(Petya.A) und gab eine Reihe von Tipps.

Laut SBU erfolgte die Infektion von Betriebssystemen hauptsächlich durch das Öffnen schädlicher Anwendungen (Word-Dokumente, PDF-Dateien), die an die E-Mail-Adressen vieler kommerzieller und staatlicher Behörden gesendet wurden.

„Der Angriff, dessen Hauptziel darin bestand, den Dateiverschlüsseler Petya.A zu verbreiten, nutzte die Netzwerkschwachstelle MS17-010 aus, wodurch eine Reihe von Skripten auf dem infizierten Computer installiert wurde, mit denen die Angreifer den starteten.“ erwähnter Dateiverschlüsseler“, sagte die SBU.

Der Virus greift Computer mit Windows-Betriebssystemen an, indem er die Dateien des Benutzers verschlüsselt. Anschließend wird eine Meldung über die Konvertierung der Dateien mit dem Vorschlag angezeigt, den Entschlüsselungsschlüssel in Bitcoins im Gegenwert von 300 US-Dollar zu bezahlen, um die Daten freizuschalten.

„Leider können verschlüsselte Daten nicht entschlüsselt werden. Es wird weiterhin an der Möglichkeit gearbeitet, verschlüsselte Daten zu entschlüsseln“, sagte die SBU.

Was Sie tun können, um sich vor dem Virus zu schützen

1. Wenn der Computer eingeschaltet ist und normal funktioniert, Sie aber vermuten, dass er infiziert ist, starten Sie ihn auf keinen Fall neu (wenn der PC bereits beschädigt ist, starten Sie ihn auch nicht neu) – der Virus wird beim Neustart ausgelöst und verschlüsselt alle auf dem Computer enthaltenen Dateien.

2. Speichern Sie alle wertvollen Dateien auf einem separaten Laufwerk, das nicht mit dem Computer verbunden ist, und erstellen Sie im Idealfall zusammen mit dem Betriebssystem eine Sicherungskopie.

3. Um den Dateiverschlüsseler zu identifizieren, müssen Sie alle lokalen Aufgaben abschließen und prüfen, ob die folgende Datei vorhanden ist: C:/Windows/perfc.dat

4. Installieren Sie je nach Windows-Betriebssystemversion den Patch.

5. Stellen Sie sicher, dass auf allen Computersystemen Antivirensoftware installiert ist, die ordnungsgemäß funktioniert und aktuelle Virensignaturdatenbanken verwendet. Installieren und aktualisieren Sie ggf. das Antivirenprogramm.

6. Um das Infektionsrisiko zu verringern, sollten Sie die gesamte elektronische Korrespondenz sorgfältig behandeln und keine Anhänge in Briefen von unbekannten Personen herunterladen oder öffnen. Wenn Sie einen verdächtigen Brief von einer bekannten Adresse erhalten, kontaktieren Sie den Absender und bestätigen Sie, dass der Brief gesendet wurde.

7. Erstellen Sie Sicherungskopien aller kritischen Daten.

Geben Sie die angegebenen Informationen an die Mitarbeiter der Strukturabteilungen weiter und erlauben Sie den Mitarbeitern nicht, mit Computern zu arbeiten, auf denen die angegebenen Patches nicht installiert sind, unabhängig davon, ob diese mit einem lokalen Netzwerk oder dem Internet verbunden sind.

Es ist möglich, den Zugriff auf einen Windows-Computer wiederherzustellen, der durch einen bestimmten Virus blockiert wurde.

Da die angegebene Malware Änderungen an den MBR-Datensätzen vornimmt, wird dem Benutzer anstelle des Ladens des Betriebssystems ein Fenster mit einem Text zur Dateiverschlüsselung angezeigt. Dieses Problem kann durch die Wiederherstellung des MBR-Eintrags gelöst werden. Hierfür gibt es spezielle Dienstprogramme. Die SBU nutzte hierfür das Boot-Repair-Utility (Anleitung unter dem Link).

B). Führen Sie es aus und stellen Sie sicher, dass alle Kontrollkästchen im Fenster „Zu sammelnde Artefakte“ aktiviert sind.

C). Legen Sie auf der Registerkarte „Eset Log Collection Mode“ den Binärcode der Festplattenquelle fest.

D). Klicken Sie auf die Schaltfläche „Sammeln“.

e). Senden Sie ein Protokollarchiv.

Wenn der betroffene PC eingeschaltet und noch nicht ausgeschaltet ist, fahren Sie mit fort

Schritt 3 zum Sammeln von Informationen, die beim Schreiben eines Decoders helfen,

Punkt 4 zur Behandlung des Systems.

Von einem bereits betroffenen PC (er bootet nicht) müssen Sie den MBR zur weiteren Analyse sammeln.

Sie können es gemäß der folgenden Anleitung zusammenbauen:

A). Laden Sie die ESET SysRescue Live-CD oder USB herunter (die Erstellung wird in Schritt 3 beschrieben).

B). Stimmen Sie der Nutzungslizenz zu

C). Drücken Sie STRG + ALT + T (Terminal wird geöffnet)

D). Schreiben Sie den Befehl „parted -l“ ohne Anführungszeichen, der Parameter ist ein kleiner Buchstabe „L“ und drücken Sie

e). Sehen Sie sich die Liste der Laufwerke an und identifizieren Sie den betroffenen PC (sollte einer von /dev/sda sein).

F). Schreiben Sie den Befehl „dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256“ ohne Anführungszeichen. Verwenden Sie anstelle von „/dev/sda“ die Festplatte, die Sie im vorherigen Schritt definiert haben klicken (Datei/home/eset/petya.img wird erstellt)

G). Schließen Sie den USB-Stick an und kopieren Sie die Datei /home/eset/petya.img

H). Sie können Ihren Computer ausschalten.

Siehe auch - Omelyan über den Schutz vor Cyberangriffen

Omelyan über den Schutz vor Cyberangriffen