(Petya.A), και έδωσε μια σειρά από συμβουλές.

Σύμφωνα με την SBU, η μόλυνση των λειτουργικών συστημάτων συνέβη κυρίως μέσω του ανοίγματος κακόβουλων εφαρμογών (έγγραφα Word, αρχεία PDF), οι οποίες στάλθηκαν στις διευθύνσεις ηλεκτρονικού ταχυδρομείου πολλών εμπορικών και κυβερνητικών φορέων.

«Η επίθεση, ο κύριος στόχος της οποίας ήταν να διανείμει τον κρυπτογράφηση αρχείων Petya.A, χρησιμοποίησε την ευπάθεια δικτύου MS17-010, ως αποτέλεσμα της οποίας ένα σύνολο σεναρίων εγκαταστάθηκε στο μολυσμένο μηχάνημα, το οποίο οι εισβολείς χρησιμοποίησαν για να εκκινήσουν το αναφερόμενος κρυπτογράφηση αρχείων», ανέφερε η SBU.

Ο ιός επιτίθεται σε υπολογιστές που εκτελούν λειτουργικό σύστημα Windows κρυπτογραφώντας τα αρχεία του χρήστη και μετά εμφανίζει ένα μήνυμα σχετικά με τη μετατροπή των αρχείων με πρόταση πληρωμής για το κλειδί αποκρυπτογράφησης σε bitcoins στο ισοδύναμο των $300 για το ξεκλείδωμα των δεδομένων.

«Δυστυχώς, τα κρυπτογραφημένα δεδομένα δεν μπορούν να αποκρυπτογραφηθούν. Συνεχίζονται οι εργασίες για τη δυνατότητα αποκρυπτογράφησης κρυπτογραφημένων δεδομένων», ανέφερε η SBU.

Τι πρέπει να κάνετε για να προστατευθείτε από τον ιό

1. Εάν ο υπολογιστής είναι ενεργοποιημένος και λειτουργεί κανονικά, αλλά υποψιάζεστε ότι μπορεί να έχει μολυνθεί, μην τον επανεκκινήσετε σε καμία περίπτωση (εάν ο υπολογιστής έχει ήδη καταστραφεί, μην τον επανεκκινήσετε) - ο ιός ενεργοποιείται κατά την επανεκκίνηση και κρυπτογραφεί όλα τα αρχεία που περιέχονται στον υπολογιστή.

2. Αποθηκεύστε όλα τα πιο πολύτιμα αρχεία σε μια ξεχωριστή μονάδα δίσκου που δεν είναι συνδεδεμένη στον υπολογιστή και, ιδανικά, δημιουργήστε ένα αντίγραφο ασφαλείας μαζί με το λειτουργικό σύστημα.

3. Για να αναγνωρίσετε τον κρυπτογραφητή αρχείων, πρέπει να ολοκληρώσετε όλες τις τοπικές εργασίες και να ελέγξετε για την παρουσία του ακόλουθου αρχείου: C:/Windows/perfc.dat

4. Ανάλογα με την έκδοση του λειτουργικού συστήματος Windows, εγκαταστήστε την ενημερωμένη έκδοση κώδικα.

5. Βεβαιωθείτε ότι όλα τα συστήματα υπολογιστών έχουν εγκατεστημένο λογισμικό προστασίας από ιούς που λειτουργεί σωστά και χρησιμοποιεί ενημερωμένες βάσεις δεδομένων υπογραφών ιών. Εάν είναι απαραίτητο, εγκαταστήστε και ενημερώστε το antivirus.

6. Για να μειώσετε τον κίνδυνο μόλυνσης, θα πρέπει να χειρίζεστε προσεκτικά όλη την ηλεκτρονική αλληλογραφία και να μην κάνετε λήψη ή άνοιγμα συνημμένων σε επιστολές που αποστέλλονται από άγνωστα άτομα. Εάν λάβετε μια επιστολή από μια γνωστή διεύθυνση που είναι ύποπτη, επικοινωνήστε με τον αποστολέα και επιβεβαιώστε ότι η επιστολή στάλθηκε.

