(Petya.A), un sniedza vairākus padomus.

Saskaņā ar SBU informāciju, operētājsistēmu inficēšanās galvenokārt notika, atverot ļaunprātīgas lietojumprogrammas (Word dokumentus, PDF failus), kas tika nosūtīti uz daudzu komerciālu un valsts aģentūru e-pasta adresēm.

“Uzbrukumā, kura galvenais mērķis bija Petya.A failu šifrētāja izplatīšana, tika izmantota tīkla ievainojamība MS17-010, kā rezultātā inficētajā mašīnā tika instalēts skriptu komplekts, ko uzbrucēji izmantoja, lai palaistu minētais failu šifrētājs, ”sacīja SBU.

Vīruss uzbrūk datoriem, kuros darbojas operētājsistēma Windows, šifrējot lietotāja failus, pēc tam tiek parādīts ziņojums par failu konvertēšanu ar ierosinājumu samaksāt par atšifrēšanas atslēgu bitkoinos 300 USD ekvivalentā datu atbloķēšanai.

"Diemžēl šifrētus datus nevar atšifrēt. Turpinās darbs pie iespējas atšifrēt šifrētus datus, ”sacīja SBU.

Ko darīt, lai pasargātu sevi no vīrusa

1. Ja dators ir ieslēgts un darbojas normāli, bet jums ir aizdomas, ka tas varētu būt inficēts, nekādā gadījumā nereboot to (ja dators jau ir bojāts, arī nereboot) - vīruss tiek aktivizēts pēc pārstartēšanas un šifrē visus datorā esošos failus.

2. Saglabājiet visus vērtīgākos failus atsevišķā diskdzinī, kas nav savienots ar datoru, un ideālā gadījumā izveidojiet rezerves kopiju kopā ar OS.

3. Lai identificētu faila šifrētāju, jums ir jāpabeidz visi lokālie uzdevumi un jāpārbauda šāda faila klātbūtne: C:/Windows/perfc.dat.

4. Atkarībā no Windows OS versijas instalējiet ielāpu.

5. Nodrošiniet, lai visās datorsistēmās būtu instalēta pretvīrusu programmatūra, kas darbojas pareizi un izmanto atjauninātas vīrusu parakstu datu bāzes. Ja nepieciešams, instalējiet un atjauniniet pretvīrusu.

6. Lai samazinātu inficēšanās risku, rūpīgi jāizturas pret visu elektronisko korespondenci un nelejupielādējiet un neatveriet pielikumus vēstulēs, kas nosūtītas no nezināmām personām. Ja saņemat aizdomīgu vēstuli no zināmas adreses, sazinieties ar sūtītāju un apstipriniet, ka vēstule ir nosūtīta.

7. Izveidojiet visu svarīgo datu rezerves kopijas.

Nodot norādīto informāciju struktūrvienību darbiniekiem, kā arī neļaut darbiniekiem strādāt ar datoriem, kuriem nav uzstādīti norādītie ielāpi neatkarīgi no tā, vai tie ir pieslēgti lokālajam tīklam vai internetam.

Ir iespējams mēģināt atjaunot piekļuvi Windows datoram, kuru bloķējis noteikts vīruss.

Tā kā norādītā ļaunprogrammatūra veic izmaiņas MBR ierakstos, tāpēc tā vietā, lai ielādētu operētājsistēmu, lietotājam tiek parādīts logs ar tekstu par failu šifrēšanu. Šo problēmu var atrisināt, atjaunojot MBR ierakstu. Šim nolūkam ir īpašas utilītas. Šim nolūkam SBU izmantoja utilītu Boot-Repair (norādījumi saitē).

b). Palaidiet to un pārliecinieties, vai ir atzīmētas visas rūtiņas logā “Artefacts to savākt”.

c). Cilnē “Eset Log Collection Mode” iestatiet diska avota bināro kodu.

d). Noklikšķiniet uz pogas Savākt.

e). Nosūtīt žurnālu arhīvu.

Ja ietekmētais dators ir ieslēgts un vēl nav izslēgts, pārejiet pie

3. darbība, lai apkopotu informāciju, kas palīdzēs rakstīt dekodētāju,

4. punkts par sistēmas apstrādi.

No jau ietekmētā datora (tas netiks sāknēts) ir jāievāc MBR turpmākai analīzei.

Jūs varat to salikt saskaņā ar šādiem norādījumiem:

a). Lejupielādēt ESET SysRescue Live kompaktdisku vai USB (izveide ir aprakstīta 3. darbībā)

b). Piekrītiet lietošanas licencei

c). Nospiediet CTRL + ALT + T (tiek atvērts terminālis)

d). Ierakstiet komandu "parted -l" bez pēdiņām, parametrs ir mazais burts "L" un nospiediet

e). Skatiet disku sarakstu un identificējiet ietekmēto datoru (jābūt vienam no /dev/sda)

f). Ierakstiet komandu "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" bez pēdiņām, "/dev/sda" vietā izmantojiet disku, ko definējāt iepriekšējā darbībā un noklikšķiniet (tiks izveidots fails/home/eset/petya.img)

g). Pievienojiet USB zibatmiņas disku un kopējiet failu /home/eset/petya.img

h). Jūs varat izslēgt datoru.

Skatīt arī - Omelyan par aizsardzību pret kiberuzbrukumiem

Omeljans par aizsardzību pret kiberuzbrukumiem