LB.ua расспросил антивирусную компанию Zillya! как происходит заражение компьютерным вирусом Petya и что делать, чтобы не заразиться.
Petya.A – модификация вируса WannaCry , уже известного украинцам. Он использует уязвимость операционной системы Windows.
Заражение локальных сетей производится двумя транспортными протоколами:
Первый вариант – через спам рассылку по электронной почте.
- Пользователь получает письмо с присоединённым JS файлом, архивом в котором содержится JS файл или ссылкой на скомпрометированный сайт. После активации скрипт загружает исполняемый файл и инфицирует систему.
- Пользователь получает письмо с документом MS Office, содержащим макрос. Макрос после запуска пользователем загружает из сети исполняемый файл и активирует его.
Вторая возможность заразиться: зараженный ПК в сети сканирует сетевое окружение и, используя уязвимость EternalBlue заражает остальные ПК в сети.
При отсутствии прав администратора троянская программа шифрует файлы на дисках компьютера, к которым может получить доступ. При наличии прав администратора троянская программа заражает MBR загрузочного жёсткого диска и после перезагрузки компьютера (выполняемой принудительно) шифрует содержимое жёсткого диска.
Что делать, чтобы не заразиться
- Нужно отключить устаревший протокол SMB1.
Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/-using-smb1/
- Установить обновления безопасности операционной системы Windows из Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
- Если есть возможность отказаться от использования в локальной сети протокола NetBios (не используются для организации работы сетевые папки и сетевые диски), в Брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445.
- Блокировать возможности открытия JS файлов, полученных по электронной почте.
- Блокирование открытия файлов, присоединённых к письмам электронной почты в ZIP архивах.
Читайте: Компьютерные эксперты считают вирусную атаку вымогательской, а не политической
Как понять, что вирус питается проникнуть на ваш ПК
1. Обращение зараженных систем на WEB-ресурсы:
a. coffeinoffice.xyz
b. french-cooking.com
2. Создание в системе файла C:\WINDOWS\perfc.dat
Напомним, что около полудня 27 июня Украину атаковал вирус-вымогатель Petya. Он блокирует загрузку операционных систем и требует деньги. Его жертвами стали сети Укрэнерго, ДТЭК, многих банков, ТРК "Люкс", "Новая почта", сети АЗС.