Semalt Expert - Kako se boriti proti Petyi, NotPetya, GoldenEye in Petrwrp?

Forcepoint Security Labs jo je označil za izbruh Petye, vendar drugi prodajalci zanjo uporabljajo nadomestne besede in dodatna imena. Dobra novica je, da je ta vzorec očistil test račk in zdaj lahko datoteke šifriramo na diskih, ne da bi spremenili svoje razširitve. Poskusite lahko tudi šifriranje matičnega zagonskega zapisa in preverite njegove posledice na računalniških napravah.

Plačevanje Petine zahteve za odkupnino

Igor Gamanenko, vodja poslovnega uspeha podjetja Semalt , predlaga, da odkupnine ne plačate za nobeno ceno.

Bolje je izključiti svoj e-poštni naslov, ne pa plačevati odkupnino hekerju ali napadalcu. Njihovi plačilni mehanizmi so običajno krhki in nelegitimni. Če boste odkupnino plačali prek denarnice BitCoin, lahko napadalec ukrade veliko več denarja iz vašega računa, ne da bi vam to sporočil.

V teh dneh je postalo zelo težko pridobiti nešifrirane datoteke, ne glede na to, da bodo orodja za dešifriranje na voljo v naslednjih mesecih. Izjava o okužbi in okužbi z okužbami Microsoft trdi, da ima začetni prodajalec okužbe različne zlonamerne kode in nelegitimne posodobitve programske opreme. V takšnih okoliščinah ta prodajalec težave ne bo mogel zaznati na boljši način.

Namen trenutne iteracije Petye je izogniti se komunikacijskim vektorjem, ki so jih shranili varnostni prehodi e-pošte in spletna varnost. Mnogo vzorcev je bilo analiziranih z uporabo različnih poverilnic, da bi ugotovili rešitev problema.

Kombinacija ukazov WMIC in PSEXEC je veliko boljša od izkoriščanja SMBv1. Zdaj ni jasno, ali bo organizacija, ki zaupa omrežjem tretjih strank, razumela pravila in predpise drugih organizacij ali ne.

Tako lahko rečemo, da Petya za raziskovalce Forcepoint Security Labs ne prinaša presenečenj. Od junija 2017 lahko Forcepoint NGFW zazna in blokira izkoriščene vzvode SMB s strani napadalcev in hekerjev.

Deja vu: Petya Ransomware in SMB propagacijske sposobnosti

Izbruh Petye je bil zabeležen v četrtem tednu junija 2017. Imel je velik vpliv na različna mednarodna podjetja, saj novice trdijo, da so učinki dolgotrajni. Forcepoint Security Labs je analizirala in pregledala različne vzorce, povezane z izbruhi. Videti je, da poročila varnostnih laboratorijev Forcepoint niso v celoti pripravljena, zato podjetje potrebuje dodaten čas, preden lahko pripravi nekaj zaključkov. Tako bo med postopkom šifriranja in izvajanjem zlonamerne programske opreme prišlo do velike zamude.

Glede na to, da virus in zlonamerna programska oprema znova zaženeta računalnike, lahko traja nekaj dni, preden bodo končni rezultati razkriti.

Sklep in priporočila

Na tej stopnji je težko izpeljati zaključek in oceno daljnosežnih posledic izbruhov. Vendar pa je videti, da gre za zadnji poskus uvajanja samorazmnoževalnih kosov odkupne programske opreme. Do zdaj si Force Force Security Labs prizadeva nadaljevati raziskovanje možnih groženj. Podjetje bo morda kmalu predstavilo svoje končne rezultate, vendar za to potrebuje veliko časa. Uporaba podvigov SMBvi bo razkrita, ko bodo varnostni laboratoriji Forcepoint predstavili rezultate. Poskrbite, da bodo v računalniških sistemih nameščene varnostne posodobitve. V skladu z Microsoftovimi politikami bi morali stranke onemogočiti SMBv1 v vseh sistemih Windows, če to negativno vpliva na funkcije in delovanje sistema.