dg
Собираюсь ещё написать несколько букв по поводу вчерашнего «взлома» Windows 10 S, чтобы упредить некоторых белок-истеричек. Как это обычно со мной случается, получилась большая проповедь обо всём на свете. Тешу себя надеждой, что кто-то на меня подписался…
Короче, пообщались тут в Твитторе с Журавлёвым и Стеркиным (спасибо, чуваки) — и хочу сделать ещё одно резюме по следам вчерашнего длиннопоста.
1. Надо чётко определиться, что именно мы пытаемся доказать или сымитировать. Сценарий атаки на ничего не подозревающего пользователя, где он не будет добровольно плясать под нашу дудку, если мы не задурим ему голову? Или сценарий, когда пользователь сознательно и целенаправленно пытается сломать ОС, подняв себе права?
Да, в обычной ситуации между этими двумя сценариями нет большой разницы, потому что действия пользователя можно автоматизировать. Но не в случае с Windows 10 S, где по умолчанию все средства автоматизации отключены, и запустить их — важная часть успешной атаки.
2. Если наша цель — всё-таки сымитировать атаку на простого пользователя, то читерство с запуском чего-то через Task Manager недопустимо и обесценивает успех самой атаки. Автор статьи пишет, что МОГ БЫ автоматизировать и эту часть, но опускает этот момент как несущественный. Однако, учитывая, что защита Офиса от разного рода макросов за последние годы сильно эволюционировала, я не очень уверен, что это возможно.
Поэтому хотелось бы увидеть полноценный PoC этого этапа. Например, очень важно, будет ли пользователю всё-таки выведен запрос на подтверждение (окно UAC), или в макрос можно встроить, в том числе, технику UAC Bypass? Это всё существенные нюансы, которые могут остановить если не все, то значительное количество атак — если пользователь хоть немного соображает. А также это минимизирует количество заражений по неосторожности. (Сколько раз мы все случайно промахивались мышкой мимо нужного файла или кнопки?)
3. Наконец, надо вспомнить, что декларируемая цель эксперимента — не узнать пароль на Wi-Fi, а опровергнуть заявления про «no known ransomware». Вчера я написал, что зашифровать файлы текущего пользователя — вообще не проблема, если допустить, что мы можем выполнять макросы. Т.е. всего лишь убедили пользователя один раз нажать не очень страшно выглядящую жёлтую кнопку.
Но на самом деле, я в этом тоже не уверен, а просто предположил худший сценарий. Вполне вероятно, что изоляция Офиса всё-таки не позволит добраться до произвольных файлов и перезаписать их — без сложной процедуры повышения прав (см. предыдущий пункт). В таком случае, вариант с лишением пользователя прав администратора всё-таки сможет не частично, а ПОЛНОСТЬЮ решить проблему. Короче, по этому допущению тоже нужен работоспособный PoC, а иначе мы ведём разговоры в пользу бедных.
Ни одного, ни второго PoC авторы статьи не предоставили, и даже не описали. Поэтому на сегодня единственное, с чем я могу согласиться, — это с тем, что их технику можно использовать для СОЗНАТЕЛЬНОГО jailbreak. Т.е. когда пользователь компетентен, хорошо подготовлен, осознаёт последствия своих действий и явно хочет нарушить защиту системы. Но для этого проще не изобретать велосипед, а нажать одну кнопку и переключиться на Windows 10 Pro. И конечно, это не является «ransomware», и тем более не попадает в категорию «known ransomware». (Т.е. существующих НА СЕГОДНЯ вымогателей).
1. Надо чётко определиться, что именно мы пытаемся доказать или сымитировать. Сценарий атаки на ничего не подозревающего пользователя, где он не будет добровольно плясать под нашу дудку, если мы не задурим ему голову? Или сценарий, когда пользователь сознательно и целенаправленно пытается сломать ОС, подняв себе права?
Да, в обычной ситуации между этими двумя сценариями нет большой разницы, потому что действия пользователя можно автоматизировать. Но не в случае с Windows 10 S, где по умолчанию все средства автоматизации отключены, и запустить их — важная часть успешной атаки.
2. Если наша цель — всё-таки сымитировать атаку на простого пользователя, то читерство с запуском чего-то через Task Manager недопустимо и обесценивает успех самой атаки. Автор статьи пишет, что МОГ БЫ автоматизировать и эту часть, но опускает этот момент как несущественный. Однако, учитывая, что защита Офиса от разного рода макросов за последние годы сильно эволюционировала, я не очень уверен, что это возможно.
