Pakar Semalt - Bagaimana Memerangi Petya, NotPetya, GoldenEye Dan Petrwrp?

Forcepoint Security Labs telah menyebutnya sebagai wabak Petya, tetapi vendor lain menggunakan kata alternatif dan nama tambahan untuknya. Berita baiknya ialah sampel ini telah membersihkan ujian bebek, dan sekarang fail dapat disulitkan pada disk tanpa mengubah sambungannya. Anda juga boleh mencuba mengenkripsi Master Boot Record dan memeriksa kesan selepasnya pada peranti komputer.

Membayar permintaan tebusan Petya

Igor Gamanenko, Pengurus Kejayaan Pelanggan Semalt , menyarankan agar anda tidak membayar wang tebusan dengan kos apa pun.

Lebih baik nyahaktifkan ID e-mel anda daripada membayar tebusan kepada penggodam atau penyerang. Mekanisme pembayaran mereka biasanya rapuh dan tidak sah. Sekiranya anda membayar wang tebusan melalui dompet BitCoin, penyerang mungkin mencuri lebih banyak wang dari akaun anda tanpa memberitahu anda.

Hari-hari ini, menjadi sangat sukar untuk mendapatkan fail yang tidak disulitkan tanpa mengira hakikat bahawa alat penyahsulitan akan tersedia dalam beberapa bulan mendatang. Pernyataan Vektor & Perlindungan Infeksi Microsoft mendakwa bahawa vendor jangkitan awal mempunyai pelbagai kod berbahaya dan kemas kini perisian yang tidak sah. Dalam keadaan seperti itu, vendor tersebut mungkin tidak dapat mengesan masalah dengan cara yang lebih baik.

Iterasi terkini Petya bertujuan untuk mengelakkan vektor komunikasi yang disimpan oleh gerbang keselamatan e-mel dan keselamatan web. Sebilangan besar sampel telah dianalisis menggunakan bukti kelayakan yang berbeza untuk mengetahui penyelesaian masalah tersebut.

Gabungan arahan WMIC dan PSEXEC jauh lebih baik daripada eksploitasi SMBv1. Setakat ini, tidak jelas sama ada organisasi yang mempercayai rangkaian pihak ketiga akan memahami peraturan dan undang-undang organisasi lain atau tidak.

Oleh itu, kita dapat mengatakan bahawa Petya tidak mengejutkan para penyelidik Forcepoint Security Labs. Pada bulan Jun 2017, Forcepoint NGFW dapat mengesan dan menyekat keuntungan eksploitasi SMB oleh penyerang dan penggodam.

Deja vu: Kebolehan penyebaran Petya Ransomware dan SMB

Wabak Petya dicatatkan pada minggu keempat bulan Jun 2017. Ia memberi kesan besar kepada pelbagai syarikat antarabangsa, dengan laman web berita mendakwa bahawa kesannya tahan lama. Makmal Keselamatan Forcepoint telah menganalisis dan mengkaji pelbagai sampel yang berkaitan dengan wabak tersebut. Nampaknya laporan Makmal Keselamatan Forcepoint tidak disiapkan sepenuhnya, dan syarikat itu memerlukan masa tambahan sebelum dapat membuat kesimpulan. Oleh itu, terdapat kelewatan yang ketara antara prosedur penyulitan dan menjalankan perisian hasad.

Memandangkan virus dan perisian hasad menghidupkan semula mesin, mungkin diperlukan beberapa hari sebelum hasil akhir didedahkan.

Kesimpulan dan cadangan

Kesimpulan dan penilaian mengenai implikasi yang luas dari wabak ini sukar diambil pada tahap ini. Namun, sepertinya ini adalah usaha terakhir untuk menyebarkan ransomware yang menyebarkan diri. Sehingga kini, Forcepoint Security Labs bertujuan untuk meneruskan penyelidikannya mengenai kemungkinan ancaman. Syarikat akan segera menghasilkan keputusan akhir, tetapi memerlukan banyak masa. Penggunaan eksploitasi SMBvi akan didedahkan setelah Makmal Keselamatan Forcepoint memberikan hasilnya. Anda harus memastikan bahawa kemas kini keselamatan dipasang pada sistem komputer anda. Sesuai dengan kebijakan Microsoft, klien harus mematikan SMBv1 pada setiap sistem Windows di mana ia mempengaruhi fungsi dan prestasi sistem secara negatif.