Wirus Petya odpowiedzialny za ataki ransomware w Europie Środkowowschodniej
Ransomware Petya
W ubiegłym tygodniu liczne instytucje finansowe, organizacje rządowe oraz przedsiębiorstwa z regionu Europy Środkowowschodniej, w tym polskie, zostały zaatakowane przez wirusa Petya (nazywanym również GoldenEye lub PetrWrap).
Przebieg ataku
Laboratoria producenta Sophos® ustaliły, że ransomware używa exploitu EternalBlue, aby szerzyć się w obranej za cel sieci. Wspomniany exploit atakuje usługę Windows SMB, która służy do współdzielenia plików oraz drukarek w ramach sieci lokalnych. Petya podejmuje również próby wewnętrznego rozprzestrzeniania się poprzez złamanie hasła administratora i infekowanie innych komputerów używając do tego zdalnych narzędzi administratora. Dodatkowo wirus jest w stanie rozprzestrzeniać się wewnętrznie poprzez zainfekowanie udziałów sieciowych na innych komputerach. Jest to możliwe, ponieważ Petya uruchamia kod przechwytujący dane uwierzytelniające i próbuje złamać hasła użytkowników, a następnie uruchomić ransomware. Zainfekowanie komputerów zdalnych jest możliwe, gdyż wirus wykorzystuje legalne narzędzie administracyjne – PsExec z pakietu Microsoft SysInternals.
Jak się chronić?
Co możesz zrobić, aby zabezpieczyć się przed atakiem? Poniżej kilka najważniejszych porad:
- upewnij się, że wszystkie systemy są zaopatrzone w najnowsze „łatki”, łącznie z „łatką” zamieszczoną w biuletynie Microsoft MS17-010
- rozważ zablokowanie narzędzia Microsoft PsExec na komputerach użytkowników
- regularnie wykonuj backup i przechowuj jego kopię poza lokalizacją źródłową
- unikaj otwierania załączników z maili pochodzących od nieznanych adresatów
Bezpłatne narzędzia Sophos® do ochrony przed ransomware
Zachęcamy do pobrania bezpłatnych narzędzi producenta Sophos, które wspomogą Cię w walce z ransomware.
Sophos XG Firewall dla użytkowników domowych
Sophos Mobile Security dla systemu Android
Narzędzie Sophos do usuwania wirusów
Antywirus dla Linux
Przetestuj Sophos Intercept X za darmo!
Źródło