"А поговорить?" (с) (v_n_zb) wrote,
"А поговорить?" (с)
v_n_zb

Category:

В СНБО дали рекомендации по защите от вируса-вымогателя Petya.A

.
Специалисты Национального координационного центра кибербезопасности подготовили рекомендации по защите компьютеров от кибератаки вируса-вымогателя.

Подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010. В результате на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифровки в биткойнах в эквиваленте $300 для разблокировки данных.

На сегодня зашифрованные данные расшифровке не подлежат.

Спецслужба подготовила специальные рекомендации:

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал, тоже не перезагружайте его): вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале сделайте резервную копию, в том числе операционной системы.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat.

4. В зависимости от версии ОС Windows нужно установить патч с ресурса:
- для Windows XP;
- для Windows Vista 32 bit;
- для Windows Vista 64 bit;
- для Windows 7 32 bit;
- для Windows 7 64 bit;
- для Windows 8 32 bit;
- для Windows 8 64 bit;
- для Windows 10 32 bit;
- для Windows 10 64 bit.

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по этому адресу.

5. Убедиться, что на всех компьютерных системах антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, присланных с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, нужно связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от подключения к локальной или глобальной сети.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:
a) Загрузите утилиту Eset LogCollector.
b) Запустите ее и убедитесь в том, что были установлены все галочки в окне "Артефакты для сбора".
c) Во вкладке "Режим сбора журналов Eset" установите "Исходный двоичный код с диска".
d) Нажмите на кнопку "Собрать".
e) Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению п. 3 для сбора информации, которая поможет написать декодер, и п. 4 для лечения системы.

С уже пораженного ПК (который не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:
a) Загружайте с ESET SysRescue Live CD или USB (создание в описано в п. 3)
b) Согласитесь с лицензией на пользование
c) Нажмите CTRL + ALT + T (откроется терминал)
d) Напишите команду "parted -l" (без кавычек, маленькая буква "L") и нажмите
e) Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)
f) Напишите команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге, и нажмите (файл /home/eset/petya.img будет создан)
g) Подключите флеш-накопитель и скопируйте файл /home/eset/petya.img
h) Компьютер можно выключить.



Читайте v-n-zb в социальных сетях   фбтвиттервк ок   ю



Subscribe

Recent Posts from This Journal

promo v_n_zb july 17, 2013 17:32 152
Buy for 200 tokens
. Пару лет назад я публиковал уже эти фрагменты из Незнайки. Но повторюсь - уж слишком актуальна сегодня эта сказка Носова. Такое ощущение, что автор в машине времени был переброшен из 64-го года на 50 лет вперед. Это - о нас. Всё - о нас... === Законность: – А кто такие эти…
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 21 comments