Вирус-шифровальщик «Петя» — что делать?
Вчера 27 июня 2017 года произошла самая массовая за всю историю Украины атака вируса-вымогателя — пострадали банковские учреждения, сети супермаркетов, почтовые компании и огромное количество частных пользователей и коммерческих организаций. Крупнейшие изготовители Антивирусных продуктов (ESET, Bitdefender, AVG) уже к 13-30 отчитались о блокировке вредоносных программ их Антивирусными системами. Разберемся — что делать и как быть..
Для начала почитаем что по этому поводу написали в авторитетной Антивирусной компании ЕСЕТ : «.. В настоящее время продукты ESET обнаруживают угрозу как Win32/Diskcoder.C Trojan. В случае успешного инфицирования MBR, вредоносная программа шифрует весь диск компьютера. В других случаях угроза зашифровывает файлы, как Mischa.
Для распространения угроза, вероятно, использует эксплойт SMB (EternalBlue), который был применен для проникновения в сеть угрозой WannaCry, а затем распространяется через PsExec внутри сети.
Эта опасная комбинация может быть причиной скорости распространения Win32/Diskcoder.C Trojan, даже несмотря на то, что предыдущие инфицирования с использованием эксплойтов широко освещались в СМИ, а большинство уязвимостей было исправлено. Для проникновения в сеть Win32/Diskcoder.C Trojan достаточно лишь одного компьютера без соответствующего исправления, а дальше вредоносное программное обеспечение может получить права администратора и распространяться на другие компьютеры.
После шифрования файлов на экране жертвы отображается соответствующее сообщение с требованием о выкупе: «Если вы видите этот текст, то ваши файлы не доступны, так как они были зашифрованы … Мы гарантируем, что вы можете восстановить все ваши файлы безопасным и легким способом. Все, что вам нужно сделать, это передать платеж [$ 300 биткойн] и приобрести ключ дешифрования».
Напомним, еще в 2016 году компания ESET сообщала, что Petya осуществляет шифрование не отдельных файлов, а инфицирует файловую систему. Основной целью вредоносной программы является главная загрузочноя запись (MBR), который отвечает за загрузку операционной системы.
В связи с массовым распространением вредоносной программы специалисты ESET рекомендуют использовать актуальные версии антивирусного и другого программного обеспечения, а также настроить сегментацию сети, может помочь предотвратить распространение угрозы в корпоративной сети.
Обнаружение в сервис ESET LiveGrid было добавлено 27 июня в 13:30 GMT+2.«
Причины заражения
И так разберем причины заражения компьютеров новой модификацией «Пети»:
- Заражению поддались в первую очередь системы, на которых не были проведены обновления по итогам разбора заражения «зловредом» WannaCry путем эксплуатации уязвимости в SMB MS17-010 — это в первую очередь старые операционные системы Windows XP, Vista, Server 2003 — на которые уже не выпускаются обновления безопасности и сняты с поддержки компанией Микрософт, а так же современные системы на которые пользователи не установили последние обновления или вообще отключили систему обновлений.
- Использование уязвимости для исполнения вредоносного кода: CVE-2017-0199 (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199);
- Использование уязвимости для распространения и заражения: CVE-2017-0144, он же EternalBlue (https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0144);
- Использование Антивирусных продуктов с отключенной системой обновления и выключенным эвристическим анализатором. Сюда же отнесем и использование нелицензионных Антивирусов, «антивирусов» сомнительного качества и просто их отсутствие;
- Человеческий фактор — открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ, ссылку на документ или изображение;
- Сетевая инфраструктура с наличием ресурсов SMB версии 1.
Этапы заражения
Заражение компьютерной системы происходит в большинстве случаев по следующей схеме:
- При открытии пользователем вложенного в электронное письмо вредоносного ПО, замаскированного под документ (это могут быть файлы Order-20062017.doc (или другая дата), myguy.xls или модификации), компьютер обращается по адресу 84[.]200[.]16[.]242, загружая вредоносный файл Myguy.xls в корень диска С:,
- Открытие вредоносного файла с помощью утилиты С:\Windows\System32\mshta.exe ;
- Загрузка шифровальщика с адреса french-cooking[.]com ;
- На компьютере появляются файлы: C:\Windows\perfc.dat, C:\myguy.xls.hta ;
- Подключение зараженного компьютера к адресам 111[.]90[.]139[.]247, coffeeinoffice[.]xyz;
- Распространение вируса по сети по портам TCP: 1024-1035, 135, 445 с помощью уязвимости CVE-2017-0144;
- Заражение MBR (главной загрузочной записи Windows). В случае, если заражение MBR произошло успешно (для этого вирусу необходимо получить привилегии локального администратора, что позволяет реализовать известная уязвимость в SMB), компьютер выдает «синий экран смерти» Windows и перезагружается, при перезагрузке загружается шифровальщик и начинается шифрование всего жесткого диска, пользователю при этом отображается экран со стандартной процедурой по анализу жесткого диска в Windows в случае непредвиденного сбоя — CheckDisk.
