БОЛЬШЕ НОВОСТЕЙ  >>
Украина

В СБУ назвали способы нейтрализации кибервируса

19:59 27 июня 2017   3553
В СБУ назвали способы нейтрализации кибервируса
Инф. «ФАКТОВ»

Во вторник, 27 июня, хакерской атаке подверглись сайты многих компаний и госучреждений Украины, а также компьютеры пользователей. Подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Атака, основной целью которой было распространение шифровальщика файлов Petya. A, использовала сетевую уязвимость MS17−010. В результате на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифровки в биткойнах в эквиваленте $ 300 для разблокировки данных.

На сегодня зашифрованные данные расшифровке не подлежат.

В СБУ подготовили специальные рекомендации для нейтрализации вируса.

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал, тоже не перезагружайте его): вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале сделайте резервную копию, в том числе операционной системы.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat.

4. В зависимости от версии ОС Windows нужно установить патч с ресурса:

- для Windows XP;
- для Windows Vista 32 bit;
- для Windows Vista 64 bit;
- для Windows 7 32 bit;
- для Windows 7 64 bit;
- для Windows 8 32 bit;
- для Windows 8 64 bit;
- для Windows 10 32 bit;
- для Windows 10 64 bit.

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по этому адресу.

5. Убедиться, что на всех компьютерных системах антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, присланных с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, нужно связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от подключения к локальной или глобальной сети.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:

a) Загрузите утилиту Eset LogCollector.
b) Запустите ее и убедитесь в том, что были установлены все галочки в окне «Артефакты для сбора».
c) Во вкладке «Режим сбора журналов Eset» установите «Исходный двоичный код с диска».
d) Нажмите на кнопку «Собрать».
e) Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению п. 3 для сбора информации, которая поможет написать декодер, и п. 4 для лечения системы.

С уже пораженного ПК (который не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:

a) Загружайте с ESET SysRescue Live CD или USB (создание в описано в п. 3)
b) Согласитесь с лицензией на пользование
c) Нажмите CTRL + ALT + T (откроется терминал)
d) Напишите команду «parted -l» (без кавычек, маленькая буква «L») и нажмите <enter>
e) Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)
f) Напишите команду «dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256» без кавычек, вместо «/dev/sda» используйте диск, который определили в предыдущем шаге, и нажмите <enter> (файл /home/eset/petya.img будет создан)
g) Подключите флеш-накопитель и скопируйте файл /home/eset/petya.img
h) Компьютер можно выключить.

Напомним, ранее был опубликован список сайтов, которые подверглись атаке вируса Petya.А.

Читайте нас в Telegram-канале, Facebook и Twitter

Читайте также
Новости партнеров

— Не знаете, где в этом году можно недорого отдохнуть? — Знаю. На диване...

Киев
-2

Ветер: 4 м/с  C
Давление: 762 мм