Pour la semaine dernière, beaucoup ont entendu parler de la hacker attaquent dans le monde entier. Et aussi, ce pirate informatique attaque la plupart des dommages causés par l'Ukraine et la Russie et, étant donné que la plupart d'entre nous ont lu les utilisateurs de ces pays, nous avons décidé de collecter tous les moyens de protéger contre le virus Petya. Par conséquent, dans cet article, vous apprendrez à vous protéger du virus PETYA. Nous ne vous montrerons pas une façon, mais quelques-uns. Vous pouvez déjà choisir par vous-même le plus pratique. De plus, pour ceux qui ont déjà eu le truc des pirates informatiques, nous montrerons comment supprimer le virus PETYA.
Méthode 1. Comment vous protéger du virus PETYA en créant un fichier de l'achèvement du virus
Immédiatement après le début des premières attaques à grande échelle, les spécialistes du monde entier ont commencé à penser et à rechercher le problème pourquoi cela s'est passé et comment y faire face. La première idée a été offerte des spécialistes de Symantec, comme en fait, vous pouvez tromper le virus pour des ordinateurs non encore infectés.
Comment cette façon fonctionne vous. Facile, le virus après avoir terminé le travail crée ce fichier lui-même. Si nous le faisons pour cela, Petya pensera déjà que l'ordinateur est infecté. Le chemin est vraiment simple et fiable. Puisque de nombreux programmes antivirus ne pouvaient pas le détecter. Bien que Microsoft affirme que même le défenseur Windows 10 sur le dernier assemblage puisse facilement en faire face. Qu'il s'agisse pas, n'a pas vérifié, n'a pas décidé immédiatement de le renforcer.
Méthode 2. Comment vous protéger du virus de Petya fermant le port nécessaire virus
Pour protéger, nous n'avons besoin que de fermer sur un ordinateur spécifique des ports TCP qui utilise un virus pour l'infection. Cette méthode convient également sans problèmes sur les systèmes d'exploitation précédents et sur Windows 10. Je vais vous montrer comment faire cela sur l'exemple de Windows 10, la dernière version.
Méthode pour 3. Protégez votre ordinateur de Petya Virus en mode automatique
Presque pour le paresseux, il existe un moyen de se protéger contre le virus Petit Utiliser juste un fichier. Ou le créer sur l'ordinateur lui-même.
- Ouvrez un ordinateur portable et insérez le code suivant:
@echo Autorisations d'administration offecho requises. Détecter les autorisations ...
Écho.
Session nette\u003e Nul 2\u003e & 1IF% ErrorLelvel% \u003d\u003d 0 (
Si Existe C: \\ Windows \\ Perfc (
Ordinateur d'écho déjà vacciné pour NOTPETYA / PETYA / PETNA / SORTAPETYA.
Écho.
) AUTRE (
ECHO Ceci est un fichier de vaccination NOTPETYA / PETTA / PETNA / SORTA / SORTAPETYA. Ne vous enlève pas car il vous protège d'être crypté par Petya. \u003e C: \\ Windows \\ Perfc
ECHO Ceci est un fichier de vaccination NOTPETYA / PETTA / PETNA / SORTA / SORTAPETYA. Ne vous enlève pas car il vous protège d'être crypté par Petya. \u003e C: \\ windows \\ perfc.dll
ECHO Ceci est un fichier de vaccination NOTPETYA / PETTA / PETNA / SORTA / SORTAPETYA. Ne vous enlève pas car il vous protège d'être crypté par Petya. \u003e C: \\ Windows \\ Perfc.DatatTatrib + R C: \\ Windows \\ Perfc
Attrib + R c: \\ windows \\ perfc.dll
Attrib + R c: \\ Windows \\ Perfc.Datecho ordinateur vacciné pour la version actuelle de NOTPETYA / PETTA / PETNA / SORTAPETYA.
Écho.
) AUTRE (
Échec de l'écho: Vous devez exécuter ce fichier de commandes en tant qu'administrateur.