7. Δημιουργήστε αντίγραφα ασφαλείας όλων των κρίσιμων δεδομένων.

Φέρτε τις καθορισμένες πληροφορίες στους υπαλλήλους των δομικών τμημάτων και μην επιτρέψετε στους υπαλλήλους να εργάζονται με υπολογιστές που δεν έχουν εγκατεστημένες τις καθορισμένες ενημερώσεις κώδικα, ανεξάρτητα από το αν είναι συνδεδεμένοι σε τοπικό δίκτυο ή στο Διαδίκτυο.

Είναι δυνατό να προσπαθήσετε να επαναφέρετε την πρόσβαση σε έναν υπολογιστή με Windows που έχει αποκλειστεί από έναν καθορισμένο ιό.

Επειδή το καθορισμένο κακόβουλο λογισμικό κάνει αλλαγές στις εγγραφές MBR, γι' αυτό, αντί να φορτώσει το λειτουργικό σύστημα, εμφανίζεται στον χρήστη ένα παράθυρο με κείμενο σχετικά με την κρυπτογράφηση αρχείων. Αυτό το πρόβλημα μπορεί να λυθεί με την επαναφορά της εγγραφής MBR. Υπάρχουν ειδικά βοηθητικά προγράμματα για αυτό. Η SBU χρησιμοποίησε το βοηθητικό πρόγραμμα Boot-Repair για αυτό (οδηγίες στον σύνδεσμο).

σι). Εκτελέστε το και βεβαιωθείτε ότι έχουν επιλεγεί όλα τα πλαίσια στο παράθυρο "Artifacts to collect".

ντο). Στην καρτέλα "Eset Log Collection Mode", ορίστε τον δυαδικό κώδικα πηγής δίσκου.

ρε). Κάντε κλικ στο κουμπί Συλλέξτε.

μι). Στείλτε ένα αρχείο καταγραφής.

Εάν ο υπολογιστής που επηρεάζεται είναι ενεργοποιημένος και δεν έχει ακόμη απενεργοποιηθεί, προχωρήστε σε

βήμα 3 για τη συλλογή πληροφοριών που θα βοηθήσουν στη σύνταξη ενός αποκωδικοποιητή,

σημείο 4 για την επεξεργασία του συστήματος.

Από έναν ήδη επηρεασμένο υπολογιστή (δεν θα εκκινήσει), πρέπει να συλλέξετε το MBR για περαιτέρω ανάλυση.

Μπορείτε να το συναρμολογήσετε σύμφωνα με τις παρακάτω οδηγίες:

ένα). Κάντε λήψη του ESET SysRescue Live CD ή USB (η δημιουργία περιγράφεται στο βήμα 3)

σι). Συμφωνήστε με την άδεια χρήσης

ντο). Πατήστε CTRL + ALT + T (θα ανοίξει το τερματικό)

ρε). Πληκτρολογήστε την εντολή "parted -l" χωρίς εισαγωγικά, η παράμετρος είναι μικρό γράμμα "L" και πατήστε

μι). Δείτε τη λίστα των μονάδων δίσκου και αναγνωρίστε τον επηρεαζόμενο υπολογιστή (θα πρέπει να είναι ένας από τους /dev/sda)

φά). Γράψτε την εντολή "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" χωρίς εισαγωγικά, αντί για "/dev/sda" χρησιμοποιήστε το δίσκο που ορίσατε στο προηγούμενο βήμα και κάντε κλικ (θα δημιουργηθεί Αρχείο/home/eset/petya.img)

σολ). Συνδέστε τη μονάδα flash USB και αντιγράψτε το αρχείο /home/eset/petya.img

η). Μπορείτε να απενεργοποιήσετε τον υπολογιστή σας.

Δείτε επίσης - Omelyan σχετικά με την προστασία από επιθέσεις στον κυβερνοχώρο

Omelyan σχετικά με την προστασία από επιθέσεις στον κυβερνοχώρο