Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача

Атака, основною метою якої було поширення шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, унаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.

 

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів із пропозицією здійснити оплату ключа дешифрування в біткоїнах в еквіваленті суми $300 для розблокування даних.

 

Станом на сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних. Не варто виплачувати здирникам кошти, які вони вимагають, – оплата не гарантує відновлення доступу до зашифрованих даних.

 

Рекомендації:

1. Якщо комп'ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, у жодному разі не перезавантажуйте його (якщо ПК уже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні й зашифровує всі файли, які містяться на комп'ютері.

2. Збережіть усі файли, які найбільш цінні, на окремий, не підключений до комп'ютера. носій, а в ідеалі – резервну копію разом з операційною системою.

3. Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу: C:\Windows\perfc.dat

4. Залежно від версії ОС Windows установіть патч із ресурсу:

technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а саме:

 

– для Windows XP – download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe

 

– для Windows Vista 32 bit – download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

 

– для Windows Vista 64 bit – download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

 

– для Windows 7 32 bit – download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

– для Windows 7 64 bit – download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

– для Windows 8 32 bit – download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

 

– для Windows 8 64 bit – download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

 

– для Windows 10 32 bit – download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

 

– для Windows 10 64 bit – download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

 

Знайти посилання на завантаження відповідних патчів для інших (менш поширених і серверних версій) OC Windows можна за адресою: technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

 

5. Переконайтеся, що на всіх комп'ютерних системах установлене антивірусне програмне забезпечення функціонує належним чином і використовує актуальні бази вірусних сигнатур. За необхідності встановіть й оновіть антивірусне програмне забезпечення.

6. Для зменшення ризику зараження слід уважно відноситися до всієї електронної кореспонденції, не завантажувати й не відкривати додатки в листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту, – зв'яжіться з відправником і підтвердіть факт відправлення листа.

7. Зробіть резервні копії всіх критично важливих даних.

8. Коли користувач бачить «синій екран смерті», дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Якщо комп'ютер перезавантажується та запускає check Disk, негайно вимикайте його. На цьому етапі ви можете витягнути свій жорсткий диск, підключити його до іншого комп'ютера (тільки не у як завантажувальний том) і скопіювати файли.

9. Для унеможливлення шкідливим ПЗ змінювати MBR (у якому в такому випадку й записувалася програма-шифрувальник) рекомендується встановити одне з рішень по забороні доступу до MBR:

• рішення Cisco Talos talosintelligence.com/mbrfilter, вихідні коди доступні тут github.com/Cisco-Talos/MBRFilter;

• зріле рішення Greatis greatis.com/security/;

• свіже рішення SydneyBackups sydneybackups.com.au/sbguard-anti-ransomware/.

 

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи з комп'ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

 

Слід завважити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп'ютера з ОС Windows.

 

Зазначене ШПЗ уносить зміни до МBR-запису, через що замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

 

Ця проблема вирішується відновленням MBR-запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» sourceforge.net/p/boot-repair-cd/home/Home/

 

Потім за допомогою однієї з указаних в інструкції утиліт створити Live-USB (можна використовувати Universal USB Installer).

 

Завантажитися зі створеної Live-USB і далі слідувати інструкції з відновлення MBR-запису.

 

Після цього Windows завантажується нормально. Але більшість файлів із розширеннями doc, dox, pdf тощо будуть зашифровані. Для їх розшифрування потрібно чекати, поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп'ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

 

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І. eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf

 

1. Якщо інфікований комп'ютер увімкнений, не перезавантажуйте й не вимикайте його!

a) Виконайте створення логу за допомогою програми ESET Log Collector: Завантажте утиліту ESET Log Collector: eset.ua/ua/download/utility?name=logcollector Переконайтеся в тому, що встановлені всі галочки у вікні «Артефакти для збору». У вкладці «Режим збору журналів ESET» установіть: «Вихідний двійковий код із диска». Натисніть на кнопку: «Зібрати». Надішліть архів із журналами на електронну адресу support[@]eset.ua.

b) У продуктах ESET увімкніть сервіс ESET Live Grid, а також виявлення потенційно небажаних і небезпечних додатків. Дочекайтеся оновлення сигнатур до версії 15653 та проскануйте ПК.

 

2. Якщо комп'ютер вимкнений, не вмикайте його! Для збору інформації, яка допоможе написати декодер, перейдіть до виконання пункту 3, для сканування системи перейдіть до пункту 4.

3. З уже інфікованого комп'ютера (який не завантажується) потрібно зібрати MBR для подальшого аналізу. Зібрати його можна за допомогою цієї інструкції:

• Завантажте ПК з ESET SysRescue Live CD або USB (створення описано в Додатку 1).

• Надайте згоду з умовами ліцензії використання.

• Натисніть CTRL+ALT+T (відкриється термінал).

• Напишіть команду "parted -l" без лапок, параметром є маленька буква "L" та натисніть.

• Перегляньте список дисків та ідентифікуйте заражений (повинен бути один із /dev/sda).

• Введіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили в попередньому кроці, та натисніть (файл /home/eset/petya.img буде створений).

• Підключіть USB-флешку і скопіюйте файл /home/eset/petya.img.

• Комп'ютер можна вимкнути.

• Надішліть файл petya.img на електронну адресу support[@]eset.ua.

 

ІІ. zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry

Методи протидії зараженню:

1. Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/

2. Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: support.microsoft.com/en-us/help/4013389/title

3. Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки й мережеві диски), у брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445.

4. Блокування можливості відкриття JS файлів, отриманих електронною поштою.

 

III. symantec.com/

За рекомендаціями антивірусної компанії Symantec, для встановлення факту зараження комп'ютера шифрувальником файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу С:\Windows\perfect/

Крім того, як швидкий спосіб унеможливлення подальшого поширення вірусу, поки будуть установлені патчі з п. 4, доцільним є примусове створення в дисковій директорії С:\Windows\ текстового файлу perfect і встановлення для нього атрибуту «тільки для читання».

 

За матеріалами: ssu.gov.ua