)netsh Advfirewall Firewall Ajouter une règle Nom \u003d »Petya TCP» DIR \u003d en action \u003d Protocole de bloc \u003d TCP localport \u003d 1024-1035,135,139,445
Netsh Advfirewall Firewall Ajouter une règle Nom \u003d »Petya UDP» DIR \u003d en action \u003d Protocole de bloc \u003d UDP localPort \u003d 1024-1035,135,139,445
Pause - Enregistrez le fichier et modifiez les extensions de fichier sur .chauve souris..
- Appuyez sur le bouton de la souris droit et choisissez l'article. Exécuter sur le nom de l'administrateur.
Après avoir exécuté le Batnik, vous effectuez automatiquement la méthode 1 et la méthode 2, car il est si pratique et plus rapide. N'oubliez pas d'ouvrir le fichier BAT au nom de l'administrateur, sinon il n'y aura aucun changement. En principe, après cela, vous pouvez vérifier si les fichiers ont créé et si de nouvelles règles ont été créées.
Comment supprimer Petya Virus
Si vous êtes déjà arrivé au truc des pirates informatiques, a vu l'écran de la mort et éteint l'ordinateur de la peur, vous avez toujours la chance de tout restaurer vous-même.
- Vous devez créer un disque de démarrage ou avec antivirus, qui peut guérir un ordinateur du virus Petya. Pour cela, approprié, par exemple, Kaspersky Rescue Disk. ou ESET NOD32 LiveCD..
- Exécutez l'un d'entre eux à partir du lecteur flash sur l'ordinateur et attendez que l'antivirus puisse trouver et supprimer Petya.
- Si les fichiers ont toujours réussi à chiffrer, vous pouvez utiliser les fichiers utilitaires appropriés pour le déchiffrement, vous pouvez vous aider, par exemple, Explorateur d'ombre. ou Récupération de données Windows Stellar Phoenix.
Aussi à la dépense pour supprimer le virus PETYA, la réinstallation du système d'exploitation n'a pas été annulée.
Dans cet article, nous sommes désassemblés de la manière dont il protège contre le virus PETYA et sur la manière de supprimer le virus PETYA, si vous en êtes déjà tombé. En général, je vous conseille de faire attention aux archives d'auto-déballage avec l'extension.exe. Depuis dans la plupart des cas, vous êtes un mot ou un virus ou beaucoup de déchets que vous souhaitez supprimer. Eh bien, comme ils disent qu'il est préférable d'empêcher quoi corriger, alors osez. Écrire dans les commentaires Vous étiez un article utile et n'oubliez pas de vous abonner aux mises à jour.
Du 27 juin, le monde est distribué par un nouveau virus-crypter Petya, bloquant des ordinateurs avec Windows. Il pénètre dans les réseaux locaux dans les réseaux locaux. Les épidémies sont donc exposées presque exclusivement à l'organisation et non aux utilisateurs individuels. Pour déverrouiller chaque périphérique Petya demande 300 bitcoins de 300 $.
La plupart des victimes sont toujours en Ukraine (institutions de l'État attaquant, entreprises énergétiques, exploitants mobiles et banques) et en Russie (la principale victime - Rosneft). Mais maintenant, Petya, les plaintes viennent du monde entier. De même, les événements développés en mai, lorsque les réseaux d'entreprise ont été attaqués par une autre crypterie - Wannacry (Wannacrypt).
"Le secret" a demandé aux experts dans le domaine de la cybersécurité d'expliquer comment se protéger d'une telle attaque.
Kirill Ermakov
Directeur technique du groupe Qiwi
Lorsque les entreprises du monde entier ont souffert de Wannacry, il est devenu évident que beaucoup sont injustement référés à un tel processus de sécurité d'informations de base comme installation de mises à jour. Les attaquants ont utilisé les possibilités d'attaquer des systèmes inutiles avant, mais maintenant, il a finalement eu une grande publicité.
