Домой » Техника » Symantec и киберполиция опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya

Symantec и киберполиция опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya

Опубликовано: 28.06.2017

Просмотров: 638

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 голосов, средний балл: 5,00 из5)
Загрузка...
 
 

Symantec опубликовала рекомендации по защите компьютера от заражения вирусом-вымогателем Petya

В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже имеется, то вирус заканчивает работу без заражения.

Вполне естественно, что для создания у вируса «иллюзии» зараженности компьютера путем создания аналогичного файла.

Чтобы создать такой файл для защиты от вируса Petya можно использовать обычный «Блокнот».

Причем из различных источников следуют советы о создании файла perfc (без расширения) или же perfc.dll.

Специалисты Symantec также советуют сделать файл доступным только для чтения, чтобы Petya не мог внести в него никаких изменений.

Эксперты FireEye ранее предполагали, что вирус мог вначале распространиться по украинским компаниям через обновление бухгалтерской программы M.E.Doc. Однако создателями программы недавно было заявлено, что это не соответствует действительности, так как последнее обновление было разослано пользователям еще 22 июня этого года, то есть за пять дней до начала атаки.

В свою очередь, киберполиция рекомендует временно не применять обновления M.E.doc, которые предлагаются при запуске.

По мнению киберполиции, вирусная атака на украинские компании возникла все же из-за программы M.E.doc (программное обеспечение для отчетности и документооборота). Об этом сообщено на официальной странице киберполиции в Facebook.

«Это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу:» upd.me-doc.com.ua «(92.60.184.55) с помощью User Agent» medoc1001189 «. 27 июня, в 10:30, программу M.E.doc обновили. Обновления составляло примерно 333 кб, и после его загрузки происходили такие действия:

— создание файла: rundll32.exe;

— обращение к локальным IP-адресов на порт 139 TCP и порт 445 TCP;

— создание файла: perfc.bat;

— запуск cmd.exe с последующей командой:

/cschtasks/RU»SYSTEM»/Create/SConce/TN»/TR»C:\Windows\system32

\shutdown.exe/r/f»/ST14:35 «

— создание файла:

ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c7

1a0e7588f78734761d8edbdcd9f) и его последующий запуск;

— создание файла: dllhost.dat.

В дальнейшем вредоносное программное обеспечение распространялось при помощи уязвимости в протоколе Samba (также использовалась во время атак WannaCry)», — уточняют в киберполиции.

В настоящее время киберполиция настоятельно рекомендует временно не применять обновления M.E.doc, которые предлагаются при запуске.

Ранее сообщалось о том, что в социальной сети Facebook зарегистрировалось свыше 2 миллиардов активных пользователей.

Теги: , , , , , , , , , , , ,

Автор: Ильшат Валиев
Статей: 75

Оставить комментарий

Ваш email не будет опубликован.Необходимы поля отмечены *

*