Во вторник 27 июня компании ряда стран пострадали от атак модифицированной версией ПО «Petya». По последним данным пострадали пользователи в таких странах, как Украина, Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения). UserGate UTM обеспечивает возможность защиты от данной уязвимости.

Заражение происходит через механизм обновления в ПО M.E.Doc, через эксплойт «EthernalBlue» и эксплойт устаревшей версии SMB (SMBv1). Троян добавляет задание перезагрузки ПК, через 60 минут после заражения ПК перезагружается. После заражения ПК, он распространяется по локальной сети с помощью инструмента LSADump. LSADump — инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть без необходимости в эксплойтах, которые указаны в методах первоначального заражения.

Данный троян-шифровальщик является модифицированной версией «WannaCry», в этой связи необходимо:

• Удостоверится, что все версии операционных систем Windows имеют последние актуальные патчи;
• Отключить SMBv1;
• Изолировать ПК с необновленными ОС Windows от большого сегмента сети;
• Добавить в UserGate UTM правило межсетевого экрана с блокировкой Botnet сетей;
• Включить модуль СОВ и настроить его политику;
• Включить проверку Почтового трафика — Mail Security.

Источник