В СБУ дали рекомендації, як захистити комп’ютери від вірусу, завдяки якому в людей вимагають гроші

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних, повідомляють в СБУ.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.

Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat

Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx , а саме:

- для Windows XP - http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

- для Windows Vista 32 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

-для Windows Vista 64 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

- для Windows 7 32 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

- для Windows 7 64 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

- для Windows 8 32 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 8 64 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 10 32 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

- для Windows 10 64 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І. https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.

d). Натиснить на кнопку: Зібрати.

e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.

Зібрати його можливо за наступною інструкцією:

a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)

b). Погодьтесь з ліцензією на користування

c). Натисніть CTRL+ALT+T (відкриється термінал)

d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть

e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)

f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)

g). Підключіть флешку і скопіюйте файл /home/eset/petya.img

h). Комп'ютер можна вимкнути.

ІІ. http://zillya.ua/…/epidemiya-zarazhenii-svyazana-s-deistvie…

Методи протидії зараженню:

Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/…/09/16/stop-using-smb1/

Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445

Блокування можливості відкриття JS файлів, отриманих електронною поштою

вірус СБУ
Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію
Автор
(0 оцінок)
Викладення
(0 оцінок)
Актуальність
(0 оцінок)
Я рекомендую
Ніхто ще не рекомендував

Коментарі

Коментарі призначені для обговорення, вияснення цікавих питань

Суспільство
Правоохоронці Гусятинського відділення поліції розшукують мешканця села Гадинківці, Захарчука Степана Антоновича, 1960 року народження. Як повідомив заявник, його брат 7 жовтня вийшов з дому та не повернувся. Місце знаходження краянина невідоме. Прикмети зниклого: 165-170 см., худорлявої тілобудови, коротке, сиве волосся.  Був одягнений: в зелену кофту із надписом «БОЙС», джинсові штани синього кольору, коричневі туфлі. Усіх, хто бачив зниклого або володіє...
Пригоди
Такою була одна з легенд (ввідна), за якою на Кременеччині проводили командно-штабні навчання з цивільного захисту. Згідно з нею, у підсобному приміщенні школи прибиральниця виявила невідому речовину сріблясто-білого кольору. Учнів відразу "евакуювали". До встановлення походження речовини та ліквідації наслідків надзвичайної події та захисту дітей і працюючого персоналу залучили рятувальників, лікарів, поліцію. Як повідомляє "Терен", начальник управління ц...
Екологія
У парку Національного відродження в Тернополі зрізують дерева. Зокрема, зараз роботи проводять на ділянці, розташованій неподалік Аквастради, що на вулиці 15 Квітня. Повідомляє «МедіаТОР». Раніше на сайті вже повідомляли про те, що тернополяни схвильовані через вирубку дерев. Аби з’ясувати, хто і для чого зрізує дерева, журналісти звернулися до завідувача тернопільського парку Національного відродження Галини Гладинюк. Посадовець підтвердила інформацію, що...
Суспільство
Станом на 17 жовтня  100106  пацієнтів обрали сімейного лікаря з числа працівників КНП “ЦПМСД”, що складає 57,5 % дорослих жителів м.Тернополя. Серед структурних підрозділів лідирує АЗПСМ №5 (вул.Волинська,40) – 13309  підписаних декларацій. Лікарі  Трачук Ігор Павлович (АЗПСМ №5), Подедворна Уляна Михайлівна (АЗПСМ №5), Муран Оксана Мирославівіна (АЗПСМ №5), Свистун Лариса Миколаївна(АЗПСМ №5), Подедворна Уляна Михайлівна (АЗПСМ №5), Яременко Неля Василів...
Суспільство
На Тернопільщині розпочала роботу комісія, яка перевіряє якість ремонту доріг. Моніторять лише нещодавно зроблені шляхи місцевого та державного значення. Проект "Моніторинг прозорості та доброчесності проведення ремонтів доріг в Тернопільській області" реалізує громадська організація "Нівроку". Як повідомив голова громадської організації Іван Марчук, комісія по ремонту доріг співпрацює спільно з інженером куратором, який і визначає, чи якісно зроблена доро...
Кримінал
З нагоди Європейського дня боротьби з торгівлею людьми у Тернополі була проведена прес-конференція, а після неї відбулося обговорення, щодо питання продажу людей у рабство при виїзді за кордон. За даними статистики в області є понад 30 людей, які постраждали від торгівлі людьми. Начальник управління сім'ї та молоді Тернопільської ОДА Ігор Чорній повідомив, що люди, які потрапили у подібну ситуацію, отримують одноразову грошову допомогу від держави. "В Терн...
Суспільство
18 жовтня, о 18:00 годині, на телеканалі у Тернополі відбудеться кастинг телеведучих. Про це повідомили на сторінці нового каналу "Тернопіль 1". Вікова категорія кандидатів – 23-33 роки. – Гостем студії буде один із кращих ведучих розважальних шоу України Юрій Гнатишин. Не пропустіть нагоди спробувати свої сили, – повідомляють організатори. Кастинг відбудеться за адресою: вулиця Олени Кульчицької 2,А, 4 поверх. Анкети на участь у кастингах та заявки на спі...
Суспільство
Днями телебачення та інтернет облетіла новина про те, що 46-річний мешканець Тернопільщини Василь Павлюк 12 жовтня переніс унікальну операцію з імплантації механічного серця. Про це пише журналістка Анна М’ятка на сайті НОВА Тернопільська газета. Це наразі третя така операція в Україні. Вживила штучне серце нашому землякові команда лікарів Інституту серця МОЗ України під керівництвом професора Бориса Тодурова спільно з професором кардіохірургічної клініки...
Суспільство
У Тернополі відбудеться ІІ Всеукраїнський фестиваль психологічних ігор. Аби тернополяни змогли вирішити ті питання, які їх турбують, 27-28 жовтня місто відвідають автори та ведучі психологічних трансформаційних ігор зі всієї України та закордону. Під час фестивалю працюватиме 4 лінійки та кожна з них поділена на 5 локацій: – особистого розвитку; – гармонійні взаємостосунки; – бізнес-напрямку та фінансової ефективності; – психосоматики та збереження здоров’...
Відповідальний за розділ
Наталія Наконечна
Журналісти сайту 0352.ua до ваших послуг.
Пишіть нам, телефонуйте, повідомляйте про міські новини та події - ми сподіваємося, що з Вашою допомогою городяни дізнаються про життя Тернополя більше.

Разом з Вами ми зробимо наше місто кращим!