В СБУ дали рекомендації, як захистити комп’ютери від вірусу, завдяки якому в людей вимагають гроші

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних, повідомляють в СБУ.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.

Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat

Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx , а саме:

- для Windows XP - http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

- для Windows Vista 32 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

-для Windows Vista 64 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

- для Windows 7 32 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

- для Windows 7 64 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

- для Windows 8 32 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 8 64 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 10 32 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

- для Windows 10 64 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І. https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.

d). Натиснить на кнопку: Зібрати.

e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.

Зібрати його можливо за наступною інструкцією:

a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)

b). Погодьтесь з ліцензією на користування

c). Натисніть CTRL+ALT+T (відкриється термінал)

d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть

e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)

f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)

g). Підключіть флешку і скопіюйте файл /home/eset/petya.img

h). Комп'ютер можна вимкнути.

ІІ. http://zillya.ua/…/epidemiya-zarazhenii-svyazana-s-deistvie…

Методи протидії зараженню:

Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/…/09/16/stop-using-smb1/

Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445

Блокування можливості відкриття JS файлів, отриманих електронною поштою

вірус СБУ
Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію
Автор
(0 оцінок)
Викладення
(0 оцінок)
Актуальність
(0 оцінок)
Я рекомендую
Ніхто ще не рекомендував

Коментарі

Коментарі призначені для обговорення, вияснення цікавих питань. Адміністрація сайту попереджає, що коментарі з використанням ненормативної лексики, пропагандою насилля та образою честі та гідності будуть видалятися.

Пригоди
Трагедія на Тернопільщині: 58-річний чоловік вчинив самогубство, повісившись на дерев'яній опорі. Подія сталася вчора (23 травня), близько 20-ої години у селі Петриків Тернопільського району. Як інформують "Тернополяни", у петлі самогубця знайшла його дружина. Він повісився за їх спільним місцем проживання. Коли жінка виявила чоловіка, то він вже був без ознак життя. Що стало причиною такого відчайдушного кроку наразі невідомо. Поліція встановлює деталі по...
Бізнес
Тернопільщина є хабом бізнесу, хабом інновацій, хабом інвестицій. На цьому наголосив Віце-прем’єр-міністр - Міністр економічного розвитку і торгівлі України Степан Кубів під час відкриття Міжнародного інвестиційного форуму, що розпочався 23 травня у Збаражі. Підтвердженням цього, за його словами є те, що більше 500 учасників, включаючи і міжнародників, зареєструвалися на інвестиційний форум. А повага високоповажних послів, представників посольств і консуль...
Суспільство
Водій позашляховика, виїжджаючи, очевидно, з території Макдональдса, вирішив скоротити собі шлях зустрічною смугою. Однак побачивши наряд патрульних, швидко "втік" на свою смугу. Відповідне відео виклав у Facebook-спільноті Тернопільські плітки Володимир Кульба. "Водіння по-тернопільський. Водій на Тойоті Хайлендер, порушуючи ПДР, побачив патрульну машину, передумав їхати прямо) Хто себе впізнає ставте +", - прокоментував відео автор.
Культура
У Бібліотеці-музеї “Літературне Тернопілля ” відбулася презентація унікальної книги Василя Єрошенка “Шахова триходівка “. Українська мова – єдина, на яку було перекладено зазначене видання, і зробив це саме автор перекладу і натхненник видання Віктор Паюк. Нарис-оповідання “Шахова триходівка” спочатку був набраний шрифтом Брайля мови есперанто ще в 1934 році і був утрачений. Автор відновив текст в 1938 році. Через явну антирадянщину твір довго пролежав у ш...
Суспільство
Міжнародний інвестиційний форум "Тернопільщина invest 2019" - це багатофункціональна платформа, на якій презентують весь потенціал нашої області. За словами голови облдержадміністрації Степана Барни цей захід не лише традиційний для нашого краю, а й один із наймасштабніших за кількістю іноземних гостей. "Сьогоднішня наша зустріч є важливим кроком на шляху зміцнення міжнародних відносин Тернопільщини в усіх напрямках її співпраці. Вже зараз впевнено можемо...
Пригоди
До полонених українців застосовували тортури, найпоширенішими з яких були побиття, в тому числі з елементами сексуального насильства, імітація страти і інші погрози фізичного насильства. Як повідомляє "Сила слова", частину українських захисників вбили в 2014 році під Іловайськом у той момент, коли вони були позбавлені боєздатності, а тих, що вижили піддавали жорстоким тортурам. Цей факт був встановлений Управлінням Верховного комісара ООН із прав людини в...
Суспільство
У інтернет виклали відео, на котрому бійці «Азову» знову завдали удару по окупантах. Його розмістили на сайті Азов. "Цього разу під вогнем азовського озброєння опинився штаб терористів. Влучні постріли – і головне кодло ворога зруйновано. «Азов»: продовжуємо вести боротьбу з терористами!", - зазначено у повідомленні.
Суспільство
Тернопільський священик Євген Заплетнюк розповів неймовірну історію про один із найбільш вражаючих експонатів Бережанського краєзнавчого музею. Нею він поділився у власному блозі. "...Ця вервичка на перший погляд – нічого незвичайного. Стара, чорна, маленька. Майже дитяча. Але ж, звичайну в музей би не поставили… Щось тут не те.  Як виявилося, дійсно. Це не проста річ. Її зробив із хліба невідомий уже в’язень сталінських таборів і проніс через усі свої стр...
Суспільство
На своїй офіційній сторінці у Фейсбук Сергій Притула виклав відеозвернення. У ньому він намагався достукатись до українців та навів приклади, чим краще б займались люди, що безкінечно пишуть про політику. У коментарях до допису шоумена підтримали безліч людей, мовляв згодні з ним на усі 100%.  Відеозвернення набрало більш як 6 тис переглядів та 2 тис поширень в соцмережі. Що ж такого особливого сказав Притула, що його підтримали тисячі людей, дивіться у ві...
Новини по темі
На Тернопільщині, аби випити односельчанин обікрав чоловіка
На Тернопільщині поліція виявила у двох чоловіків гранати на десятки набоїв
Будівельна фірма з Тернополя приховала податків на 1 млн грн
"Це бажання навести порядок": довкола тернопільського перинатального центру розгорається скандал (Відео)
Викрадений на Тернопільщині автомобіль розшукали
У Тернополі обвинувачені у вбивстві таксистки засуджені до 15 та 13 років позбавлення волі
Жителю Тернопільщини, який побив поліціянта, "світить" до 5 років
Зловмисник прийшов порибалити на ставок підприємця, в якого вкрав вудочки
У Тернополі злодії поцупили мотоцикл вартістю 25 тисяч гривень
У Тернополі неповнолітній вкрав телефон у юного футболіста
Відповідальний за розділ
Наталія Наконечна
Журналісти сайту 0352.ua до ваших послуг.
Пишіть нам, телефонуйте, повідомляйте про міські новини та події - ми сподіваємося, що з Вашою допомогою городяни дізнаються про життя Тернополя більше.

Разом з Вами ми зробимо наше місто кращим!