PetrWrap. Новая угроза

27 июня 2017 года надолго запомнится многим компаниям. Подсчет убытков еще не закончен, но уже точно известно, что более чем 300 тысяч компьютеров по всему миру оказались заражены вирусом-вымогателем под названием PetrWrap. Название было выбрано неслучайно: его первоначальное поведение было очень похоже на действия вымогателей семейства Petya. К сожалению, первое впечатление оказалось обманчивым. В отличие от своего предка, данное вредоносное ПО не только мешает загрузке ОС, но и шифрует файловую систему жертвы.

Вирус попадает в инфраструктуру компании при помощи фишингового письма или в некоторых случаях из-за необновленного программного обеспечения. После первичного запуска вредоносного ПО оно добавляется в автозагрузку и запускает процесс шифрования.

Наибольшая опасность этого вируса связана с тем, что в него был включен функционал червя. А это значит, что вирус обладает продвинутой логикой распространения. Например, он пытается получить учетные записи пользователей, которые недавно подключались к данному узлу, и после анализа сетевых подключений зараженного узла пытается использовать полученные учетные данные, чтобы заразить другие компьютеры в сети. Если ему удается найти узлы, которые позволяют подключиться к ним при помощи полученных учетных записей, он заражает эти узлы и продолжает свое распространение.

Не обошлось тут и без применения программы EternalBlue, которая меньше двух месяцев назад была использована при распространении вируса WannaCry. Данная технология ищет во внутренней сети узлы, которые до сих пор обладают уязвимостью MS17-010, и пытается их заразить.

Что делать, если вы стали жертвой вируса PetrWrap?

  • Необходимо экстренно выключить компьютер и не включать его, чтобы не увеличить урон, нанесенный вашим данным.
  • Скопировать данные с пораженного жесткого диска, если вирус еще не полностью завершил процесс заражения.
  • Проверить остальные узлы вашей сети на предмет заражения.
  • Поменять пароли учетных записей тех пользователей, которые имели доступ к зараженному узлу.

На текущий момент есть ряд способов защиты от вируса. Один из них – это создание файла perfc.dat в папке C:\Windows\. Данная мера не остановит заражение и шифрование данных, если компьютер уже был заражен, но сможет защитить его от возможного заражения.

Сейчас силы многих лабораторий кибербезопасности и нашей в том числе сосредоточены на том, чтобы разработать средство по расшифровке пораженных вирусом данных, но текущие результаты исследований – как наших, так и других лабораторий – неутешительны. В соответствии с ними данное вредоносное ПО не шифрует данные, а фактически их уничтожает, что не позволяет надеяться на наличие способа их восстановления.

Если на текущий момент вы не пострадали от данной атаки, это еще не означает, что вы не станете ее жертвой, в связи с этим мы рекомендуем принять превентивные меры защиты:

  • установить все наиболее важные обновления Windows за апрель и май;
  • запретить входящие и исходящие SMB-подключения из сети Интернет (порты 137/139/445);
  • отключить протокол SMBv1 во всей ИТ-инфраструктуре;
  • отключить возможность запуска макросов в документах Microsoft Office (при помощи групповых политик);
  • обновить антивирусные решения, установленные на устройствах, используемых в компании.

Проанализировав последствия атак WannaCry и PetrWrap, мы хотели бы напоследок отметить важную деталь. Недавно были обнаружены еще несколько серьезнейших слабых мест в OS Windows, например в Windows Defender (CVE-2017-0290), что грозит владельцам уязвимых версий Windows еще более серьезными проблемами. Чтобы не опасаться за свои данные, рекомендуем наладить процесс управления обновлениями или максимально сократить время от появления обновления до его установки.

Контакты

Роман Чаплыгин
Директор
Тел: +7 (495) 967-6056
E-mail

Мы в социальных сетях