logo

 

rssfacebook twitter mail

Свяжитесь с нами     

Кібератака в Україні. Висновки на майбутнє

27 червня вірус Petya.A атакував багатьох приватних та державних компаній України, у тому числі банки.

Petya.A відноситься до виду шкідливого програмного забезпечення (ШПЗ) «ransomware», «шифрувальник», «локер» та потрапляє на комп’ютери під управлінням операційних систем Windows.

Встановлено два основних способи ураження ПК. Це «фішинг» та оновлення ПЗ "M.E.doc".

Головним призначенням ШПЗ зазначеного виду є шифрування усіх файлів, що зберігаються на комп’ютері жертви. Після виконання власного програмного коду виводиться повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.

Крім того, ШПЗ Petya.A змінює MBR (в якому в даному випадку і записується програма-шифрувальник).

До відома: MBR (Master Boot Record, Головний Завантажувальний Запис) – це перший фізичний сектор на жорсткому диску або іншому носії інформації, якщо цей пристрій розподіляється на логічні диски (розділи). MBR містить таблицю розділів (partition table) і невеликий фрагмент виконуваного коду. Мета MBR – не завантаження ОС, а всього лише вибір, з якого розділу саме відбувається завантаження.

На думку фахівців з інформаційної безпеки це не остання вірусна атака, а тому слід заздалегідь подбати про збереження вашої інформаційної системи.

Про що потрібно подбати:

1. Регулярно проводити резервне копіювання важливих даних.

2. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту – зв’язатися із відправником та підтвердити факт відправки листа.

3. Встановлювати оновлення безпеки операційної системи Windows.

4. Заблокувати використання облікових записів локальних адміністраторів та адміністраторів домену на робочих станціях, заборонивши для них повноваження локального та віддаленого керування.

5. Відключити застарілий протокол SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

До відома: протокол SMB 1.0 забезпечує спільне використання файлів і принтерів з комп'ютерами, що працюють під управлінням старіших версій Windows, починаючи від Windows NT 4.0 і закінчуючи Windows XP і Windows Server 2003 R2. Протокол SMB може бути використаний в інших операційних системах, таких як Linux або OS X для зв'язку з пристроями на Windows.

Як відключити SMB1 в Windows 10?

1) зайдіть до Панелі управління і перейдіть в "Програми та засоби".

У лівому меню виберіть опцію "Включення і відключення компонентів Windows".

Приберіть галочку на місці "Підтримка загального доступу до файлів SMB 1.0 / CIFS". Перезавантажте комп’ютер.

6. Заборонити доступ до MBR.

Просте рішення від Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter

Добавить комментарий

Защитный код
Обновить

Кібератака в Україні. Висновки на майбутнє

27 червня вірус Petya.A атакував багатьох приватних та державних компаній України, у тому числі банки.

Petya.A відноситься до виду шкідливого програмного забезпечення (ШПЗ) «ransomware», «шифрувальник», «локер» та потрапляє на комп’ютери під управлінням операційних систем Windows.

Встановлено два основних способи ураження ПК. Це «фішинг» та оновлення ПЗ "M.E.doc".

Головним призначенням ШПЗ зазначеного виду є шифрування усіх файлів, що зберігаються на комп’ютері жертви. Після виконання власного програмного коду виводиться повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.

Крім того, ШПЗ Petya.A змінює MBR (в якому в даному випадку і записується програма-шифрувальник).

До відома: MBR (Master Boot Record, Головний Завантажувальний Запис) – це перший фізичний сектор на жорсткому диску або іншому носії інформації, якщо цей пристрій розподіляється на логічні диски (розділи). MBR містить таблицю розділів (partition table) і невеликий фрагмент виконуваного коду. Мета MBR – не завантаження ОС, а всього лише вибір, з якого розділу саме відбувається завантаження.

На думку фахівців з інформаційної безпеки це не остання вірусна атака, а тому слід заздалегідь подбати про збереження вашої інформаційної системи.

Про що потрібно подбати:

1. Регулярно проводити резервне копіювання важливих даних.

2. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту – зв’язатися із відправником та підтвердити факт відправки листа.

3. Встановлювати оновлення безпеки операційної системи Windows.

4. Заблокувати використання облікових записів локальних адміністраторів та адміністраторів домену на робочих станціях, заборонивши для них повноваження локального та віддаленого керування.

5. Відключити застарілий протокол SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

До відома: протокол SMB 1.0 забезпечує спільне використання файлів і принтерів з комп'ютерами, що працюють під управлінням старіших версій Windows, починаючи від Windows NT 4.0 і закінчуючи Windows XP і Windows Server 2003 R2. Протокол SMB може бути використаний в інших операційних системах, таких як Linux або OS X для зв'язку з пристроями на Windows.

Як відключити SMB1 в Windows 10?

1) зайдіть до Панелі управління і перейдіть в "Програми та засоби".

У лівому меню виберіть опцію "Включення і відключення компонентів Windows".

Приберіть галочку на місці "Підтримка загального доступу до файлів SMB 1.0 / CIFS". Перезавантажте комп’ютер.

6. Заборонити доступ до MBR.

Просте рішення від Cisco Talos https://www.talosintelligence.com/mbrfilter, вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter

Добавить комментарий

Защитный код
Обновить


29.01.2018
07.01.2018
06.01.2018
03.01.2018
17.12.2017
08.12.2017
03.12.2017
25.11.2017
22.11.2017
30.10.2017
22.10.2017
10.10.2017