Поэтому хотелось бы увидеть полноценный PoC этого этапа. Например, очень важно, будет ли пользователю всё-таки выведен запрос на подтверждение (окно UAC), или в макрос можно встроить, в том числе, технику UAC Bypass? Это всё существенные нюансы, которые могут остановить если не все, то значительное количество атак — если пользователь хоть немного соображает. А также это минимизирует количество заражений по неосторожности. (Сколько раз мы все случайно промахивались мышкой мимо нужного файла или кнопки?)
3. Наконец, надо вспомнить, что декларируемая цель эксперимента — не узнать пароль на Wi-Fi, а опровергнуть заявления про «no known ransomware». Вчера я написал, что зашифровать файлы текущего пользователя — вообще не проблема, если допустить, что мы можем выполнять макросы. Т.е. всего лишь убедили пользователя один раз нажать не очень страшно выглядящую жёлтую кнопку.
Но на самом деле, я в этом тоже не уверен, а просто предположил худший сценарий. Вполне вероятно, что изоляция Офиса всё-таки не позволит добраться до произвольных файлов и перезаписать их — без сложной процедуры повышения прав (см. предыдущий пункт). В таком случае, вариант с лишением пользователя прав администратора всё-таки сможет не частично, а ПОЛНОСТЬЮ решить проблему. Короче, по этому допущению тоже нужен работоспособный PoC, а иначе мы ведём разговоры в пользу бедных.
Ни одного, ни второго PoC авторы статьи не предоставили, и даже не описали. Поэтому на сегодня единственное, с чем я могу согласиться, — это с тем, что их технику можно использовать для СОЗНАТЕЛЬНОГО jailbreak. Т.е. когда пользователь компетентен, хорошо подготовлен, осознаёт последствия своих действий и явно хочет нарушить защиту системы. Но для этого проще не изобретать велосипед, а нажать одну кнопку и переключиться на Windows 10 Pro. И конечно, это не является «ransomware», и тем более не попадает в категорию «known ransomware». (Т.е. существующих НА СЕГОДНЯ вымогателей).
Забавно. В Телеграме сейчас происходит что-то вроде ожидания конца света. Все друг с другом мирятся, прощают грехи и клянутся в вечной любви. Надеюсь, конечно, никто не верит в эту чушь всерьёз, анус нам не заблокируют — но выглядит это всё очень трогательно и мимимило.
Ну и если вы с кем-то успели познакомиться в Телеграме — то сейчас самое время попросить телефончик! А то вдруг чё.
Ну и если вы с кем-то успели познакомиться в Телеграме — то сейчас самое время попросить телефончик! А то вдруг чё.
А также надеюсь, что украинцам сейчас так же весело с нас, как нам было весело пару недель назад. Должно же быть хоть кому-то приятно.
Друзья, не верьте Первому каналу (ну вдруг вы ещё да). Во всём мире спецслужбы охуевшие примерно одинаково и лоббируют одинаковые людоедские законы, ограничивающие свободу и тайну переписки. Ну или ссылаются на нормы, принятые полвека назад. А любой бизнес с переменным успехом им оппонирует — в том числе, и объединяя конкурентов. Вот посмотрите лучше, как выглядит противостояние здорового человека — в стране, где споры ведутся в правовом поле, а не по понятиям: кто у кого чего ототжмёт и кому заблокирует анус.
https://blogs.microsoft.com/on-the-issues/2016/02/25/microsoft-to-file-legal-brief-in-apple-iphone-case
(Если лень читать простыню юридического текста на ночь глядя — я вас отлично понимаю. Посмотрите видео. Оно короткое и даже забавное).
https://blogs.microsoft.com/on-the-issues/2016/02/25/microsoft-to-file-legal-brief-in-apple-iphone-case
(Если лень читать простыню юридического текста на ночь глядя — я вас отлично понимаю. Посмотрите видео. Оно короткое и даже забавное).
