- Категория
- IT и Телеком
- Дата публикации
СБУ выпустила рекомендации для защиты от вируса и спасения файлов
Служба безопасности Украины (СБУ) предупреждает, что большая часть заражений происходила из-за открытия вредоносных приложений (документов Word, PDF-файлов), которые получили на электронные адреса многие коммерческие и государственные структуры.
Поскольку атака использует уже известную сетевую уязвимость MS17-010, защититься можно, своевременно установив обновление безопасности для Windows. В противном случае вирус проникает в систему, устанавливает набор скриптов для запуску шифровальника файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows, шифрует файлы пользователя и выводит сообщение с предложением заплатить за ключ дешифровки в биткоинах в эквиваленте $300 для разблокировки данных.
Подписывайтесь на Youtube-канал delo.uaДешифратора пока не существует.
Служба рекомендует следующие действия:
1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал — тоже не перезагружайте его) — вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
2. Сохраните все наиболее ценные файлы на отдельный носитель, а в идеале — создайте резервную копию операционной системы.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat
4. В зависимости от версии ОС Windows установить патч от Microsoft: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx, а именно:
- для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- для Windows Vista 32 bit — http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…
-для Windows Vista 64 bit — http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…
- для Windows 7 32 bit — http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…
- для Windows 7 64 bit — http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…
- для Windows 8 32 bit — http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…
- для Windows 8 64 bit — http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…
- для Windows 10 32 bit — http://download.windowsupdate.com/…/windows10.0-kb4012606-x…
- для Windows 10 64 bit — http://download.windowsupdate.com/…/windows10.0-kb4012606-x…
Для менее распространенных и серверных версий OC Windows: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx
5. Убедитесь, что на всех компьютерных системах антивирус установлен, правильно функционирует и использует актуальные базы вирусных сигнатур. При необходимости установите и обновите антивирусное программное обеспечение.
6. Чтобы уменьшить риск заражения, внимательно относитесь ко всей электронной почте, не загружайте и не открывайте приложения в письмах, которые пришли с неизвестных адресов. Если подозрительное письмо получено с известного адреса, свяжитесь с отправителем и подтвердите факт отправки.
7. Сделайте резервные копии всех критически важных данных.
Не допускайте сотрудников к компьютерам, на которых не установлены указанные патчи, независимого от того, подключен компьютер к локальной или глобальной сети.
Существует возможность восстановить доступ к заблокированному компьютеру
Указанный вирус меняет МBR-запись, из-за чего вместо загрузки операционной системы пользователь видит окно с текстом о шифровании файлов.
Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты.
Можно использовать для этого утилиту "Boot-Repair".
Инструкция https://help.ubuntu.com/community/Boot-Repair:
1. Загрузить ISO образ "Boot-repair"https://sourceforge.net/p/boot-repair-cd/home/Home/
2. С помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer).
3. Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.
После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать, пока будет разработан дешифратор. Пока СБУ советует скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему.
По опыту СБУ в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.
Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:
I. Eset
a) Загрузите утилиту Eset LogCollector:
b) Запустите и убедитесь в том, что были установлены все галочки в окне "Артефакты для сбора".
c) Во вкладке "Режим сбора журналов Eset" установите Исходный двоичный код диска.
d) Нажмите на кнопку Собрать.
e) Отправьте архив с журналами.
Если пострадавший ПК включен и еще не выключался, необходимо сделать следующее:
С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.
Собрать его можно по следующей инструкции:
a) Загружайте с ESET SysRescue Live CD или USB (создание в описано в п.3)
b) Согласитесь с лицензией на пользование
c) Нажмите CTRL + ALT + T (откроется терминал)
d) Напишите команду "parted -l" без кавычек, где "l" — это маленькая буква "L" и нажмите
e) Смотрите список дисков и идентифицируйте поражен ли ПК (должен быть один из / dev / sda)
f) Напишите команду "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" без кавычек, вместо "/ dev / sda" используйте диск, который определили в предыдущем шаге, и нажмите (Файл / home / eset / petya.img будет создан)
g) Подключите флешку и скопируйте файл /home/eset/petya.img
h) Компьютер можно выключить.
II. Zillya.
Как противодействовать заражению
1. Отключить устаревший протокол SMB1.
Инструкция по отключению SMB1 в TechBlog компании Microsoft
2. Установить обновления безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010
3. Если есть возможность, отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.
4. Блокировать возможности открытия JS файлов, полученных по электронной почте.