Le virus n'a utilisé aucune "arme secrète", "Vulnérabilités de zéro jour". Il a utilisé des vulnérabilités, "patchwork" qui existe depuis assez longtemps. Traditionnellement, les menaces de la sécurité de l'information sont sous-estimées. La tâche directe du directeur de la sécurité de l'information est d'expliquer aux collègues du niveau C que les Jeux se sont terminés et que les Kiberatak modernes peuvent simplement arrêter le travail de leur entreprise.
Le nouveau virus semblait d'abord comme le virus de Petya 2016, mais il s'est avéré qu'il avait une attitude très éloignée envers l'ancien virus. Si c'est du tout. Donc, maintenant, il apparaît sous la # netya, #notbrey, #petrwrap et a un identifiant Win32 / diskcoder.Setya.co.C.
Ce virus me semble très curieux et même vous pouvez dire, comme (techniquement). Comme à Wannacry, le programme EternalBlue est impliqué dans l'agence de sécurité nationale, qui utilise l'une des vulnérabilités de Windows dans les ordinateurs. Mais la propagation d'un nouveau virus a un autre vecteur: frapper une machine, elle produit des données de comptes avec une station de travail infectée et, les utilisant, en essayant de pénétrer tous les autres ordinateurs. C'est pourquoi il s'est avéré que beaucoup de ceux qui ont installé un patch contre Wannacry étaient toujours blessés à l'attaque de Petya / Nettyty. Les administrateurs système des entreprises font souvent une erreur dans la conception de l'infrastructure: construisez-la de sorte que le compte administrateur local approche toutes les machines.
De plus, Petya / Notteya est intéressant car les objectifs de ses créateurs ne sont pas évidents. S'ils voulaient beaucoup d'argent, ils auraient fait un virus qui n'essayait pas de tout crypter et ne nécessite pas de rachat et siège tranquillement dans un système de chevaux classique, puis utilisé pour une attaque ciblée. Mais dans ce cas, les assaillants ont gagné un sou, mais ont paralysé le travail de nombreuses grandes entreprises du monde entier. Peut-être que c'est une sorte de manipulation avec des cours de devises, des stocks?
Ceux qui veulent protéger leur entreprise de telles menaces ne peuvent donner qu'un seul conseil: faites attention aux administrateurs système, au service de sécurité et à leurs exigences. Les processus de sécurité des informations de base ne peuvent pas être alignés pour diverses raisons. Mais souvent, le principal problème est que les entreprises ne soutiennent pas les actions des ministères informatiques et IB, car il ne veut pas dépenser de l'argent et des ressources pour cela, sans comprendre pourquoi il est nécessaire. Mais il est parfois plus facile de subir des inconvénients liés à la mise à jour du logiciel que de tout perdre, sous-estimer la menace.
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Andrei Bryzgin
Responsable de l'audit et de la consultation dans le groupe IB
Cette attaque n'est clairement pas la dernière. Plus l'entreprise, la plus grande infrastructure informatique, plus il y a de fortes chances que au moins un ordinateur sera vulnérable, non-un peu oublié ou tout simplement oublié. Le virus Petya était suffisant d'un ordinateur vulnérable pour infecter tout le réseau. La sécurité de l'information devrait être engagée de manière exhaustive, notamment en utilisant des solutions spécialisées. L'audit de sécurité devrait être effectué régulièrement.
une). Installez les mises à jour des systèmes d'exploitation et des correctifs de systèmes de sécurité.
2). Configurez les filtres postaux pour sélectionner des archives cryptées.
3). Si les ordinateurs fonctionnent sous Windows, abonnez-vous aux notifications Microsoft pour la sécurité technique.
quatre). S'il existe des ordinateurs sans mises à jour dans le réseau d'entreprise, interdisez les employés à connecter des ordinateurs portables personnels.
cinq). Dépenser la formation des agents de sécurité de l'information.
