Одним только патчем - Petya не остановить.

11 июль 2017

 С начала распространения вымогателя Petya, который сильнее всего ударил по Украине, а также задел такие компании, как американский фармацевтический гигант Merck, датская судоходная компания AP Moller-Maersk, британская рекламная фирма WPP, французская Saint-Gobain, российские металлургические, горнодобывающие и нефтяные компании «Евраз» и «Роснефть», о нем уже набралось достаточно большое количество информации.

 И, совсем не удивительно, что в каждом упоминании о Petya присутствует ссылка на WannaCry, эпидемия которого свирепствовала полтора месяца назад. Это объясняется как недавним появлением WannaCry, так и тем, что оба зловреда являются вымогателями и используют одну и ту же уязвимость EternalBlue, присутствующую на машинах без обновления MS17-010.

 Среди многочисленного потока информации (и дезинформации) мы хотим сделать акцент на нескольких важных различиях, которые могут быть упущены при ассоциации Petya с WannaCry. В частности, уязвимость EternalBlue, которая исправлена в патче MS17-010, не единственный способ, используемый Petya для внедрения. Существует и другой механизм, и он не отключается простой установкой патча MS17-010. Согласно отчету Kaspersky, машина, зараженная Petya, начинает захватывать локальные учетные данные из локального центра безопасности Windows (lsass.exe), а затем использует их через инструмент PsExec или WMI для удаленного заражения других машин в сети. Сети многих компаний настроены так, что подобная активность не вызовет подозрений и не будет заблокирована, так как будет рассматриваться как обычное удаленное администрирование. В конце концов, PsExec - легальный инструмент командной строки Windows SysInternals, а WMI - инструмент управления Windows. При захвате контроля над этими инструментами администрирования, Petya может очень быстро внедриться в остальные машины, не зависимо от того установлен ли на них патч MS17-010 или нет.

 Еще одно важное различие между Petya и WannaCry заключается в том, что в Petya не встроен выключатель «KillSwitch», как это было с WannaCry. Вопреки многим предположениям, ASERT так и не нашла никаких признаков присутствия функции управления или отключения.

 В итоге вышесказанного - не стоит испытывать ложных иллюзий безопасности после установки одного только патча MS17-010, так как он не является панацеей. В то же время необходимо применять проверенные правила разграничения сети и прав, которые помогут минимизировать последствия в случае заражения Petya и другим вредоносным ПО. Кроме того, обратите внимание, что следующие сигнатуры ET Pro срабатывают при распространении Petya и потому могут быть использованы для обнаружения заражения с помощью продуктов сетевой безопасности, таких как Arbor Networks Spectrum:

2001569 – ET SCAN Behavioral Unusual Port 445 traffic Potential Scan or Infection

2012063 – ET NETBIOS Microsoft SRV2.SYS SMB Negotiate ProcessID Function Table Dereference

2024297 – ET CURRENT_EVENTS ETERNALBLUE Exploit M2 MS17-010

Кирк Солук, 27 июня 2017г

Мероприятия