Semalt сарапшысы - Петя, NotPetya, GoldenEye және Petrwrp-мен қалай күресуге болады?

Forcepoint Security Labs оны Петя ауруы деп атады, бірақ басқа сатушылар бұл үшін балама сөздер мен қосымша атауларды қолданады. Жақсы жаңалық - бұл үлгі үйрек сынағын тазартты, енді файлдарды кеңейтімдерін өзгертпестен дисктерге шифрлауға болады. Сондай-ақ, Master Boot жазбасын шифрлап көруге және оның компьютердегі құрылғылардағы әсерлерін тексеруге болады.

Петяның төлем талабын төлеу

Игорь Gamanenko, Тапсырыс Табыс менеджері Semalt , сіз кез келген құны бойынша адамдардың азаттық төлемін өтеу төлеуге емес ұсынады.

Хакерге немесе шабуылдаушыға төлем жасаудан гөрі электрондық пошта идентификаторын өшірген жөн. Олардың төлем механизмдері әдетте нәзік және заңды емес. Егер сіз төлемді BitCoin әмияны арқылы төлегіңіз келсе, шабуылдаушы сізге ескертпестен сіздің шотыңыздан көп ақша ұрлап кетуі мүмкін.

Шифрланбаған файлдарды алдағы айларда шифрлау құралдарының қол жетімді болатынына қарамастан, алу қиын болды. Инфекцияның векторы және қорғаныс туралы мәлімдемесі Microsoft бастапқы жұқтырушы сатушының әртүрлі зиянды кодтар мен бағдарламалық емес жаңартуларға ие екенін мәлімдейді. Мұндай жағдайда, сатушы мәселені жақсырақ анықтай алмауы мүмкін.

Петяның қазіргі итерациясы электрондық поштаның қауіпсіздігі және веб-қауіпсіздік шлюздері сақтаған байланыс векторларын болдырмауға бағытталған. Мәселенің шешімін табу үшін көптеген мәліметтер әртүрлі мәліметтер негізінде талданды.

WMIC және PSEXEC командаларының комбинациясы SMBv1 эксплуатациясынан әлдеқайда жақсы. Қазіргі уақытта үшінші тарап желілеріне сенетін ұйым басқа ұйымдардың ережелері мен ережелерін түсінетін-білмейтіні белгісіз.

Осылайша, Петя Forcepoint Security Labs зерттеушілері үшін тосынсыйлар әкелмейді деп айта аламыз. 2017 жылдың маусым айынан бастап Forcepoint NGFW шабуылдаушылар мен хакерлердің SMB пайдалану мүмкіндіктерін анықтап, бұғаттай алады.

Deja vu: Петя Ransomware және SMB таралу қабілеті

Петя ауруы 2017 жылдың маусым айының төртінші аптасында тіркелді. Бұл әртүрлі халықаралық фирмаларға үлкен әсерін тигізді, жаңалықтар веб-сайттары эффектілер ұзаққа созылатынын мәлімдеді. Forcepoint Security Labs компаниясы індеттермен байланысты әртүрлі үлгілерді талдап, қарап шықты. Forcepoint Security Labs есептері толығымен дайын емес сияқты және компания кейбір қорытындылар шығармас бұрын қосымша уақытты қажет етеді. Осылайша, шифрлау процедурасы мен зиянды бағдарламаны іске қосу арасында айтарлықтай кідіріс болады.

Вирус пен зиянды бағдарламалар машиналарды қайта жүктейтінін ескерсек, соңғы нәтижелер анықталғанға дейін бірнеше күн қажет болуы мүмкін.

Қорытынды және ұсыныстар

Дәл осы кезеңнің қорытындыларын бағалау қиын және қиын. Алайда, бұл өзін-өзі тарататын ритуалды бағдарламалық жасақтама бөлімдерін орналастырудың соңғы әрекеті сияқты. Қазіргі уақытта Forcepoint Security Labs ықтимал қауіптер туралы зерттеуді жалғастыруды мақсат етеді. Компания жақында өзінің соңғы нәтижелерін шығаруы мүмкін, бірақ оған көп уақыт қажет. SMBvi эксплуатацияларын қолдану Forcepoint Security Labs нәтижелерін көрсеткеннен кейін ашылады. Қауіпсіздік жаңартулары компьютер жүйелерінде орнатылғанына көз жеткізуіңіз керек. Microsoft корпорациясының саясатына сәйкес, клиенттер SMBv1-ді әр Windows жүйесінде өшіруі керек, ол жерде ол жүйенің функциялары мен жұмысына теріс әсер етеді.