Microsoft on the Issues
Microsoft to file legal brief in Apple iPhone case - Microsoft on the Issues
Microsoft President and Chief Legal Officer Brad Smith confirmed that Microsoft supports Apple in their current legal case with the FBI and will file a legal brief in support next week. Smith was responding to a question from Rep. Zoe Lofgren, D-California…
dg
Друзья, не верьте Первому каналу (ну вдруг вы ещё да). Во всём мире спецслужбы охуевшие примерно одинаково и лоббируют одинаковые людоедские законы, ограничивающие свободу и тайну переписки. Ну или ссылаются на нормы, принятые полвека назад. А любой бизнес…
В этом отношении забавно конечно, что у меня есть в Америке друзья-республиканцы, очень милые ребята, в остальном адекватные. Которые однако уверены, что Трамп — первый после Кеннеди президент, который открыто бросил вызов истеблишменту и всесильным спецслужбам и отказался играть по правилам мирового сионистского лобби. И на полном серьёзе именно этим объясняют все связанные с ним скандалы. Надо ли рассказывать, как тяжело им живётся в синем-пресинем Вашингтоне. Да что там Вашингтон — Клэр даже из русскоязычного БЧ выпиздили за её паранойю и конспироту. Можете себе это представить? Вот и я не могу.
Гаврилов как всегда. В смысле, восхитительный.
https://news.1rj.ru/str/agavr_today/97
А также надо уже, очевидно, сделать какой-то счётчик. В идеале он бы должен отсчитывать дни до неминумого конца света. Но поскольку у нашего локального конца света дата плавающая, а то и вовсе фантомная — будет гораздо нагляднее считать дни без новых апасных блокировок и крупных аварий.
https://news.1rj.ru/str/agavr_today/97
А также надо уже, очевидно, сделать какой-то счётчик. В идеале он бы должен отсчитывать дни до неминумого конца света. Но поскольку у нашего локального конца света дата плавающая, а то и вовсе фантомная — будет гораздо нагляднее считать дни без новых апасных блокировок и крупных аварий.
Telegram
Agavr Today
IT-конспирологи хором уверены, что гонения на телеграфистов все только ради проталкивания на рынок усмановского тамтама. В это я верю. Во-первых, с тамтамом Алишер Бурханович будет смотреться совершенно органично (см. рис.1 и рис.2; см., кому говорят, см.…
В Москве как всегда внезапно начался ливень и шквальный ветер. Сижу на улице в кафе на Белорусской, удачно расположился под навесом и с подветренной стороны. Вокруг капли дождя летают практически горизонтально. (Видеозапись имеется в распоряжении редакции).
Подходит парень, без зонта и даже капюшона. Разумеется, мокрый насквозь. Спрашивает, в какую сторону Москва-сити. Это, надо понимать, в трёх остановках метро отсюда или чуть больше пяти километров по прямой. Показываю направление рукой. Парень не верит, спрашивает — «а вы точно уверены?» После чего грустно садится на стул прямо под дождём и начинает выжимать кроссовки.
UPD: Комментарий Зеленина: СТАРТАПЕР НЕБОСЬ.
Подходит парень, без зонта и даже капюшона. Разумеется, мокрый насквозь. Спрашивает, в какую сторону Москва-сити. Это, надо понимать, в трёх остановках метро отсюда или чуть больше пяти километров по прямой. Показываю направление рукой. Парень не верит, спрашивает — «а вы точно уверены?» После чего грустно садится на стул прямо под дождём и начинает выжимать кроссовки.
UPD: Комментарий Зеленина: СТАРТАПЕР НЕБОСЬ.
Некоторые люди, кажется, всерьёз обижаются на канал «Бывшая», считают его оскорблением всего женского рода и утверждают, что «сами давно так себя не ведут» (или даже никогда не вели). Эти ребята, кажется, не понимают одной вещи. Это же канал не про того, кто пишет. Это канал про того, кто получает сообщения. Про то как, самые невинные фразы воспринимаются по-другому в зависимости от контекста. Вы можете не писать «ничего такого» (хотя скорее всего, писали), можете вообще писать в личный твиттер или фейсбук — но дело в том, что скорее всего, это будет прочитано именно так. Deal with it.
Канал просто делает это немного гротескно, ну чтобы ни у кого не осталось сомнений и разночтений. И именно поэтому он стал так популярен — каждый вспоминает что-то своё по мотивам и ассоциациям, пусть даже оно не буквально сочетается с формулировками авторов.
Ну и конечно это не канал про глупеньких женщин. Большинство этих сообщений абсолютно интергендерные, т.е. могли бы быть отправлены любой стороной. И разумеется, могли быть «неправильно» интерпретированы другой. И конечно, вы наверняка успели побывать в обеих ролях.
