СБУ опубликовала рекомендации, которые защитят компьютеры от атаки вируса-вымогателя Petya A
По данным СБУ, инфицирование операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые пришли на электронные адреса многих коммерческих и государственных структур.
Об этом Информатору стало известно из сообщения Службы безопасности Украины.
Атака, основной целью которой было распространение шифровальщика файлов Petya A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые запускали шифровальщик файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows, зашифровывая файлы пользователя. После этого он выводит сообщение с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.
"На данный момент зашифрованные данные, к сожалению, восстановлению не подлежат. Продолжается работа над возможностью дешифровки. Не выплачивайте вымогателям средства, которые они требуют - оплата не гарантирует восстановления доступа к данным", - предупреждают в СБУ.
Рекомендации для пользователей
- Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
- Сохраните все наиболее ценные файлы на отдельный носитель, а в идеале создайте резервную копию как этих файлов, так и операционной системы.
- Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
- Далее, в зависимости от версии ОС Windows установите патч с этого ресурса. Для каждой версии предусмотрена своя программа:
- для Windows XP;
- для Windows Vista 32 bit;
- для Windows Vista 64 bit;
- для Windows 7 32 bit;
- для Windows 7 64 bit;
- для Windows 8 32 bit;
- для Windows 8 64 bit;
- для Windows 10 32 bit;
- для Windows 10 64 bit.
Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно здесь.
Убедитесь, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установите и обновите антивирусное программное обеспечение.
Чтобы уменьшить риск заражения, внимательно относитесь ко всей электронной корреспонденции, не загружайте и не открывайте приложения в письмах, которые присланы с неизвестных адресов. Если вы получили письмо с известного адреса, но его содержание вызывает у вас подозрения - свяжитесь с отправителем и подтвердите отправку письма.
Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружается и запускает check Disk, немедленно выключайте его. На этом этапе вы можете достать свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного) и скопировать файлы.
Вирус вносит изменения в MBR (master boot record), из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.
Эта проблема решается восстановлением MBR-записи. Для этого существуют специальные утилиты. Можно использовать утилиту «Boot-Repair». Инструкция находится здесь. Нужно загрузить ISO образ «Boot-repair», после чего с помощью одной из указанных в инструкции утилит создать Live-USB (можно использовать Universal USB Installer). Далее нужно загрузиться из созданной Live-USB и далее следовать инструкциям по восстановлению MBR - записи.
"После этого Windows загружается нормально. Но большинство файлов с расширениями doc, docx, pdf и так далее будут зашифрованы. Для их расшифровки нужно ждать, пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему", - рекомендуют в СБУ.
В отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только в том случае, если в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.
Кроме этого, можно воспользоваться дополнительными рекомендациями антивирусных компаний, например, Eset. Она предлагает загрузить утилиту Eset LogCollector, запустить ее и убедиться в том, что установлены все галочки в окне "артефакты для сбора". Затем во вкладке "режим сбора журналов Eset" нужно установить: "исходящий двоичный код с диска", после чего - нажать на кнопку "собрать" и отправить журнал с архивами.
Если пострадавший ПК включен и еще не выключался, то нужно собрать MBR для дальнейшего анализа. Делается это так:
- Загрузите с ESET SysRescue Live CD или USB;
- Согласитесь с лицензией на пользование;
- Нажмите CTRL + ALT + T (откроется терминал);
- Напишите команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите ввод;
- Просмотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda);
- Напишите команду "dd if =/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге и нажмите ввод (будет создан файл /homе/eset/petya.img);
- Подключите флешку и скопируйте файл /home/eset/petya.img;
- Компьютер можно выключить.
Среди методов противодействия заражению есть следующие:
- Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 находится в TechBlog компании Microsoft.
- Установка обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010.
- Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.
Ранее мы сообщали, что Киберполиция также предоставила инструкцию о том, что делать в случае атаки.
Анастасия Золотарева
Мы используем файлы cookie, чтобы обеспечить должную работу сайта, а контент и реклама отвечали Вашим интересам.