6). Ne payez pas la rédemption aux extorqueurs. Pas du tout le fait qu'ils envoient des clés de cryptage. Le groupe-ib n'a aucune preuve que les données ont été restaurées après le paiement.
Groupe-ib 06/28/2017 17:18
5318
Le 27 juin en Ukraine, en Russie et dans plusieurs autres pays du monde, une cybercrat-attaque à grande échelle a été enregistrée en utilisant une nouvelle modification du crypter Petya.
La propagation du virus vient à l'aide d'un mailing phishing aux adresses e-mail des employés des entreprises. Après avoir ouvert une pièce jointe malveillante, un ordinateur cible avec cryptage des fichiers se produit.
Toute incorporation - .doc, .docx, .xls, .xlsx, .rtf et autres fichiers du format Microsoft Office peuvent contenir du contenu malveillant. Lors de l'ouverture d'une pièce jointe avec le virus "Petya", un logiciel malveillant sera défini à l'aide des vulnérabilités connues de CVE-2017-0199.
Le virus attend 30 à 40 minutes après l'infection (pour la distribution) et après que Petya crypte les fichiers locaux.
Pour décoder des extorsions nécessitent une rédemption de 300 $ de bitcoins sur le portefeuille Internet.
Victimes
Au cours des 2 premières heures, l'énergie, les télécommunications et les sociétés financières ont été attaquées - en conséquence, plus de 100 entreprises du monde ont été infectées:- en Russie: Rosneft, Bashneft, Banque de crédit à domicile, Evraz et autres;
- En Ukraine: "Zaporozhelenergo", "Dneproenergo", "Dneprovskaya Electricity System", Mondelez International, Oschadbank, Mars, "Nouveau-mail", NIVEA, TESA, KIEV METRO, Ordinateurs gouvernementaux en Ukraine, Achan Shops, Opérateurs ukrainiens ("Kyivstar , LifeCell, Ukrtelecom, Privatbank, Aéroport de Borispol et autres;
- Dans le monde: Géant biopharmaceutique américain Merck, Maersk, Inde, Australie, Estonie et autres.
Qu'est-ce qui doit être fait pour protéger?
1. Prenez des mesures pour lutter contre Mimikatz et les techniques pour augmenter les privilèges dans les réseaux Windows.2. Installez le patch KB2871997.
3. Touche de registre: HKEY_LOCAL_MACHINE / SYSTÈME / CurrentControlset / Contrôle / SecurityProviders / WDigest / UselogonCredential Install in 0.
4. Assurez-vous que les mots de passe des administrateurs locaux sur toutes les stations de travail et des serveurs sont différents.
5. Modification d'édition Tous les mots de passe des utilisateurs privilégiés (administrateurs système) dans les domaines.
6. PATCHES PATCHES de CVE-2017-0199 et EternalBlue (MS17-010).
7. Sélectionnez essentiellement les droits de l'administrateur à tous ceux qui ne sont pas nécessaires.
8. N'autorisez pas les utilisateurs à connecter des ordinateurs portables au réseau local jusqu'à ce que les correctifs soient installés sur tous les ordinateurs du réseau.
9. Sauvegarde régulière tous les systèmes critiques. Utilisez idéalement les deux options - Sauvegarde dans le nuage et les supports amovibles.
10. Mettre en œuvre la politique «zéro confiance» et mener une formation en matière de sécurité pour ses employés.
11. Déconnectez le SMBV1 sur le réseau.
12. Abonnez-vous aux notifications de sécurité technique Microsoft. 1. Vous parrainez des criminels.
2. Nous n'avons aucune preuve que les données de ceux qui ont payé la rançon ont été restaurées.
Récemment, le cauchemar rêve de chacun ressemble à ceci: vous tournez votre ordinateur et voyez le message mystérieux que vos fichiers sont cryptés. Vous réaliserez bientôt que vos données sont probablement perdues pour toujours - même si vous payez la rançon des pirates.
