Petya и его «друзья»: почему вам стоит бояться вирусов-шифровальщиков

Пять причин для беспокойства

Причина 1. Иллюзия защищенности

Большинство пользователей заблуждаются, считая, что угроза миновала. Они полагают, что если не посещать сомнительные интернет-ресурсы, не переходить по незнакомым ссылкам и вести себя осторожно, то никакие вирусы не смогут заразить систему. К сожалению, это не так.

Другой распространенный миф гласит, что целью вируса является только корпоративный сектор. И действительно, волна атак 27 июня затронула только крупные банки, нефтяные компании и международные корпорации. Однако все это не означает, что обычные пользователи в безопасности. Как раз наоборот, ведь в корпорациях уже есть налаженные системы безопасности, фаерволы и собственные IT-специалисты, в то время как большинство рядовых пользователей не уделяют должного внимания своей сетевой безопасности и могут стать легкой добычей для преступников.

Согласно официальному бюллетеню безопасности, эта уязвимость существует еще со времен первых версий Windows. Однако последствия атаки оказались настолько серьезными, что компания Microsoft пошла на беспрецедентный шаг — выпустила обновление даже для снятой с поддержки Windows XP.

Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB и без последних обновлений. Причем владельцам таких ПК достаточно просто выйти в интернет, чтобы вирус проник на их машины.

Причина 2. Все вирусы новые

Вслед за нашумевшим вирусом WannaCry появилось как минимум три новых опасных зловреда и десятки вирусов-последователей и подражателей. Все они всячески пытаются обойти меры безопасности.

«Новый» вирус Petya и его «друзья» только за один день парализовали работу более чем 80 организаций в России и Украине. Многие из атакованных компаний, такие как банки и нефтяные компании, казалось бы, должны быть надежно защищены от подобных угроз, но по факту они оказались весьма уязвимы к новой кибератаке.

Причина 3. Не каждый антивирус поможет

Новое поколение вирусов опасно тем, что рядовой антивирус не всегда сможет уберечь от него компьютер. Он просто может проигнорировать вредоносную программу, если пользователь самостоятельно активирует файл с расширением .exe, который 27 июня, например, под видом рабочего письма приходил с адреса: [email protected]

Причина 4. Вирусы становятся умнее

Что примечательно, и сам нашумевший WannaCry, и Petya уже претерпели ряд изменений и научились обходить многие защитные меры. Однако вирусы-подражатели, такие как Uiwix, порой гораздо опаснее своих родоначальников.

Другой вирус — Adylkuzz, как и Petya появился уже давно, однако массовое распространение и известность приобрел только в последние дни. Он использует те же уязвимости в системе, что и WannaCry, но обнаружить его гораздо сложнее. В отличие от собратьев, он не шифрует данные, а использует ресурсы компьютера для создания, или, как это называют в более узких кругах, майнинга виртуальной валюты.

Причина 5. Все в зоне риска

По нашим оценкам, более 35% пользователей в России все еще беззащитны перед вирусом. Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB.

По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.

Как защитить свой компьютер и данные?

Для того чтобы защитить компьютеры пользователей от Petya, WannaCrypt и Adylkuzz, специалисты из DriverPack разработали специальное решение, которое в один клик устанавливает обновление, устраняющее уязвимость системы перед этими вирусами. Это происходит путем установки последнего патча для Windows и отключения поддержки SMB 1.0, с помощью которой червь и проникал на компьютеры.

Сегодня это самый надежный способ обезопасить систему от вирусов-шифровальщиков. Другой обязательной мерой является, конечно, наличие хорошего антивируса. Надежным и, что важно, бесплатным решением станет антивирус Avast. Ему доверяет свыше 400 млн пользователей, и он уже хорошо зарекомендовал себя в борьбе с новыми киберугрозами.

Что говорят эксперты...

Похоже, что модификации Petya распространяются при помощи эксплойта EternalBlue, который использует ту же уязвимость Windows, что и WannaCry. Так, мы уже засекли и заблокировали более 12 000 попыток вредоносного ПО использовать EternalBlue. По данным Avast Wi-Fi Inspector (сканирует сети и определяет, подвержен ли уязвимости ПК, например, как EternalBlue), на 38 миллионах компьютеров, которые были просканированы на прошлой неделе, не были установлены обновления Windows, следовательно, те находятся под угрозой. Реальное количество уязвленных ПК, вероятно, намного больше. Мы настоятельно рекомендуем пользователям Windows, вне зависимости от того, является ли тот домашним или корпоративным пользователем, установить новейшее доступное обновление как можно скорее и удостоверится, что антивирус также обновлен до последней версии.

Якуб Кроустек, руководитель вирусной лаборатории Avast

Если вымогатель еще не затронул вас, вот что нужно сделать:

1. Консолидируйте всю информацию, поступающую из ваших инструментов информационной безопасности — межсетевых экранов, систем обнаружения вторжений и антивирусных систем — в форме логов событий.
2. Используйте инструменты управления и анализа действий привилегированных аккаунтов и сессий — так вы сможете легко восстановить последовательность административных действий в сети, быстро найти сессии с подозрительной активностью и существенно сократить время расследования инцидентов.
3. Помните: слишком быстрая реакция — это всегда риск. Убедитесь, что в панике вы не нанесете больший ущерб.

Если вас атаковали:

1. В случае атаки первым делом изолируйте зараженные точки (и чем быстрее, тем лучше). Вырвите кабель, как только заметите вредоносное ПО!
2. Проведите сегментацию сети — эксплойт производит атаку на уязвимость в протоколе SMB, поэтому его необходимо отфильтровать от остального сетевого трафика внутри компании.
3. Третий шаг — принятие контрмер. Обновите настройки межсетевых экранов и систем предотвращения вторжений, серверов и всех возможных клиентов, как только компании-антивирусы выпустят обновленные сигнатуры.

Чаба Краснаи, евангелист компании Balabit

Материалы по теме:

Создатели аналога WannaCry собрали со всего мира около $8 тысяч в биткоинах

Банки и энергокомпании Украины массово атаковали похожим на WannaCry вирусом

Как настроить Telegram для обхода блокировок

Павел Дуров ответил на претензии ФСБ к Telegram по поводу теракта в Петербурге

Facebook ведет переговоры с голливудскими студиями о запуске собственных шоу до конца лета