USD27.635

СБУ: Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено)

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних. Не виплачувати здирникам кошти, які вони вимагають - оплата не гарантує відновлення доступу до зашифрованих даних.

Рекомендації:

  1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
  2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
  3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
  4. Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:

- для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

- для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

-для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

- для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

- для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

- для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

- для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

- для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

- для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

- See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

 

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

 

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

 

7. Зробити резервні копії усіх критично важливих даних.

Коли користувач бачить «синій екран смерті», дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Якщо комп’ютер перезавантажуються і запускає check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп’ютера (тільки не у якості завантажувального тому) і скопіювати файли.  

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

 

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

 

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

 Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer). 

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

 

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І.     https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні  "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть  архів з журналами.


 Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.
Зібрати його можливо за наступною інструкцією:
  a). Завантажуйте з  ESET SysRescue Live CD або USB (створення в описано в п.3)
  b). Погодьтесь з ліцензією на користування
  c). Натисніть CTRL+ALT+T (відкриється термінал)
  d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
  e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
  f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda"  використовуйте диск, який визначили у попередньому кроці і натисніть   (Файл /home/eset/petya.img буде створений)
  g). Підключіть флешку  і скопіюйте  файл /home/eset/petya.img
  h). Комп'ютер можна вимкнути.

 

ІІ.  http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методи протидії зараженню:

  1. Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
  2. Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
  3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445
  4. Блокування можливості відкриття JS файлів, отриманих електронною поштою

III. https://www.symantec.com/ 

За рекомендаціями антивірусної компанії Symantec, для встановлення факту зараження комп’ютеру шифрувальником файлів, необхідно завершити всі локальні задачі та перевірити наявність наступного файлу С:\Windows\perfect/

Крім того, як швидкий спосіб унеможливлення подальшого поширення вірусу, поки будуть встановлені патчі з п. 4, доцільним є примусове створення в дисковій директорії С:\Windows\ текстового файлу perfect, і встановлення для нього атрибуту «тільки для читання».

 

По материалам Прес-центр СБ України
Отключить рекламу
Комментарии
  • Машуня
29.06.17 09:06

Для борьбы с вирусом Petya.A СБУ в срочном порядке перечислила предоплату ведущим IT-компаниям Вова.Г и Юра.Л...... За статью спасибо, скопировала в блокнот и на флешку. Только вопрос: патч нужно установить сейчас и на всякий случай или только в случае, если есть подозрение на заражение?

Ответить
    Оценить
  • 8
  • 0
  • бурундук
29.06.17 17:20

Машуня, Вируса Петя Порошенка Украине просто так не избавиться.

Ответить
    Оценить
  • 5
  • 2
  • 1
29.06.17 09:33

Машуня, ставить заранее, т.к. он закрываает уязвимость а не лечит.

Ответить
    Оценить
  • 0
  • 0
  • Asia.Svetlova
29.06.17 09:35

Подскажите, кто разбирается, поиск обнаружил на компе файлы Perfc009.dat и perfc019.dat. Это те файлы о которых нас предупреждает статья? И если да, то в инструкции не написано что с ними делать: удалить, не трогать или просто поставить патч в соответствии с ОС?

Ответить
    Оценить
  • 0
  • 0
  • SHADOW
29.06.17 09:43

Asia.Svetlova, смотря где они стоят. по сообщениям, данный файл должен быть С:\Windows\perfc.dat но в системе есть родные похожие файлы, но они в другом месте. проще отослать обнаруженные файлы разработчику Вашего антивируса. он посмотрит их

Ответить
    Оценить
  • 2
  • 0
  • Asia.Svetlova
29.06.17 09:48

SHADOW, именно в С:\Windows они и находятся. Не могу установить патч, пишет:Обнаружена ошибка 0х80070422 Указанная служба не может быть запущена, так как она отключена или все, связанные с нею службы отключены. Мне конец?

