Semalt Expert - Ako bojovať proti Petya, NotPetya, GoldenEye a Petrwrp?

Spoločnosť Forcepoint Security Labs to označila ako vypuknutie Petya, ale iní dodávatelia pre ňu používajú alternatívne slová a ďalšie názvy. Dobrou správou je, že táto vzorka vymazala test kačice a teraz je možné súbory šifrovať na diskoch bez zmeny ich prípon. Môžete tiež skúsiť šifrovať hlavný zavádzací záznam a skontrolovať jeho následky na počítačových zariadeniach.

Platenie dopytu Petya za výkupné

Igor Gamanenko, manažér úspechu zákazníka Semalt , navrhuje, aby ste výkupné neplatili za každú cenu.

Je lepšie deaktivovať e-mailovú identifikáciu ako vyplatiť výkupné hackerovi alebo útočníkovi. Ich platobné mechanizmy sú zvyčajne krehké a neoprávnené. Ak chcete zaplatiť výkupné prostredníctvom peňaženky BitCoin, útočník môže z vášho účtu ukradnúť oveľa viac peňazí bez toho, aby vás o tom informoval.

V dnešnej dobe je veľmi ťažké získať nezašifrované súbory bez ohľadu na skutočnosť, že dešifrovacie nástroje budú k dispozícii v nasledujúcich mesiacoch. Vyhlásenie o infekcii a vyhlásenie o ochrane Spoločnosť Microsoft tvrdí, že pôvodný dodávateľ infekcie má rôzne škodlivé kódy a neoprávnené aktualizácie softvéru. Za týchto okolností nemusí byť tento predajca schopný problém lepšie odhaliť.

Cieľom súčasnej iterácie Petya je zabrániť komunikačným vektorom, ktoré boli uložené bezpečnostnými bránami e-mailov a bránami zabezpečenia webu. Mnoho vzoriek bolo analyzovaných pomocou rôznych poverení na nájdenie riešenia problému.

Kombinácia príkazov WMIC a PSEXEC je omnoho lepšia ako využitie SMBv1. Odteraz nie je jasné, či organizácia, ktorá dôveruje sieťam tretích strán, bude rozumieť pravidlám a predpisom iných organizácií alebo nie.

Môžeme teda povedať, že Petya neprináša výskumníkov Forcepoint Security Labs žiadne prekvapenie. Od júna 2017 môže Forcepoint NGFW detekovať a blokovať využitie pákového efektu útočníkov a hackerov zo strany SMB.

Deja vu: Petya Ransomware a SMB propagačné schopnosti

Ohnisko Petya bolo zaznamenané vo štvrtom týždni v júni 2017. Má veľký vplyv na rôzne medzinárodné firmy, pričom spravodajské weby tvrdia, že účinky sú dlhotrvajúce. Forcepoint Security Labs analyzovala a preskúmala rôzne vzorky spojené s ohniskami. Vyzerá to, že správy spoločnosti Forcepoint Security Labs nie sú úplne pripravené a spoločnosť potrebuje dodatočný čas, aby mohla dospieť k niektorým záverom. Medzi procedúrou šifrovania a spustením škodlivého softvéru teda bude značné oneskorenie.

Vzhľadom na to, že vírus a malware reštartujú počítač, môže trvať niekoľko dní, kým sa zverejnia konečné výsledky.

Záver a odporúčania

Záver a vyhodnotenie ďalekosiahlych dôsledkov ohnísk je v tejto fáze ťažké vyvodiť. Zdá sa však, že ide o posledný pokus o nasadenie samo sa množiacich častí ransomware. Odteraz je cieľom laboratórií Forcepoint Security Labs pokračovať vo výskume možných hrozieb. Spoločnosť môže čoskoro prísť so svojimi konečnými výsledkami, vyžaduje si však značné množstvo času. Použitie exploitov SMBvi bude odhalené, keď výsledky Forcepoint Security Labs ukážu. Mali by ste sa ubezpečiť, že sú vo vašich počítačových systémoch nainštalované aktualizácie zabezpečenia. Podľa zásad spoločnosti Microsoft by mali klienti zakázať SMBv1 na každom systéme Windows, kde má negatívny vplyv na funkcie a výkon systému.