Помощь тем, кто пострадал от вируса
Если компьютеры и серверы в вашей организации уже полностью зашифрованы, то единственная мера на сегодняшний день – это снять образы жестких дисков всех зашифрованных устройств. Данная мера позволит вам в будущем расшифровать ваши данные в случае появления декриптора, однако его появление очень маловероятно.
Если вы видите, что компьютер показывает «синий экран», перезагружается и запускает Check Disk, немедленно выключите его и отключите от сети. Проблема частично решается путём восстановления MBR записи. Для этого существуют специальные утилиты. Например, «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair
Нужно загрузить ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/;
Затем с помощью одной из указанных в инструкции утилит создаем Live-USB.
Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.
После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока не будет разработан дешифратор.
Если на момент атаки вы обесточили системы, а теперь начинаете возвращать их в работу — не подключайте их к локальной сети пока не заблокируете SMB и WMI порты. Смысл заключается в том, чтобы обезопасить систему от возможного заражения по сети. Поэтому сначала заблокируйте TCP 139, 445, 1024-1036 штатными средствами Windows. Вы должны понимать, что это жесткая, но необходимая мера. Причем надо закрыть не только SMBv1, но и Admin $
При восстановлении учитывайте, что злоумышленники сняли пароли пользователей в том числе администраторов. Заставьте всех сменить пароли.
Тем, кто ещё не успел пострадать
Постоянно поддерживайте высокий уровень информационной безопасности Вашей организации. Если Вас не задело этой волной атак, то это не значит, что вас не заденет следующая. Будьте вооружены, прежде чем Вас атакуют. Доверяйте вопрос безопасности ваших систем только грамотным сотрудникам, используйте надежные и проверенные средства защиты, постоянно проверяйте эффективность вашей защиты внешними аудиторами, обращайтесь за консультацией к профильным специалистам.
Для оперативного снижения риска быть зараженным и возможности идентификации шифровальщика Petya (27.06.17) необходимо, на всех Windows устройствах завершить все локальные задачи и проверить наличие файла:
C: \ Windows \ perfc.dat.
Также для предупреждения шифрования нужно создать файл C: \ Windows \ perfc.
Перед началом процесса шифрования вирус проверяет наличие файла perfc в папке C: \ Windows \, если файл уже существует вирус завершает работу и не шифрует файлы.
В зависимости от версии ОС Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:
— для Windows XP — http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
— для Windows Vista 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
-для Windows Vista 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
— для Windows 7 32 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
— для Windows 7 64 bit — http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
— для Windows 8 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
— для Windows 8 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
— для Windows 10 32 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
— для Windows 10 64 bit — http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Убедитесь, что на всех системах установлено качественное антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур.
Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланы от неизвестных. В случае получения письма с неизвестного адреса, который вызывает подозрение относительно его содержания — связаться с отправителем и подтвердить факт отправки письма.
Сделать резервные копии всех критически важных данных.
Донести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлено указанные патчи, независимо от факта подключения к локальной или глобальной сети.
Вышеуказанные меры позволят Вам лишь временно защититься только от подобного типа атак. За комплексной защитой Ваших систем – обращайтесь к нашим специалистам, и мы оперативно поможем решить вопрос Вашей безопасности.
Специалисты компании «Амика» всегда готовы проконсультировать вас по сервисам, услугам и устройствам защиты ваших ресурсов. Мы занимаемся следующими направлениями:
- Защита от утечки конфиденциальной информации за пределы компании (DLP).
- Защита от целенаправленных хакерских атак (APT).
- Защита от DDOS.
- Защита мобильных устройств (BYOD и MDM)
- Аудит и проверка на уязвимость
- Тесты на проникновение.
Бесплатную консультацию вы можете получить, обратившись к нам по телефону +38 044 355-07-70 или по адресу security@amica.ua.