Semalt Expert - Cum să combată Petya, NotPetya, GoldenEye și Petrwrp?

Forcepoint Security Labs l-a denumit ca focar Petya, dar alți furnizori folosesc cuvinte alternative și nume suplimentare pentru aceasta. Vestea bună este că acest eșantion a șters testul de rață, iar acum fișierele pot fi criptate pe discuri fără a-și schimba extensiile. Puteți încerca, de asemenea, să criptați înregistrarea principală de pornire și să verificați efectele ulterioare pe dispozitivele computerului.

Plata cererii de răscumpărare a lui Petya

Igor Gamanenko, Directorul Succesului Clienților Semalt , vă sugerează să nu plătiți răscumpărarea cu orice preț.

Este mai bine să dezactivați ID-ul dvs. de e-mail, decât să plătiți răscumpărarea către hacker sau atacator. Mecanismele de plată ale acestora sunt de obicei fragile și nelegitime. Dacă doriți să răsplătiți răscumpărarea printr-un portofel BitCoin, atacatorul poate fura mulți bani din cont fără să vă anunțe.

În aceste zile, a devenit foarte greu să obțineți fișierele necriptate, indiferent că instrumentele de decriptare ar fi disponibile în lunile următoare. Infecția Vector & Protection Declarație Microsoft susține că furnizorul inițial de infecție are diverse coduri rău intenționate și actualizări software nelegitime. În astfel de circumstanțe, este posibil ca acest vânzător să nu poată detecta problema într-un mod mai bun.

Iterația curentă a Petya își propune să evite vectorii de comunicații care au fost salvați de securitatea e-mailului și de gateway-urile de securitate web. O mulțime de eșantioane au fost analizate folosind diferite acreditări pentru a afla soluția problemei.

Combinarea comenzilor WMIC și PSEXEC este mult mai bună decât exploitarea SMBv1. În prezent, nu este clar dacă o organizație care are încredere în rețelele terțelor părți va înțelege regulile și reglementările altor organizații.

Astfel, putem spune că Petya nu aduce surprize cercetătorilor Laboratorilor de Securitate Forcepoint. Din iunie 2017, Forcepoint NGFW poate detecta și bloca SMB exploatează pârghiile atacatorilor și hackerilor.

Deja vu: Petya Ransomware și abilități de propagare a IMM-urilor

Focarul Petya a fost înregistrat în a patra săptămână din iunie 2017. A avut un impact mare asupra diferitelor firme internaționale, site-urile de știri susținând că efectele sunt de lungă durată. Laboratorul de securitate Forcepoint a analizat și revizuit diferite eșantioane asociate focarelor. Se pare că rapoartele Laboratorilor de securitate Forcepoint nu sunt întocmite în întregime, iar compania necesită timp suplimentar înainte de a putea ajunge la unele concluzii. Astfel, va exista o întârziere semnificativă între procedura de criptare și rularea programelor malware.

Având în vedere că virusul și malware-ul repornesc mașinile, este posibil să fie nevoie de câteva zile înainte ca rezultatele finale să fie dezvăluite.

Concluzie și recomandări

Concluzia și evaluarea unei implicații de anvergură a focarelor sunt greu de trasat în această etapă. Cu toate acestea, se pare că este încercarea finală de a implementa piese de ransomware care se propagă de la sine. În prezent, Laboratorul de securitate Forcepoint își propune să își continue cercetările cu privire la posibilele amenințări. Compania poate să vină în curând cu rezultatele sale finale, dar necesită o perioadă semnificativă de timp. Utilizarea exploatărilor SMBvi va fi dezvăluită odată ce Laboratorii de securitate Forcepoint prezintă rezultatele. Trebuie să vă asigurați că actualizările de securitate sunt instalate pe sistemele computerizate. Conform politicilor Microsoft, clienții ar trebui să dezactiveze SMBv1 pe fiecare sistem Windows, unde aceasta afectează negativ funcțiile și performanțele sistemului.