Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний. После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов.
Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент. При открытии вложения с вирусом «Petya» произойдет установка вредоносного программного обеспечения путем использования известной уязвимости CVE-2017-0199.
Вирус ждет 30-40 минут после инфицирования (для распространения), а после этого Petya шифрует локальные файлы.
За расшифровку вымогатели требуют выкуп в размере $300 в биткоинах на интернет-кошелек.
Жертвы
В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании — в итоге было заражено более 100 компаний по всему миру:- в России: «Роснефть», «Башнефть», Хоум Кредит Банк, Evraz и другие;
- на Украине: «Запорожьеоблэнерго», «Днепроэнерго», «Днепровская электроэнергетическая система», Mondelez International, Ощадбанк, Mars, «Новая Почта», Nivea, TESA, Киевский метрополитен, правительственные компьютеры Украины, магазины «Ашан», украинские операторы («Киевстар», LifeCell, «УкрТелеКом«), Приватбанк, аэропорт «Борисполь» и другие;
- в мире: американский биофармацевтический гигант Merck, Maersk, компании Индии, Австралии, Эстонии и другие.
Что необходимо сделать для защиты?
1. Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows.2. Установить патч KB2871997.
3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0.
4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные.
5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах.
6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010).
7. Экстренно отбирать администраторские права у всех, кому они не нужны.
8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети.
9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях.
10. Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников.
11. Отключите SMBv1 в сети.
12. Подпишитесь на Microsoft Technical Security Notifications.
Почему мы не рекомендуем платить вымогателям?
1. Вы спонсируете преступников.2. У нас нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.