Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc:
Специалисты Positive Technologies нашли локальный “kill switch” для
Petya, остановить шифровальщика можно создав файл C:\Windows\perfc
(perfc — файл без расширения).
а также установкой патчей с сайта Microsoft.
Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?
Ответы
Ответ 1
Создаем файл perfc
В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот"
Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.
WMIC и PSEXEC
Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду:
net stop winmgmt
Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx
Поставить патчи безопасности
Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0144
Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office.
Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Обновить сигнатуры антивирусов
База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00.
Отключить TCP-порты
Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445.
Отключить протокол SMB
В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах.
Подробнее: https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows
Настроить блокировку атак
В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010).
Если заражение все же произошло
Отключение системы
Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренно
отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере.
Подробнее: https://twitter.com/hackerfantastic/status/879775570766245888
Не переводить деньги
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
Ответ 2
Добавлю рекомендации для тех, у кого AD
Смените пароль администраторам домена и не вводите его больше на компьютерах пользователей
Один из путей распространения вируса - через сохраненный в системе хеш пароля администратора домена.
Выключите уже наконец протокол NTLM
До тех пор, пока злоумышленник может выбирать между NTLM и Kerberos - вся продвинутая безопасность последнего не имеет смысла.
Комментариев нет:
Отправить комментарий