Положителни технологии експерти представиха подробен анализ на нов зловреден софтуер и направени препоръки за борба с него.

Петя - всичко, което трябва да знаете за новите криптографите

Анализ на пробата за изнудване, извършена от експерти на Положителни Technologies, е показал, че за действие се основава на принципа на Петя шифроване сектор диск за зареждане на главния зареждащ запис (MBR) и заместването му с неговата.

Набор от инструменти, използвани за атака Петя позволява шифър продължим да работим дори и в тези среди, където урокът WannaCry и инсталира актуализацията на защитата е била отчетени, което е и причината шифъра е толкова ефективна.

Как Петя

След стартиране на зловреден файл е създаден задача да рестартирате компютъра, забавено в продължение на 1-2 часа, през което време можете да управлявате, за да стартирате bootrec / Fixmbr да възстановите MBR и възстановяване на операционната система. Затова започнете системата дори и след като е възможен компромис, но няма да бъде в състояние да разшифровате файлове. За всеки диск генерира ключ за него AES, която съществува в паметта, докато процесът завърши. Той е криптирана на публичния ключ на RSA и отстранени. възстановяване на съдържание след завършване изисква познаване на частния ключ, така че без знанието на данните не могат да бъдат възстановени от ключово значение. Предполага се, че вирусът криптира файлове с размер до дълбочина от 15 директории. Това означава, че прикачените файлове на голяма дълбочина, са безопасни (поне за тази модификация шифър).

Петя има функционалност, която позволява да се разпространи и в други компютри, и този процес се лавинообразно. Това позволява на шифър компромис включително домейн контролер и развитие на атака, за да поеме контрола над всички възли на домейни, което е еквивалентно на пълно компрометиране на инфраструктурата.

Как да се предпазите от атаките Петя

За да се избегне превръщането жертва на подобна атака, трябва първо да актуализирате софтуера, използван за текущата версия, по-специално, за да инсталирате всички най-новите актуализации MS Windows. Освен това, необходимо е да се сведе до минимум привилегии на потребителя на работната станция.

Всички компютри имат нужда да се инсталира антивирусен софтуер с функцията самозащита е свързана с навлизане специална парола, за да забраните или промяна на настройките. В допълнение, е необходимо да се гарантира редовното актуализиране на софтуера и операционните системи на всички възли в корпоративната инфраструктура, както и ефективен процес на уязвимостта и управление на кръпките. Редовното провеждане на одити по сигурността на информацията и проникване тестване ще се даде време да се идентифицират съществуващите пропуски защита и уязвимостите на системите. Редовен корпоративна мрежа периметър за наблюдение ще следи достъпно през уеб интерфейса, на мрежовите услуги и навреме, за да се направят корекции в конфигурацията на защитните стени. За е настъпило ранното откриване и потискане на атаките трябва да наблюдават вътрешния мрежова инфраструктура, която е препоръчително да се използва клас SIEM система.

Въз основа на материали от Положителни Technologies