27 июня зафиксирована масштабная вирусная атака (вирус-шифровальщик PETYA.A), атаке подверглись энергетические, телекоммуникационые компании, а также государственные органы в нескольких странах.

Атака началась с Украины, которая пострадала больше всего. В первую десятку пострадавших стран вошли: Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. В Украине атакованы правительственные компьютеры, банковские системы, а также Чернобыльская АЭС.

Вирус блокирует компьютеры и требует 300 долларов в биткоинах. Распространяется вирус самостоятельно, как и WannaCry.

Первоначальное заражение происходит через фишинговые сообщения (файл Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc) или обновления бухгалтерской программы M.E.doc. Затем вирус распространяется по локальной сети через DoblePulsar и EternalBlue, аналогично методам WannaCry.

Рекомендации для предотвращения данного инцидента

KZ-CERT рекомендует, для предотвращения распространения вируса необходимо закрыть ТСР-порты 1024-1035, 135 и 445. Также следует отключить SMB1 Protocol.

При выявлении заражения, не выключать компьютер, а перевести устройство в режим гибернации с отключением от Интернета.

Кроме того, необходимо запретить:

1) доступ по http к серверам:

    french-cooking.com:80

    84.200.16.242:80

    111.90.139.247:80

    COFFEINOFFICE.XYZ:80

2) почтовые вложения и скачивание файлов с именами:

    Петя.apx;

    myguy.exe;

    myguy.xls;

    Order-[любая дата].doc.

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:                                           

C: \ Windows \ perfc.dat

В зависимости от версии операционной системы Windows установить патч (https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx) с интернет-ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения), а именно:

— для Windows XP (http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...)

— для Windows Vista 32 bit (http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb401...)

— для Windows Vista 64 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)

— для Windows 7 32 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)

— для Windows 7 64 bit (http://download.windowsupdate.com/d/msdownload/update/software/secu/2017...)

— для Windows 8 32 bit  (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)

— для Windows 8 64 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)

— для Windows 10 32 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)

— для Windows 10 64 bit (http://download.windowsupdate.com/c/msdownload/update/software/secu/2017...)

Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения).

В случае если вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам.

KZ-CERT – 1400 – бесплатная горячая линия