Новый шифровальщик: инструкции от «Доктор Веб»
Компания «Доктор Веб» опубликовала информацию о новой эпидемии шифровальщика, которой подверглись нефтяные, телекоммуникационные и финансовые компании России и Украины. Этот энкодер детектируется продуктами Dr.Web.
По данным специалистов, троянец распространяется самостоятельно, как и известный энкодер WannaCry. Пока нет точных сведений о том, используют ли они один и тот же механизм распространения. Как пояснили в компании, несмотря на параллели с вымогателем Petya (детектируется Dr.Web как Trojan.Ransom.369) в связи с внешними проявлениями работы вымогателя, способ распространения новой угрозы отличается от использовавшейся Petya стандартной схемы.
Шифровальщик 27 июня был добавлен в вирусные базы Dr.Web как Trojan.Encoder.12544. Он распространяется с помощью уязвимости в протоколе SMB v1 – MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA ETERNAL_BLUE, использует TCP-порты 139 и 445 для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.
Троянец Trojan.Encoder.12544 заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.
Согласно рекомендациям специалистов «Доктор Веб», чтобы восстановить возможность входа в ОС, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr). Также для этого можно использовать Dr.Web LiveDisk: создать загрузочный диск или флешку, выполнить загрузку с этого съемного устройства, запустить сканер Dr.Web, выполнить проверку пострадавшего диска, найденное Обезвредить.
После этого следует отключить ПК от ЛВС, выполнить запуск системы, установить патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx. На компьютеры с ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам.
«Доктор Веб» призывает всех пользователей быть внимательными и не открывать подозрительные письма. Следует также создавать резервные копии критически важных данных и устанавливать все обновления безопасности для ПО.