Back to Question Center
0

Pakar Semalt - Bagaimana Untuk Memerangi Petya, NotPetya, GoldenEye Dan Petrwrp?

1 answers:

Lab Forcepoint Security telah merujuknya sebagai wabak Petya, tetapi vendor lain menggunakan kata-kata alternatif dan nama-nama tambahan untuknya. Berita baiknya ialah sampel ini telah membersihkan ujian itik, dan sekarang fail boleh disulitkan pada cakera tanpa mengubah sambungan mereka. Anda juga boleh cuba menyulitkan Rekod Boot Induk dan menyemak kesan selepasnya pada peranti komputer.

Membayar permintaan tebusan Petya

Igor Gamanenko, Pengurus Kejayaan Pelanggan Semalt , mencadangkan anda tidak membayar tebusan pada sebarang kos.

Adalah lebih baik untuk menyahaktifkan ID e-mel anda daripada membayar wang tebusan kepada penggodam atau penyerang. Mekanisme pembayaran mereka biasanya rapuh dan tidak sah - telemedicine consultant. Jika anda membayar tebusan melalui dompet BitCoin, penyerang itu mungkin mencuri lebih banyak wang dari akaun anda tanpa memberitahu anda.

Hari ini, ia menjadi sangat sukar untuk mendapatkan fail yang tidak diskrit tanpa mengira fakta bahawa alat penyahsulitan akan tersedia dalam beberapa bulan akan datang. Vektor Jangkitan & Kenyataan Perlindungan Microsoft mendakwa bahawa penjual jangkitan awal mempunyai pelbagai kod berniat jahat dan kemas kini perisian tidak sah. Dalam keadaan demikian, penjual itu mungkin tidak dapat mengesan masalah dengan cara yang lebih baik.

Penyebaran semasa Petya bertujuan untuk mengelakkan vektor komunikasi yang telah disimpan oleh keselamatan e-mel dan gerbang keselamatan web. Banyak sampel telah dianalisis dengan menggunakan kelayakan yang berlainan untuk mengetahui penyelesaian masalah tersebut..

Gabungan arahan WMIC dan PSEXEC jauh lebih baik daripada eksploitasi SMBv1. Sehingga kini, tidak jelas sama ada organisasi yang mempercayai rangkaian pihak ketiga akan memahami peraturan dan peraturan organisasi lain atau tidak.

Oleh itu, kita boleh mengatakan bahawa Petya tidak membawa kejutan untuk penyelidik Lab Forcepoint Security. Sehingga Jun 2017, Forcepoint NGFW dapat mengesan dan menghalang eksploitasi SMB memanfaatkan oleh penyerang dan peretas.

Deja vu: Petya Ransomware dan kebolehan penyebaran SMB

Wabak Petya direkodkan pada minggu keempat Jun 2017. Ia mempunyai kesan yang besar terhadap pelbagai firma antarabangsa, dengan laman web berita yang mendakwa bahawa kesan-kesan tersebut berkekalan. Lab Forcepoint Security telah menganalisis dan mengkaji semula sampel yang berbeza yang berkaitan dengan wabak tersebut. Nampaknya laporan Lab Forcepoint Lab tidak disediakan sepenuhnya, dan syarikat memerlukan masa tambahan sebelum ia dapat menghasilkan beberapa kesimpulan. Oleh itu, terdapat kelewatan yang ketara antara prosedur penyulitan dan menjalankan malware.

Memandangkan virus dan malware reboot mesin, ia mungkin memerlukan beberapa hari sebelum keputusan akhir diturunkan.

Kesimpulan dan cadangan

Kesimpulan dan penilaian implikasinya yang meluas terhadap wabak adalah sukar untuk dilukis pada peringkat ini. Walau bagaimanapun, ia kelihatan seperti percubaan terakhir untuk menyebarkan potongan ransomware sendiri. Setakat ini, Lab Forcepoint Security bertujuan untuk meneruskan penyelidikannya mengenai kemungkinan ancaman. Syarikat itu tidak lama lagi dapat menghasilkan hasil akhir, tetapi ia memerlukan sejumlah besar masa. Penggunaan eksploitasi SMBvi akan diturunkan sebaik sahaja Lab Forcepoint Labs membentangkan hasilnya. Anda harus memastikan kemas kini keselamatan dipasang pada sistem komputer anda. Mengikut dasar Microsoft, pelanggan harus mematikan SMBv1 pada setiap sistem Windows di mana ia memberi kesan negatif terhadap fungsi dan prestasi sistem.

November 28, 2017