29.06.2017

Информация о вредоносном ПО Petya

27 июня 2017 года крупные организации Украины и России столкнулись со шквальной атакой программы-шифровальщика Petya. Позднее вредоносное ПО распространилось по странам Европы и Азии.

Petya подменяет главную загрузочную запись MBR, создаёт задачу в планировщике Windows на перезагрузку и шифрует файлы на жёстком диске. После перезагрузки Petya маскируется под программу проверки дисков CHKDISK и шифрует весь диск. По словам специалистов «Лаборатории Касперского», вернуть файлы, подвергшиеся кибератаке, не удастся – авторы вредосноса не могут расшифровать носитель после его заражения и шифрования.

Petya имеет несколько способов для распространения по локальной сети. Для заражения компьютера шифровальщик использует спам-рассылку с вложенным документом MS Office, после запуска которого выполняется эксплуатация уязвимости MS Office CVE-2017-0199. Специалисты по кибербезопасности выявили ещё один вектор распространения скомпрометированное бухгалтерское программное обеспечение M.E.Doc. В последнее обновление, которого был внедрён Petya.

Попав на компьютер жертвы, Petya пытается получить права привилегированного пользователя для распространения по сети посредством удалённого запуска процессов. Для этого он использует технологию WMI и утилиту PsExec. В тоже время вредонос сканирует сеть на возможность эксплуатации уязвимости MS Windows MS17-010 (EtenralBlue) и распространяется по локальной сети.

По словам исследователей, превентивной мерой защиты от Petya служит создание файла с именем perfc на жёстком диске. Перед шифрованием Petya проверяет наличие файла с таким именем в каталоге C:\Windows\, и в случае наличия файла вредонос прекращает работу.

С апреля по июнь специалисты Перспективного мониторинга добавили сигнатуры по выявлению попыток эксплуатации уязвимости MS17-010 в базовый набор решающих правил для ViPNet IDS NS. Это позволило своевременно зафиксировать попытки эксплуатации уязвимости MS17-010 и оперативно среагировать и предотвратить распространение вредоноса Petya в локальных сетях клиентов.

Специалисты Перспективного мониторинга оперативно разработали правила детектирования работы вредоносного ПО Petya для ViPNet IDS HS – средство обнаружения вторжений на уровне узла.

Рекомендуемые статьи