ผู้เชี่ยวชาญ Semalt - วิธีการต่อสู้ Petya, NotPetya, GoldenEye และ Petrwrp?

ห้องปฏิบัติการรักษาความปลอดภัย Forcepoint เรียกมันว่า Petya outbreak แต่ผู้ค้ารายอื่นใช้คำอื่นและชื่อเพิ่มเติม ข่าวดีก็คือตัวอย่างนี้ได้ทำการทดสอบเป็ดและตอนนี้ไฟล์สามารถเข้ารหัสบนดิสก์ได้โดยไม่ต้องเปลี่ยนนามสกุล คุณสามารถลองเข้ารหัสมาสเตอร์บูตเรกคอร์ดและตรวจสอบผลกระทบหลังจากนั้นบนอุปกรณ์คอมพิวเตอร์

การชำระค่าไถ่เรียกร้องของ Petya

Igor Gamanenko ผู้จัดการความสำเร็จของลูกค้าของ Semalt แนะนำให้คุณไม่จ่ายค่าไถ่ในราคาใด ๆ

เป็นการดีกว่าที่จะปิดใช้งานอีเมล ID ของคุณแทนที่จะจ่ายเงินค่าไถ่ให้กับแฮกเกอร์หรือผู้โจมตี กลไกการชำระเงินของพวกเขามักจะเปราะบางและไม่ถูกกฎหมาย หากคุณต้องจ่ายค่าไถ่ผ่านกระเป๋าเงิน BitCoin ผู้โจมตีอาจขโมยเงินจำนวนมากจากบัญชีของคุณโดยไม่แจ้งให้คุณทราบ

วันนี้มันเป็นเรื่องยากมากที่จะได้รับไฟล์ที่ไม่มีการเข้ารหัสโดยไม่คำนึงถึงความจริงที่ว่าเครื่องมือถอดรหัสจะมีวางจำหน่ายในอีกไม่กี่เดือนข้างหน้า ถ้อยแถลงการป้องกันและ Vector เกี่ยวกับการติดเชื้อ Microsoft อ้างว่าผู้จำหน่ายติดไวรัสเริ่มต้นมีรหัสที่เป็นอันตรายต่าง ๆ และการปรับปรุงซอฟต์แวร์ที่ไม่ถูกกฎหมาย ในสถานการณ์เช่นนี้ผู้ขายนั้นอาจไม่สามารถตรวจพบปัญหาในวิธีที่ดีกว่า

การทำซ้ำปัจจุบันของ Petya มีจุดมุ่งหมายเพื่อหลีกเลี่ยงเวคเตอร์การสื่อสารที่ได้รับการบันทึกโดยความปลอดภัยของอีเมลและเกตเวย์รักษาความปลอดภัยของเว็บ ตัวอย่างจำนวนมากได้รับการวิเคราะห์โดยใช้ข้อมูลรับรองที่แตกต่างกันเพื่อค้นหาวิธีแก้ไขปัญหา

การรวมกันของคำสั่ง WMIC และ PSEXEC นั้นดีกว่าการใช้ประโยชน์จาก SMBv1 ณ ตอนนี้ยังไม่ชัดเจนว่าองค์กรที่เชื่อถือเครือข่ายบุคคลที่สามจะเข้าใจกฎและข้อบังคับขององค์กรอื่น ๆ หรือไม่

ดังนั้นเราจึงสามารถกล่าวได้ว่า Petya ไม่ได้สร้างความประหลาดใจให้กับนักวิจัยของ Forcepoint Security Labs เมื่อวันที่มิถุนายน 2017, Forcepoint NGFW สามารถตรวจจับและบล็อก SMB หาประโยชน์จากการโจมตีและแฮกเกอร์

Deja vu: Petya Ransomware และความสามารถในการเผยแพร่ SMB

การระบาดของโรค Petya ได้รับการบันทึกในสัปดาห์ที่สี่ของเดือนมิถุนายน 2017 มันมีผลกระทบอย่างมากต่อ บริษัท ต่างประเทศหลายแห่งโดยมีเว็บไซต์ข่าวที่อ้างว่ามีผลกระทบยาวนาน ห้องปฏิบัติการความปลอดภัยของ Forcepoint ได้วิเคราะห์และตรวจสอบตัวอย่างต่าง ๆ ที่เกี่ยวข้องกับการระบาด ดูเหมือนว่ารายงานของ Forcepoint Security Labs ยังไม่ได้จัดทำทั้งหมดและ บริษัท ต้องการเวลาเพิ่มเติมก่อนที่จะเกิดข้อสรุปบางอย่าง ดังนั้นจะมีความล่าช้าที่สำคัญระหว่างขั้นตอนการเข้ารหัสและการเรียกใช้มัลแวร์

เนื่องจากไวรัสและมัลแวร์รีบูตเครื่องอาจต้องใช้เวลาหลายวันก่อนที่ผลลัพธ์ขั้นสุดท้ายจะถูกเปิดเผย

สรุปและข้อเสนอแนะ

บทสรุปและการประเมินผลการระบาดอย่างกว้างขวางของการระบาดในช่วงนี้ อย่างไรก็ตามดูเหมือนว่าเป็นความพยายามครั้งสุดท้ายในการปรับใช้ชิ้นส่วนแรนซัมแวร์ที่เผยแพร่ด้วยตนเอง ณ ตอนนี้ Forcepoint Security Labs มีเป้าหมายที่จะดำเนินการวิจัยเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นต่อไป บริษัท อาจเกิดขึ้นในไม่ช้าด้วยผลลัพธ์ขั้นสุดท้าย แต่ต้องใช้เวลาพอสมควร การใช้ประโยชน์จาก SMBvi จะถูกเปิดเผยเมื่อ Forcepoint Security Labs แสดงผลลัพธ์ คุณควรตรวจสอบให้แน่ใจว่ามีการติดตั้งการปรับปรุงความปลอดภัยในระบบคอมพิวเตอร์ของคุณ ตามนโยบายของ Microsoft ลูกค้าควรปิดการใช้งาน SMBv1 ในทุกระบบ Windows ที่มีผลกระทบในทางลบต่อฟังก์ชั่นและประสิทธิภาพของระบบ

mass gmail