Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc
Специалисты Positive Technologies нашли локальный “kill switch” для
Petya, остановить шифровальщика можно создав файл C:\Windows\perfc
(perfc — файл без расширения).
а также установкой патчей с сайта Microsoft
Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?
Ответ
Создаем файл perfc
В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.
WMIC и PSEXEC
Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:
net stop winmgmt
Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx
Поставить патчи безопасности
Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144
Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office
Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Обновить сигнатуры антивирусов
База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.
Отключить TCP-порты
Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
Отключить протокол SMB
В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.
Подробнее: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Настроить блокировку атак
В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).
Если заражение все же произошло
Отключение системы
Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренное отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.
Подробнее: https://twitter.com/hackerfantastic/status/879775570766245888
Не переводить деньги
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
Комментариев нет:
Отправить комментарий