Le nouveau virus de Petya (également appelé NOTPETYA) dans une affaire d'horloge frappée en Europe, mais l'Ukraine était la plus touchée - les dommages ont été reçus par le système d'électricité, les banques, les agences gouvernementales et les aéroports du pays. Les premiers symptômes d'attaques ont été manifestés le 27 juin, lorsque la Banque nationale de l'Ukraine et de l'aéroport international de Kiev ont été victimes du virus. Il est rapporté que même les systèmes de surveillance de rayonnement à Tchernobyl souffrent. Mais Petya, qui est axé sur le système d'exploitation Windows, n'est pas resté là-bas. Microsoft a confirmé que les ordinateurs étaient infectés dans 64 pays. L'infection n'a pas de contournement et des utilisateurs ordinaires. Il est arrivé au point que les institutions ont éteint leurs sites et que les utilisateurs n'incluaient pas un ordinateur pour ne pas démarrer le virus.
Mais cette fois-ci, il y avait un vaccin du virus, qui protège le PC de la pénétration du virus, du moins encore. Selon Symantec, en fonction de Symantec, notamment sophistiqué, car au lieu de créer un cryptage simple des fichiers système, il modifie en réalité l'enregistrement de démarrage principal de l'ordinateur pour chiffrer le disque dur. Après infection, le système affiche un message nécessitant des bitcoins d'une valeur de 300 $. Cependant, depuis l'adresse électronique spécifiée pour confirmer que la rançon a été payée, a été désactivée par le fournisseur de messagerie, il est peu de chances que la clé de déchiffrement soit fournie, même si la victime est payée. En substance, ceux qui ont frappé les pattes de Petya peuvent dire au revoir à leurs fichiers.
Mais la situation n'est pas sans espoir. Pour ceux qui ne veulent pas ou ne peuvent tout simplement pas se permettre d'éteindre leur ordinateur et d'attendre que tout passe, il y a une arme dans la bataille contre cette attaque. Heureusement, c'est un très simple produit à la maison.
Chercheur de sécurité nommé Amit Serpence, il semble avoir trouvé un moyen de toutes les étapes de lumière multiples pour empêcher le lancement de logiciels malveillants sur des ordinateurs vulnérables. Son observation, confirmée par d'autres chercheurs, a découvert que Petya recherche un fichier spécifique sur l'ordinateur avant de crypter son contenu. Si ce fichier est situé, le virus n'infecte pas PC.
Amit Serper affirme que tous les utilisateurs intéressés doivent créer un fichier avec le nom "PERFC" dans le dossier C: \\ Windows. Il est important de noter que le fichier doit être lu uniquement et il ne doit pas avoir d'expansion (comme.txt, .jpg, .doc, etc.).
De plus, ne vous empêche pas d'installer des mises à jour de sécurité Windows. EternalBlue Exploit utilisé par le virus PETYA est basé sur les vulnérabilités du serveur du message serveur (SMB), qui a été corrigée en mars.
Comme l'explique le serbeur, le maintien de Windows Windows en utilisant les correctifs de sécurité et la création du fichier ci-dessus devrait suffire à résister à Petya. Bien que cela ne puisse plus aider la Banque Nationale de l'Ukraine, vous pouvez le sauvegarder.
L'épidémie du virus du crypter a commencé. Il n'y a pas d'opinion sans ambiguïté sur l'origine et la nature des logiciels malveillants. Ils notent que cela ressemble au virus Petya, connu depuis le début de l'année dernière et à Tom, le déchiffrement était déjà prêt. Toutefois, pour distribuer une nouvelle modification, elle s'appelle NONTEYETY, Exyba, PETYA.A - utilise des vulnérabilités "fraîches". Y compris celui qui a pu éclairer sur les ordinateurs de Wannacry.
