Как и предупреждали многие аналитики и эксперты в области информационной безопасности, история с вирусом-шифровальщиком WannaCry не будет последней, и мы скоро услышим о новых версиях и заражениях. Ждать пришлось недолго. 27 июня новостные ленты вновь запестрили заголовками про WannaCry. Однако на этот раз это был не он, а новый-старый друг по имени Petya. Но так же, как и в случае с WannaCry, это снова оказался вирус-шифровальщик. Почему же «новый-старый»? Да потому, что информация об этом типе вируса была доступна в открытых источниках уже более года.
На этот раз атака затронула Россию, Украину, Францию и множество других стран, парализовав работу таких компаний как Роснефть, Башнефть, Ашан, Maersk, многих предприятий энергетического и атомного сектора, коммерческих и государственных организаций.
Хочется отметить, что данные атаки являются вариацией давно известных вредоносных технологий, с которыми IBM Security сталкивается ежедневно. Не столь важно, как называется новый вирус - Petya.A, Petya.С, WannaCry или BlackEnergy. Важно - какие меры предпринимаются для минимизации рисков и предотвращения этих атак.
Специалисты Геоинформ говорят об иммунной системе, как единственно верном подходе к решению задач по защите информации.
- Мозгом такой иммунной системы выступает аналитическая платформа QRadar, которая помогает выявлять любые аномалии и атаки на их начальных этапах (проникновения и распространения), оповестить офицера безопасности, а также принять меры для минимизации рисков. Обмен информацией с нашей лабораторией IBM X-Force позволяет всегда выявлять актуальные угрозы и иметь свежий список рекомендаций и контролей. Например пакет Wannacry content Pack для QRadar - https://exchange.xforce.ibmcloud.com/hub/extension/a14ea901a3ab7f69ab45edbfe099774a
- Ключевой составляющей превентивной защиты является QRadar Network Security (XGS) - наша система предотвращения вторжений, которая благодаря НЕ сигнатурному а поведенческому эвристическому анализу выявляет сетевые атаки и блокирует их, не позволяя таким образом заразить конечные устройства.
- Также средством превентивной защиты является наш комплекс по управлению безопасностью конечных устройств (рабочих станций, серверов) – BigFix. Модуль Patch Management которого, поможет закрыть уязвимости, выявленные QRadar еще до момента их использования. А также в максимально быстрые сроки обезопасить множество серверов и машин любого типа ОС в полностью автоматическом режиме.
Все эти компоненты тесно интегрируются между собой, позволяя управлять рисками и всей безопасностью в реальном времени, выстраивая надежную политику защиты ИТ инфраструктуры от множества типoв атак.
Некоторые технические рекомендации для заказчиков, которые столкнулись с данной проблемой:
Вирус попадает на систему через пользователя (почта, флэшки, скачивание drive-by-download) и начинает распространяться в сети с использованием протокола SMB путем эксплуатации уязвимости MS17-010 (как и WannaCry нашумевший ранее). Будучи зараженной, система загружает программу-шифровальщик и перезагружает компьютер выпадая в «синий экран» (BSOD). После перезагрузки система загружается и показывает вроде бы обычный в таких случаях для Windows консольный CheckDisk, якобы для анализа жесткого диска из-за непредвиденного сбоя.
Но в случае заражения Petya.C, в это время происходит шифрование всего жесткого диска целиком (ведь проверяются все секторы один за другим). Напомним, что тот же Wanna Cry избирательно шифровал файлы только определенных типов.
Соответственно,
1-я рекомендация: при появлении BSOD и далее CheckDisk НЕМЕДЛЕННО ВЫКЛЮЧИТЬ компьютер, т.к. это банально не даст вирусу "пройтись" по всем блокам диска и зашифровать их. Далее – вынуть диск и на внешней системе производить диагностику и лечение. В случае неудачи остается только ждать, что будут опубликованы ключи расшифровки.
Ну и общая рекомендация: выключить SMB1 в системах, отключить TCP-порты 1024-1035, 135 и 445.
Что делать тем, у кого атака себя не проявила, чтобы проверить свою инфраструктуру и обезопасить ее от потенциального заражения:
1. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
2. Для ПК с ОС Windows в зависимости от версии установить патч с ресурса https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
3. Просканировать файловую систему самой последней версией одного из антивирусов с актуальными базами
По непроверенным до конца данным, если создать файл C:\Windows\perfc без расширения, то вирус не сможет запуститься!!!