Во вторник, 27 июня, хакерской атаке подверглись сайты многих компаний и госучреждений Украины, а также компьютеры пользователей. Подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
Атака, основной целью которой было распространение шифровальщика файлов Petya. A, использовала сетевую уязвимость MS17−010. В результате на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.
Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифровки в биткойнах в эквиваленте $ 300 для разблокировки данных.
На сегодня зашифрованные данные расшифровке не подлежат.
В СБУ подготовили специальные рекомендации для нейтрализации вируса.
1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал, тоже не перезагружайте его): вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.
2. Сохраните все ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале сделайте резервную копию, в том числе операционной системы.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:/Windows/perfc.dat.
4. В зависимости от версии ОС Windows нужно установить патч с ресурса:
- для Windows XP;
- для Windows Vista 32 bit;
- для Windows Vista 64 bit;
- для Windows 7 32 bit;
- для Windows 7 64 bit;
- для Windows 8 32 bit;
- для Windows 8 64 bit;
- для Windows 10 32 bit;
- для Windows 10 64 bit.
Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по этому адресу.
5. Убедиться, что на всех компьютерных системах антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.
6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, присланных с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, нужно связаться с отправителем и подтвердить факт отправки письма.
7. Сделать резервные копии всех критически важных данных.
Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от подключения к локальной или глобальной сети.
Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:
a) Загрузите утилиту Eset LogCollector.
b) Запустите ее и убедитесь в том, что были установлены все галочки в окне «Артефакты для сбора».
c) Во вкладке «Режим сбора журналов Eset» установите «Исходный двоичный код с диска».
d) Нажмите на кнопку «Собрать».
e) Отправьте архив с журналами.
Если пострадавший ПК включен и еще не выключался, перейдите к выполнению п. 3 для сбора информации, которая поможет написать декодер, и п. 4 для лечения системы.
С уже пораженного ПК (который не загружается) нужно собрать MBR для дальнейшего анализа.
Собрать его можно по следующей инструкции:
a) Загружайте с ESET SysRescue Live CD или USB (создание в описано в п. 3)
b) Согласитесь с лицензией на пользование
c) Нажмите CTRL + ALT + T (откроется терминал)
d) Напишите команду «parted -l» (без кавычек, маленькая буква «L») и нажмите <enter>
e) Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)
f) Напишите команду «dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256» без кавычек, вместо «/dev/sda» используйте диск, который определили в предыдущем шаге, и нажмите <enter> (файл /home/eset/petya.img будет создан)
g) Подключите флеш-накопитель и скопируйте файл /home/eset/petya.img
h) Компьютер можно выключить.
Напомним, ранее был опубликован список сайтов, которые подверглись атаке вируса Petya.А.