И если кто-то до сих пор переживает из-за идентичности канала, то ещё с прошлой недели существует его брат-близнец «бывший». Он такой же смешной, хотя там меньше подписчиков, и он немного прямее и тупее. Надо полагать, как все «бывшие» парни.
P.S. Нет, они не могут поговорить друг с другом.
Канал просто делает это немного гротескно, ну чтобы ни у кого не осталось сомнений и разночтений. И именно поэтому он стал так популярен — каждый вспоминает что-то своё по мотивам и ассоциациям, пусть даже оно не буквально сочетается с формулировками авторов.
Ну и конечно это не канал про глупеньких женщин. Большинство этих сообщений абсолютно интергендерные, т.е. могли бы быть отправлены любой стороной. И разумеется, могли быть «неправильно» интерпретированы другой. И конечно, вы наверняка успели побывать в обеих ролях.
И если кто-то до сих пор переживает из-за идентичности канала, то ещё с прошлой недели существует его брат-близнец «бывший». Он такой же смешной, хотя там меньше подписчиков, и он немного прямее и тупее. Надо полагать, как все «бывшие» парни.
P.S. Нет, они не могут поговорить друг с другом.
Пока рано что-то говорить про новую эпидемию, поэтому вот порция дежурных шуток.
Во-первых, это как всегда похоже на антирекламу админских прав. В смысле — если бы пользователи, которые подверглись фишингу, не имели прав локального администратора, заражения бы не произошло. (А именно так, похоже, происходит первичное заражение в сети организации). Ну и нельзя, конечно, иметь одинаковый пароль локального администратора на всех компах. А лучше вообще держать его пустым — это как раз не шутка.
Во-вторых, это как всегда смахивает на очередную рекламу своевременной установки обновлений. Если червяк и правда распространяется через SMB — то скорее всего, речь идёт про того самого «Брутального кенгуру», над которым мы потешались в четверг (https://news.1rj.ru/str/dgnotes/573). [Upd: это конкретное подозрение не подтвердилось; всё гораздо тривиальнее — см. следующую запись]. На это намекает не очень грамотная рекомендация «блокировать порты» 135 и 445 — говорят, кому-то это уже помогло. Но, пожалуйста, не делайте так хотя бы на контроллерах домена, иначе это сломает механизм распространения политик, и вы не сможете применить какие-то новые важные настройки (в т.ч. для предотвращения заражений).
В-третьих, это может быть и рекламой UEFI. Потому что если червяк правда шифрует только MBR — это во-первых значит, что он не зашифрует GPT. И во-вторых, что не сможет запуститься через Secure Boot.
Опять же, если это правда, то починить MBR очень просто. Это вам не зашифрованные файлы от WannaCry.
Ну и самое главное. Если мы правда имеем дело с КЛЮЧАМИ ШИФРОВАНИЯ — то где наш доблестный Жаров? Он уже связался с авторами вируса? Потребовал заполнить анкету для включения в ОРИ? (За последнюю шутку спасибо Антоновичу).
А также астрологи объявляют неделю шуток на тему предполагаемого названия вируса — «Petya.A»
Во-первых, это как всегда похоже на антирекламу админских прав. В смысле — если бы пользователи, которые подверглись фишингу, не имели прав локального администратора, заражения бы не произошло. (А именно так, похоже, происходит первичное заражение в сети организации). Ну и нельзя, конечно, иметь одинаковый пароль локального администратора на всех компах. А лучше вообще держать его пустым — это как раз не шутка.
Во-вторых, это как всегда смахивает на очередную рекламу своевременной установки обновлений. Если червяк и правда распространяется через SMB — то скорее всего, речь идёт про того самого «Брутального кенгуру», над которым мы потешались в четверг (https://news.1rj.ru/str/dgnotes/573). [Upd: это конкретное подозрение не подтвердилось; всё гораздо тривиальнее — см. следующую запись]. На это намекает не очень грамотная рекомендация «блокировать порты» 135 и 445 — говорят, кому-то это уже помогло. Но, пожалуйста, не делайте так хотя бы на контроллерах домена, иначе это сломает механизм распространения политик, и вы не сможете применить какие-то новые важные настройки (в т.ч. для предотвращения заражений).
В-третьих, это может быть и рекламой UEFI. Потому что если червяк правда шифрует только MBR — это во-первых значит, что он не зашифрует GPT. И во-вторых, что не сможет запуститься через Secure Boot.
Опять же, если это правда, то починить MBR очень просто. Это вам не зашифрованные файлы от WannaCry.
