Держспецзв'язку оновила рекомендації по захисту корпоративних мереж від вірусу Petya

Держспецзв'язку оновила рекомендації по захисту корпоративних мереж від вірусу Petya

У Державній службі спеціального зв'язку та захисту інформації попередили про ймовірність повторних атак вірусу Petya Ransomware. Про це у четвер, 6 липня, повідомили у прес-службі відомства.

Як зазначено в повідомленні, власники мереж, які зазнали ураження вірусом Petya Ransomware можуть стати потенційним об'єктом нової кібератаки навіть після того, як відновили свої комп'ютери і убезпечили їх. Для уникнення повторних атак «Держспецзв'язок» рекомендує:

1. Припинити використання ПЗ «M.E.Doc» до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було чи є встановленим. Рекомендуємо провести перезавантаження операційної системи на таких комп’ютерах.

2. Зняти всі паролі, які функціонують в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.

3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу: C:\Windows\perfc.dat. Для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.

4. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:

5. Переконатися, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановіть та/або проведіть оновлення антивірусного програмного забезпечення.

6. Встановити офіційний патч MS17-010.

7. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.

8. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.

9. Відключити застарілий протокол SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ .

Раніше експерти встановили, що атака на інформаційні системи українських компаній відбулася через оновлення програмного забезпечення, призначеного для електронної звітності та документообігу – M.E.Doc.

Якщо Ви виявили помилку на цій сторінці, виділіть її та натисніть Ctrl+Enter
powered by lun.ua
Пропозиції партнерів
Загрузка...
Останні новини
Залиште відгук