Вирус Petya - анализ, защитаNice Design

Вирус Petya — анализ, защита

  admin   Июн 29, 2017   БЕЗОПАСНОСТЬ, БЛОГ   0 Comment
вирус petya

Взято: https://nice-design.com.ua

Вирус Petya

, как впрочем и другие виды вирусов, использует способ заражения через вложения в email с офисными расширениями – doc, docx, xls, xlsx, rtf. Реже могут использоваться и другие типы файлов — js, pif и пр.

После скачивания и открытии такого вложения с малварью «Petya», произойдет установка зловреда, при этом используется уязвимость CVE-2017-0199.

После этого запустятся 2 основных потока:

  • Petya использует хорошо знакомую уязвимость (CVE-2017-0144) в первом потоке и пытается инфицировать другие компьютеры в сети. Данный эксплойт был похищен из арсенала АНБ США хакерами Shadow Brokers и выложен в открытый доступ 14 апреля.
  • При недавней атаке WannaCry в мае этого года, была использована та же самая уязвимость.
  • Во втором потоке Petya делает дамп LSA для получения паролей доменных и локальных Администраторских учетных записей. (Аналог mimicatz x86, x64), и после этого заражает другие компьютеры в сети с помощью PsExec или команды WMI.

Все это позволяет Petya заразить всю сеть, если есть хотя бы одна инфицированная машина с паролем администратора в LSA. Это отличает Petya от WannaCry, где требовалось, чтобы все компьютеры имели уязвимый SMB v1. (EternalBlue).

Команды, которые выполняет вирус для очистки системного журнала ОС и журнала NTFS (wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal)

petya ransomware

Чтобы проверить инфицирован ли уже компьютер, вирус использует файл «c:\windows\perfc.dat»   (kill switch).

Поэтому, чтобы защитить систему от Petya, следует создать файл perfc.dat в папке C:\Windows и выставить права «Только для чтения» C:\Windows\perfc.dat  Однако нет никакой гарантии, что в следующей атаке вирус не сменит название.

После паузы в 30-40 минут «Petya» шифрует локальные файлы, пытается подменить MBR и MFT и уйти в перезагрузку. Затем пользователь видит на экране зловещюю картинку 🙁

 

Защита от подобных атак?

  1. Принять меры противодействию mimikatz и техникам повышения привилегий в сетях Windows.
  2. Установить патч KB2871997;
  3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0;
  4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные;
  5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах;
  6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010);
  7. Экстренно отбирать админские права у всех, кому они не нужны. (Судя по тому, что LSA дампятся, слишком много админских прав в сети либо слишком неосторожные админы;
  8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не пропатчили все компьютеры в сети;
  9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях;
  10. Внедрите политику нулевого доверия и проведите обучение по безопасности для своих сотрудников;
  11. Отключите SMBv1 в сети;
  12. Подпишитесь на Microsoft Technical Security Notifications;

Читайте также о вирусе JAFF 5 МЛН. ПИСЕМ В ЧАС

Мой Google+   


Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

ПРЕДВАРИТЕЛЬНЫЙ ЗАКАЗ

Заполните пожалуйста форму. Мы свяжемся с Вами для уточнения деталей заказа.

ИМЯ

EMAIL

ТЕЛЕФОН

×
БЕСПЛАТНЫЙ СЕО АУДИТ
[]
1 Step 1
БЕСПЛАТНЫЙ SEO АУДИТ САЙТА
Адрес сайта
Имя
Previous
Next
×
Подробнее в БЕЗОПАСНОСТЬ, БЛОГ
System Update — опасное приложение из Google Play

System Update - опасное приложение из Google Play System Update было в Google Play еще до недавнего времени и предназначалось...

Закрыть