Plinta virusas „NotPetya“, pažeidžiantis „Windows“ operacines sistemas (atnaujinta - 06-29)
Antradienį po pietų Europoje pradėjo masiškai plisti naujas išpirkos reikalaujantis (angl. ransomware) virusas pavadinimu „NotPetya“.
Virusas plinta, kaip įtariama, el. pašto laiškais su prisegtu kenkėjišku dokumentu išnaudojant spragą, kuri leidžia įvykdyti „PsExec“ scenarijų, ir pažeidžia kompiuterio „Windows“ operacinę sistemą. Spėjama, kad patekęs į kompiuterį, virusas toliau plinta vietiniu tinklu dar visai neseniai nuskambėjusio „WannaCry“ viruso keliais − išnaudodamas SMB protokolų spragas (EternalBlue ir EternalRomance) arba per WMIC/PsExec biblioteką.
Rekomenduojame:
- Įdiegti „Windows“ operacinės sistemos pataisymus (ypač MS17-10).
- Senesnių operacinių sistemų („Windows XP“, „Windows 8“ ir „Windows Server 2003“) naudotojams būtina įdiegti naujausią pataisą, kurią rasite adresu https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
- Pažeidžiamose sistemose, kuriose nėra galimybės įdiegti išleistų pataisų, turėtų būti išjungtas SMBv1 palaikymas. Kaip tai padaryti, skaitykite šioje nuorodoje: https://support.microsoft.com/en-us/help/2696547
- Izoliuoti komunikaciją organizacijų tinkluose TCP prievadu 445, taip pat filtruoti tinklo srautą NetBIOS prievadais 137-139, siekiant apsaugoti kitus to paties tinklo prietaisus.
- Jeigu aukščiau išvardytų priemonių pritaikyti pažeidžiamoms sistemoms galimybės nėra, prietaisus patariame išjungti, kol tokia galimybė atsiras.
- Įdiegti ir atnaujinti antivirusines programas.
- Įgyvendinti "gerasias praktikas" saugumo ir paskyrų administravimo srityse.
- Prarastų ar pažeistų bylų kietajame diske atstatymui naudoti prie vidinio tinklo neprijungtą kompiuterį arba iš kompaktinio disko paleistą operacinę sistemą (angl. "Live CD").
- Reguliariai daryti atsargines duomenų kopijas, saugomas prie tinklo neprijungtuose įrenginiuose ar laikmenose.
- Tinkamai atskirti vidinius tinklus.
- Įgyvendinti tipinius "anti-ransomware" sprendimus.
- Vidinių tinklų administratoriams apriboti prieigą administravimui iš išorinio tinklo.
Kitos galimos apsisaugojimo priemonės:
- Išjunkite WMIC (Windows Management Instrumentation Command-line) ir PsExec nuotolinio valdymo paslaugas.
- Kataloge „C:\Windows\“ sukurkite bylą pavadinimu „perfc“ - tai gali apsaugoti nuo viruso aktyvinimo (tam tikrų jo versijų).
- Šifravimo procesas prasideda po kompiuterio pakartotino paleidimo. Jeigu kompiuteris paleistas iš naujo ir matote tokį pranešimą, prietaisą tuoj pat išjunkite.
Viruso pažeistų kompiuterių savininkams CERT-LT pataria išpirkos nemokėti. Taip pat atkreipiame dėmesį, kad piktavalių pranešime nurodytas el. pašto adresas šiuo metu užblokuotas, todėl net ir sumokėjus išpirką, nusikaltėliai neturi galimybės identifikuoti, kas tą išpirką sumokėjo, ir išsiųsti raktą, kurį panaudoję atgautumėte savo duomenis.
Daugiau techninės informacijos apie virusą rasite Microsoft pranešime. Visi pranešimai