Petya.A

от
Содержание скрыть
1 Как происходит заражение
1.1 Вариант 1
1.2 Вариант 2
2 Как защититься от вируса
3 Разлочка жесткого диска
4 Ссылки

Очередной вирус-вымогатель Petya, который заразил компьютеры десятки компаний Украины, пошёл по миру: Россия, Великобритания, Индия, Нидерланды, Испания и Дания.

Как происходит заражение

Вариант 1

Вирус распространяется через почту, при открытии вложения из письма, используя уязвимость CVE-2017- 0199

Зловред докачивает недостающие файлы, модифицирует MBR, перегружает ОС и начинает шифрование жесткого диска. По корпоративной сети он распространяется при помощи служебной программы PsExec.

Вариант 2

Атака возникла из-за уязвимости в программе для отчетности и документооборота M.E.doc, которая имеет встроенную функцию обновления и периодически обращается к серверу upd.me-doc.com.ua (92.60.184.55) с помощью User Agent medoc1001189. Обновление имеет хеш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54. Большинство легитимных пингов равняется примерно 300 байт. Утром 27 июня в 10:30 программа обновилась, обновление составило примерно 333 КБ

После обновления произошло следующее:

  • был создан файл rundll32.exe;
  • прошло обращение к локальным IP на TCP-порты 139 и 445;
  • был создан файл perfc.bat;
  • была запущена консоль cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:Windowssystem32shutdown.exe /r /f» /ST 14:35”;
  • был создан и запущен файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f);
  • был создан файл dllhost.dat.

В дальнейшем вирус распространялся через уязвимость в протоколе Samba.

Как защититься от вируса

  • Установить последние обновления Windows
  • Отключить протокол SMBv1 (недавно писал в посте о WannaCry).
  • Заблокировать на сетевом оборудовании или в настройках файерволла порты 137, 138, 139 и 445.
  • Установить программу для защиты MBR от несанкционированных изменений. К примеру, Mbrfilter.
  • Не использовать программу M.E.doc или не устанавливать последнее её обновление.

Разлочка жесткого диска

Подробную информацию смотрите в посте «Криптовымогатель Petya денег не получит: генерируем ключ разлочки жесткого диска сами«.

Ссылки

Источник: https://www.kobzarev.com/virus/petya-a/

Михаил Кобзарёв

Суровый русский тимлид. Жил в Магадане, в офисе московских веб студий и в Тульской деревне. Виртуозно знает WordPress, PHP, ООП, Vue.js и вот это вот все. Делает крутые высоконагруженные сайты, поэтому уже почти захватил весь рынок WordPress разработки в России. Не дает никому делать сайты без спроса. Ведет блог о разработке, дайджест в телеграмме и в ВК. Любит сиськи, баню и радиоэлектронику. 100% патриот (но это не точно). Тролль 542 уровня. Ездит в отпуск раз в 5 лет.

Добавить комментарий

%d такие блоггеры, как: