Chuyên gia Semalt - Làm thế nào để chống lại Petya, NotPetya, GoldenEye và Petrwrp?

Forcepoint Security Labs đã gọi nó là một ổ dịch Petya, nhưng các nhà cung cấp khác đang sử dụng các từ thay thế và tên bổ sung cho nó. Tin vui là mẫu này đã xóa bài kiểm tra vịt và bây giờ các tệp có thể được mã hóa trên đĩa mà không thay đổi phần mở rộng của chúng. Bạn cũng có thể thử mã hóa Master Boot Record và kiểm tra hậu quả của nó trên các thiết bị máy tính.

Trả tiền yêu cầu tiền chuộc của Petya

Igor Gamanenko, Giám đốc Thành công của Khách hàng của Semalt , đề nghị bạn không nên trả tiền chuộc bằng bất cứ giá nào.

Tốt hơn là hủy kích hoạt ID email của bạn thay vì trả tiền chuộc cho tin tặc hoặc kẻ tấn công. Cơ chế thanh toán của họ thường mong manh và không hợp pháp. Nếu bạn phải trả tiền chuộc thông qua ví BitCoin, kẻ tấn công có thể lấy cắp nhiều tiền hơn từ tài khoản của bạn mà không cho bạn biết.

Ngày nay, rất khó để có được các tệp không được mã hóa bất kể thực tế là các công cụ giải mã sẽ có sẵn trong những tháng tới. Tuyên bố về Bảo vệ & Vector Nhiễm Microsoft tuyên bố rằng nhà cung cấp dịch vụ lây nhiễm ban đầu có nhiều mã độc hại và các bản cập nhật phần mềm không hợp pháp. Trong trường hợp như vậy, nhà cung cấp đó có thể không thể phát hiện vấn đề theo cách tốt hơn.

Việc lặp lại hiện tại của Petya nhằm tránh các vectơ truyền thông đã được lưu bởi các cổng bảo mật email và bảo mật web. Rất nhiều mẫu đã được phân tích bằng các thông tin khác nhau để tìm ra giải pháp cho vấn đề.

Sự kết hợp của các lệnh WMIC và PSEXEC tốt hơn nhiều so với khai thác SMBv1. Đến bây giờ, không rõ liệu một tổ chức tin tưởng các mạng của bên thứ ba sẽ hiểu các quy tắc và quy định của các tổ chức khác hay không.

Do đó, chúng ta có thể nói rằng Petya không mang đến bất ngờ cho các nhà nghiên cứu của Forcepoint Security Labs. Kể từ tháng 6 năm 2017, Forcepoint NGFW có thể phát hiện và chặn các đòn bẩy khai thác SMB của những kẻ tấn công và tin tặc.

Deja vu: Petya Ransomware và khả năng lan truyền SMB

Vụ dịch Petya được ghi nhận vào tuần thứ tư của tháng 6 năm 2017. Nó đã có tác động lớn đến các công ty quốc tế khác nhau, với các trang web tin tức cho rằng các hiệu ứng là lâu dài. Forcepoint Security Labs đã phân tích và xem xét các mẫu khác nhau liên quan đến các vụ dịch. Có vẻ như các báo cáo của Forcepoint Security Labs chưa được chuẩn bị hoàn chỉnh và công ty yêu cầu thêm thời gian trước khi có thể đưa ra một số kết luận. Do đó, sẽ có một độ trễ đáng kể giữa quy trình mã hóa và chạy phần mềm độc hại.

Cho rằng virus và phần mềm độc hại khởi động lại máy, có thể cần vài ngày trước khi kết quả cuối cùng được tiết lộ.

Kết luận và đề nghị

Kết luận và đánh giá về một tác động sâu rộng của các vụ dịch là rất khó để rút ra ở giai đoạn này. Tuy nhiên, có vẻ như đây là nỗ lực cuối cùng để triển khai các phần ransomware tự lan truyền. Đến bây giờ, Forcepoint Security Labs nhằm mục đích tiếp tục nghiên cứu về các mối đe dọa có thể. Công ty có thể sớm đưa ra kết quả cuối cùng, nhưng nó đòi hỏi một lượng thời gian đáng kể. Việc sử dụng khai thác SMBvi sẽ được tiết lộ sau khi Phòng thí nghiệm bảo mật Forcepoint trình bày kết quả. Bạn nên đảm bảo rằng các bản cập nhật bảo mật được cài đặt trên hệ thống máy tính của bạn. Theo chính sách của Microsoft, khách hàng nên vô hiệu hóa SMBv1 trên mọi hệ thống Windows, nơi nó ảnh hưởng tiêu cực đến các chức năng và hiệu suất của hệ thống.