Как защититься от вируса-вымогателя Petya: инструкция от СБУ - 061.ua

Как защититься от вируса-вымогателя Petya: инструкция от СБУ

Служба безопасности Украины распространила сообщение о том, как защититься от вируса Petya, который блокирует все файлы на компьютере и требует заплатить 300 долларов за разблокировку. 061 приводит текст СБУ. Возможно, он будет вам полезен.

"За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.datЗалежно від версії ОС Windows встановити патч з ресурсу:https://technet.microsoft.com/…/libr…/security/ms17-010.aspx, а саме:

- для Windows XP -http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

- для Windows Vista 32 bit -http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

-для Windows Vista 64 bit -http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

- для Windows 7 32 bit -http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

- для Windows 7 64 bit -http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

- для Windows 8 32 bit -http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 8 64 bit -http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 10 32 bit -http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

- для Windows 10 64 bit -http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою:https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Ми використовували для цього утиліту «Boot-Repair».Інструкціяhttps://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair»https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній.

https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector:http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.

d). Натиснить на кнопку: Зібрати.

e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання

п. 3 для збору інформації, яка допоможе написати декодер,

п. 4 для лікування системи.

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу

Зібрати його можливо за наступною інструкцією:

a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)

b). Погодьтесь з ліцензією на користуванняc). Натисніть CTRL+ALT+T (відкриється термінал)

d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть

e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)

f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)

g). Підключіть флешку і скопіюйте файл /home/eset/petya.imgh). Комп'ютер можна вимкнути.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Актуальность
(0 оценок)
Автор
(0 оценок)
Изложение
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Криминал
Правоохранители сообщили о подозрении злоумышленнику, который организовал незаконный вылов рыбы и нанес государству ущерб на 7,7 миллионов гривен. Об этом сообщают в областной прокуратуре. Приморский отдел Бердянского местной прокуратуры осуществляет процессуальное руководство в уголовном производстве по факту вылова водных биоресурсов без надлежащего разрешения в территориальных водах Украины в пределах Бердянского и Приморского районов Запорожской област...
Происшествия
За последние два месяца сотрудники налоговой милиции фискальной службы Запорожской области обнаружили 34 преступления в сфере экономики. Об этом сообщают в пресс-службе Главного управления ГФС в Запорожской области. Из 34 фактов 20 касается фактов уклонения от налогообложения в особо крупных размерах. Всего с начала года следователи запорожской ГФС расследовали 107 уголовных производств, из которых 75 относятся к категории тяжких преступлений. В суд направ...
Происшествия
24 марта в Запорожской области зафиксировано 10 пожаров в экосистемах. На их тушение выезжали 38 спасателей. Об этом сообщают в областном управлении ГСЧС. Общая площадь охваченной огнем территории составила 3 гектара. Причины возгораний устанавливаются. Ведется расследование. В ГСЧС призывают граждан соблюдать правила пожарной безопасности во время пребывания на открытых территориях. Читайте также: В Запорожье убили женщину - подозреваемый задержан
Культура
В Запорожье философ Сергей Тарадайко проведет лекцию «Mazeppa. Легенда про гетьмана: образ в літературі і мистецтві» к 380-летию со дня рождения гетмана Ивана Мазепы. Об этом 061 сообщили организаторы встречи. «В історичних дослідженнях про Мазепу відчутна парадоксальна ситуація... Бо, з одного боку, всі визнають, що ця постать оповита чутками й легендами. Проте, з іншого, всі дослідники відсторонюються від легенд і намагаються триматися «фактів»... Але хі...
Криминал
Хортицкий районный суд Запорожья приговорил обвиняемого по делу о незаконном приеме металлолома на год лишения свободы. Об этом сообщает прокуратура Запорожской области. По материалам следствия, ранее судимый местный житель организовал скупку металлолома у себя в гараже. В ходе обысков у него изъяли лом черных металлов, электронные весы, черновую бухгалтерию. Металлолом решением суда изъят в пользу государства. Читайте также: В Запорожье ищут 5 человек...
Общество
В Запорожье объявлен конкурс на замещение 5 вакантных мест в батальоне полиции особого назначения. Об этом сообщает пресс-служба ГУНП Запорожской области. Конкурс включает себя тестирование, медосмотр, проверку уровня физической подготовки, психологическое тестирование и собеседование. Предвартильно необходимо заполнить электронную анкету на сайте. Прием заявок от конкурсантов продлится до 23 апреля, документов — до 26 апреля. Батальон полиции особого...
Общество
С начала года в Запорожской области зарегистрировано 487 случаев кори. Областной центр — грод Запорожье — на первом месте по количеству “подхвативших” вирус. Об этом сообщает пресс-служба ГУ “Запорожский лабораторный центр МОЗ”. По данным медиков, только за последнюю неделю в регионе зафиксировано 44 случая кори, из которых 21 в Запорожье, еще 10 — в Мелитополе, 3 — в Бердянске, 6 — в Мелитопольском районе, по одному — в Вольнянске, Пологовском, Акимовск...
Общество
В марте пробное внешнее независимое оценивание в Запорожской области проводилось в 25 пунктах. В нем участвовали 4800 старшеклассников. Об этом сообщили в Департаменте образования и науки Запорожской ОГА.  Десять пунктов тестирования находились в Запорожье, Бердянске, Мелитополе, Энергодаре, Токмаке, Васильевке и Орехове. В этом году количество тестируемых увеличилось на 300 учеников по сравнению с 2018 годом. В ходе тестирования было выявлено одно наруш...
Политические новости
Сьогодні до Запоріжжя приїхав народний депутат України (фракція «Блок Петра Порошенка») Олександр Черненко. Голова Лічильної комісії Верховної Ради восьмого скликання, який до обрання в парламент багато років працював головою Всеукраїнської громадської організації «Комітет виборців України», поділився з журналістами своїм баченням політичної ситуації напередодні виборів. «Зараз в Україні за допомогою інформаційних технологій відбувається штучне нагнітання...
Новости по теме
В Запорожье ищут 5 человек в полицейский спецназ
В Запорожской области корью заболело почти полтысячи человек
В Запорожской области 5000 абитуриентов сдали пробное ВНО
В Запорожье продлили срок поверки счетчиков горячей воды и пообещали перерасчет
Новорожденная девочка, которую бросили на капоте авто, родилась без патологий, - медики
В Запорожской области почти 10 тысяч человек будут голосовать не по месту прописки
В Запорожской области исполнительная служба “выбила” с должников по алиментам 69 миллионов
Декларация Брыля, с вокзала сорвало крышу, смерть актера-казака: итоги выходных в Запорожье
В Запорожской области насчитали более 20 тысяч безработных
Запорожцы стали чаще обращаться к врачу с кишечными инфекциями и реже с гриппом и ОРВИ