СБУ рекомендует: Как защитить компьютер от кибератаки вируса-вымогателя - 0564.ua

СБУ рекомендует: Как защитить компьютер от кибератаки вируса-вымогателя

Microsoft подтвердила причастность софта M.E.Doc к распространению вируса Petya. По мнению специалистов компании, процесс заражения был запущен после легального обновления M.E.Doc.

В Украине во время массированной хакерской атаки были инфицированы 12,5 тыс. компьютеров. Вирус распространялся с помощью бухгалтерского программного обеспечения M.E.Doc украинского производства. Соответствующая информация появилась в блоге компании Microsoft, сообщает "112.ua".

Отмечается, что атаку провели с помощью "вируса-вымогателя", который является новым вариантом вредоносного программного обеспечения Ransom: Win32/Petya, однако является более изощренным, в отличие от своего предшественника.

По словам специалистов компании, процесс заражения был запущен после легального обновления M.E.Doc.

Кроме Украины, есть информация о заражении в 64 других странах, в число которых входят Бельгия, Бразилия, Германия, Россия и США. В Microsoft отметили, что их антивирус Windows Defender сумел распознать угрозу, поэтому пользователям посоветовали вовремя обновлять операционную систему, ведь новые версии содержат защиту от всех современных угроз.

Напомним, 27 июня в Украине неизвестный вирус поразил сети ряда крупных компаний, в том числе и больших государственных. Атака началась практически одновременно около 11:30. Вирус распространился очень быстро. Проявлялся в отказе работы компьютеров на платформе Windows. Перегружался и зашифровывался.

В связи с этим Совет нацбезопасности принял решение об усилении мер контртеррористического и контрразведывательного режима в Киеве и регионах Украины, а СБУ разработала

Рекомендации по защите компьютеров от кибератаки вируса-вымогателя:

По данным СБУ, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных. Не выплачивать вымогателям средства, которые они требуют - оплата не гарантирует восстановления доступа к зашифрованным данным.

рекомендации:

Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
Сохраните все файлы, которые наиболее ценны, на отдельный не подключенный к компьютеру носитель, а в идеале - резервную копию вместе с операционной системой.

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat

В зависимости от версии ОС Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:
- для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

- для Windows Vista 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

-для Windows Vista 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

- для Windows 7 32 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

- для Windows 7 64 bit - http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

- для Windows 8 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

- для Windows 8 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

- для Windows 10 32 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

- для Windows 10 64 bit - http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

- See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

5. Убедиться, что на всех компьютерных системах установленное антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания - связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

8. Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружается и запускает check Disk, немедленно выключайте его. На этом этапе вы можете вытянуть свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома) и скопировать файлы.

9. Для предотвращения вредоносным ПО менять MBR (в котором в данном случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений по запрету доступа к MBR: • решение Cisco Talos https://www.talosintelligence.com/mbrfilter, исходные коды доступны здесь https://github.com/Cisco-Talos/MBRFilter; • зрелое решение Greatis http://www.greatis.com/security/; • свежее решение SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлено указанные патчи, независимо от факта подключения к локальной или глобальной сети.

Следует отметить, что существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows. Поскольку указанное ШПЗ вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. Можно использовать для этого утилиту «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair Нужно загрузить ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/ Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи. После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшего их расшифровки и переустановить операционную систему. По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:

І. https://eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf

1. Если зараженный компьютер включен, и не перезагружайте и не выключайте!

a) Выполните создание лога с помощью программы ESET Log Collector Загрузите утилиту ESET Log Collector: http://eset.ua/ua/download/utility?name=logcollector Убедитесь в том, что установлены все галочки в окне «Артефакты для сбора» . Во вкладке «Режим сбора журналов ESET» установите «Исходный двоичный код с диска». Нажмите на кнопку «Собрать». Отправьте архив с журналами на электронный адрес [email protected]

b) В продуктах ESET включите сервис ESET Live Grid, а также выявление нежелательных и опасных приложений. Дождитесь обновления сигнатур до версии 15653 и просканируйте ПК.

2. Если компьютер выключен, не включайте его! Для сбора информации, которая поможет написать декодер, перейдите к выполнению пункта 3, для сканирования системы перейдите к пункту 4.

3. С уже зараженного компьютера (не загружается) нужно собрать MBR для дальнейшего анализа. Собрать его можно с помощью этой инструкции: • Загрузите ПК с ESET SysRescue Live CD или USB (создание описано в Приложении 1). • Предоставьте согласие с условиями лицензии на использование. • Нажмите CTRL + ALT + T (откроется терминал). • Напишите команду "parted -l" без кавычек, параметром является маленькая буква "L" и нажмите. • Смотрите список дисков и идентифицируйте заражен (должен быть один из / dev / sda). • Введите команду "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" без кавычек, вместо "/ dev / sda" используйте диск, который определили в предыдущем шаге, и нажмите ( файл /home/eset/petya.img будет создан). • Подключите USB-флешку и скопируйте файл /home/eset/petya.img. • Компьютер можно выключить. • Отправьте файл petya.img на электронный адрес [email protected]



ИИ. http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методы противодействия заражению:

Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
Установления обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445
Блокировка возможности открытия JS файлов, полученных по электронной почте.
III. https://www.symantec.com/

По рекомендациям антивирусной компании Symantec, для установления факта заражения компьютеру шифровальщиком файлов, необходимо завершить все локальные задачи и проверить наличие следующего файла C: \ Windows \ perfect /

Кроме того, как быстрый способ предотвращения дальнейшего распространения вируса, пока будут установлены патчи п. 4, целесообразно принудительное создание в дисковой директории C: \ Windows \ текстового файла perfect и установления для него атрибута «только для чтения».

