Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача / фото УНІАН

В СБУ розповіли, як захистити комп'ютер від кібератак вірусу-здирника . За даними відомства, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних і державних структур. Про це повідомляє прес-служба відомства.

Атака, основною метою якої було поширення шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, в результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, які використовували зловмисники для запуску згаданого шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування в біткоіни в еквіваленті суми $ 300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифровці не підлягають. Триває робота над можливістю дешифрування зашифрованих даних.

Читайте також Стратегічні підприємства України не постраждали від кібератак - прес-служба уряду

рекомендації

Якщо комп'ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажувати його (якщо ПК вже постраждав - теж не перезавантажувати його) - вірус спрацьовує при перезавантаженні і зашифровує всі файли, що містяться на комп'ютері.

Збережіть всі файли, які найбільш цінні, на окремо не підключений до комп'ютера носій, а в ідеалі - резервну копію разом з операційною системою.

Для ідентифікації шифрувальника файлів необхідно завершити всі локальні завдання і перевірити наявність наступного файлу: C: \ Windows \ perfc.dat

Залежно від версії Windows встановити патч з ресурсу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx.

Також рекомендують переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином і використовує актуальні бази вірусних сигнатур. При необхідності встановити і оновити антивірусне програмне забезпечення.

Для зменшення ризику зараження, слід уважно ставитися до всієї електронної кореспонденції, не завантажувати і не відкривати додатки в листах, які надіслані з невідомих адрес. У разі отримання листа з відомого адреси, який викликає підозру щодо його змісту - зв'язатися з відправником і підтвердити факт відправлення листа.

Існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп'ютера з ОС Windows.

Читайте також Вірус Petya.A дістався до Європи: у Франції, Іспанії та Індії заявили про кібератаки

Оскільки вказане ШПЗ вносить зміни в МBR записи через що замість завантаження операційної системи користувачеві показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR записи. Для цього існують спеціальні утиліти.

Можна використовувати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO-образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї із зазначених в інструкції утиліт створюємо Live-USB (ми використовували Universal USB Installer).

Завантажитися з створеної Live-USB і далі слідувати інструкції по відновленню MBR записи.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифровки потрібно чекати поки буде розроблений дешифратор, можна завантажити потрібні зашифровані файли на USB-носій або диск для подальшої їх розшифровки і перевстановити операційну систему.

Читайте також У Києві посилять контртерористичний режим через кібератаки і загибелі полковника ГУР - Турчинов

Також у відомстві підкреслили, що якщо потерпілий ПК включений і ще не вимикався необхідно зробити наступне:

- з уже ураженого ПК (який не вантажиться) потрібно зібрати MBR для подальшого аналізу. Зібрати його можна за наступним інструкції:

a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)

b). Погодьтеся з ліцензією на користування

c). Натисніть CTRL + ALT + T (відкриється термінал)

d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть

e). Перегляньте список дисків і ідентифікуйте вражений ПК (повинен бути / dev / sda)

f). Напишіть команду "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" без лапок, замість "/ dev / sda" використовуйте диск, який визначили в попередньому кроці і натисніть (Файл / home / eset / petya.img буде створений)

g). Підключіть флешку і скопіюйте файл /home/eset/petya.img

h). Комп'ютер можна вимкнути.

Якщо ви знайшли помилку, видiлiть її мишкою та натисніть Ctrl + Enter