Блокировка трояна-шифровальщика Petya

Во вторник 27 июня компании ряда стран пострадали от атак модифицированной версией ПО «Petya». По последним данным пострадали пользователи в таких странах, как Украина, Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения). UserGate UTM обеспечивает возможность защиты от данной уязвимости.

Заражение происходит через механизм обновления в ПО M.E.Doc, через эксплойт «EthernalBlue» и эксплойт устаревшей версии SMB (SMBv1). Троян добавляет задание перезагрузки ПК, через 60 минут после заражения ПК перезагружается. После заражения ПК, он распространяется по локальной сети с помощью инструмента LSADump. LSADump — инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть без необходимости в эксплойтах, которые указаны в методах первоначального заражения.

Данный троян-шифровальщик является модифицированной версией «WannaCry», в этой связи необходимо:

  • Удостоверится, что все версии операционных систем Windows имеют последние актуальные патчи;
  • Отключить SMBv1;
  • Изолировать ПК с необновленными ОС Windows от большого сегмента сети;
  • Добавить в UserGate UTM правило межсетевого экрана с блокировкой Botnet сетей;
  • Включить модуль СОВ и настроить его политику;
  • Включить проверку Почтового трафика — Mail Security.

Источник

29.06.2017

Хотите быть в курсе последних событий?