Держспецзв'язку оновила рекомендації по захисту корпоративних мереж від вірусу Petya
До теми
У Державній службі спеціального зв'язку та захисту інформації попередили про ймовірність повторних атак вірусу Petya Ransomware. Про це у четвер, 6 липня, повідомили у прес-службі відомства.
Як зазначено в повідомленні, власники мереж, які зазнали ураження вірусом Petya Ransomware можуть стати потенційним об'єктом нової кібератаки навіть після того, як відновили свої комп'ютери і убезпечили їх. Для уникнення повторних атак «Держспецзв'язок» рекомендує:
1. Припинити використання ПЗ «M.E.Doc» до офіційного оголошення про вирішення проблеми, відключити від мережі комп’ютери, на яких воно було чи є встановленим. Рекомендуємо провести перезавантаження операційної системи на таких комп’ютерах.
2. Зняти всі паролі, які функціонують в мережі та інші ідентифікаційні дані, які могли бути скомпрометовані. Доцільно змінити пул внутрішніх ІР-адрес та структуру мережі – схема мережі може бути відома зловмисникам, що полегшує реалізацію наступної атаки.
3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу: C:\Windows\perfc.dat. Для попередження шифрування потрібно створити файл C:\Windows\perfc. Перед початком процесу шифрування вірус перевіряє наявність файлу perfc в папці C:\Windows\, якщо файл вже існує вірус завершує роботу і не шифрує файли.
4. Для унеможливлення шкідливим ПЗ змінювати MBR (в якому в даному випадку і записувалась програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:
- Рішення Cisco Talos https://www.talosintelligence.com/mbrfilter - вихідні коди доступні тут: https://github.com/Cisco-Talos/MBRFilter
- Рішення Greatis https://www.greatis.com/security/
- Свіже рішення SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/
5. Переконатися, що на всіх комп’ютерах встановлено антивірусне програмне забезпечення, воно функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановіть та/або проведіть оновлення антивірусного програмного забезпечення.
6. Встановити офіційний патч MS17-010.
7. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.
8. Обмежити можливість запуску виконуваних файлів (*.exe) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%.
9. Відключити застарілий протокол SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ .
Раніше експерти встановили, що атака на інформаційні системи українських компаній відбулася через оновлення програмного забезпечення, призначеного для електронної звітності та документообігу – M.E.Doc.