Dėl viruso „Petya“ kibernetinės atakos
2017-06-28
„Petya“ - nauja „WannaCry“ šifruojančio ir išpirkos prašančio viruso atmaina. Pradėjo plisti pastarosiomis dienomis, labiausiai paveikė Ukrainos valstybines ir kitas dideles įstaigas – bankus, oro uostus, degalines, fabrikus ir t.t., tačiau per pastarąją parą išplito ir už šios šalies ribų. Užkrėstas įrenginys būna perkraunamas ir užšifruojami duomenys, nebepasiekiama operacinė sistema. Virusas taip pat bando panaudoti užkrėsto vartotojo prisijungimo duomenis ir prisijungti prie kitų tinkle esančių įrenginių, todėl ši ataka yra dar pavojingesnė už „WannaCry“. „Petya“ naudojasi surasta „EternalBlue“ saugumo spraga ir plitimui naudoja SMB failų dalinimosi protokolą.
Išsamus situacijos paaiškinimas iš „Microsoft“.
Nedelsiant patariame imtis šių priemonių:
- Sudiegti paskutinius atnaujinimus Microsoft, Adobe, Apple, Oracle ir bet kokių kitų patikimų gamintojų programinei įrangai.
- Esant galimybei, išjungti SMBv1 protokolą. Retu atveju jis vis dar naudojamas senų spausdintuvų, tinklo įrenginių.
- Esant galimybei užblokuoti TCP 445 prievadą.
- Esant galimybei išjungti WMIC.
- Išmigruoti iš nebepalaikomų, nesaugių operacinių sistemų tokių kaip Windows XP, Windows Server 2003.
- „Admin“ teises palikti tik administravimo tikslams. Vartotojams dažnu atveju užtenka įprastų teisių kasdieniam darbui.
- Office ir Adobe programinėje įrangoje naudoti „Protected“ (macro-disabled) režimą – taip apsaugoma nuo automatinių virusų plitimų atidarant užkrėstus dokumentus.
- Nepatvirtintas saugumo specialistų patarimas, kaip papildomai apsisaugoti (surastas “kill-switch”) – sukurti failą "C:\Windows\perfc"
keturi svarbūs dalykai norint apsisaugoti nuo šio (ir ne tik) viruso:
- Atsarginės kopijos
- Sudiegti OS ir AV atnaujinimai
- Išjungtos nereikalingos funkcijos (šiuo atveju SMB1)
- Žinoma, visada būtina neatidarinėti įtartinų el. laiškų, nesilankyti abejotinos reputacijos svetainėse.
