Entensys News

Блокировка трояна-шифровальщика "Petya"

Во вторник 27 июня компании ряда стран пострадали от атак модифицированной версией ПО "Petya".  По последним данным пострадали пользователи в таких странах, как Украина, Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения). UserGate UTM обеспечивает возможность защиты от данной уязвимости.
Заражение происходит через механизм обновления в ПО M.E.Doc, через эксплойт "EthernalBlue" и эксплойт устаревшей версии SMB (SMBv1). Троян добавляет задание перезагрузки ПК, через 60 минут после заражения ПК перезагружается. После заражения ПК, он распространяется по локальной сети с помощью инструмента LSADump. LSADump - инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть без необходимости в эксплойтах, которые указаны в методах первоначального заражения.
Данный троян-шифровальщик является модифицированной версией "WannaCry", в этой связи необходимо:
  • Удостоверится, что все версии операционных систем Windows имеют последние актуальные патчи;
  • Отключить SMBv1;
  • Изолировать ПК с необновленными ОС Windows от большого сегмента сети;
  • Добавить в UserGate UTM правило межсетевого экрана с блокировкой Botnet сетей;
  • Включить модуль СОВ и настроить его политику;
  • Включить проверку Почтового трафика - Mail Security.
Все эти меры позволяют свести к минимуму риски заражения сети компании. Подробнее...