Речь о вирусе Petya.A, заразившем огромное кол-во компьютеров в корп. секторе Украины.
Причина заражения Petya.A. Почему этот вирус так быстро разошелся по сети
Вредоносная программа распространилась через программу для отчетности MEDOC (M.E.DOC.) а так же через вложения к письмам на электронную почту. После заражения жертвы, программа разгуливала по локальной сети пользователей через SMB-протокол, мгновенно заражая других пользователей сети с открытыми портами 139 и 445 (по аналогии с wannacry).
Как защититься от вируса-шифровальщика «Petya.A.» (июнь 2017)
Закрыть порты 139 TCP, 445 TCP . С закрытием 445 порта — перестанет работать сетевое обнаружение и доступ к файлам и принтерам.
netsh advfirewall firewall addrule dir=in action= blockprotocol=tcp localport=445 name=»Block_TCP-445″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1024 name=»Block_TCP-1024″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1025 name=»Block_TCP-1025″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1026 name=»Block_TCP-1026″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1027 name=»Block_TCP-1027″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1028 name=»Block_TCP-1028″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1029 name=»Block_TCP-1029″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1030 name=»Block_TCP-1030″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1031 name=»Block_TCP-1031″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1032 name=»Block_TCP-1032″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1033 name=»Block_TCP-1033″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1034 name=»Block_TCP-1034″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=1035 name=»Block_TCP-1035″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
Сохраните с расширением любое_название_файлика.bat или любое_название_файлика.cmd и запустите его от имени администратора (правая клавиша мышки на файлике и запустить от имени администратора)
Костыль для тех, кто не может себе позволить закрыть SMB-протокол:
Создать файл C:\Windows\perfc (без расширения). По наличию этого файла вирус определяет заражена ли уже система. Это не защитит на 100% от вируса, но с некоторой вероятностью может «обмануть» программу шифровальщика.
На попавшихся под руку зараженных компах была убита файловая система на системном диске. Другие диски не были тронуты. Заплатка от «wannacry» по многочисленным сообщениям в сети — бесполезна.