Общая информация

  • Вектор атаки: фишинговые письма, которые дальше распространяются в пределах корпоративной сети.
  • Первоначальный источник заражения – скомпрометированные файлы обновлений ПО «M.E.Doc».
  • Используется уязвимость для исполнения вредоносного кода: CVE-2017-0199.
  • Используется уязвимость для распространения и заражения: CVE-2017-0144 (EternalBlue).

Превентивные меры:

  • Заблокировать доступ к следующим ресурсам:
    http://185.165.29.78/~alex/svchost.exe
    http://84.200.16.242/myguy.xls
    http://french-cooking[.]com/myguy.exe
    185.165.29.78
    84.200.16.242
    111.90.139.247
    95.141.115.108
    coffeinoffice.xyz
  • До момента обновления всего парка рабочих станций и серверов, временно заблокировать прохождение трафика между сетевыми сегментами ЛВС по портам 135 -139 и 445. Данная мера позволит снизить риск распространения вредоносного ПО “Petya 2.0” внутри сети. Предварительно необходимо убедиться, что данная блокировка не нарушит бизнес-процессы организации.
  • Убедиться, что на всех хостах установлены последние обновления.
  • Убедиться, что антивирусное ПО имеет последние версии антивирусных сигнатур. База сигнатур должна быть обновлена 28.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч).
  • Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  • Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199.
  • В случае невозможности установки обновлений безопасности (см. пункт 5) – отключить протокол SMB v1/ на рабочих станциях и серверах в соответствии с инструкцией https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-i...
  • На серверах и рабочих станциях организовать создание резервных копий данных с помощью сторонних средств (отличных от «теневых копий» документов Windows и средства восстановления Windows, т.к. данные резервные копии могут быть уничтожены в процессе работы ВПО). Запретить запуск исполняемых файлов, имена которых попадают под маску *\psexesvc.exe или *\perfc.dat. Сделать это можно штатными средствами ОС Windows (Applocker, Software Restriction Policy), решениями класса Endpoint Security (Kaspersky Endpoint Security и т.п.), СЗИ от НСД (SecretNet). В случае, если сотрудники компании используют psexec для административных задач, меру исключить.

Рекомендации по факту заражения:

  • отключить зараженную машину от сети;
  • в случае наличия резервной копии данных – произвести удаление вредоносного ПО средствами антивируса;
  • установить обновление безопасности Windows KB4013389 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;
  • произвести обновление баз сигнатур антивирусного ПО и выполнить полную антивирусную проверку рабочей станции/сервера;
  • восстановить данные из резервной копии;
  • при повреждении MBR попытаться восстановиться следующим способом (не подтверждено):
    bootrec /RebuildBcd
    bootrec /fixMbr
    bootrec /fixboot
Материалы по теме
  • Нормативные акты

    Список нормативных актов действующих в сфере импортозамещения ПО

  • Безопасность веб-приложений интернет-магазинов

    Крупные распродажи и предпразничная покупательская активность время, когда нужно быть очень внимательными. Киберпреступники в этот период особо активизируются и помимо создания сайтов-клонов и активной фишинговой рассылки практикуют проникновения на площадки интернет-магазинов.

  • Импортозамещение

    Несколько лет назад Правительством России был взят активный курс на импортозамещение. Для этого были созданы Правительственные комиссии по импортозамещению, начат процесс разработки пакета нормативных актов по поддержке отечественного производителя со стороны государства.