Во вторник 27 июня компании ряда стран пострадали от атак модифицированной версией ПО "Petya". По последним данным пострадали пользователи в таких странах, как Украина, Италия, Израиль, Сербия, Румыния, США (Россия на 14 месте, по количеству заражения). UserGate UTM обеспечивает возможность защиты от данной уязвимости.
Заражение происходит через механизм обновления в ПО M.E.Doc, через эксплойт "EthernalBlue" и эксплойт устаревшей версии SMB (SMBv1). Троян добавляет задание перезагрузки ПК, через 60 минут после заражения ПК перезагружается. После заражения ПК, он распространяется по локальной сети с помощью инструмента LSADump. LSADump - инструмент по сбору парольных хешей windows, что позволяет ему получить хеш пароля администратора и заразить всю сеть без необходимости в эксплойтах, которые указаны в методах первоначального заражения.
Данный троян-шифровальщик является модифицированной версией "WannaCry", в этой связи необходимо:
- Удостоверится, что все версии операционных систем Windows имеют последние актуальные патчи;
- Отключить SMBv1;
- Изолировать ПК с необновленными ОС Windows от большого сегмента сети;
- Добавить в UserGate UTM правило межсетевого экрана с блокировкой Botnet сетей;
- Включить модуль СОВ и настроить его политику;
- Включить проверку Почтового трафика - Mail Security.
Все эти меры позволяют свести к минимуму риски заражения сети компании. Подробнее...
