Советы СБУ по защите от кибератаки вируса-вымогателя

28.06.2017 12:53
просмотров

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Об этом пишет пресс-служба СБУ Украины.

Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных. Не выплачивать вымогателям средства, которые они требуют — оплата не гарантирует восстановления доступа к зашифрованным данным.

 

рекомендации:

  1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал — тоже не перезагружайте его) — вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
  2. Сохраните все файлы, которые наиболее ценны, отдельного не подключен к компьютеру носитель, а в идеале — резервную копию вместе с операционной системой.
  3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat
  4. В зависимости от версии ОС Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:
    — для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
  •  для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
  • для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
  •  для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
  •  для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
  •  для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
  •  для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
  •  для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
  •  для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

— See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известной адреса, который вызывает подозрение относительно его содержания — связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружаются и запускает check Disk, немедленно выключайте его. На этом этапе вы можете вытянуть свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома) и скопировать файлы.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлено указанные патчи, независимо от факта подключения к локальной или глобальной сети.

Существует возможность попробовать восстановить доступ к заблокированного указанным вирусом компьютера с ОС Windows.

Поскольку указанное ШПЗ вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.

Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. Можно использовать для этого утилиту «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair

 Нужно загрузить ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer).

Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшего их расшифровки и переустановить операционную систему.

По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:

І. https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Загрузите утилиту Eset LogCollector: http://eset.ua/ua/download/

b). Запустите и убедитесь в том, что были установлены все галочки в окне «Артефакты для сбора».

c). Во вкладке «Режим сбора журналов Eset» установите Исходный двоичный код диска.
d). Нажмите на кнопку Собрать.
e). Отправьте архив с журналами.

 Если пострадавший ПК включен и еще не перезагружался необходимо сделать следующее:

С уже пораженного ПК (не перезагружая) нужно собрать MBR для дальнейшего анализа.
Собрать его можно по следующей инструкции:
  a). Загружайте с ESET SysRescue Live CD или USB (создание в описано в п.3)
  b). Согласитесь с лицензией на пользование
  c). Нажмите CTRL + ALT + T (откроется терминал)
  d). Напишите команду «parted -l» без кавычек, параметр этого маленькая буква «L» и нажмите
  e). Смотрите список дисков и идентифицируйте поражен ПК (должен быть один из / dev / sda)
  f). Напишите команду «dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256» без кавычек, вместо «/ dev / sda» используйте диск, который определили в предыдущем шаге и нажмите (Файл / home / eset / petya.img будет создан)
  g). Подключите флешку и скопируйте файл /home/eset/petya.img
  h). Компьютер можно выключить.

ІІ. http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методы противодействия заражению:

  1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
  2. Установления обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
  3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445
  4. Блокировка возможности открытия JS файлов, полученных по электронной почте

Новости Днепра про Советы СБУ по защите от кибератаки вируса-вымогателяРусский

Автор:


    Добавить комментарий

    Новости по теме

    Сегодня День весеннего равноденствия: что он значит и зачем нужно есть булочки в форме птиц
    Новости Днепра
    20.03.2024 15:24

    Наши предки считали, что в день весеннего равноденствия зима окончательно…

    В Днепре с 1 апреля садики, которые работают дистанционно, откроют очные группы: что надо знать родителям
    Новости Днепра
    20.03.2024 14:16

    В Днепре садики, которые не имеют укрытия и работают дистанционно,…

    В Каменском сын убил старенькую мать, потому что она разбудила его ночью
    Новости Днепра
    20.03.2024 11:19

    В Каменском на Днепропетровщине сын убил мать, потому что та…

    Последние новости

    Согласно данным портала аренды жилья, город Днепр входит в ТОП-3 украинских городов, где самая дорогая арендная плата в стране. На первом месте Киев, на втором Львовская область и Днепропетровщина вместе с областным центом. Средняя цена за аренду однокомнатной квартиры в…

    Сегодня 13:39
    1
    просмотров

    В Кривом Роге на Днепропетровщине разоблачили дельцов, торговавших безакцизным алкоголем по всей Украине.

    Сегодня 12:27
    3
    просмотров

    Бесплатные экскурсии в Днепре проходят каждую неделю!

    Сегодня 12:22
    4
    просмотров

    С наступлением тепла начали просыпаться змеи.

    Сегодня 11:49
    2
    просмотров

    Ботсад ДНУ анонсировал рабочие субботы.

    Сегодня 11:00
    2
    просмотров

    В Днепре разоблачили шпиона, пытавшегося навести ракеты и ТЭС и военный госпиталь.

    Сегодня 10:26
    6
    просмотров

    Будьте осторожны!

    Сегодня 07:00
    6
    просмотров

    Хорошего дня, друзья!

    Сегодня 06:15
    5
    просмотров

    В Днепре и области отключат свет.

    Вчера 21:47
    14
    просмотров

    Новую фишинговую схему с петициями придумали мошенники.

    Вчера 21:24
    8
    просмотров

    АКЦИИ КОМПАНИЙ

    • KangooSport
      -10%

      Лето началось внезапно? Не готова? Не беда! Поправим, исправим!!!

    • TAL-MEDICAL
      Акция

      Консультация врача и УЗИ обследование

    • TAL-Medical
      15%

      Скидка на консультацию лучших специалистов!

    • Доступные врачи
      Акция!

      Специалисты с хорошим опытом работы по стоимости значительно ниже рыночной!

    Наверх