Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп’ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних.

Рекомендації:

  1. Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
  2. Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
  3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
  4. Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:

— для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

— для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

-для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

— для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

— для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

— для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

— для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

— для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

— для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

5. Переконатися, що на всіх комп’ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair».
Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair»
https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні  «Артефакти для збору».

c). У вкладці «Режим збору журналів Eset» встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть  архів з журналами.

Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з  ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду «parted -l» без лапок, параметр цього маленька буква «L» і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду «dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256» без лапок, замість «/dev/sda»  використовуйте диск, який визначили у попередньому кроці і натисніть   (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку  і скопіюйте  файл /home/eset/petya.img
h). Комп’ютер можна вимкнути.

Служба безпеки України


Массовая хакерская атака в Украине

Хакерская атака на сайты украинских компаний произошла сегодня, 27 июня.

НБУ предупредил об атаках на банковскую систему

Национальный банк Украины сообщил о хакерской атаке на банковскую систему страны. Сообщается, что в результате таких кибератак у этих банков возникли сложности с обслуживанием клиентов и осуществлением банковских операций. Сейчас в финансовом секторе усилены меры безопасности и противодействия хакерским атакам всех участников финансового рынка. Нацбанк уверяет, что последствия вмешательства в финансовую систему Украины будут устранены а попытки кибератак нейтрализованы.

Читать дальше


Жизнь с одной стрелкой

Я уже не раз писал о германской компании Botta-Design, производящей часы. На сегодня студия завоевала 60 наград за дизайн и функциональность, и отдельное место среди её продуктов занимают часы с одной стрелкой.

Узнав, что я сменил работу, компания Botta прислала мне в подарок часы Uno Titan Black Edition — несолидно, говорят, начальнику время на мобилке смотреть.

Читать дальше


Про неспроможність

Поляки, важко попрацювавши на більш спроможні народи, верталися та вкладали гроші в різноманітні бізнеси — від литва пластмас до ягідників, на яких зараз горбатяться українці. Українці зароблене за кордоном витрачають на розкішні паркани, квартири у Франику, найбільш розвинені — відкривають черговий, стопіісятий магазин секонд-хенду або будматеріалів в рідному райцентрі.

Навіяно Захаром, що півроку роботи на поляка конвертував в 100 метрів паркану, і це — один з найпритомніших в селі.

Для тих, хто важко вкурює, пояснюю:

Захар міг би на ці гроші винайняти репетиторів англійської-німецької та математики, щоб дитина вступила в німецький університет — на шару, як моя вступила в Гаазі. Вивчити малого в польському коледжі колійовому — все краще, ніж в рівненському водоуніверситеті, посадити ягідник, купити десять породистих корів та делавалівську доїлку у до них, поставити сироварню, посадити два гектари саду, збудувати бунгало для туристів на літо.

Дзуськи. Паркан. З трьох видів каменю.

Сотні мільярдів баксів за 25 років цей народ інвестував у булшит:((

Кириченко Владислав


Гужвагейт и блогосфера

На фоне скандала, сотрясающего украинские СМИ, возможно вам интересно будет почитать, как вся эта коммерция устроена и работает в блогах. Точнее в одном блоге — «Самый сок», но ниже вы поймёте, что в целом это типично.

Наверняка любое нормальное СМИ мечтает быть независимым. Не содержаться одним олигархом или ФПГ, а иметь пул заказчиков и возможность выбирать, «что публикуем, а что нет». Однако воплотить эту мечту чаще всего удаётся не СМИ, а блогерам — просто в силу того, что 1) для большинства блогеров это хобби, а не основной вид заработка 2) издержки блогера минимальны: ноутбук, смартфон и место в углу. Не нужна редакция, не нужен штат корреспондентов, и даже сайт с админом обычно не нужен — хватит и бесплатной страницы в соцсети. Поэтому блогер может позволить себе отказаться от плохой рекламы.

Читать дальше


Еще возникает желание полихачить?

В приемное отделение больницы вбегает молодой мужчина, измазанный в крови, с разбитым лицом.
— Быстрее! Помогите! Там жена! В автокатастрофу попали!
Слово «автокатастрофа» или же на врачебное сленге «автО» — магическое во всех отношениях. Услышав его, врачи экстренники испытывают священный ужас вперемешку со злостью. Потому что «авто» заставит тебя работать быстро. Неописуемо быстро. И слишком часто труды твои рано или поздно увенчаются известным образом — написанием посмертного эпикриза. Но я забежала далеко вперед. Вернемся же в приемное отделение рядовой московской больницы.
Злое слово «авто» выдернуло всех врачей, сестер, санитарок со своих мест и погнало к выходу, где в синей шахе бомбилы-гастарбайтера на заднем сидении, перепачканная в крови, лежала молодая женщина. Огромный живот женщины, который она придерживала руками, наводил на мысли совершенно страшные. Беременность 8 месяцев. С мужем ехала в маршрутке. На встречку на бешеной скорости выскочил джип, влетел в бок «газели», выкинул на обочину. В салоне маршрутки человеческое месиво, из которого мужчина и вытащил свою беременную жену. Тут же тормознула раздолбананя шаха: «Брат, болныца рядом! Садыс быстрээ, отвэзу!»

Друзья мои, читатели и те, кто неведомыми тропинками рунета, забредет ко мне на огонек, прямо сейчас задайтесь вопросом, насколько часто вы сами тем или иным способом создавали премерзские ситуации на дороге? Ведь если подумать, у нас всех за спиной списочек немалый. Никто не любит тошниться в крайнем правом, все любят ветерок и ощущение полета. Что я, пенсионер замшелый какой-то? Опаздываю на встречу, давай быстрее, оплата двойная! Ах ты, козел, не пущу! Подумаешь, бутылка пива… Да я 10 лет за рулем! Да я эту дорогу с завязанными глазами! А ментов-то не было поблизости!

Читать дальше