Ответить
    Оценить
  • 1
  • 0
  • Командор
29.06.17 10:52

Asia.Svetlova, Включите службу Центр обновления Виндовс в Пуск/ Настройки/ Панель управления/ администрирование/ службы

Ответить
    Оценить
  • 1
  • 1
  • SHADOW
29.06.17 09:56

Asia.Svetlova, в папке виндовс находятся и другие папки, а этот файл должен именно быть не в папках, а сразу. если он в папках, то это могут быть системные файлы(такие есть)

Ответить
    Оценить
  • 1
  • 0
  • SHADOW
29.06.17 09:54

не знаю, к сожалению я не специалист в этом (( но я бы в таком случае. скопировал важную инфу на внешний диск. запустил винду в безопасном режиме, прогнал доступными антивирусам(доктор веб и каспер) запустил проверку системных файлов и т.д.. на крайний случай просто переустановил винду

Ответить
    Оценить
  • 1
  • 0
  • Рыжий
29.06.17 10:11

как-то не доверяю я мелкомягким, в последнее время как раз после обновлений и начинаются проблемы

Ответить
    Оценить
  • 1
  • 1
  • Рыжий
29.06.17 10:11

как-то не доверяю я мелкомягким, в последнее время как раз после обновлений и начинаются проблемы

Ответить
    Оценить
  • 0
  • 0
  • Алёша
29.06.17 10:16

Тот же вопрос, что и у Машуни

Ответить
    Оценить
  • 0
  • 0
  • SHADOW
29.06.17 10:38

Алёша, это просто статья и ссылки в ней не ко всем подойдут. вчера ради эксперемента для вин10/64 скачал. так оно не подходит к моей винде. т.е. надо еще на сайте смотреть нужную винду. свою я там не нашел

Ответить
    Оценить
  • 2
  • 0
  • данет
29.06.17 10:40

А в Linux никаких Петь нет.

Ответить
    Оценить
  • 4
  • 2
  • SHADOW
29.06.17 10:50

данет, как только массово пересядут на линукс пользователи, там сразу появятся и пети и васи и прочая хрень

Ответить
    Оценить
  • 4
  • 1
  • мимокрокодил
29.06.17 11:57

SHADOW, Шурик дело говорит. На линуксе для запуска чего-либо, а особенно "чего-то" подозрительного обязателен пароль администратора. К тому же, запуск и работу процесса можно остановить и откатить. Другое дело - "он слишкам сложный для нас". Не все осилят.

Ответить
    Оценить
  • 3
  • 0
  • Шурик
29.06.17 11:32

SHADOW, Там нет программ которые сами по себе запускаются, все активные открыты. Поэтому вирусам для линукса от-винта. Спасибо за статью и ссылки всё чудесно установилось. Что-то у меня сомнение в том что файлы от заразы шифруются, дело в том что платежи в системе Биткона всем участникам известны все и всех, они могут вымогать и получить но потратив их сразу будет известно кто хозяин вируса, скорее всего данные просто портятся. И про "Petya.A" никто нигде почему-то не вспомнил английские правила записи отчества, "А" - отчество пишется в английском одной буквой. Храните важные данные в облаках, их много бесплатных, даже на ukr.net - почте даётся 4 гигабайта.

Ответить
    Оценить
  • 0
  • 0
  • мимокрокодил
29.06.17 11:58

Шурик, Но все участники анонимны. Известно только ИД кошелька и все. Биткоин анонимен, а знание ИД кошелька ничего не дает, разве что еще битков на него подкинуть можно. Только ИД кошельков и сумы передачи - ничего более.

Ответить
    Оценить
  • 0
  • 0
  • как-то так
29.06.17 11:25

SHADOW, а может еще и вити, и юли, и....

Ответить
    Оценить
  • 0
  • 0
  • Бух
29.06.17 10:46

Как раз подхватили вирус при обнавлении антивируса. Комп перезагрузился и усе( кто знает, можно ли как то обновить ключи медок или новые нужно делать?

Ответить
    Оценить
  • 0
  • 0
  • Бухик
29.06.17 12:34

Бух, а какой антивирусник у Вас?

Ответить
    Оценить
  • 0
  • 0
  • Ольга
29.06.17 11:33

Бух, если нет ключей на других носителях, то ключи нужно делать заново

Ответить
    Оценить
  • 0
  • 0
  • данет
29.06.17 10:51

Petya.A шифрует разделы MFT и MBR жесткого диска компьютера и требует за расшифровку $300 в биткойнах. шансов восстановить свои файлы нет так как в шифровальщике отсутствует индикатор установки содержащий данные для расшифровки файлов.храните деньги в сбер кассе а информацию на отдельном носителе.

Ответить
    Оценить
  • 0
  • 0
  • данет
29.06.17 11:26

весь мир еще ищет кто навредил а турчинов и сослуживцы сразу нашли вредителя-раша .

