🔴 14:35 Повітряна тривога в Харків.обл.
Вирус просит биткоины. Хелп
🔴 14:35 Повітряна тривога в Харків.обл.
- Автор теми dinamitdina
- Дата створення
Статус:
Offline
Реєстрація: 01.12.2013
Повідом.: 36295
Реєстрація: 01.12.2013
Повідом.: 36295
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #722
ХарьковФорум читают
_________________
Специалисты компании Symantec, которая специализируется на разработке программного обеспечения, опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya.A, который 27 июня атаковал компании по всему миру.
Для этого надо сделать вид, что компьютер уже заражен. В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Для создания такого файла в качестве защиты от вируса можно использовать обычный "Блокнот". Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты советуют сделать файл доступным только для чтения, так вирус не сможет внести в него изменения.
_________________
Специалисты компании Symantec, которая специализируется на разработке программного обеспечения, опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya.A, который 27 июня атаковал компании по всему миру.
Для этого надо сделать вид, что компьютер уже заражен. В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.
Для создания такого файла в качестве защиты от вируса можно использовать обычный "Блокнот". Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты советуют сделать файл доступным только для чтения, так вирус не сможет внести в него изменения.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
9life
9
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #723
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Статус:
Offline
Реєстрація: 11.02.2009
Повідом.: 6325
Реєстрація: 11.02.2009
Повідом.: 6325
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #726
При помощи заплаченных биткоинов?
Статус:
Offline
Реєстрація: 16.06.2009
Повідом.: 1680
Реєстрація: 16.06.2009
Повідом.: 1680
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #727
Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено, станом на 21.00)
За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.
Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних.
Рекомендації:
Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
Залежно від версії ОС Windows встановити патч з ресурсу:
, а саме:
- для Windows XP -
- для Windows Vista 32 bit -
-для Windows Vista 64 bit -
- для Windows 7 32 bit -
- для Windows 7 64 bit -
- для Windows 8 32 bit -
- для Windows 8 64 bit -
- для Windows 10 32 bit -
- для Windows 10 64 bit -
Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою:
5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
7. Зробити резервні копії усіх критично важливих даних.
Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.
Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.
Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.
Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція
Потрібно завантажити ISO образ «Boot-repair»
Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).
Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.
Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.
З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.
Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:
І.
a). Завантажте утиліту Eset LogCollector:
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".
c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть архів з журналами.
Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.
ІІ.
Методи протидії зараженню:
Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft:
Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010:
Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445
Блокування можливості відкриття JS файлів, отриманих електронною поштою
За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.
Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску згаданого шифрувальника файлів.
Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних.
Рекомендації:
Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
Залежно від версії ОС Windows встановити патч з ресурсу:
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows XP -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows Vista 32 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
-для Windows Vista 64 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 7 32 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 7 64 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 8 32 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 8 64 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 10 32 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
- для Windows 10 64 bit -
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою:
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.
6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.
7. Зробити резервні копії усіх критично важливих даних.
Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.
Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.
Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.
Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Потрібно завантажити ISO образ «Boot-repair»
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).
Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.
Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.
З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.
Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:
І.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
a). Завантажте утиліту Eset LogCollector:
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".
c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть архів з журналами.
Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:
Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.
ІІ.
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Методи протидії зараженню:
Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft:
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010:
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445
Блокування можливості відкриття JS файлів, отриманих електронною поштою
Lukas077
L
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #728
или вирусня деактивировалась или компы поменяли
, главарь ведь говорил - зараженные компы в топку
Статус:
Offline
Реєстрація: 28.06.2007
Повідом.: 4800
Реєстрація: 28.06.2007
Повідом.: 4800
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #729
Да у меня винда с утра быстренько обновилась и сама перегрузилась.. вообще владельцы лицензионных должны задать вопрос майкрософту и потребовать бабло за такие дыры..))
⚠ Тільки зареєстровані користувачі бачать весь контент та не бачать рекламу.
Lukas077
L
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #730
Данунах, вчера поставил обновление для вин7х64 ,после перезагрузки - 2й перезапуск и потом еще пол часа восстанавливалась система.
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #731
А с Касперского, нода, авиры , зилля и прочей хуйни
Статус:
Offline
Реєстрація: 11.02.2009
Повідом.: 6325
Реєстрація: 11.02.2009
Повідом.: 6325
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #732
Вот не знаю кто это сделал, но, сцуко я доволен что так произошло
Поясню, в 2017 году война или же санкции должны быть именно такими. Это современно и блин, красиво. Надеюсь мирные не пострадали или в следующий раз не пострадают.
Статус:
Offline
Реєстрація: 05.07.2011
Повідом.: 2706
Реєстрація: 05.07.2011
Повідом.: 2706
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #733
О, оказывается не все потеряно.
Есть люди которые умеют учиться на чужих ошибках
Да мы на линух пытались переходить уже раз 10. Но он такой с... как старый зомби, что-то отваливается, что-то не совместимо, и вечно что-то из нужного в нем не работает. А это муж сложил как-то все удачно, ну с костылями конечно, но работает и не совсем "фууу". Ну и если оценить ущерб от потери рабочих файлов и некоторые неудобства от линуха, то пусть будет линух.
Статус:
Offline
Реєстрація: 06.11.2008
Повідом.: 5966
Реєстрація: 06.11.2008
Повідом.: 5966
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #735
9life
9
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #736
а мне бы за хату заплатить в мегабанке
9life
9
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #737
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #738
[emoji1] [emoji28]скажите а по "посаду" атака кончилась?а то выпить охота
Статус:
Offline
Реєстрація: 10.03.2011
Повідом.: 11530
Реєстрація: 10.03.2011
Повідом.: 11530
- 🔴 14:35 Повітряна тривога в Харків.обл.
- #739
