Нов ransomware напад ја погоди Европа

Не толку одамна со WannaCry светот можеше да ја види опасноста од скриени и непријавени безбедносни пропусти. Нова верзија на Petya ransomware комбинирана со истиот безбедносен пропуст во Windows кој го користи WannaCry.

Microsoft издаде закрпа за безбедносниот пропуст, но се чини дека некој сепак не си ја завршил работата. Безбедносната компанија Symantec потврди дека Eternal Blue е искoристен во нападите. Она што е поголем проблем е што за разлика од WannaCry кој доаѓаше со куп пропусти, Petya ги нема овие пропусти.

Листата на погодени  држави и компании овој пат се чини поголема Досега идентификувани се 2000 цели на нападот. Најпогодена од нападите е Украина. Државни институции, банки, енергетски компании се погодени од Petya,  и во текот на вчерашниот ден јавуваа дека се справуваат со вирусот.

Данската компанија за енергија и транспорт Maersk, потврди дека е цел на истите напади, Истото го направи и рускиот енергетски гигант Rosneft. Во САД цел на напад е фармацевтската компанија Merck. Најверојатно најстрашно е што нападот ја зафати и нуклеарната електрана Чернобил, во која сега мануелно се набљудува состојбата со радиацијата.

Начинот на ширење на инфекцијата е поинаков од WannaCry. Како и оригиналниот вирус, и Petya ги пронаоѓа и инфицира компјутерите со безбедносен пропуст. Освен ова, се чини дека софтверот има и друг начин за ширење. Во Украина софтверот се шири и преку update функционалност на програмата MeDoc, вели Wired.

Вестите за инфицирани компјутери продолжуваат и денес. Повеќе компании  од Австралија јавуваат дека се цел на напад. DLA Piper Ltd и фабриката за производство на чоколадо во Хобарт се цел на овие напади.

За криптираните компјутери напаѓачите побараа откуп од 300 долари. Сепак дури и корисниците кои ќе ја платат оваа сума нема да можат да го добијат клучот за отклучување на податоците. Германскиот провајдер на имејл ја блокираше електронската пошта на напаѓачот, па жртвите нема да можат да ги отклучат своите податоци.

Еве ги советите кои ги сподели Националниот центар за одговор на компјутерски инциденти:

Како да се заштитите од овој напад?

  • На вашите компјутери и сервери НАЈИТНО инсталирајте ги надградбите за EternalBlue (MS17-010) и исклучете го протоколот за споделување на датотеки SMBv1. Дополнително редовно инсталирајте ги закрпите и надградбите кои ги објавува Microsoft.
  • Блокирајте ја мрежната комуникација меѓу вас (вашата организација) и надворешните страни на порти 138,139 и 445 (TCP и UDP). Истото важи и за VPN конекциите. Блокирајте ја внатрешната мрежна комуникација за истите порти, особено овој сообраќај кај серверите на кои се запишани организациски информации.
  • Исклучете ја опцијата за macro во MS Office – доколку го користите овој пакет за канцелариско работење.
  • Како препорака секогаш внимавајте и не отворајте документи испратени по е-пошта и не кликајте на линкови во пораките доколку испраќачот на пораката не ви е познат или по е-пошта ви е пристигнат документ што не го очекувате.
  • Навремено и периодично снимајте заштитни копии на документите на преносен уред кој не е постојано приклучен на компјутерот.
  • На компјутерот задолжително активирајте Firewall и имајте активна и ажурирана антивирусна заштита

Дополнително Националниот центар за одговор на компјутерски инциденти сподели и дополнителни податоци за заштита:

Истражувачот Amit Serper пронајде начин за спречување на криптирањето кое го предизвикува рансомвер Petya.
Подоцна истото беше потврдено од страна на други истражувачи како PT Security и TrustedSec. Како превентивна мерка за спречување на инфекција од актуелната верзија на Petya, потребно е да се креира датотека со име perfc во папката C:\Windows и истата да се заклучи од снимање.

За самостојно креирање на оваа датотека потребно е да се направат следните чекори:

  •  Конфигурирајте го вашиот Windows оперативен систем да ги прикажува наставките на сите датотеки. Проверете дали е исклучена опцијата Hide extensions for known file types во поставките Folder Options.
  • Следен чекор е да се отвори папката C:\Windows. Во оваа папка пронајдете ја извршната датотека notepad.exe.
  • Изберете ја оваа датотека и направете копија од датотеката во истата папка (Ctrl + C и Ctrl + V). Ќе се појави порака да одобрите копирање на датотеката. Изберете Continue со што во папката ќе се креира нова датотека со име notepad – Copy.exe. Со клик на копчето F2 или со избор на опција Rename променете го името на оваа датотека во perfc. Откако ќе внесете текст perfc за име, притиснете на тастатурата на копче Enter, по што на екранот ќе се појави порака за промена на име на датотеката. Изберете Yes. Оперативниот систем повторно ќе побара од вас дозвола за промена на името, на што се избира Continue.
  • Откако е креирана датотеката perfc, потребно е да се променат својствата и за истата да се овозможи само читање, т.е. да се активира read only. За таа цел, со селектирана датотека и клик на десно копче на глувчето, од паѓачкото мени се избира опцијата Properties. На новиот екран вклучете ја опцијата Read-only.  Потоа кликнете на копчето Apply и на копчето OK.

За автоматизира верзија на процедурата може да го преземете овој извршен фајл.

1 коментар на “Нов ransomware напад ја погоди Европа

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии