Как защититься от вирусов-вымогателей Petya и Misha?
1,00
р.
р.
Прочитал, что предотвратить шифрование данных вирусом можно с помощью создания файла perfc: Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл C:\Windows\perfc (perfc — файл без расширения). а также установкой патчей с сайта Microsoft. Существуют ли еще какие-либо превентивные меры, кроме само собой разумеющихся (не открывать непонятные ссылки/письма и т.д.)?
Ответ Создаем файл perfc В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения. WMIC и PSEXEC Вирус распространяется через службы WMIC и PSEXEC. Чтобы отключить службу WMIC выполняем в командной строке (cmd.exe) следующую команду: net stop winmgmt Более подробно: https://msdn.microsoft.com/ru-ru/enus/library/aa826517(v=vs.85).aspx Поставить патчи безопасности Вирус также распространяется через уязвимости Windows CVE-2017-0199 и CVE-2017-0144. Рекомендуется поставить патчи безопасности, которые их закрывают: https://portal.msrc.microsoft.com/en-USecurity-guidance/advisory/CVE-2017-0199 https://portal.msrc.microsoft.com/en-USecurity-guidance/advisory/CVE-2017-0144 Надо поставить патчи безопасности не только для Windows, но и для Microsoft Office. Также необходимо поставить патчи, закрывающие ранее эксплуатируемую уязвимость для WannaCry: https://technet.microsoft.com/en-us/libraryecurity/ms17-010.aspx Обновить сигнатуры антивирусов База сигнатур антивирусного ПО должна быть обновлена от 27.06.2017 не ранее 20:00. Отключить TCP-порты Если в сети уже имеются зараженные рабочие станции или серверы необходимо отключить TCP-порты 1024-1035, 135 и 445. Отключить протокол SMB В случае невозможности установки обновлений безопасности отключить протокол SMB v1/v2/v3 на рабочих станциях и серверах. Подробнее: https:/upport.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and-windows Настроить блокировку атак В случае наличия средств защиты типа NGFW / NGTP / IPS настроить блокировку атак, эксплуатирующих EternalBlue (MS17-010). Если заражение все же произошло Отключение системы Если заражение все же произошло, то по некоторым публикациям в сети помогает экстренное отключение машины сразу как только появится сообщение от вируса. В этом случае он не успеет зашифровать файлы на компьютере. Подробнее: https://twitter.com/hackerfantastictatus/879775570766245888 Не переводить деньги Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.