В Службе безопасности Украины обновили рекомендации по защите от кибератаки вирусом-вымогателем.

Рекомендации обнародованы на официальном сайте СБУ.

В СБУ подчеркнули, что инфицирование операционных систем преимущественно происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур. Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов.

ЧИТАЙТЕ ТАКЖЕ: В СБУ рассказали, как защититься от кибератак

В СБУ подчеркнули, что зашифрованные вследствие действия вируса файлы дешифровке пока что не подлежат.

“Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных. На сегодняшний день зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных”, – сказано в сообщении.

В ведомстве также призвали не выплачивать вымогателям средства, которые они требуют, так как оплата не гарантирует восстановления доступа к зашифрованным данным.

В СБУ также обнародовали рекомендации для защиты от кибератаки:

1. Так, если компьютер включен и работает нормально, но пользователь подозревает, что он может быть заражен, ни в коем случае нельзя его перезагружать (если ПК уже пострадал – тоже перезагружать его не нужно) – вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

ЧИТАЙТЕ ТАКЖЕ: NotPetya – это деструктивная программа для уничтожения данных, – эксперты

2. Необходимо сохранить все файлы, которые наиболее ценны, на отдельный не подключенный к компьютеру носитель, а в идеале – резервную копию вместе с операционной системой.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat.

4. В зависимости от версии ОС Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:

– для Windows XP – http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

– для Windows Vista 32 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

-для Windows Vista 64 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

– для Windows 7 32 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

– для Windows 7 64 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

– для Windows 8 32 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

– для Windows 8 64 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

– для Windows 10 32 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

– для Windows 10 64 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

ЧИТАЙТЕ ТАКЖЕ: Petya, да не совсем: что за вирус атаковал сотни компьютеров 27 июня

5. Следует убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, что функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланы с неизвестных адресов. В случае получения письма с известного адреса, которое вызывает подозрение относительно его содержания, – связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

8. Когда пользователь видит “синий экран смерти”, данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружается и запускает check Disk, следует немедленно его выключить. На этом этапе можно вытянуть свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома) и скопировать файлы.

ЧИТАЙТЕ ТАКЖЕ: Масштабная кибератака до сих пор не остановлена, – Европол

9. Для предотвращения изменений вредоносным ПО MBR (в котором в данном случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений по запрету доступа к MBR (Master Boot Record, первый сектор (первые 512 байт) устройства хранения данных):

• решение Cisco Talos https://www.talosintelligence.com/mbrfilter, исходные коды доступны здесь https://github.com/Cisco-Talos/MBRFilter;

• зрелое решение Greatis http://www.greatis.com/security/;

• свежее решение SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/.

“Следует отметить, что существует возможность попробовать восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows. Поскольку указанное ШПЗ (вирус – ред.) вносит изменения в МBR записи, из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты”, – уточнили в СБУ.

Так, можно использовать для этого утилиту “Boot-Repair” (инструкция https://help.ubuntu.com/community/Boot-Repair; нужно загрузить ISO образ “Boot-repair” https://sourceforge.net/p/boot-repair-cd/home/Home/ ).

ЧИТАЙТЕ ТАКЖЕ: За месяц Украину атаковали три разных вируса, – СМИ

Затем с помощью одной из указанных в инструкции утилит необходимо создать Live-USB (можно использовать Universal USB Installer), загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR-записи. После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы.

“Для их расшифровки нужно ждать, пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему. По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий”, – отметили в СБУ.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:

I. https://eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf

1. Если зараженный компьютер включен, не перезагружайте и не выключайте!

a) Выполните создание лога с помощью программы ESET Log Collector: загрузите утилиту ESET Log Collector: http://eset.ua/ua/download/utility?name=logcollector. Убедитесь в том, что установлены все галочки в окне “Артефакты для сбора” . Во вкладке “Режим сбора журналов ESET” установите “Исходный двоичный код с диска”. Нажмите на кнопку “Собрать”. Отправьте архив с журналами на электронный адрес [email protected].

ЧИТАЙТЕ ТАКЖЕ: “Укрпочта” пока не восстановила работу всех отделений после кибератак

b) В продуктах ESET включите сервис ESET Live Grid, а также выявление нежелательных и опасных приложений. Дождитесь обновления сигнатур до версии 15653 и просканируйте ПК.

2. Если компьютер выключен, не включайте его! Для сбора информации, которая поможет написать декодер, перейдите к выполнению пункта 3, для сканирования системы перейдите к пункту 4.

3. С уже зараженного компьютера (не загружается) нужно собрать MBR для дальнейшего анализа. Собрать его можно с помощью этой инструкции: • загрузите ПК с ESET SysRescue Live CD или USB; • предоставьте согласие с условиями лицензии на использование; • нажмите CTRL + ALT + T (откроется терминал); • напишите команду “parted -l” без кавычек, параметром является маленькая буква “L” и нажмите; • смотрите список дисков и идентифицируйте зараженный (должен быть один из / dev / sda); • введите команду “dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256” без кавычек, вместо “/ dev / sda” используйте диск, который определили в предыдущем шаге, и нажмите ( файл /home/eset/petya.img будет создан); • Подключите USB-флешку и скопируйте файл /home/eset/petya.img; • компьютер можно выключить; • отправьте файл petya.img на электронный адрес [email protected].

II. http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методы противодействия заражению:

1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

2. Установление обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title

3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.

4. Блокировка возможности открытия JS файлов, полученных по электронной почте.

III. https://www.symantec.com/

По рекомендациям антивирусной компании Symantec для установления факта заражения компьютера шифровальщиком файлов необходимо завершить все локальные задачи и проверить наличие следующего файла C: \ Windows \ perfc /

Кроме того, как быстрый способ предотвращения дальнейшего распространения вируса, пока будут установлены патчи п. 4, целесообразно принудительное создание в дисковой директории C: \ Windows \ текстового файла perfc и установление для него атрибута “только для чтения”.

Во вторник, 27 июня, в Украине начал стремительно распространяться компьютерный вирус, который парализовал работу многих учреждений, в том числе банков, государственных и коммунальных предприятий.
В результате хакерских атак пострадали такие компании: “Киевэнерго”, “Укрэнерго”, “Антонов”, ДТЭК, “Укртелеком”, “Эпицентр”, “Укрзализныця”, аэропорт “Борисполь”, “Новая почта”, Киевводоканал, “Укрпочта”, Киевский метрополитен.
28 июня в Кабинете Министров сообщили, что масштабная кибератака на корпоративные сети и сети органов власти остановлена.
Специалист компании Cybereason Амит Серпер (Amit Serper) нашел способ предотвратить заражение компьютеров вирусом Petya (NotPetya/SortaPetya/Petna).
С начала кибератаки вируса Petya совершившие ее хакеры заработали 3,99 биткоина.