В СБУ рассказали, как защититься от кибератак

В СБУ рассказали, как защищаются от кибератак и уберечь свой носитель информации от вирусов.

Об этом #Буквам сообщили в СБУ.

По данным СБУ, подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур. Атака, основной целью которой было распространение шифровальщика файлов Petya.A использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.

ЧИТАЙТЕ ТАКЖЕ: Вирус Petya атакует Украину: как можно «вылечить» зараженный ПК

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных.

Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла:

C: \ Windows \ perfc.dat

1. В зависимости от версии ОС Windows установить патч с ресурса https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:

– для Windows XP – http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

– для Windows Vista 32 bit -http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

– для Windows Vista 64 bit -http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

– для Windows 7 32 bit -http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

– для Windows 7 64 bit -http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

– для Windows 8 32 bit -http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

– для Windows 8 64 bit -http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/ Windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

– для Windows 10 32 bit -http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

– для Windows 10 64 bit -http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу:

https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

2. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, оно функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

ЧИТАЙТЕ ТАКЖЕ: Украину атакует вирус-вымогатель Petya

3. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, присланные с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания – связаться с отправителем и подтвердить факт отправки письма.

4. Сделать резервные копии всех критически важных данных.

Довести до руководителей структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или глобальной сетей.

ОБНОВЛЕНО 19:20

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний.

a). Загрузите утилиту Eset LogCollector: http://eset.ua/ua/download/

b). Запустите и убедитесь в том, что были установлены все галочки в окне “Артефакты для сбора”.

c). Во вкладке “Режим сбора журналов Eset” установите Исходный двоичный код диска.

d). Нажмите на кнопку Собрать.

e). Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению п. 3 для сбора информации, которая поможет написать декодер, п. 4 для лечения системы.С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа. 

Собрать его можно по следующей инструкции:

a). Загружайте с ESET SysRescue Live CD или USB (создание в описано в п.3)

b). Согласитесь с лицензией на пользование

c). Нажмите CTRL + ALT + T (откроется терминал)

d). Напишите команду “parted -l” без кавычек, параметр этого маленькая буква “L” и нажмите

e). Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из / dev / sda)

f). Напишите команду “dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256” без кавычек, вместо “/ dev / sda” используйте диск, который определили в предыдущем шаге и нажмите (Файл / home / eset / petya.img будет создан)

g). Подключите флешку и скопируйте файл /home/eset/petya.img

h). Компьютер можно выключить.

ОБНОВЛЕНО 01:16

Следует отметить, что существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютера с ОС Windows.

Поскольку указанное ШПЗ вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.

Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. Можно использовать для этого утилиту “Boot-Repair”. Инструкция https://help.ubuntu.com/community/Boot-Repair

Нужно загрузить ISO образ “Boot-repair” https://sourceforge.net/p/boot-repair-cd/home/Home/

Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer).

Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему.

По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.

ИИ. http://zillya.ua/…/epidemiya-zarazhenii-svyazana-s-deistvie…

Методы противодействия заражению:

Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/…/09/16/stop-using-smb1/

Установление обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.

Во вторник, 27 июня, в Украине начал стремительно распространяется компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий.
В результате хакерских атак пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, “Укртелеком”, “Эпицентр”, “Укрзализныця”, аэропорт “Борисполь”, “Новая почта”, Киевводоканал, “Укрпочта”, Киевский метрополитен.
Национальный банк Украины предупреждает финучреждения о внешней хакерской атаке неизвестным вирусом на несколько украинских банков, а также некоторые предприятия коммерческого и государственного секторов.
Компьютеры Кабинета Министров Украины также подверглись хакерской атаке.
Комментируя хакерскую атаку на сайты украинских компаний, спикер Национальной полиции Украины Ярослав Тракало заявил, что в киберполицию поступило уже 22 сообщения о вмешательстве в работу персональных компьютеров.