Le nouveau "Petya" tombe sur l'ordinateur, crypte les fichiers, essayant de briser les machines adjacentes, après quoi il redémarre le système. Pendant le démarrage, il simule le fonctionnement de l'utilitaire de vérification du disque dur, puis ouvre les cartes: les fichiers sont cryptés, je dois acheter. L'argent est demandé à 300 dollars, mais nécessairement dans des bitcoins. Puisque Bitcoin vous permet de voir toutes les opérations et équilibrer, en sachant que l'adresse du portefeuille, nous avons découvert que le premier jour, l'extorqueur d'attaque a reçu environ 10 000 dollars.
Informations sur le portefeuille Bitcoin de l'extorsionniste (au moment de la publication)
Image typique dans de nombreux bureaux de Russie hier
Comme des infectes de Petya
Il y a deux étapes complètement différentes: entrer dans l'intérieur d'un réseau et d'une distribution.
Donc, que Petya est tombé à un ordinateur dans le réseau de l'organisation, il est simplement envoyé par courrier électronique. Ça arrive tellement. Un employé reçoit une lettre avec un document de bureau. Lorsque vous ouvrez un mot (ou Excel, ou une autre application de l'emballage), un utilisateur avertit que le document contient un pointeur sur un fichier externe. Si cet avertissement est ignoré, le virus sera démarré et démarré. Et si le bureau MS n'a pas été mis à jour sur l'ordinateur pendant une longue période, l'avertissement n'apparaîtra même pas.
Après cela, la deuxième vie de Petit commence. Cryer des fichiers et écraser la zone amorçable du disque dur, il tente d'accéder à d'autres ordinateurs du même réseau. Pour cela, il a deux méthodes. La première est une vulnérabilité dans le service réseau SMBV1. Elle est responsable de "l'environnement de réseau", mais ce dernier numéro de version 1 n'est pas utilisé pendant une longue période. Dans le même temps, il est activé par défaut même dans les versions modernes de Windows. Cette vulnérabilité est devenue le domaine public en mars, lorsque son code d'exploitation figurait parmi les fuites de la NSA, et le virus de WannaCry l'utilisait, a frappé des milliers d'ordinateurs en mai. Après cette épidémie, seuls les paresseux ou audacieux n'ont pas installé Patchwork pour Windows.
Mais il y a une seconde façon. Petya, s'il est lancé par l'utilisateur avec des droits d'administrateur, reçoit des informations sur tous les comptes sur un ordinateur, y compris les réseaux de domaine utilisés dans cette organisation. Armé de telles informations, le virus peut accéder à d'autres ordinateurs sur le réseau et les infecter.
Que faire si j'ai été infecté
Premièrement, en aucun cas, ne traduisez pas l'argent au portefeuille Bitcoin. La Hoster a déjà bloqué la boîte aux lettres sur laquelle, selon les instructions du virus, la victime devrait envoyer des preuves de paiement. Même si les auteurs de logiciels malveillants allaient garder le mot et recevoir de l'argent pour émettre les clés de déverrouillage, ils ne pourraient plus le faire.
Deuxièmement, acceptez comme une mesure qui, très probablement, vous ne pourrez pas déchiffrer les données sur cet ordinateur. Les spécialistes de la sécurité de l'information conseillent simplement formater le disque dur et démarrez la récupération des fichiers à partir de sauvegardes.
Que faire si pas encore infecté
Créer dans le répertoire C: \\ Windows Dossier avec nom perfc. (Sans expansion, mais il y a des informations que le nom convient perfc.dat.) Et dans les propriétés du fichier, cochez la case "Lecture seule". Le virus vérifie la présence de ce fichier et s'il le voit, il croit que l'ordinateur est déjà "au travail".
Effectuez régulièrement des sauvegardes de vos données sur le transporteur externe. Il ne peut s'agir que d'un disque externe (mais il ne doit pas être constamment connecté) ou un service réseau qui ne donne pas accès direct aux fichiers de copie ou à nouveau - à nouveau avec la possibilité de revenir aux versions précédentes des fichiers.
