Имя страшного вируса - Petya. Как избежать заражения

Специалист по кибербезопасности Владимир Стыран рассказал в своем Facebook про вирус Petya, который атаковал Украину.

Стыран пишет, что заражение произошло из-за программы M.E.doc.

«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью - через DoblePulsar и EternalBlue, аналогично методам WannaCry»6 - пишет он.

По словам киберэксперта некоторые антивирусы могут вылечить компьютер.

Вирус Petya видят следующие антивирусники:

» -Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A.

- Symantec будто поймал (прим. - только последняя версия АВ)

- McAfee во всех известных случаях облажался.

- Eset не реагирует».

Индикатором компрометации может быть наличие файла C:Windowsperfc.dat», - пишет он.

Свои рекомендации дает и спецпортал AIN

Что случилось? Сегодня в в полдень появилась информация, что на несколько украинских банков и инфраструктурных объектов была совершена хакерская атака. Позже появилась информация, что это вирус-вымогатель, который шифровал данные и требовал выкуп в размере $300 в биткоинах.

Следом стало известно о масштабах атаки. «Киевэнерго» (и ряд других облэнерго), «Нова Пошта», «Укрпошта», «Укрсоцбанк», «Укрализниця», «Эпицентр», «24 канал», разные министерства страны, аэропорты, больницы, «Ощадбанк» и нескольких других банков по всей стране подверглись атаке. Сообщают, что по всей стране закрываются банковские отделения, не работают банкоматы некоторых банков, закрывают магазины. В редакцию AIN.UA уже написало несколько человек из небольших городов о том, что атака зацепила местные коммунальные предприятия. Всего атака затронула тысячи компьютеров по всей стране.

Информации о международных заражениях почти нет, только несколько сообщений из РФ.

Кто основные жертвы? Компьютеры на базе Windows. Сообщений о том, что были заражены компьютеры на базе других операционных нет.

А что за вирус? Хакерская атака очень похожа на ту, которая была связана с вирусом WCry: это вирус-вымогатель, который шифрует данные и просит $300 выкупа. В прошлый раз заражались компьютеры на базе Windows 7 и младше. Но пока никому не удалось подтвердить информацию о том, что это WCry. В сообщение «Нова Пошта» говорится, что вирус называется Petya.A, а издание Лига указывает, что это DOS/Petya.A. Еще в 2016 году об этом вирусе писало издание «Хакер». Как обычно, заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.

Пользователь Сергей Лукашевич рассказал, что еще вчера заметил рассылку, похожую на фишинговую, от якобы реальных компаний. В подобном действительно был замечен WCry, который рассылал письма от имени известных компаний, после чего вирус получал доступ к системе.

У меня дома компьютер на Windows, мне стоит бояться?Есть данные, что рассылка фишинговых писем шла только на корпоративные ящики. Но как сообщает компания ISPP, были случаи заражения домашних компьютеров.

Что делать? У нас есть несколько базовых рекомендаций от компании «БАКОТЕК»:

• блокировка на уровне конечных точек запуска файлов *.exe, *.js*, *.vbs из %AppData%;
• на уровне почтового шлюза - блокировка сообщений с активным содержимым (*.vbs, *.js, *.jse, *.exe);
• на уровне proxy - блокировка загрузки архивов, содержащих активное содержимое (*.vbs, *.js, *.jse);
• блокировка SMB и WMI-портов. В первую очередь 135, 445;
• после заражения - НЕ ПЕРЕЗАГРУЖАЙТЕ КОМПЬЮТЕР! - это действительно важно.
• не открывайте подозрительные письма и особенно вложения в них;
• принудительно обновите базу антивируса и операционные системы.

Пока это все, что известно на данный момент. Редакция следит за событиями.