LB.ua розпитав антивірусну компанію Zillya!, як відбувається зараження комп'ютерним вірусом Petya і що робити, щоб не заразитися.
Petya.A – модифікація вірусу WannaCry, який був відомий українцям. Він використовує уразливість операційної системи Windows.
Зараження локальних мереж проводиться двома транспортними протоколами:
Перший варіант - через спам-розсилку електронною поштою.
- Користувач отримує лист з приєднаним JS-файлом, архівом, що містить містить JS-файл, або посиланням на скомпрометований сайт. Після активації скрипт завантажує виконуваний файл і інфікує систему.
- Користувач отримує листа з документом MS Office, що містить макрос. Макрос після запуску користувачем завантажує з мережі виконуваний файл і активує його.
Друга можливість заразитися: заражений ПК у мережі сканує мережеве оточення і, використовуючи вразливість EternalBlue, заражає інші ПК у мережі.
За відсутності прав адміністратора троянська програма шифрує файли на дисках комп'ютера, до яких може отримати доступ. За наявності прав адміністратора троянська програма заражає MBR завантажувального жорсткого диска і після перезавантаження комп'ютера (виконуваного примусово) шифрує вміст жорсткого диска.
Що робити, щоб не заразитися
- Потрібно відключити застарілий протокол SMB1.
Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/-using-smb1/
- Встановити оновлення безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
- Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовуються для організації роботи мережеві папки і мережеві диски), в брандмауері локальних ПК і мережевого устаткування заблокувати TCP/IP порти 135, 139 і 445.
- Блокувати можливості відкриття JS файлів, отриманих електронною поштою.
- Блокування відкриття файлів, приєднаних до листів електронної пошти в ZIP-архівах.
Читайте: Комп'ютерні експерти вважають вірусну атаку здирницькою, а не політичною
Як зрозуміти, що вірус намагається проникнути на ваш ПК
1. Звернення заражених систем на WEB-ресурси:
a. coffeinoffice.xyz
b. french-cooking.com
2. Створення в системі файлу C:\WINDOWS\perfc.dat
Нагадаємо, що близько полудня 27 червня Україну атакував вірус-вимагач Petya. Він блокує завантаження операційних систем і вимагає гроші. Його жертвами стали мережі Укренерго, ДТЕК, багатьох банків, ТРК "Люкс", "Нової пошти", мережі АЗС.