В СБУ рассказали, как защитить компьютер от кибератак вируса-вымогателя. По данным ведомства, инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были присланы на электронные адреса многих коммерческих и государственных структур. Об этом сообщает пресс-служба ведомства.
Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением осуществить оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифрования зашифрованных данных.
Рекомендации
Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал – также не перезагружайте его) – вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
Сохраните все файлы, которые наиболее ценные, на отдельный не подключенный к компьютеру носитель, а в идеале – резервную копию вместе с операционной системой.
Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла : C:\Windows\perfc.dat
В зависимости от версии Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.
Также рекомендуют убедиться, что на всех компьютерных системах установленное антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.
Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания — связаться с отправителем и подтвердить факт отправки письма.
Существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютера с ОС Windows.
Читайте такжеВирус Petya.A добрался до Европы: во Франции, Испании и Индии заявили о кибератаках
Поскольку указанное ШПЗ вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.
Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты.
Можно использовать для этого утилиту «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair
Нужно скачать ISO-образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/
Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (мы использовали Universal USB Installer).
Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.
После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf, и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, можно скачать нужные зашифрованные файлы на USB-носитель или диск для последующей их расшифровки и переустановить операционную систему.
Также в ведомстве подчеркнули, что если пострадавший ПК включен и еще не выключался необходимо сделать следующее:
- из уже пораженного ПК (который не грузится) нужно собрать MBR для дальнейшего анализа. Собрать его можно по следующей инструкции:
a). Скачивайте с ESET SysRescue Live CD или USB (создание в описано в п.3)
b). Согласитесь с лицензией на пользование
c). Нажмите CTRL+ALT+T (откроется терминал)
d). Напишить команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите
e). Просмотрите список дисков и идентифицируйте пораженный ПК (должен быть /dev/sda)
f). Напишите команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге и нажмите (Файл /home/eset/petya.img будет создан)
g). Подключите флэшку и скопируйте файл /home/eset/petya.img
h). Компьютер можно выключить.
