(Petya.A)، و تعدادی نکته را ارائه کرد.

به گفته SBU، آلودگی سیستم‌های عامل عمدتاً از طریق باز کردن برنامه‌های مخرب (اسناد Word، فایل‌های PDF) رخ می‌دهد که به آدرس‌های ایمیل بسیاری از سازمان‌های تجاری و دولتی ارسال می‌شوند.

«این حمله که هدف اصلی آن توزیع رمزگذار فایل Petya.A بود، از آسیب‌پذیری شبکه MS17-010 استفاده کرد که در نتیجه مجموعه‌ای از اسکریپت‌ها روی دستگاه آلوده نصب شد که مهاجمان از آن برای راه‌اندازی استفاده کردند. رمزگذار فایل ذکر شده،” SBU گفت.

این ویروس با رمزگذاری فایل های کاربر به رایانه های دارای سیستم عامل ویندوز حمله می کند و پس از آن پیامی در مورد تبدیل فایل ها با پیشنهاد پرداخت هزینه کلید رمزگشایی به بیت کوین معادل 300 دلار برای باز کردن قفل داده ها نمایش می دهد.

متأسفانه، داده های رمزگذاری شده را نمی توان رمزگشایی کرد. SBU گفت: کار بر روی امکان رمزگشایی داده های رمزگذاری شده ادامه دارد.

برای محافظت از خود در برابر ویروس چه باید کرد

1. اگر رایانه روشن است و به طور عادی کار می کند، اما مشکوک هستید که ممکن است آلوده شده باشد، به هیچ عنوان آن را راه اندازی مجدد نکنید (اگر رایانه شخصی قبلاً آسیب دیده است، آن را مجدداً راه اندازی نکنید) - ویروس با راه اندازی مجدد راه اندازی می شود. و تمام فایل های موجود در کامپیوتر را رمزگذاری می کند.

2. تمام فایل های با ارزش ترین را در یک درایو جداگانه که به کامپیوتر متصل نیست ذخیره کنید و در حالت ایده آل، یک نسخه پشتیبان به همراه سیستم عامل تهیه کنید.

3. برای شناسایی رمزگذار فایل، باید تمام کارهای محلی را تکمیل کنید و وجود فایل زیر را بررسی کنید: C:/Windows/perfc.dat

4. بسته به نسخه سیستم عامل ویندوز، پچ را نصب کنید.

5. اطمینان حاصل کنید که همه سیستم‌های کامپیوتری دارای نرم‌افزار ضد ویروس نصب شده‌اند که به درستی کار می‌کند و از پایگاه‌های داده امضای ویروس به‌روز استفاده می‌کند. در صورت لزوم آنتی ویروس را نصب و آپدیت کنید.

6. برای کاهش خطر ابتلا به عفونت، باید تمام مکاتبات الکترونیکی را با دقت انجام دهید و از دانلود یا باز کردن پیوست‌های نامه‌های ارسالی از سوی افراد ناشناس خودداری کنید. اگر نامه ای از یک آدرس شناخته شده دریافت کردید که مشکوک است، با فرستنده تماس بگیرید و تأیید کنید که نامه ارسال شده است.

7. از تمام داده های حیاتی یک نسخه پشتیبان تهیه کنید.

اطلاعات مشخص شده را برای کارمندان بخش های ساختاری بیاورید و به کارمندان اجازه ندهید با رایانه هایی که پچ های مشخص شده را نصب نکرده اند، صرف نظر از اینکه به شبکه محلی یا اینترنت متصل هستند، کار کنند.

ممکن است سعی کنید دسترسی به رایانه ویندوز مسدود شده توسط یک ویروس مشخص شده را بازیابی کنید.

از آنجا که بدافزار مشخص شده تغییراتی را در رکوردهای MBR ایجاد می کند، به همین دلیل است که به جای بارگیری سیستم عامل، پنجره ای با متنی در مورد رمزگذاری فایل به کاربر نشان داده می شود. این مشکل با بازگردانی رکورد MBR قابل حل است. ابزارهای ویژه ای برای این کار وجود دارد. SBU از ابزار Boot-Repair برای این کار استفاده کرد (دستورالعمل در پیوند).

ب). آن را اجرا کنید و مطمئن شوید که تمام کادرهای پنجره «Artifacts to collect» علامت زده شده اند.

ج). در تب "Eset Log Collection Mode" کد باینری منبع دیسک را تنظیم کنید.

د). بر روی دکمه جمع آوری کلیک کنید.

ه) یک بایگانی از سیاهههای مربوط را ارسال کنید.

اگر کامپیوتر آسیب دیده روشن است و هنوز خاموش نشده است، به ادامه مطلب بروید

مرحله 3 برای جمع آوری اطلاعاتی که به نوشتن رمزگشا کمک می کند،

نکته 4 برای درمان سیستم.

از رایانه شخصی که قبلاً آسیب دیده است (بوت نمی شود)، باید MBR را برای تجزیه و تحلیل بیشتر جمع آوری کنید.

می توانید آن را طبق دستورالعمل های زیر مونتاژ کنید:

آ). دانلود ESET SysRescue Live CD یا USB (ایجاد در مرحله 3 توضیح داده شده است)

ب). با مجوز استفاده موافقت کنید

ج). CTRL + ALT + T را فشار دهید (ترمینال باز می شود)

د). دستور "parted -l" را بدون نقل قول تایپ کنید، پارامتر حرف کوچک "L" است و فشار دهید

ه) لیست درایوها را ببینید و رایانه شخصی آسیب دیده را شناسایی کنید (باید یکی از /dev/sda باشد)

و) دستور “dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256” را بدون گیومه بنویسید، به جای “/dev/sda” از دیسکی که در مرحله قبل تعریف کردید استفاده کنید و کلیک کنید (File/home/eset/petya.img ایجاد خواهد شد)

ز). فلش USB را وصل کرده و فایل /home/eset/petya.img را کپی کنید

h). می توانید کامپیوتر خود را خاموش کنید.

همچنین ببینید - Omelyan در مورد محافظت در برابر حملات سایبری

Omelyan در مورد محافظت در برابر حملات سایبری