Semalt Expert - kuidas võidelda Petya, NotPetya, GoldenEye ja Petrwrp vastu?

Forcepoint Security Labs on nimetanud seda Petya puhanguks, kuid teised müüjad kasutavad selle jaoks alternatiivseid sõnu ja lisanimesid. Hea uudis on see, et see proov on partide testi tühjendanud ja nüüd saab faile ketastele krüpteerida ilma nende laiendusi muutmata. Võite proovida ka alglaadimiskirje krüptimist ja kontrollida selle järelmõjusid arvutiseadmetes.

Petya lunaraha nõudmise tasumine

Igor Gamanenko, Kliendi Edu juht Semalt , soovitab teil mitte maksta lunaraha iga hinnaga.

Häkkerile või ründajale lunaraha maksmise asemel on parem oma e-posti ID desaktiveerida. Nende maksemehhanismid on tavaliselt nõrgad ja ebaseaduslikud. Kui peate maksma lunaraha BitCoini rahakoti kaudu, võib ründaja varastada teie kontolt palju rohkem raha, sellest teile teada andmata.

Nendel päevadel on krüptimata failide hankimine muutunud väga raskeks, hoolimata asjaolust, et dekrüptimisriistad oleksid saadaval lähikuudel. Nakkusvektor ja kaitseavaldus Microsoft väidab, et esialgsel nakkuse müüjal on mitmesuguseid pahatahtlikke koode ja ebaseaduslikke tarkvarauuendusi. Sellistel asjaoludel ei pruugi see müüja probleemi paremini tuvastada.

Petya praeguse iteratsiooni eesmärk on vältida suhtlusvektoreid, mis on salvestatud e-posti turvalisuse ja veebiturbe väravate kaudu. Probleemi lahenduse leidmiseks on analüüsitud palju proove, kasutades erinevaid mandaate.

WMIC ja PSEXEC käskude kombinatsioon on palju parem kui SMBv1. Praeguse seisuga on ebaselge, kas organisatsioon, kes usaldab kolmandate osapoolte võrke, saab aru teiste organisatsioonide reeglitest või mitte.

Seega võime öelda, et Petya ei too Forcepoint Security Labsi teadlastele üllatusi. Alates 2017. aasta juunist saab Forcepoint NGFW ründajate ja häkkerite poolt ärakasutatud SMB ärakasutada ja blokeerida.

Deja vu: Petya Ransomware ja SMB levimisvõimalused

Petya puhang registreeriti 2017. aasta juuni neljandal nädalal. Sellel on olnud suur mõju paljudele rahvusvahelistele ettevõtetele. Uudiste veebisaidid väidavad, et mõju on pikaajaline. Forcepoint Security Labs on analüüsinud ja üle vaadanud erinevad puhangutega seotud proovid. Näib, et Forcepoint Security Labsi aruanded pole veel täielikult koostatud ja ettevõte nõuab lisaaega, enne kui saaks teha mõned järeldused. Seega krüptimisprotseduuri ja pahavara käitamise vahel on oluline viivitus.

Arvestades, et viirus ja õelvara taaskäivitavad masinad, võib lõplike tulemuste avaldamiseks kuluda mitu päeva.

Järeldus ja soovitused

Selles etapis on raske teha järeldusi ja hinnanguid haiguspuhangute kaugeleulatuva mõju kohta. Paistab, et see on aga viimane katse isepaljunevate lunavara tükkide juurutamiseks. Praeguse seisuga on Forcepoint Security Labsi eesmärk jätkata võimalike ohtude uurimist. Ettevõtte võib varsti oma lõplike tulemustega välja tulla, kuid see nõuab märkimisväärselt palju aega. SMBvi ärakasutamine selgub siis, kui Forcepoint Security Labs tutvustab tulemusi. Peaksite kontrollima, et teie arvutisüsteemidesse on installitud turvavärskendused. Vastavalt Microsofti poliitikale peaksid kliendid keelama SMBv1 igas Windowsi süsteemis, kus see mõjutab süsteemi funktsioone ja jõudlust negatiivselt.