Ну и самое главное. Если мы правда имеем дело с КЛЮЧАМИ ШИФРОВАНИЯ — то где наш доблестный Жаров? Он уже связался с авторами вируса? Потребовал заполнить анкету для включения в ОРИ? (За последнюю шутку спасибо Антоновичу).
А также астрологи объявляют неделю шуток на тему предполагаемого названия вируса — «Petya.A»
Telegram
dg
В новом сливе WikiLeaks описывается система с названием «Brutal Kangaroo» — блядь, больше всего на свете хочу посмотреть на человека, который выдумывает эти имена. Там же упоминается некая «yet unknown link file vulnerability (Lachesis/RiverJack) related…
Ладно, ещё раз про многострадального вируса Петю. (https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Petya).
Хорошие новости — в том, что никаких новых неизвестных науке уязвимостей этот вирус не использует.
Пожалуйста, не верьте некоторым поспешным заявлениям об «опасной комбинации» и перспективе «заражения по сети через psexec». (Ещё иногда в этом контексте упоминают WMI). PsExec и WMI — не уязвимость и не магическая астральная дыра. Это легитимный и довольно тривиальный, один из многих, способ удалённого управления. Он не может дать вам права администратора, если у вас их ещё нет. Для использования PsExec у атакующего УЖЕ должны быть права администратора на целевом компьютере. Что и получает вирус, используя сразу несколько разных способов. (Информация продолжает поступать).
Для начала он эксплуатирует уже известные уязвимости. А именно, печально известный «Eternal Blue», он же CVE-2017-0144, он же MS17-010. В точности как WannaCry месяц назад. Исправления были выпущены для всех ОС, начиная с Windows XP.
Следовательно, если вы вовремя установили все обновления — у вас этих уязвимостей уже нет, и никакой PsExec (или WMI) сам по себе злоумышленникам не поможет. Если у вас в сети ОДИН уязвимый необновлённый компьютер — только он один и будет заражён таким образом.
А плохие новости в том, что против лома нет приёма. Поэтому если вы работаете с правами локального (или, не дай Бог, доменого) администратора, а вашим пользователям можно задурить голову через социальную инженерию — вы под угрозой. К сожалению, «социальная инженерия» — это красивый термин, который только звучит сложно. Но обозначает очень простые и действенные методы — типа рассылки интересных писем, которые выглядят как настоящие и требующие срочной реакции. Именно так зараза попадает внутрь вашей сети и именно так может атаковать даже полностью обновлённые и защищённые компьютеры.
Но — более того — Петя обучен тырить пароль локального администратора! Поэтому очень важно, чтобы он был РАЗНЫМ на всех компьютерах. Либо ПУСТЫМ — в этом случае подключение по сети запрещено. В противном случае, поразив (благодаря социальной инженерии или через уязвимость, не закрытую своевременной установкой обновления) один компьютер и узнав его пароль — дальше Петя пойдёт гулять по остальным. Даже если они уже были обновлены.
Конечно, именно на такой случай и придуманы антивирусы. Это важная часть многоуровневой эшелонированной защиты (т.н. «defense in depth»). Они всегда — по определению — отстают от атакующих, т.к. действуют в ответ на уже появившиеся угрозы. В нашем случае все крупные игроки антивирусного рынка среагировали в течение нескольких часов после появления первых новостей о вирусе.
В частности, если говорить о Windows Defener, то подключенные к Интернету компьютеры с т.н. «Cloud Detection» или MAPS (включена по умолчанию — см. на картинке выше) получили обновления сигнатур около шести часов вечера по Москве.
Чуть позже вышло и обычное обновление базы антивируса (версия сигнатур 1.247.185 или выше). Это позволяет, в том числе, вылечить (до перезагрзуки) уже заражённые компьютеры. Но, к сожалению, не расшифровать уже зашифрованные файлы.
Если вы используете другие антивирусы — уточните у поставщика, какая версия сигнатур содержит противоядие.
Кроме того, в Интернетах пишут и о других способах распространения многоликого Пети. Чуть ли даже не в составе обновлений некоторых живых и легитимных программ. Поэтому будьте бдительны и на всякий случай делайте резервные копии.
