Понедельник , 27 Март 2023

Способы защиты от вируса-шифровальщика Petya

Lyapidov 28.06.2017 Безопасность 2,566 Views

Petya (также известна как Petya.A, Petya.C, PetrWrap, PetyaCry) — вредоносная программа, сетевой червь и программа-вымогатель денежных средств, поражающая компьютеры под управлением операционной системы Windows.

Программа шифрует MFT-таблицу на жёстком диске компьютера-жертвы, делая все хранящиеся на нём файлы недоступными (сами данные в файлах не шифруются) и требует — 300 долларов США в эквиваленте Bitcoin за их расшифровку. Распространяется вирус путем эксплуатации уязвимости в SMB MS17-010 (аналогично WannaCry), а также путем направленной отправки вредоносного ПО по электронной почте.
.

Способы защиты от вируса Petya:

1. Обновить сигнатуры антивирусного ПО на серверах и рабочих станциях. Сделать резервные копии всех критически важных данных. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, — связаться с отправителем и подтвердить факт отправки письма.

2. Необходимо установить патч MS17-010 (прим. если он не установлен) для устранения уязвимости ОС Windows. Ниже представлены ссылки с сайта Microsoft на патч MS17-010, который закроет уязвимость. Выберите нужную операционную систему, затем нажмите на ссылку. На Ваш компьютер загрузится патч для Вашей версии операционной системы. Запустите патч и следуйте указаниям ОС. После установки патча перезагрузите компьютер (прим. перезагрузку осуществлять только в том случае, если Вы уверены, что Ваша система не заражена, в противном случае перезагрузку делать нельзя!).

Windows XP x86:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-rus_772fa4f6fad37b43181d4ad2723a78519a0cc1df.exe

Windows XP x64:

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Server 2003 x86:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe

Windows Server 2003 x64:

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe

Windows Vista x86:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Vista x64:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server 2008 x86:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Windows Server 2008 x64:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows 7 x86:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 7 x64:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Server 2008 R2:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8 x86:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu

Windows 8 x64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

Windows Server 2012:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

Windows 8.1 x86:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

Windows 8.1 x64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows Server 2012 R2:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10 x86:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 10 x64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 (1511) x86:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu

Windows 10 (1511) x64:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu

Windows 10 (1607) x86:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu

Windows 10 (1607) x64:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

Windows Server 2016:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

.

3. Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445. Для этого Вы можете воспользоваться готовыми файлами для закрытия и открытия данных портов:

Закрыть TCP-порты 1024-1035, 135, 445 Открыть TCP-порты 1024-1035, 135, 445

 

После скачивания и распаковки, запускать файлы необходимо от имени администратора: Кликните на файле правой кнопкой мыши, а затем выберите Запуск от имени Администратора (Рис.1).

Рис.1

.

Файл ClosePorts.BAT используется для закрытия TCP-портов 1024-1035, 135, 445 и имеет содержимое:

.

Файл OpenPorts.BAT используется для открытия TCP-портов 1024-1035, 135, 445 и имеет содержимое:

 

4. Если система заражена и на экране BSoD («синий экран смерти Windows») и компьютер самостоятельно начинает перезагружаться с запуском утилиты Check Disk — необходимо срочно отключить питание компьютера, в этом случае данные на жестком диске не будут зашифрованы. После выключения необходимо загрузить систему с внешнего носителя и с помощью антивирусных средств (прим. например Kaspersky Rescue Disk) удалить вредоносное ПО из системы.

5. Если система заражена и диск зашифрован необходимо форматировать жёсткий диск, установить чистую операционную систему и восстановить данные из резервной копии, или (в случае отсутствия резервной копии) сделать резервную копию зашифрованного диска, установить чистую операционную систему и работать с ней, ожидая появления дешифратора для данного вируса.

.
Надеемся, что данная статья была Вам полезна!
.

Tags

Добавить комментарий

Войти с помощью: 

Ваш адрес email не будет опубликован. Обязательные поля помечены *

© Copyright 2016-2023, Lyapidov
Политика конфиденциальности