кривойРог новости 0564ua кибератака вирус
Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции
Автор
(0 оценок)
Актуальность
(0 оценок)
Изложение
(0 оценок)
Я рекомендую
Пока никто не рекомендует

Комментарии

Комментарии предназначены для общения, обсуждения и выяснения интересующих вопросов

Общество
В Кривом Роге для членов общественных организаций и инициативных групп, журналистов, и блоггеров состоялся тренинг о привлечении финансирования и фандрейзинг. Об этом корреспонденту 0564 стало известно на месте события. Вчера, 19 апреля, в MediaHub состоялся бесплатный однодневный тренинг "Грошик без ніг, а весь світ обійде" для активистов и журналистов. Тренинг о привлечении финансирования и фандрейзинге проводила Общественная организация "ЛАРП" (редакция...
Общество
В Кривом Роге обеспечивать охрану общественного порядка на участках будут около 700 полицейских, а по городу - более 2000 правоохранителей, в том числе нацгвардейцев, патрульных, сотрудников ВУЗов, спецназовцы. Об этом во время вчерашнего брифинга сообщил журналистам начальник Криворожского отдела полиции Иван Балабан.  Он отметил, что 21 апреля состоится второй тур выборов Президента Украины.  - Полиция на выборах имеет особое задание. Мы не являемся учас...
Общество
Главное за 19 апреля.   На прошедшей неделе (с 5 по 11 апреля) за медицинской помощью в лечебно-профилактические учреждения по поводу заболевания корью обратилось 122 человека (в том числе 30 детей). Зарегистрировано 3 вспышки кори - 2 вспышки в быту г.Першотравенск (3 случая), Царичанский район (3 случая) и среди сотрудников магазина «Эконом класс» в г.Кривой Рог (3 случая).   Утром 19 апреля в Кривом Роге на пожаре в пятиэтажном доме эвакуировали 7 челов...
Общество
Работники полиции Кривого Рога в эти минуты обеспечивают правопорядок на НСК "Олимпийский". Как сообщает пресс-служба горотдела полиции, 19 апреля представители сектора превентивной коммуникации отдела превенции Криворожского отдела полиции несут службу в Киев. Основная их цель - это обеспечение правопорядка во время проведения дебатов между кандидатами в Президенты Украины, путем активного диалога и недопущения провокаций.
Общество
В понедельник, 22 апреля, в Металлургическом районе Кривого Рога ограничат водоснабжение. Как сообщили в пресс-службе горводоканала, в этот день будут проводиться технические работы на водоводе. Воды не будет с 8.00 и до завершения работ. Позаботиться о том, чтобы запастись водой, необходимо криворожанам, проживающим на улицах: - Степана Тильгы, - Соборности, - Хабаровская, - Вадима Гурова, - Ландау, - Химиков, - Ингулецкая, - Панфилова, - Скочинского, - С...
Общество
Государственная миграционная служба Украины будет способствовать тому, чтобы граждане Украины смогли реализовать свое избирательное право, имея на руках паспорт гражданина Украины (ID-карту). Как сообщает пресс-служба Кабмина, с целью обеспечения выдачи ID-карт, которые доставлены в территориальные подразделения Миграционной службы на территории всей Украины, в канун и день второго тура выборов 20 и 21 апреля 2019 будет организовано дежурство работников т...
Официально
Городской голова Юрий Вилкул проверил организацию питания в учреждениях образования. Мэр поставил задачу, чтобы в кратчайшие сроки районные отделы образования разобрались с выявленными недобросовестными поставщиками продуктов питания в школьные столовые и детские садики.  На протяжении марта созданная распоряжением мэра рабочая группа выезжала с проверкой в образовательные учреждения и в ходе таких рейдов были взяты образцы продуктов, которые по мнению род...
Общество
19 апреля на Национальном комплексе «Олимпийский» в Киеве состоятся дебаты между кандидатами в президенты: представителем партии «Слуга народа» Владимиром Зеленским и действующим Президентом Украины Петром Порошенко. В связи с усиленными мерами безопасности зрители допускаются на стадион по предварительной регистрации. Начало дебатов в 19.00. Рамки будут открыты на вход с 16.30, вход по спискам и удостоверениями личности. Мы ведём текстовую трансляцию, где...
Общество
Сегодня, 19 апреля, в Криворожском горотделе полиции, проходит пресс-конференция руководства городской полиции. Как сообщил корреспондент 0564, речь идет о готовности полицейских обеспечить правопорядок во время второго тура выборов президента Украины. Пресс-конфеенцию проводят начальник  горотдела полиции Иван Балабан и его заместитель Николай Верповский. По словам Ивана Балабана, криворожские полицейские обеспечат правопорядок в ходе избирательного проце...
Новости по теме
Криворожских активистов учили, как выиграть грант: Для этого просто надо встать с дивана, - ФОТО
Начальник Криворожской полиции рассказал, какое особое задание у правоохранителей на выборах, - ФОТО
В Кривом Роге: из горящего дома спасли 7 человек, зафиксировали вспышку кори, маршрутка сбила девушку
Криворожские полицейские в эти минуты дежурят на НСК "Олимпийский", - ФОТО
В понедельник, 22 апреля, тысячи криворожан временно останутся без воды, - АДРЕСА
В Кривом Роге готовый паспорт (ID-карту) можно будет получить 20 апреля
Дебаты Порошенко и Зеленского на "Олимпийском": текстовая трансляция
"Молодчикам в спортивной форме из других городов здесь будет некомфортно", - руководство полиции Кривого Рога проводит пресс-конференцию, - ФОТО, ВИДЕО
15-летняя криворожанка, у которой диагностировали рак крови, нуждается в помощи, - ФОТО
Сегодня участковые избирательные комиссии в Кривом Роге получают бюллетени для голосования, - ФОТО, ВИДЕО