Semalt Expert - Kuinka torjua Petya, NotPetya, GoldenEye ja Petrwrp?

Forcepoint Security Labs on kutsunut sitä Petya-puhkeamiseksi, mutta muut myyjät käyttävät siihen vaihtoehtoisia sanoja ja ylimääräisiä nimiä. Hyvä uutinen on, että tämä näyte on puhdistanut ankkatestin, ja nyt tiedostot voidaan salata levyille muuttamatta niiden laajennuksia. Voit myös yrittää salata Master Boot Record -rekisterin ja tarkistaa sen jälkitehosteet tietokonelaitteissa.

Maksaa Petyan lunnaatarve

Semalt-asiakkaan menestyspäällikkö Igor Gamanenko ehdottaa, että et maksa lunnaata millään hinnalla.

On parempi poistaa sähköpostitunnuksesi käytöstä sen sijaan, että maksaisit lunastajaa hakkereille tai hyökkääjille. Heidän maksumekanismit ovat yleensä hauraita ja laittomia. Jos joudut maksamaan lunnaita BitCoin-lompakon kautta, hyökkääjä voi varastaa paljon enemmän rahaa tililtäsi ilmoittamatta siitä.

Nykyään on tullut erittäin vaikeaa saada salaamattomia tiedostoja huolimatta siitä, että salausvälineitä olisi saatavana tulevina kuukausina. Tartuntavektori ja suojauslausunto Microsoft väittää, että alkuperäisellä infektioiden myyjällä on useita haitallisia koodeja ja laittomia ohjelmistopäivityksiä. Tällaisissa olosuhteissa myyjä ei ehkä pysty havaitsemaan ongelmaa paremmin.

Petyan nykyisen iteraation tavoitteena on välttää viestintävektoreita, jotka on tallennettu sähköpostiturvallisuuden ja verkkoturvayhdyskäytävien avulla. Suuri osa näytteistä on analysoitu käyttämällä eri valtakirjoja ongelman ratkaisun löytämiseksi.

WMIC- ja PSEXEC-komentojen yhdistelmä on paljon parempi kuin SMBv1: n hyväksikäyttö. Tähän mennessä on epäselvää, ymmärtääkö organisaatio, joka luottaa kolmansien osapuolien verkkoihin, ymmärtääkö muiden organisaatioiden säännöt ja määräykset vai ei.

Voimme siis sanoa, että Petya ei tuo yllätyksiä Forcepoint Security Labsin tutkijoille. Kesäkuusta 2017 alkaen Forcepoint NGFW voi havaita ja estää hyökkääjien ja hakkereiden hyödyntämiä SMB: n hyödykkeitä.

Deja vu: Petya Ransomware ja SMB leviämiskyky

Petya-puhkeaminen todettiin kesäkuun 2017. viimeisellä viikolla. Sillä on ollut suuri vaikutus useisiin kansainvälisiin yrityksiin, kun uutissivustot väittävät, että vaikutukset ovat pitkäaikaisia. Forcepoint Security Labs on analysoinut ja tarkastellut erilaisia puhkeamiseen liittyviä näytteitä. Näyttää siltä, että Forcepoint Security Labsin raportteja ei ole valmisteltu kokonaan, ja yritys vaatii lisäaikaa ennen kuin se voisi tehdä johtopäätöksiä. Siten salausmenettelyn ja haittaohjelmien suorittamisen välillä on huomattava viive.

Koska virus ja haittaohjelmat käynnistävät koneet uudelleen, se voi vaatia useita päiviä ennen lopullisten tulosten paljastamista.

Päätelmät ja suositukset

Tässä vaiheessa on vaikea tehdä päätelmiä ja arvioita tautipesäkkeiden kauaskantoisista vaikutuksista. Näyttää kuitenkin siltä, että se on viimeinen yritys levittää itse levittäviä ransomware-osia. Forcepoint Security Labs pyrkii jatkamaan tutkimuksia mahdollisista uhista. Yhtiö voi pian keksiä lopulliset tuloksensa, mutta se vaatii huomattavasti aikaa. SMBvi-hyökkäysten käyttö paljastetaan heti, kun Forcepoint Security Labs esittelee tulokset. Sinun tulisi varmistaa, että tietoturvapäivitykset on asennettu tietokonejärjestelmiin. Microsoftin käytäntöjen mukaisesti asiakkaiden tulee poistaa SMBv1 käytöstä kaikissa Windows-järjestelmissä, joissa se vaikuttaa negatiivisesti järjestelmän toimintoihin ja suorituskykyyn.