Ещё хорошим методом проактивной защиты является отключение устаревшего протокола SMB1 к хуям собачим. Именно так, а не «блокировать порты»! Но это в любом случае не заменяет постоянно обновлённого антивируса и гибкую настройку полномочий (избегайте прав администратора при малейшей возможности). А также Secure Boot, LAPS и всего остального, что дал нам прогресс. Каждая из мер в отдельности, конечно, не является панацеей и не делают вас неуязвимым. Но все они вместе сильно повышают шансы на то, что зараженее не случится или будет остановлено на подступах.
Хорошие новости — в том, что никаких новых неизвестных науке уязвимостей этот вирус не использует.
Пожалуйста, не верьте некоторым поспешным заявлениям об «опасной комбинации» и перспективе «заражения по сети через psexec». (Ещё иногда в этом контексте упоминают WMI). PsExec и WMI — не уязвимость и не магическая астральная дыра. Это легитимный и довольно тривиальный, один из многих, способ удалённого управления. Он не может дать вам права администратора, если у вас их ещё нет. Для использования PsExec у атакующего УЖЕ должны быть права администратора на целевом компьютере. Что и получает вирус, используя сразу несколько разных способов. (Информация продолжает поступать).
Для начала он эксплуатирует уже известные уязвимости. А именно, печально известный «Eternal Blue», он же CVE-2017-0144, он же MS17-010. В точности как WannaCry месяц назад. Исправления были выпущены для всех ОС, начиная с Windows XP.
Следовательно, если вы вовремя установили все обновления — у вас этих уязвимостей уже нет, и никакой PsExec (или WMI) сам по себе злоумышленникам не поможет. Если у вас в сети ОДИН уязвимый необновлённый компьютер — только он один и будет заражён таким образом.
А плохие новости в том, что против лома нет приёма. Поэтому если вы работаете с правами локального (или, не дай Бог, доменого) администратора, а вашим пользователям можно задурить голову через социальную инженерию — вы под угрозой. К сожалению, «социальная инженерия» — это красивый термин, который только звучит сложно. Но обозначает очень простые и действенные методы — типа рассылки интересных писем, которые выглядят как настоящие и требующие срочной реакции. Именно так зараза попадает внутрь вашей сети и именно так может атаковать даже полностью обновлённые и защищённые компьютеры.
Но — более того — Петя обучен тырить пароль локального администратора! Поэтому очень важно, чтобы он был РАЗНЫМ на всех компьютерах. Либо ПУСТЫМ — в этом случае подключение по сети запрещено. В противном случае, поразив (благодаря социальной инженерии или через уязвимость, не закрытую своевременной установкой обновления) один компьютер и узнав его пароль — дальше Петя пойдёт гулять по остальным. Даже если они уже были обновлены.
Конечно, именно на такой случай и придуманы антивирусы. Это важная часть многоуровневой эшелонированной защиты (т.н. «defense in depth»). Они всегда — по определению — отстают от атакующих, т.к. действуют в ответ на уже появившиеся угрозы. В нашем случае все крупные игроки антивирусного рынка среагировали в течение нескольких часов после появления первых новостей о вирусе.
В частности, если говорить о Windows Defener, то подключенные к Интернету компьютеры с т.н. «Cloud Detection» или MAPS (включена по умолчанию — см. на картинке выше) получили обновления сигнатур около шести часов вечера по Москве.
Чуть позже вышло и обычное обновление базы антивируса (версия сигнатур 1.247.185 или выше). Это позволяет, в том числе, вылечить (до перезагрзуки) уже заражённые компьютеры. Но, к сожалению, не расшифровать уже зашифрованные файлы.
Если вы используете другие антивирусы — уточните у поставщика, какая версия сигнатур содержит противоядие.
Кроме того, в Интернетах пишут и о других способах распространения многоликого Пети. Чуть ли даже не в составе обновлений некоторых живых и легитимных программ. Поэтому будьте бдительны и на всякий случай делайте резервные копии.
Ещё хорошим методом проактивной защиты является отключение устаревшего протокола SMB1 к хуям собачим. Именно так, а не «блокировать порты»! Но это в любом случае не заменяет постоянно обновлённого антивируса и гибкую настройку полномочий (избегайте прав администратора при малейшей возможности). А также Secure Boot, LAPS и всего остального, что дал нам прогресс. Каждая из мер в отдельности, конечно, не является панацеей и не делают вас неуязвимым. Но все они вместе сильно повышают шансы на то, что зараженее не случится или будет остановлено на подступах.
Microsoft
Ransom:Win32/Petya
Microsoft Malware Protection Center. Search the malware encyclopedia.