خبير Semalt - كيفية مكافحة Petya و NotPetya و GoldenEye و Petrwrp؟

وقد وصفته معامل Forcepoint Security Labs بأنه تفشي بتيا ، لكن البائعين الآخرين يستخدمون كلمات بديلة وأسماء إضافية لها. الخبر السار هو أن هذه العينة قد مسحت اختبار البط ، والآن يمكن تشفير الملفات على الأقراص دون تغيير ملحقاتها. يمكنك أيضًا محاولة تشفير سجل التمهيد الرئيسي والتحقق من آثاره اللاحقة على أجهزة الكمبيوتر.

دفع طلب فدية بيتيا

يقترح عليك إيجور جامانينكو ، مدير نجاح العملاء في Semalt ، عدم دفع الفدية بأي ثمن.

من الأفضل إلغاء تنشيط معرف بريدك الإلكتروني بدلاً من دفع فدية إلى المخترق أو المهاجم. عادة ما تكون آليات الدفع الخاصة بهم هشة وغير مشروعة. إذا كنت ستدفع الفدية من خلال محفظة BitCoin ، فقد يقوم المهاجم بسرقة المزيد من الأموال من حسابك دون إعلامك.

في هذه الأيام ، أصبح من الصعب جدًا الحصول على ملفات غير مشفرة بغض النظر عن حقيقة أن أدوات فك التشفير ستكون متاحة في الأشهر القادمة. تدعي شركة Microsoft Security أن بائع العدوى الأولي لديه العديد من الرموز الخبيثة وتحديثات البرامج غير المشروعة للعدوى. في مثل هذه الظروف ، قد لا يتمكن هذا البائع من اكتشاف المشكلة بطريقة أفضل.

يهدف التكرار الحالي لـ Petya إلى تجنب ناقلات الاتصالات التي تم حفظها بواسطة بوابات أمان البريد الإلكتروني وأمن الويب. تم تحليل العديد من العينات باستخدام بيانات اعتماد مختلفة لمعرفة حل المشكلة.

إن الجمع بين أوامر WMIC و PSEXEC أفضل بكثير من استغلال SMBv1. حتى الآن ، من غير الواضح ما إذا كانت المنظمة التي تثق في شبكات الجهات الخارجية ستفهم قواعد وأنظمة المنظمات الأخرى أم لا.

وبالتالي ، يمكننا القول أن بيتيا لا يجلب مفاجآت لباحثي مختبرات Forcepoint Security. اعتبارًا من يونيو 2017 ، يمكن لـ Forcepoint NGFW اكتشاف وحظر SMB يستغل الروافع من قبل المهاجمين والمتسللين.

Deja vu: Petya Ransomware وقدرات انتشار SMB

تم تسجيل تفشي بيتيا في الأسبوع الرابع من يونيو 2017. وقد كان له تأثير كبير على مختلف الشركات الدولية ، حيث تدعي المواقع الإخبارية أن الآثار طويلة الأمد. قامت مختبرات Forcepoint Security بتحليل ومراجعة العينات المختلفة المرتبطة بالفاشيات. يبدو أن تقارير مختبرات Forcepoint Security لم يتم إعدادها بالكامل ، وتتطلب الشركة وقتًا إضافيًا قبل أن تتمكن من التوصل إلى بعض الاستنتاجات. وبالتالي ، سيكون هناك تأخير كبير بين إجراء التشفير وتشغيل البرامج الضارة.

نظرًا لأن الفيروسات والبرامج الضارة تعيد تشغيل الأجهزة ، فقد يتطلب الأمر عدة أيام قبل الكشف عن النتائج النهائية.

الاستنتاج و التوصيات

من الصعب استخلاص وتقييم الآثار البعيدة المدى لتفشي المرض في هذه المرحلة. ومع ذلك ، يبدو أنها المحاولة الأخيرة لنشر قطع ذاتية الانتشار من برامج الفدية. اعتبارًا من الآن ، تهدف مختبرات Forcepoint Security إلى مواصلة بحثها حول التهديدات المحتملة. قد تتوصل الشركة قريبًا إلى نتائجها النهائية ، ولكنها تتطلب قدرًا كبيرًا من الوقت. سيتم الكشف عن استخدام برمجيات إكسبلويت SMBvi بمجرد أن تقدم مختبرات Forcepoint Security النتائج. يجب التأكد من تثبيت تحديثات الأمان على أنظمة الكمبيوتر. وفقًا لسياسات Microsoft ، يجب على العملاء تعطيل SMBv1 على كل نظام Windows حيث يؤثر بشكل سلبي على وظائف وأداء النظام.