Эпидемия шифратора Win32/Diskcoder.C Trojan.Рекомендации ESET

Начиная с 27 июня сотни компаний в Европе, Азии и Америке стали жертвами эпидемии трояна-шифратора семейства Petya. Вирусные эксперты ESET продолжают изучение угрозы.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если Diskcoder.C успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы (как Mischa).

Источником эпидемии стала компрометация программного обеспечения для отчетности и документооборота M.E.Doc, широко распространенного в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало масштабной атаке.

ESET установила, что пострадавшие от эпидемии системы имели доступ к украинским сетям через VPN. В настоящее время у вредоносной программы не обнаружено функций, позволяющих распространяться за пределы локальных сетей.

Шифратор распространяется внутри сетей посредством PsExec и SMB-эксплойта EternalBlue, который ранее обусловил массовый характер заражения WannaCry. Это сочетание обеспечивает высокую скорость развития эпидемии.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

По данным системы телеметрии ESET, большинство атак, отраженных антивирусными продуктами ESET на рабочих станциях, нацелено на Украину, Германию, Польшу, Сербию, Грецию. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.

Продукты ESET детектируют Win32/Diskcoder.C Trojan, начиная с 14:30 по московскому времени 27 июня, а также защищают на сетевом уровне от эксплойт-атак с использованием EternalBlue.

Более подробная информация о защите от шифраторов доступна на сайте noransom.esetnod32.ru

Профилактика:

1. Если у вас нет SysRescue Live CD/DVD или USB для вашей системы, скачайте ESET SysRescue Live и создайте загрузочный диск.
2. Выключите все компьютеры в сети.
3. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
4. В главной директории Windows (например, C:\Windows) откройте текстовый редактор Linux и создайте три пустых файла со следующими названиями и расширениями. Вы можете создать эти файлы с помощью следующей команды: Echo.>%windir%\[filename], например, Echo.>%windir%\perfc
   • c:\windows\perfc
   • c:\windows\perfc.dat
   • c:\windows\perfc.dl
5. Если это возможно, отключите протокол SMBv1:
   • при помощи групповых политик
   • локально на каждом компьютере
6. Если на компьютере установлена учетная запись локального администратора, отключите ее или, по крайней мере, замените пароль на более сложный: минимум 10 символов, включая прописные и строчные буквы, цифры и специальные символы. Не используйте обычные слова.
   • если все компьютеры находятся в домене, смените пароли администратора домена на более сложные.
   • не используйте одинаковые аутентификационные данные на рабочих станциях и серверах.
7. Отключите скрытые административные ресурсы ADMIN$ или ограничьте к ним доступ.
8. Установите все актуальные обновления безопасности Microsoft Windows. Это можно сделать по прямой ссылке.
9. Откажитесь от использования устаревших ОС, которые не поддерживаются производителем. До замены можно установить обновление, выпущенное Microsoft для Windows XP, Windows 8 и Windows Server 2003.
10. Убедитесь, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. Корпоративные пользователи ESET могут отправить обновления на все рабочие станции или установить обновление. Для домашних пользователей также доступно обновление.
11. При необходимости проверьте рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue. Бесплатная утилита ESET для проверки доступна по ссылке
12. Убедитесь, что подключаете к корпоративной сети только просканированные на предмет угроз компьютеры с установленными обновлениями безопасности.

 

Если на экране появилось требование выкупа:

1. Выключите компьютер.
2. Загрузите компьютер с загрузочного диска ESET SysRescue Live и просканируйте каждую рабочую станцию на предмет вредоносных программ с включенным обнаружением потенциально нежелательных приложений.
3. Проверьте, зашифрован ли диск. Это можно сделать разными способами:
   • загрузите компьютер в консоли восстановления Windows (Windows Recovery Console) с установочного диска Windows
   • восстановите MBR, запустив команду fixmbr
   • загрузите компьютер с Linux Live CD/USB
   • используйте TestDisk, чтобы исправить MBR
4. Если диск уже зашифрован, и у вас нет важных данных на дисках:
   • переустановите операционную систему или восстановите ее из бэкапа
   • см. раздел «Профилактика»
5. Если на зашифрованных дисках были важные данные:
   • используйте ESET SysRecue Live для создания полной копии диска
   • переустановите операционную систему или восстановите ее из бэкапа
   • см. раздел «Профилактика»
   • ожидайте дальнейших инструкций ESET
6. Если заражение произошло, не рекомендуем платить выкуп злоумышленникам по следующим причинам:
   • почтовый адрес операторов Petya был заблокирован, вы не сможете получить ключ для расшифровки даже если оплата будет произведена;
   • выкуп ни к чему не обязывает атакующих. В двух эпизодах из трех жертва не получает ключ расшифровки – его может не быть у самих хакеров;
   • получив деньги, злоумышленники могут повторить атаку на скомпрометированную сеть, используя уже известные уязвимости;
   • выплачивая выкуп, пользователь фактически спонсирует продолжение вредоносной деятельности.