- В случае, если вирусу не удается получить права локального администратора и заразить раздел MBR, он запускает утилиту шифрования файлов на диске, за исключением системной директории Windows, а также папок, содержащих файлы браузеров — т.е. фактически запускается модификация «шифровальщика» Mischa.
- После перезагрузки пользователю отображается окно с требованием выплаты $300 в эквиваленте Bitcoin на кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX.
Что делать — если заразились?
Ни в коем случае не переводите деньги на счет злоумышленников! Их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
- Отключите заражённую систему от локальной сети.
- В большинстве случаев «синий экран смерти» позволяет переключиться на рабочий стол (ALT-Tab) и срочно выключить компьютер, либо вызвать Диспетчер Задач (Ctrl-Alt-Del) и опять же выключить компьютер. ВАЖНО — ни в коем случае не перезагружать зараженный компьютер!!!
Если Вы решились сами восстанавливать информацию — этапы будут следующие (при наличии еще одного компьютера или ноутбука):
- Нужен компьютер с актуальной ОС и последними обновлениями;
- На компьютере должен быть установлено антивирусное ПО последней версии с обновлёнными базами;
- Отключите автозапуск со съёмных носителей;
- Сделайте резервную копию на внешний носитель;
- Проверьте наличие свободного места;
- Подключите жесткий диск с зараженного компьютера — лучше по USB, если решились подключить по SATA, не забудьте зайти в БИОС и проверить загрузку с правильного жесткого диска!
- Сделайте резервную копию зараженного диска на случай, если появится расшифровщик — ПО XData — создатель вируса опубликовал ключи шифрования через несколько дней после распространения вируса;
- Просмотрите документы и другие важные для Вас данные — если они не зашифрованы — скопируйте на другой диск;
- Проверьте зараженный диск Антивирусным ПО. Передайте несколько зараженных файлов и зашифрованных документов (не содержащих персональную или коммерческую информацию) на анализ разработчикам Антивирусного ПО;
- Сделайте носитель с ОСью соответствующей версии зараженного компьютера.
Далее все операции проводятся на компьютере с зараженным носителем (HDD или SSD).
- При включении СРАЗУ зайдите в БИОС и отключите загрузку с жесткого диска;
- Загрузитесь с подготовленного носителя;
- При заражении MBR в отдельных случаях удается восстановиться с помощью bootrec /RebuildBcd, bootrec /fixMbr, bootrec /fixboot — если получилось — загрузитесь с диска восстановления Антивирусного ПО — скажем ESET SysRescue Live — и проверьте диск согласно с инструкцией разработчика Антивирусного ПО, далее если лечение прошло успешно и все угрозы были удалены, можете попробовать загрузиться с жесткого диска;
- При наличии актуальной резервной копии — полностью отформатируйте жесткий диск и установите нужную ОС на ново с обязательной установкой всех обновлений! Установить обновление безопасности для Windows KB4013389 от 14 марта 2017 года (см. Microsoft Security Bulletin MS17-010). Скачать обновление можно по ссылке: technet.microsoft.com/en-us/library/security/ms17-010.aspx.
- На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам: Windows XP SP3: download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe Windows Server 2003 x86: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe Windows Server 2003 x64: download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
- Установить обновление безопасности для Microsoft Office. Скачать обновления для своей версии можно по ссылке: portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
- В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах в соответствии с инструкцией support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012;
- В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010);
- Установить Антивирусное ПО и обновить базы;
- Восстановить информацию из резервной копии;
- Проверить компьютер Антивирусом.
В случае если Вы сами не можете провести операции восстановления — обратитесь к специалистам!