Вхід

Інформація для сумчан. Як вберегтися від кібер-атаки та вірусу "Петя"

В Україні відбувається безпрецедентна кібер-атака, яка вже призвела до збоїв в роботі Київенерго, Ощадбанку, "Нової Пошти", "Укртелекому", супермаркетів та інших компаній. В Сумах атакам піддалися комп'ютери на КП «Міськводоканал» та КП «Міськсвітло»

Не працюють онлайн платежі, не відправляються листи та посилання, інші сервіси можуть бути тимчасово недоступними.

Вірус шифрує файли на комп'ютері, а після цього вимагає гроші за їх розшифровку.

Спеціалісти уточнюють, що початкова інфекція відбувається через фішингове повідомлення (файл Петя.apx) або оновлення програми M.E.doc. Поширення локальною мережею – через DoblePulsar та EternalBlue, аналогічно методам #WannaCry.

Комп’ютерний вірус WCry (WannaCry і WannaCryptor) атакував близько 200 тисяч пристроїв з операційною системою Windows по всьому світу, серед яких комп'ютери лікарень, державних структур та мобільних операторів.

Дія цього вірусу також полягала в шифруванні файлів на комп'ютері, а розповсюджувачі вимагали від користувачів викуп за відновлення доступу до інформації на свої "Bitcoin" гаманці.

Зазвичай сума "винагороди" сягала 300 доларів США.

Ось поради оперативників кіберполіції, які стосувалися вірусу WCry (WannaCry), схоже вони будуть актуальними і зараз:

1.

У першу чергу – потрібно встановлювати останню актуальну версію операційної системи з останніми оновленнями.

2. 

Необхідно постійно оновлювати програмне забезпечення, яке використовується повсякдень, лише з офіційних джерел.

3. 

Обов’язкова наявність останньої версії антивірусного програмного забезпечення. Користуйтеся надійними антивірусними програмами для захисту своєї системи від вимагацького ПЗ. Не вимикайте функції евристичного аналізу, оскільки вони допомагають програмі виявляти такі зразки криптолокерів, які ще не виявлялись формальними методами.

4. 

Налаштуйте дієву систему відновлення, щоб зараження шкідницьким ПЗ не змогло назавжди зруйнувати ваші персональні дані.

Найкращий спосіб — створювати дві резервні копії: одну для зберігання у хмарному сховищі (не забувайте користуватися службою, що автоматично здійснює резервне копіювання ваших файлів), а ще одну — для зберігання на фізичному носії (портативний жорсткий диск, флеш-накопичувач, додатковий портативний комп’ютер тощо).

По завершенні від’єднуйте ці сховища від вашого комп’ютера. Ваші резервні копії стануть у пригоді також і в тому разі, коли ви випадково видалите критично важливий файл, або станеться збій жорсткого диска.

5. 

Нікому не довіряйте, так як будь-який обліковий запис може бути скомпрометовано, і з облікових записів друзів у соціальних мережах, колег чи партнерів з онлайнових ігор можуть надсилатися шкідливі посилання.

Ніколи не відкривайте вкладень, що містяться в електронних листах від незнайомих людей.

Кіберзлочинці часто розсилають підроблені електронні листи, що на вигляд дуже подібні до сповіщень, які надсилають електронною поштою онлайновий магазин, банк, поліція, суд або податковий орган, спокушаючи отримувачів натиснути на шкідливе посилання та вводячи в їхню систему шкідливе ПЗ. Цей метод називається "фішинг".

6. 

Увімкніть в налаштуваннях на своєму комп’ютері функцію "Відображати розширення файлів".

При цьому буде набагато легше помічати потенційно шкідливі файли. Тримайтеся подалі від файлів з такими розширеннями, як ".exe", ".vbs" та ".scr".

Шахраї можуть використовувати кілька розширень, щоб замаскувати шкідливий файл як нібито відео, фото чи документ (наприклад, 11111.avi.exe або doc.scr).

7. 

Якщо ви виявили на своєму комп’ютері нестандартний чи невідомий процес, негайно від’єднайте його від інтернету або інших мережевих підключень (таких як домашнє підключення Wi-Fi) — це дозволить запобігти поширенню зараження.

 

Рекомендації від Служби безпеки України

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.

Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat

Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx, а саме:

- для Windows XP - http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

- для Windows Vista 32 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

-для Windows Vista 64 bit - http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

- для Windows 7 32 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

- для Windows 7 64 bit - http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

- для Windows 8 32 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 8 64 bit - http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

- для Windows 10 32 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

- для Windows 10 64 bit - http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Ми використовували для цього утиліту «Boot-Repair». 
Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» 
https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній.

https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання
п. 3 для збору інформації, яка допоможе написати декодер,
п. 4 для лікування системи.
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.

 

 

Джерело: life.pravda.com.ua

 


ПО ТЕМІ:




Loading...



Loading...

ОПИТУВАННЯ

Чи задоволені ви роботою мера Сум?

Loading...