В СБУ дали рекомендації, як захистити комп’ютери від вірусу, завдяки якому в людей вимагають гроші

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних, повідомляють в СБУ.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.

Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat

Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx , а саме:

- для Windows XP - http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

- для Windows Vista 32 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

-для Windows Vista 64 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

- для Windows 7 32 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

- для Windows 7 64 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

- для Windows 8 32 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 8 64 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 10 32 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

- для Windows 10 64 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І. https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.

d). Натиснить на кнопку: Зібрати.

e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.

Зібрати його можливо за наступною інструкцією:

a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)

b). Погодьтесь з ліцензією на користування

c). Натисніть CTRL+ALT+T (відкриється термінал)

d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть

e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)

f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)

g). Підключіть флешку і скопіюйте файл /home/eset/petya.img

h). Комп'ютер можна вимкнути.

ІІ. http://zillya.ua/…/epidemiya-zarazhenii-svyazana-s-deistvie…

Методи протидії зараженню:

Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/…/09/16/stop-using-smb1/

Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445

Блокування можливості відкриття JS файлів, отриманих електронною поштою

вірус СБУ
Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію
Автор
(0 оцінок)
Викладення
(0 оцінок)
Актуальність
(0 оцінок)
Я рекомендую
Ніхто ще не рекомендував

Коментарі

Коментарі призначені для обговорення, обговорення, вияснення цікавих питань

Спорт
Бережанці активно висловлюють вподобання в соціальних мережах про веслування на байдарках, яке віднедавна є однією з найпозитивніших новин міста. Бережанка, майстер спорту України Марта Сеньків-Ковбасюк недавно повернулась з Києва до рідного міста на постійне проживання. Марта в цей вид спорту прийшла багато років назад у м.Київ, а до сьогодні активно співпрацює з директором Тернопільської дитячо-юнацької спортивної школи Балабаном Богданом Павловичем. Спо...
Культура
З нагоди відзначення Дня Державного Прапора України, 27-ї річниці Незалежності України та Дня міста Тернополя, проведуть гастрономічнй фестиваль «Пікнік у Тернополі» 24 – 26 серпня 2018 року в парку ім. Т.Г.Шевченка. Таке рішення прийняте виконавчим комітетом цього тижня. Організовує пікнік«Гільдія рестораторів Тернопільщини». Впродовж святкових днів заплановані заходи і у інших локаціях Тернополя.
Суспільство
Про це йдеться на сторінці “Центру пробації” в Тернопільській області у мережі "Facebook". "17 серпня 2018 року начальником Заліщицького районного сектору з питань пробації філії Державної установи “Центр пробації” в Тернопільській області Віталієм Бурлакою спільно із головним інженером комунального підприємства “Заліщицьке міське комунальне підприємство” Любомиром Качором здійснено перевірку виконання засудженою особою покарання у вигляді громадських робі...
Суспільство
За даними моніторингу інфекційної захворюваності, проведеного фахівцями ДУ «ТОЛЦ МОЗ України», в області 16 серпня 2018 року за первинними діагнозами зареєстровано 37 випадків інфекційних захворювань, з них: гастроентероколіт – 9 випадків; ентеровірусна інфекція – 2 випадки; харчова токсикоінфекція- 1 випадок; вірусний гепатит, лептоспіроз? – 1 випадок; вірусний гепатит – 1 випадок; хронічний гепатит С – 1 випадок; кір – 3 випадки; вітряна віспа – 1 випадо...
Суспільство
На жаль, статистика загибелі людей на водних об’єктах області зростає. На Тернопільщині знову зареєстровано смертельний випадок на воді. Цього разу водяна стихія позбавила життя 39-річного чоловіка. 17 серпня о 16:45 надійшло повідомлення про те, що під час купання у ставку зник чоловік. Подія трапилась у с. Рудки Гусятинського району. Оскільки працівники Гусятинської водолазно-рятувальної станції не змогли провести пошукові роботи, довелось залучити водол...
Суспільство
Про це Ihor Svirskyi написав у спільноті “На віглі в Бережани” у мережі "Facebook". "І знову і знову…Рейс Бережани-Тернопіль/Козова. Сидячих місць 26, загальна кількість 39. На перший погляд, людей достатньо, але якщо порахувати, то значно більше. Довічна проблема, людей в громадському транспотрі більше, ніж дозволено. Чому не можна зробити для людей? Чому всі пхаються в автобус, наче він останній? Чому водій автобуса, бере гроші за місце, коли місць сидяч...
Суспільство
Тернополян попереджають про нові терміни подачі показників лічильників. Так, нововведення відтепер стосуються споживачів електроенергії. — Споживачі зобов’язані станом на 1 число знімати фактичні показники лічильника та подавати їх не пізніше 4 числа наступного місяця. Тобто за серпень показники слід подати до 4 вересня, — пояснюють у ВАТ «Тернопільобленерго». Разом з тим, мешканців Тернопільщини закликають не баритися з оплатою за спожиту електроенергію,...
Суспільство
Попри те, що на Тернопільщині деякі водії виступають за розширення проїжджої частини, такі додаткові можливості на трасах області неможливі через їхню велику затратність. Про це заявив на обговоренні плану дорожніх ремонтно-будівельних робіт за 2018 рік начальник САД у Тернопільській області Богдан Юлик. — 70% дорожніх знаків на трасі Львів-Тернопіль – відновлено. Що стосується розширення проїжджої частини, то на це потрібні значні кошти. Тож для того, щоб...
Суспільство
Саме сьогодні, 17 серпня, бійцю батальйону «Збруч» Назарію Кулинцю, який загинув 1 лютого 2015 року, мало би виповнитись 29 років. Назар був випускником Національного університету «Львівська політехніка», яку закінчив в 2012 році. Одразу після повернення з Майдану потрапив в першу хвилю мобілізації, перебуваючи спочатку в Зборівському військкоматі, а згодом, в березні 2014, при формуванні батальйону «Збруч», посів його лави, пише "Терен". Посмертно нагород...
Відповідальний за розділ
Наталія Наконечна
Журналісти сайту 0352.ua до ваших послуг.
Пишіть нам, телефонуйте, повідомляйте про міські новини та події - ми сподіваємося, що з Вашою допомогою городяни дізнаються про життя Тернополя більше.

Разом з Вами ми зробимо наше місто кращим!