СБУ опубликовала рекомендации, которые защитят компьютеры от атаки вируса-вымогателя Petya A

По данным СБУ, инфицирование операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые пришли на электронные адреса многих коммерческих и государственных структур.

Об этом Информатору стало известно из сообщения Службы безопасности Украины.

Атака, основной целью которой было распространение шифровальщика файлов Petya A, использовала сетевую уязвимость MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые запускали шифровальщик файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows, зашифровывая файлы пользователя. После этого он выводит сообщение с предложением произвести оплату ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.

"На данный момент зашифрованные данные, к сожалению, восстановлению не подлежат. Продолжается работа над возможностью дешифровки. Не выплачивайте вымогателям средства, которые они требуют - оплата не гарантирует восстановления доступа к данным", - предупреждают в СБУ.

Рекомендации для пользователей

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
2. Сохраните все наиболее ценные файлы на отдельный носитель, а в идеале создайте резервную копию как этих файлов, так и операционной системы.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
4. Далее, в зависимости от версии ОС Windows установите патч с этого ресурса. Для каждой версии предусмотрена своя программа:

• для Windows XP;
• для Windows Vista 32 bit;
• для Windows Vista 64 bit;
• для Windows 7 32 bit;
• для Windows 7 64 bit;
• для Windows 8 32 bit;
• для Windows 8 64 bit;
• для Windows 10 32 bit;
• для Windows 10 64 bit.

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно здесь.

Убедитесь, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установите и обновите антивирусное программное обеспечение.

Чтобы уменьшить риск заражения, внимательно относитесь ко всей электронной корреспонденции, не загружайте и не открывайте приложения в письмах, которые присланы с неизвестных адресов. Если вы получили письмо с известного адреса, но его содержание вызывает у вас подозрения  - свяжитесь с отправителем и подтвердите отправку письма.

Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружается и запускает check Disk, немедленно выключайте его. На этом этапе вы можете достать свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного) и скопировать файлы.

Вирус вносит изменения в MBR  (master boot record), из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.

Эта проблема решается восстановлением MBR-записи. Для этого существуют специальные утилиты. Можно использовать утилиту «Boot-Repair». Инструкция находится здесь. Нужно загрузить ISO образ «Boot-repair», после чего с помощью одной из указанных в инструкции утилит создать Live-USB (можно использовать Universal USB Installer). Далее нужно загрузиться из созданной Live-USB и далее следовать инструкциям по восстановлению MBR - записи.

"После этого Windows загружается нормально. Но большинство файлов с расширениями doc, docx, pdf и так далее будут зашифрованы. Для их расшифровки нужно ждать, пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему", - рекомендуют в СБУ.

В отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только в том случае, если в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.

Кроме этого, можно воспользоваться дополнительными рекомендациями антивирусных компаний, например, Eset. Она предлагает загрузить утилиту Eset LogCollector, запустить ее и убедиться в том, что установлены все галочки в окне "артефакты для сбора". Затем во вкладке "режим сбора журналов Eset" нужно установить: "исходящий двоичный код с диска", после чего - нажать на кнопку "собрать" и отправить журнал с архивами.

Если пострадавший ПК включен и еще не выключался, то нужно собрать MBR для дальнейшего анализа. Делается это так:

1. Загрузите с ESET SysRescue Live CD или USB;
2. Согласитесь с лицензией на пользование;
3. Нажмите CTRL + ALT + T (откроется терминал);
4. Напишите команду "parted -l" без кавычек, параметр этого маленькая буква "L" и нажмите ввод;
5. Просмотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda);
6. Напишите команду "dd if =/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге и нажмите ввод (будет создан файл /homе/eset/petya.img);
7. Подключите флешку и скопируйте файл /home/eset/petya.img;
8. Компьютер можно выключить.

Среди методов противодействия заражению есть следующие:

1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 находится в TechBlog компании Microsoft.
2. Установка обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010.
3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445.

Ранее мы сообщали, что Киберполиция также предоставила инструкцию о том, что делать в случае атаки.

Анастасия Золотарева