.90.139.247
    95.141.115.108
    coffeinoffice.xyz
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Убедиться, что на всех хостах установлены последние обновления.
  • Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.
  • В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-i...
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet). В случае, если сотрудники компании используют psexec для административных задач, меру исключить.

Рекомендации по факту заражения:

  • отключить зараженную машину от сети;
  • в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
  • установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
  • произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
  • восстановить данные из резервной копии;
  • при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
    bootrec /RebuildBcd
    bootrec /fixMbr
    bootrec /fixboot
Материалы по теме
  • Рынок ИБ по итогам 2018 года: оценка «Информзащиты»

    Мы подготовили для вас отчёт, посвященный оценке объемов российского рынка информационной безопасности в 2018 году.

  • BlueKeep – WannaCry возвращается?

    Одна из самых известных атак последних лет WannaCry стала возможной благодаря уязвимости EternalBlue. Тогда общий ущерб от атаки ​составил более 1 млрд. долларов и поразил от 200 тыс. до 300 тыс. компьютеров по меньшей мере в 150 странах мира.

  • Анализ изменений в ПП №127

    Мы подготовили для вас сводный документ, в котором ознакомим с последними дополнениями и изменениям  в части закона о КИИ.