Компанія «Ес Ай Центр» попереджає про атаку вірусу-шифрувальника Petya.A на українські підприємства. Уже інфіковані десятки українських банків, мережі мобільних операторів, а також комп'ютерні системи великих енергокомпаній.

За деякими даними, новий шкідливий код є симбіозом вірусів Petya і WannaCry, який не тільки зашифровує дані, що зберігаються на комп'ютері, але і переписує головний завантажувальний запис (MBR) жорсткого диска. Новий підвид Petya.A, який сьогодні атакував Україну, являє собою комбінацію вразливостей SMB і WMI - CVE-2017-0199 і MS17-010 (ETERNALBLUE, використана в WannaCry). Дана модифікація на даний момент не визначається жодним з антивірусних вендорів. Також на даний момент не існує засобів по відновленню даних.

Вірус поширюється у вигляді вкладених файлів і посилань до повідомлення електронної пошти, при його відкритті шкідливий код активується. Після зараження вихідного ПК або сервера, вірус починає сканувати локальну мережу за допомогою ARP-запитів і заражає інші вразливі комп'ютери в межах видимості вашої локальної мережі.

Особливо схильні до ризику первинного зараження користувачі ПЗ «M.E.Doc», оскільки дане програмне забезпечення використовує email для отримання оновлень і обробляє вхідні електронні листи в автоматичному режимі.

Для запобігання зараженню вірусом, а також для мінімізації можливої шкоди слід виконати наступні кроки:

1. Відключити автоматичне оновлення системи «M.E.Doc» або повністю відключити ці програми.

2. Заблокувати доступ в інтернет і зупинити сервіс електронної пошти.

3. Терміново інформувати користувачів про те, що не можна відкривати ніякі вкладення і посилання в уже надійшли листах.

4. На рівні клієнта і поштового сервера заблокувати повідомлення, вкладення і архіви мають виконуваний код - * .exe, * .js, * .vbs і т. д.

5. Зробити резервне копіювання всіх критичних для бізнесу даних.

6. Виділити всі сервери в окремий VLAN і налаштувати відповідні правила маршрутизації на комутаторах і маршрутизаторах, а також захистити цей VLAN брандмауером. Це дозволить уникнути автоматичного зараження серверів в разі, якщо вірус вразив робочі станції користувачів.

7. Встановити оновлення для ваших операційних систем Microsoft завантаживши їх з офіційного ресурсу - https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

8. Використовувати для вашого ПК або сервера режим UEFI (замість класичного BIOS) з активованою функцією Secure Boot, що виключає саму можливість перезапису MBR.

9. Якщо ви використовуєте гіпервізор від Microsoft, то треба обов'язково використовувати віртуальні машини 2-го покоління з встановленої за замовчуванням функцією Secure Boot.

10. Оновіть антивірусні бази вашого антивірусу і виконайте повну перевірку системи.

Якщо ваш комп'ютер або сервер все-таки були інфіковані, то:

1. Перевірте наявність наступного файлу, якщо він існує, то це підтвердження того що комп'ютер дійсно заражений —C:\Windows\perfc.dat

2. Не перевантажуйте комп'ютер.

3. Якщо ваш комп'ютер мимовільно перезавантажився, і почався нібито «процес сканування жорсткого диска» —необхідно негайно вимкнути живлення комп'ютера, це дозволить зберегти хоча б частину даних.

Також наша компанія рекомендує вам пройти якісний аудит інформаційної безпеки і усунути всі потенційні уразливості, не чекаючи ще однієї подібної атаки.