На заметку запорожцам: СБУ рассказали как уберечься от вируса Petya28.06.2017 Вчера, 27 июня, крупные украинские предприятия подверглись хакерской атаке. Были выведены из строя компьютеры на таких предприятиях: Укрзализныця, Укрпочта, Киевский метрополитен, Эпицентр, ДТЭК, Укрэнерго, Киевэнерго, Lifecell, Киевстар и другие. СБУ распространили сообщение о том как уберечь себя от вируса Petya.A. «За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур. Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів. Вірус атакує комп’ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних. Рекомендації:
— для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe — для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu -для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu — для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu — для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu — для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu — для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu — для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu — для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx 5. Переконатися, що на всіх комп’ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення. 6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа. 7. Зробити резервні копії усіх критично важливих даних. Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж. Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows. Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів. Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/ Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer). Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису. Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему. З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій. Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній: І. https://eset.ua/ua/news/view/507/-Eset-Guidelines a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/ b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні «Артефакти для збору». c). У вкладці «Режим збору журналів Eset» встановіть: Вихідний двоїчний код з диску. Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу. ІІ. http://zillya.ua/ru/epidemiya-zarazhenii-svyazana-s-deistviem-wannacry Методи протидії зараженню:
Источник: akzent.zp.ua * Редакция сайта не несет ответственности за содержание материалов. Мнение авторов может не совпадать с мнением редакции. |
Свежие новости
В одному з районів Запоріжжя зловмисники підпалили приміщення ТЦК та СП • 13.05.2024 У столиці відбулося прощання з військовослужбовцем з Енергодара, працівником Запорізької АЕС • 13.05.2024 У Південному мікрорайоні Запоріжжя відкрили сучасну бібліотеку • 13.05.2024 Біля Запорізького окружного адмінсуду зібралися медичні працівники регіонального протипухлинного центру та пацієнти • 13.05.2024 Представники омбудсмена провели перевірку двох гуртожитків Запоріжжя, де проживають ВПО: результати • 13.05.2024 «Рускій воєнний флот – до дна!»: у Запоріжжі погасили нову марку Укрпошти • 13.05.2024 За добу росіяни нанесли 399 ударів по 9 населених пунктах Запорізької області • 13.05.2024 Молоді запоріжці представили проєкти для покращення життя в місті • 13.05.2024 Судитимуть ще 8 колаборантів, які співпрацюють з ворогом на ТОТ Запорізької області • 13.05.2024 «Гаряча телефонна лінія» першого заступника міського голови • 13.05.2024 Пресс-релизы
|
Комментарии:
нет комментариев