Рекомендации относительно защиты компьютеров от кибератаки вируса-вымогателя
Атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010, вследствие эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые использовали злоумышленники для запуска упомянутого шифровальщика файлов. Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением осуществить оплату ключа дешифрования в биткоинах в эквиваленте суммы $300 для разблокировки данных. На сегодняшний день зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных. Не стоит выплачивать вымогателям денежные средства, которые они требуют, – оплата не гарантирует восстановления доступа к зашифрованным данным. Рекомендации: 1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал – тоже не перезагружайте его) – вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере. 2. Сохраните все наиболее ценные файлы на отдельный, не подключенный к компьютеру, носитель, а в идеале – резервную копию вместе с операционной системой. 3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:Windowsperfc.dat 4. В зависимости от версии ОС Windows установите патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно: – для Windows XP – http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
– для Windows Vista 32 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu – для Windows Vista 64 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu – для Windows 7 32 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu – для Windows 7 64 bit – http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu – для Windows 8 32 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu – для Windows 8 64 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu – для Windows 10 32 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu – для Windows 10 64 bit – http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu – See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx 5. Убедитесь, что на всех компьютерных системах установленное антивирусное программное обеспечение функционирует надлежащим образом и использует актуальные базы вирусных сигнатур. При необходимости установите и обновите антивирусное программное обеспечение. 6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, отправленных с неизвестных адресов. При получении письма с известного адреса, вызывающего подозрение относительно его содержания, – свяжитесь с отправителем и подтвердите факт отправления письма. 7. Сделайте резервные копии всех критически важных данных. 8. Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружается и запускает check Disk, немедленно выключайте его. На данном этапе вы можете вытянуть свой жесткий диск, подключить его к другому компьютеру (только не как загрузочный том) и скопировать файлы.
9. Для предотвращения вредоносным ПО менять MBR (в котором в таком случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений по запрету доступа к MBR: • решение Cisco Talos https://www.talosintelligence.com/mbrfilter, исходные коды доступны здесь https://github.com/Cisco-Talos/MBRFilter; • зрелое решение Greatis http://www.greatis.com/security/; • свежее решение SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/. Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или глобальной сети. Следует отметить, что есть возможность попытаться восстановить доступ к заблокированному указанным вирусом компьютеру с ОС Windows. Указанное ШПО вносит изменения в МBR-записи, из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов. Данная проблема решается восстановлением MBR-записи. Для этого существуют специальные утилиты. Можно использовать для этого утилиту «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair Нужно загрузить ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/ Затем с помощью одной из указанных в инструкции утилит создать Live-USB (можно использовать Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR-записи. После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать, пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшей их расшифровки и переустановить операционную систему. Учитывая опыт СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.
Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний: І. https://eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf 1. Если зараженный компьютер включен, не перезагружайте и не выключайте его! a) Выполните создание лога с помощью программы ESET Log Collector Загрузите утилиту ESET Log Collector: http://eset.ua/ua/download/utility?name=logcollector Убедитесь в том, что установлены все галочки в окне «Артефакты для сбора». Во вкладке «Режим сбора журналов ESET» установите «Исходный двоичный код с диска». Нажмите на кнопку «Собрать». Отправьте архив с журналами на электронный адрес support@eset.ua. b) В продуктах ESET включите сервис ESET Live Grid, а также выявление нежелательных и опасных приложений. Дождитесь обновления сигнатур до версии 15653 и просканируйте ПК. 2. Если компьютер выключен, не включайте его! Для сбора информации, которая поможет написать декодер, перейдите к выполнению пункта 3, для сканирования системы перейдите к пункту 4. 3. С уже зараженного компьютера (который не загружается) нужно собрать MBR для дальнейшего анализа. Собрать его можно с помощью этой инструкции: • Загрузите ПК с ESET SysRescue Live CD или USB (создание описано в Приложении 1). • Предоставьте согласие с условиями лицензии на использование. • Нажмите CTRL+ALT+T (откроется терминал). • Напишите команду "parted -l" без кавычек, параметром является маленькая буква "L" и нажмите. • Пересмотрите список дисков и идентифицируйте зараженный (должен быть один из /dev/sda). • Введите команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без кавычек, вместо "/dev/sda" используйте диск, который определили в предыдущем шаге, и нажмите (файл /home/eset/petya.img будет создан). • Подключите USB-флешку и скопируйте файл /home/eset/petya.img. • Компьютер можно выключить. • Отправьте файл petya.img на электронный адрес support@eset.ua. ІІ. http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry Методы противодействия заражению: 1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/ 2. Установление обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP/IP порты 135, 139 и 445. 4. Блокировка возможности открытия JS файлов, полученных по электронной почте. III. https://www.symantec.com/ По рекомендациям антивирусной компании Symantec, для установления факта заражения компьютера шифровальщиком файлов необходимо завершить все локальные задачи и проверить наличие следующего файла C:Windowsperfect/ Кроме того, как быстрый способ предотвращения дальнейшего распространения вируса, пока будут установлены патчи с п. 4, целесообразным является принудительное создание в дисковой директории C:Windows текстового файла perfect и установление для него атрибута «только для чтения». – See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.ltU2XJiu.lE8kqfYQ.dpuf По информации СБУ
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|