Ответить
    Оценить
  • 16
  • 0
  • нетда
29.06.17 17:33

данет, Если не Россия, то кто? Это сложный вирус, направленный строго на Медок, разработчики которого потратили на него много времени и сил, и не заработали ничего. Еще и СБУшников взрывают на днях. Еще раз спрошу, очень простой вопрос: если не Россия, то кто?

Ответить
    Оценить
  • 0
  • 0
  • мимокрокодил
29.06.17 13:50

данет, это же так удобно!проблемы с экономикой - россия виновата!дурные налоговые нововведения - россия виновата!Пенсионный фонд разграбили - россия виновата!дороги плохие - россия виновата!ночью собаки лают - россия виновата!пирожок не вкусный - россия виновата!россия конечно во многом виновата, но наши доводят все до какого-то абсурда.

Ответить
    Оценить
  • 17
  • 0
  • SHADOW
29.06.17 11:32

данет, да как ни крути, во всех бедах раша виновата

Ответить
    Оценить
  • 3
  • 9
  • SHADOW
29.06.17 11:58

Жертвы нового вируса-вымогателя (шифровальщика) не смогут вернуть свои файлы после заражения, сообщает "Лаборатория Касперского".Согласно первым сообщениям, активированный во вторник злоумышленниками вирус-шифровальщик был отнесен к уже известному семейству вымогателей Petya, однако позднее выяснилось, что речь идет о новом семействе вредоносного ПО с существенно отличающейся функциональностью. "Лаборатория Касперского" окрестила новый вирус ExPetr."Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы. Исследователи "Лаборатории Касперского" проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили, что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно", — сообщает лаборатория.Как отмечают в компании, для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае ExPetr этого идентификатора нет. Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные, поясняет "Лаборатория Касперского".Вирус блокирует компьютеры и требует 300 долларов в биткоинах, сообщили РИА Новости в компании Group-IB. Атака началась во вторник около 11.00. По данным СМИ, на 18.00 среды биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов. С учетом комиссии за переводы пострадавшие перевели хакерам порядка 2,7 тысячи долларов.По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу компании по странам, пострадавшим от вируса, на втором месте после Украины — Италия, на третьем — Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке заняла 14-е место.

Ответить
    Оценить
  • 4
  • 0
  • Натуся
29.06.17 12:51

при установке пишет: обновление неприменимо к вашему компьютеру, и что делать-то

Ответить
    Оценить
  • 0
  • 0
  • мимокрокодил
29.06.17 14:04

Натуся, в "Мой компьютер" или просто "компьютер" смотрите сведения о системе и конкретно - версию ОС и ее разрядность 32 или 64-бит. Выбирайте соответствующий версии патч и устанавливайте. НО, если ОС регулярно обновляется самостоятельно, то патч мог быть установлен ранее, с обновлениями.

Ответить
    Оценить
  • 0
  • 0
  • SHADOW
29.06.17 13:23

Натуся, не для Вашей винды значить обновление.

Ответить
    Оценить
  • 1
  • 0
  • Бух
29.06.17 14:41

"За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів)". Дальше можно не читать.

Ответить
    Оценить
  • 3
  • 0
  • мимокрокодил
29.06.17 14:50

Бух, вы думаете троян нельзя вшить в ПДФ? Раскрою секрет - любого червя, любую дрянь можно вшить во что угодно, даже в фото, при этом оно будет открываться, его можно будет посмотреть, но в определенный момент эта дрянь даст о себе знать.

Ответить
    Оценить
  • 2
  • 0
  • Бух
30.06.17 10:39

мимокрокодил, насколько я понимаю. єто сделать достаточно сложно, но можно. и для єтого должно быть много совпадений в работе программ на компе. и на массовость атаки таким способом надеяться тяжело ввиду постоянного обновления того же акробат. это могут быть единичные случаи. а так как карта ляжет.

Ответить
    Оценить
  • 0
  • 0
  • Павел
29.06.17 17:49

Если на вашем компе появился диск с названием "зарезервировано системой" дата создание диска 27,06 и на нем вайл "README" ваш комп заражен скорее всего..

Ответить
    Оценить
  • 1
  • 0
ОЗНАКОМИТЬСЯ С ИЗДАНИЕМ
Контекстная реклама
Календарь бухгалтера
Пн Вт Ср Чт Пт Сб Вс
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
Курсы валют
Настройки
Оформление
Светлая тема
(стандартный)
Серая тема
Темная тема
Параметры экрана
Фиксированная ширина
(стандартный)
Во весь экран
Управление уведомлениями
Включить уведомления
Отключить уведомления