CERT-LT įspėja: plinta virusas „Petya“, šifruojantis naudotojo kompiuterio duomenis

Lietuvos Respublikos ryšių reguliavimo tarnybos (RRT) nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja, kad nuo antradienio Europoje ir Lietuvos Respublikoje pradėjo masiškai plisti naujas išpirkos reikalaujantis (angl. ransomware) virusas pavadinimu „Petya“.
CERT-LT turimais duomenimis, virusas plinta el. pašto laiškais su prisegtu kenkimo dokumentu, taip pat vietiniame tinkle pasinaudojant SMB saugumo spragomis, kurių pataisos buvo išleistos dar kovo mėn. (MS17-10), bei WMIC ir PsExec priemonėmis pasinaudojant užvaldyto kompiuterio naudotojo administratoriaus teisėmis.
Yra informacijos, kad pradinis viruso plitimas prasidėjo Ukrainoje po buhalterinės programinės įrangos atnaujinimo, todėl ypač atsargios turėtų būti įmonės, turinčios ryšių su šia šalimi.
Viruso pažeistų kompiuterių savininkams CERT-LT pataria išpirkos nemokėti. Informuojame, kad piktavalių pranešime nurodytas el. pašto adresas šiuo metu užblokuotas, todėl, net ir sumokėjus išpirką, nusikaltėliai neturi galimybės identifikuoti, kas tą išpirką sumokėjo, ir išsiųsti raktą, kurį panaudoję atgautumėte savo duomenis.
Aktuali informacija bei rekomendacijos nuolat atnaujinamos CERT-LT svetainėje: https://www.cert.lt/naujienos/plinta_ransomware_petya_virusas_pazeidziantis_wind.html.
Apie įvykusį incidentą prašome pranešti CERT-LT https://www.cert.lt/pranesti.html.
CERT-LT rekomenduoja:
Įdiegti „Windows“ operacinės sistemos pataisymus (ypač MS17-10).
Senesnių operacinių sistemų („Windows XP“, „Windows 8“ ir „Windows Server 2003“) naudotojams būtina įdiegti naujausią pataisą, kurią rasite adresu https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
Pažeidžiamose sistemose, kuriose nėra galimybės įdiegti išleistų pataisų, turėtų būti išjungtas SMBv1 palaikymas. Kaip tai padaryti, skaitykite šioje nuorodoje: https://support.microsoft.com/en-us/help/2696547.
Sukurti svarbių duomenų kopijas atskirose laikmenose.
Įdiegti ir atnaujinti antivirusines programas.
Izoliuoti komunikaciją organizacijų tinkluose TCP prievadu 445, taip pat NetBIOS prievadais 137-139, siekiant apsaugoti kitus to paties tinklo prietaisus.
Jeigu aukščiau išvardytų priemonių pritaikyti pažeidžiamoms sistemoms galimybės nėra, prietaisus patariame išjungti, kol tokia galimybė atsiras.
Kitos galimos apsisaugojimo priemonės:
Išjunkite WMIC (angl. Windows Management Instrumentation Command-line) ir PsExec nuotolinio valdymo paslaugas.
Kataloge „C:\Windows\“ sukurkite bylą pavadinimu „perfc“ − tai gali apsaugoti nuo viruso aktyvinimo (tam tikrų jo versijų).

Pranešimą paskelbė: Rasa Karalienė, Ryšių reguliavimo tarnyba