На екраните на много компютри в Европа се появи искане за откуп, за да получат потребителите отново достъп до данните си
Започналата вчера вирусна атака свари неподготвени голям брой компании и организации в Европа. Компютрите на много от тях бяха заразени с рансъмуер (криптиращ вирус изнудвач), а на екраните се появи искане за откуп от 300 долара в биткойн, за да получат потребителите отново достъп до данните си.
В задълбочен анализ на инфекцията Microsoft съобщи, че новият рансъмуер се явява модификация на добре познатия вирус Petya с възможности на червей. Софтуерната корпорация увери, че актуализираните с последните обновления Windows системи са напълно подсигурени срещу вируса.
Модерният вариант Ransom:Win32/Petya се е проявил за първи път при обновяване на счетоводната програма MEDoc, разработена от украинската фирма M.E.Doc. Атакуващите са успели да разпространят вируса чрез процеса за ъпдейт на счетоводната програма, което обяснява защо бяха заразени толкова много компютърни системи в Украйна, вкл. в болници, летища и дори в ядрената централа Чернобил.
В ранния следобед на 27 юни е засечено изпълнение на злонамерен команден ред от процеса EzVit.exe, пояснява Microsoft. Когато проникне в компютъра, криптиращият вирус се опитва да компрометира и останалите системи в мрежата.
Потребителите на Windows са напълно защитени при едно условие – да имат актулно копие на операционната система с последните вирусни дефиниции на защитния софтуер Windows Defender, подчертава Microsoft.
Модифицираният рансъмуер може да се разпространява и през SMB уязвимост (с кодово име EternalBlue), която беше използвана от нашумялия рансъмуер WannaCrypt, както и с екплойта EternalRomance. И двете уязвимости бяха затворени от Microsoft с обновление на сигурността под номер MS17-010 още през март.
Microsoft съветва потребителите на Windows да обновят системите си незабавно, ако са пропуснали да направят това, както и антивирусните програми, които ползват. Windows Defender с версия 1.247.197.0 на антивирусните дефиниции открива и блокира заплахата Ransom:Win32/Petya.
Ако в момента на компютъра не могат да бъдат инсталирани последните пачове за сигурност, следва да бъде забранен SMBv1 и да се добави правило в рутера или защитната стена, което блокира SMB трафика на порт 445.
Microsoft няма да пуска спешни и извънредни ъпдейти на сигурността във връзка с новата вирусна атака, тъй като поддържаните и актуализирани Windows системи са напълно защитени от Petya.
Забраната на протокол SMB1 няма да спаси от криптиране данните на самба сървъра, ако той работи с протоколи SMB2 или SMB3. Това което се казва в подобни статии е строго погрешно и се отнася както за Windows така и за Linux. Самба сървъра работи с портове – 137, 138, 139 и 445. Филтрирането от защитната стена на порт 445 от LAN ще забрани изцяло използването на самба сървър, а филтрирането му от WAN – няма смисъл, защото криптиращите вируси са все-пак троянци.