Как бороться с кибератакой. Рекомендации СБУ

«Одесская жизнь» уже сообщала о мощной кибератаке, которой сегодня подверглась вся Украина.

После ее окончания Служба безопасности Украины опубликовала на своем сайте рекомендации по защите компьютеров от кибератаки вируса-вымогателя.

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.

На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат.

Во избежание неточности перевода, мы публикуем рекомендации на языке оригинала.

РЕКОМЕНДАЦІЇ:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.

Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:Windowsperfc.dat

Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:

  • — для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
  • — для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
  • -для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
  • — для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
  • — для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
  • — для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
  • — для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
  • — для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
  • — для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Ми використовували для цього утиліту «Boot-Repair».

Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair»

https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній.

https://eset.ua/ua/news/view/507/-Eset-Guidelines

  • a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/
  • b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні  "Артефакти для збору".
  • c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
  • d). Натиснить на кнопку: Зібрати.
  • e). Надішліть  архів з журналами.

Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання п. 3 для збору інформації, яка допоможе написати декодер, п. 4 для лікування  системи.

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу

Зібрати його можливо за наступною інструкцією:

  • a). Завантажуйте з  ESET SysRescue Live CD або USB (створення в описано в п.3)
  • b). Погодьтесь з ліцензією на користування
  • c). Натисніть CTRL+ALT+T (відкриється термінал)
  • d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
  • e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
  • f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda"  використовуйте диск, який визначили у попередньому кроці і натисніть   (Файл /home/eset/petya.img буде створений)
  • g). Підключіть флешку  і скопіюйте  файл /home/eset/petya.img
  • h). Комп'ютер можна вимкнути.
Share

Recent Posts

  • Новости партнеров

Шинный калькулятор: как определить, подойдет ли вам новый размер колес?

При выборе нового размера колес используется шинный калькулятор, инструмент, который упрощает процесс подбора. Read More

2024-11-22
  • Новости

Прогноз погоды на субботу, 23 ноября: штормовое предупреждение

В субботу, 23 ноября 2024 года, в Одессе и Одесской области ожидается прохладная и ветреная… Read More

2024-11-22
  • Новости

В Одессе установят 11 новых мобильных укрытий

В Одессе установят 11 мобильных укрытий в местах с большим скоплением людей. Решение принял исполнительный… Read More

2024-11-22
  • Новости

Италия поможет восстановить разрушенную инфраструктуру Одесской области

Италия заявила о готовности поддержать восстановление Одесской области через реализацию ряда совместных проектов. Этот вопрос… Read More

2024-11-22
  • Общество
  • Статьи

Маленькая история о больших сердцах: как учительница из Херсона и ее ученики приближают победу

Эта история об учениках херсонской школы и их учительнице Елене, которые поддерживают украинских защитников на… Read More

2024-11-22
  • Новости

В Одесской области зафиксирована опасная инфекция

Вблизи села Камышевка Сафьяновской громады Измаильского района зарегистрирована вспышка африканской чумы свиней (АЧС). Это уже… Read More

2024-11-22