Как защититься от вируса Petya. Инструкция СБУ

Об этом сообщает Depo.ua со ссылкой на пресс-службу СБУ.

По данным СБУ, подавляющее большинство заражений операционных систем происходило из-за открытия вредоносных приложений (документов Word, PDF-файлов), которые прислали на электронные адреса многих коммерческих и государственных структур.

Атака, основной целью которой было распространение шифровальщика файлов Petya.A использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением осуществить оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат.

Инструкция от СБУ:

"1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал – также не перезагружайте его) – вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все файлы, которые наиболее ценные, на отдельный не подключенный к компьютеру носитель, а в идеале – резервную копию вместе с операционной системой.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить на наличие следующего файла: C:Windowsperfc.dat

4. В зависимости от версии Windows установить патч с ресурса: https://technet.microsoft.com/.../libr.../security/ms17-010.aspx, а именно:

- для Windows XP - http://download.windowsupdate.com/.../windowsxp-kb4012598-x86...

- для Windows Vista 32 bit - http://download.windowsupdate.com/.../windows6.0-kb4012598-x8...

-для Windows Vista 64 bit - http://download.windowsupdate.com/.../windows6.0-kb4012598-x6...

- для Windows 7 32 bit - http://download.windowsupdate.com/.../windows6.1-kb4012212-x8...

- для Windows 7 64 bit - http://download.windowsupdate.com/.../windows6.1-kb4012212-x6...

- для Windows 8 32 bit - http://download.windowsupdate.com/.../windows8-rt-kb4012598-x...

- для Windows 8 64 bit - http://download.windowsupdate.com/.../windows8-rt-kb4012598-x...

- для Windows 10 32 bit - http://download.windowsupdate.com/.../windows10.0-kb4012606-x...

- для Windows 10 64 bit - http://download.windowsupdate.com/.../windows10.0-kb4012606-x...

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу https://technet.microsoft.com/.../libr.../security/ms17-010.aspx

5. Убедиться, что на всех компьютерных системах установленное антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланы с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания — связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или глобальной сети.

Дополнительно к указанным рекомендациям возможно воспользоваться рекомендациями антивирусных компаний.

https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Загрузите утилиту Eset LogCollector: http://eset.ua/ua/download/
b). Запустите и убедитесь в том, что были установлены все галочки в окне "Артефакты для сбора".

c). Во вкладке "Режим сбора журналов Eset" установите: Выходной двоичный код с диска.
d). Нажмите на кнопку: Собирать (Собрать).
e). Пришлите архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению
п. 3 для сбора информации, которая поможет написать декодер,
п. 4 для лечения системы.
Из уже пораженного ПК (который не грузится) нужно собрать MBR для дальнейшего анализа.
Собрать его возможно по следующей инструкции:
a). Скачивайте с ESET SysRescue Live CD или USB (создание в описано в п.3)
b). Согласитесь с лицензией на пользование
c). Нажмите CTRL+ALT+T (откроется терминал)
d). Напишить команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите
e). Просмотрите список дисков и идентифицируйте поражен ли ПК (должен быть /dev/sda)
f). Напишите команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге, и нажмите клавишу (Файл /home/eset/petya.img будет создан)
g). Подключите флэшку и скопируйте файл /home/eset/petya.img
h). Компьютер можно выключить".

Напомним, в Украине сегодня, 27 июня, неизвестный вирус поразил сети целого ряда крупных компаний, в том числе и крупных государственных.

Это - вирус принадлежащий к вирусам-вымогателям.

Атака началась практически одновременно, около 11:30 утра. Вирус распространяется очень быстро. Проявляется в отказе работы компьютеров на платформе Windows. Перегружается и зашифровывается.

Есть версия, что кибер-атака организована спецслужбами России.