СБУ выпустила рекомендации для защиты от вируса и спасения файлов

Служба безопасности Украины (СБУ) предупреждает, что большая часть заражений происходила из-за открытия вредоносных приложений (документов Word, PDF-файлов), которые получили на электронные адреса многие коммерческие и государственные структуры.

Поскольку атака использует уже известную сетевую уязвимость MS17-010, защититься можно, своевременно установив обновление безопасности для Windows. В противном случае вирус проникает в систему, устанавливает набор скриптов для запуску шифровальника файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows, шифрует файлы пользователя и выводит сообщение с предложением заплатить за ключ дешифровки в биткоинах в эквиваленте $300 для разблокировки данных.

Дешифратор пока не существует.

Служба рекомендует следующие действия:

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все наиболее ценные файлы на отдельный носитель, а в идеале - создайте резервную копию операционной системы.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: Windows perfc.dat

4. В зависимости от версии ОС Windows установить патч от Microsoft: https://technet.microsoft.com/.../libr.../security/ms17-010.aspx, а именно:

- для Windows XP - http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

- для Windows Vista 32 bit - http://download.windowsupdate.com/.../windows6.0-kb4012598-x8...

-для Windows Vista 64 bit - http://download.windowsupdate.com/.../windows6.0-kb4012598-x6...

- для Windows 7 32 bit - http://download.windowsupdate.com/.../windows6.1-kb4012212-x8...

- для Windows 7 64 bit - http://download.windowsupdate.com/.../windows6.1-kb4012212-x6...

- для Windows 8 32 bit - http://download.windowsupdate.com/.../windows8-rt-kb4012598-x...

- для Windows 8 64 bit - http://download.windowsupdate.com/.../windows8-rt-kb4012598-x...

- для Windows 10 32 bit - http://download.windowsupdate.com/.../windows10.0-kb4012606-x...

- для Windows 10 64 bit - http://download.windowsupdate.com/.../windows10.0-kb4012606-x...

Для менее распространенных и серверных версий OC Windows: https://technet.microsoft.com/.../libr.../security/ms17-010.aspx

5. Убедитесь, что на всех компьютерных системах антивирус установлен и правильно функционирует, и использует актуальные базы вирусных сигнатур. При необходимости - установите и обновите антивирусное программное обеспечение.

6. Чтобы уменьшить риск заражения, внимательно относитесь ко всей электронной почте, не загружайте и не открывайте приложения в письмах, которые пришли с неизвестных адресов. Если подозрительное письмо получено с известного адреса, свяжитесь с отправителем и подтвердите факт отправки.

7. Сделайте резервные копии всех критически важных данных.

Не допускайте сотрудников компьютерам, на которых не установлены указанные патчи, независимого от того - подключен компьютер к локальной или глобальной сети.

Существует возможность восстановить доступ к заблокированному компьютеру

Указанный вирус меняет МBR-запись, из-за чего вместо загрузки операционной системы пользователю видит окно с текстом о шифровании файлов.

Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты.

Можно использовать для этого утилиту "Boot-Repair".

Инструкция https://help.ubuntu.com/community/Boot-Repair:

1. Загрузить ISO образ "Boot-repair" https://sourceforge.net/p/boot-repair-cd/home/Home/

2. С помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer).

3. Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.

После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т. д. будут зашифрованы. Для их расшифровки нужно ждать, пока будет разработан дешифратор. Пока СБУ советует скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшего их расшифровки и переустановить операционную систему.

По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:

a). Загрузите утилиту Eset LogCollector:

b). Запустите и убедитесь в том, что были установлены все галочки в окне "Артефакты для сбора".

c). Во вкладке "Режим сбора журналов Eset" установите Исходный двоичный код диска.

d). Нажмите на кнопку Собрать.

e). Отправьте архив с журналами.

Если пострадавший ПК включен и еще не исключался необходимо сделать следующее:

С уже пораженного ПК (не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:

a). Загружайте с ESET SysRescue Live CD или USB (создание в описано в п.3)

b). Согласитесь с лицензией на пользование

c). Нажмите CTRL + ALT + T (откроется терминал)

d). Напишите команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите

e). Смотрите список дисков и идентифицируйте поражен ПК (должен быть один из / dev / sda)

f). Напишите команду "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" без кавычек, вместо "/ dev / sda" используйте диск, который определили в предыдущем шаге и нажмите (Файл / home / eset / petya.img будет создан)

g). Подключите флешку и скопируйте файл /home/eset/petya.img

h). Компьютер можно выключить.

Как противодействовать заражению

1. Отключить устаревший протокол SMB1.

Инструкция по отключению SMB1 в TechBlog компании Microsoft

2. Установить обновления безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010

3. Если есть возможность, отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.

4. Блокировать возможности открытия JS файлов, полученных по электронной почте.

Microsoft