Кибератака: Стало известно, что за вирус атакует и как не заразиться. Рекомендации (ОНОВЛЕНО)

Опубликовать в Facebook
Опубликовать в Google Plus
Опубликовать в LiveJournal

Специалист по кибербезопасности Владимир Стыран рассказал в своем Facebook про вирус Petya, который атаковал Украину.

Стыран пишет, что заражение произошло из-за программы M.E.doc.

«Начальная инфекция происходит через фишинговое сообщение (файл Петя.apx) или обновления программы M.E.doc. Распространение локальной сетью — через DoblePulsar и EternalBlue, аналогично методам #WannaCry»6 — пишет он.

По словам киберэксперта некоторые антивирусы могут вылечить компьютер.

» -Похоже Windows Defender отлавливает и идентифицирует как DOS / Petya.A.
— Symantec будто поймал (прим. — только последняя версия АВ)
— McAfee во всех известных случаях облажался.
— Eset не реагирует».

Индикатором компрометации может быть наличие файла C:\Windows\perfc.dat», – пишет он.

В тоже время некоторые пользователи сообщают, что им на почту приходили письма с «левыми» ссылками.

Некоторые эксперты советуют до конца дня отключить компьютеры от сети и дождаться пока антивирусы не получат обновления, способные справиться с данным вирусом.

Влад Стыран пишет, что для остановки распространения вируса по сети, надо заблокировать на своих компьютерах под управленим Windows TCP-порты 1024—1035, 135 и 445. Как их закрыть, читайте здесь.

Компьютеры на операционной системе MacOs не затронула данная проблема.

Эксперты отмечают, что вирус Petya очень похож на Wncry. Раньше боролись с Wncry так (возможно это поможет):

1. Стоит включить безопасный режим с загрузкой сетевых драйверов. В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8. Также есть инструкции по выполнению этого шага для остальных версий, в том числе Windows 8 и Windows 10.

2. Можно самостоятельно удалить нежелательные приложения через «Удаление программ». Однако чтобы избежать риска ошибки и случайного ущерба системе, стоит воспользоваться антивирусными программами вроде SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla.

Совет InfoResist: Если вы на электронную почту получили письмо с неизвестной ссылкой — ни в коем случаем не переходите по ссылке!

После удаления данного вируса вам нужно будет восстановить зашифрованные файлы. В противном случае можно нанести ущерб системным файлам и реестрам.

Для восстановления файлов можно использовать декрипторы, а также утилиту Shadow Explorer (вернёт теневые копии файлов и исходное состояние зашифрованных файлов) или Stellar Phoenix Windows Data Recovery. Для жителей стран бывшего СССР есть бесплатное (для некоммерческого использования) решение R.saver от русскоязычных разработчиков.

Эти способы не гарантируют полного восстановления файлов.

Как вирус охватил Украины читайте в нашей онлайн трансляции.

Так же приводим рекомендации от СБУ Украины, размещенные с сети Фейсбук:

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
В залежності від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx, а саме:

— для Windows XP — http://download.windowsupdate.com/…/windowsxp-kb4012598-x86…

— для Windows Vista 32 bit — http://download.windowsupdate.com/…/windows6.0-kb4012598-x8…

— для Windows Vista 64 bit — http://download.windowsupdate.com/…/windows6.0-kb4012598-x6…

— для Windows 7 32 bit — http://download.windowsupdate.com/…/windows6.1-kb4012212-x8…

— для Windows 7 64 bit — http://download.windowsupdate.com/…/windows6.1-kb4012212-x6…

— для Windows 8 32 bit — http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

— для Windows 8 64 bit — http://download.windowsupdate.com/…/windows8-rt-kb4012598-x…

— для Windows 10 32 bit — http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

— для Windows 10 64 bit — http://download.windowsupdate.com/…/windows10.0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr…/security/ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Додатково до зазначених рекомендацій можливо скористатися рекомендаціями антивірусних компаній.

https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні «Артефакти для збору».

c). У вкладці «Режим збору журналів Eset» встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Збирати (Собрать).
e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався, перейдіть до виконання
п. 3 для збору інформації, яка допоможе написати декодер,
п. 4 для лікування системи.
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду «parted -l» без лапок, параметр цього маленька буква «L» і натисніть <enter>
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду «dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256» без лапок, замість «/dev/sda» використовуйте диск, який визначили у попередньому кроці і натисніть <enter> (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.

ІНФОРМАЦІЯ БУДЕ ОНОВЛЮВАТИСЯ.

П.С. Вот еще интересный блог с детальным описанием вируса.


Интернет реклама УБС

Предыдущий НАЗК займется проверкой Лисичанского отдела образования
Следующий Оказывается, преступление — это не нарушение Закона Украины, а «хотелка» прокурора
x

Читать также...

В чей карман «спускают» миллионы городского бюджета чиновники Лисичанска и депутаты-«Оппозиционеры»?

Все прекрасно понимают, что любые капитальные вложения в инфраструктуру города полезны и необходимы. Однако, мало кто понимает, насколько эффективно тратятся бюджетные деньги, которых в Лисичанске как «кот наплакал». На сегодняшний день де-юре у нас в ...