Руководитель проектов по информационной безопасности системного интегратора КРОК Павел Луцик на своей странице в Facebook поделился инструкциями по восстановлению данных при атаке «Пети»:
Если использовалось раздельное хранение данных основной ОС (C:/) и базы данных и других данных (D:/), необходимо провести следующую процедуру:
1) Отключить жесткие диски от скомпроментированного устройства
2) Подключить жесткие диски к изолированной станции, не имеющей выхода в локальную сеть и сеть Интернет
3) Осуществить анализ подключенных жестких дисков, при наличии незашифрованных данных, осуществить их резервное копирование на съемный носитель информации с последующим отключением носителя от изолированной станции
4) Осуществить переустановку ОС на скомпроментированном устройстве, переподключить базу данных и восстановить конфигурационные файлы
5) Восстановление данных необходимо осуществлять поэтапно, с учетом возможности повторного заражения устройства (в отличие от WannaCry, Petya несколько часов остается в неактивированном состоянии, чтобы избежать срабатывания эвристических модулей антивирусных движков)
Просто имейте дозу желания применить их. Вместо того, чтобы платить выкуп, инвестируйте в технологии безопасности и образование. Консультант с 13-летним опытом. Бакалавр философии и изучения права, направленный на специализацию в области компьютерного права. Меня интересуют занятия спортом, пшеничное пиво, вина и политические дискуссии.
Безопасное управление учетными данными в этом случае будет долгосрочной защитой. Убедитесь, что у вас есть версия определения, равная или превышающая. Программа, которая управляет всеми операциями вашего компьютера, чтобы она работала правильно. Являясь самой важной программой для всех, важно всегда поддерживать ее в актуальном состоянии с использованием последней версии, чтобы убедиться, что вы всегда в безопасности. Все остальные программы на вашем устройстве будут вам благодарны.
Cybereason
Сам Серпер утверждает, что данный метод работает с вероятностью 98%.
Позже находку исследователя подтвердили эксперты Positive Technologies , TrustedSec и Emsisoft .
Таким образом, когда они обнаруживают ошибку, они исправляют немедленно. Эти улучшения доступны на сайтах производителей бесплатно, чтобы пользователи могли легко их скачать. Обновления безопасности помогают защитить ваш компьютер от вирусов, червей и других угроз. Узнайте, как включить автоматическое обновление и как обновить машину с помощью предыдущих обновлений программного обеспечения.
Включить автоматическое обновление. Нажмите кнопку «Пуск», а затем «Панель управления». Перейдите на вкладку «Автоматические обновления» и выберите «Автоматически». Включение автоматических обновлений. Важно: загрузка автоматических обновлений может быть запланирована в любое время дня. Но, помните: оборудование должно быть включено в назначенное время.
Symantec
Американский производитель антивирусного программного обеспечения Symantec также выпустил рекомендации по борьбе с вирусом-вымогателем Petya, придерживаясь той же позиции, что и коллеги из Cybereason и Positive Technologies.
Согласно инструкциям, пользователям необходимо имитировать заражение компьютера, создав в программе «Блокнот» файл perfc и разместив его в папке Windows на диске C . Когда вирус попадает в систему, он ищет этот файл и, найдя его, прекращает работу. Никакого расширения у имени файла в директории C:\Windows\ быть не должно.
Если на шаге 5 вы будете уведомлены об автоматических обновлениях, окно уведомления появится каждый раз, когда будут доступны новые загрузки для установки. Щелкните на шаре уведомления, чтобы просмотреть и установить обновления. Теперь, когда функция автоматического обновления уже включена, все критические обновления будут получены автоматически.
Эти инструкции можно использовать для обновления вашего оборудования с предыдущими обновлениями безопасности и получения будущих обновлений, которые не являются критическими. Когда вы закончите, вернитесь на эту страницу и перейдите к шагу. Предложение. Некоторые загрузки потребуют перезагрузки компьютера после установки. Возможно, потребуется повторить это действие несколько раз, чтобы гарантировать, что все последние загрузки были сделаны. Первая атака затронула компании в разных сегментах, таких как банки, электроэнергия, связь, больницы и правительства, в нескольких странах, включая Бразилию.
Positive Technologies
Positive Technologies подтверждает, что создние на жестком диске файла perfc можно предотвратить выполнение Petya.A.
- Установить обновления ОС и прикладного ПО. Особое внимание обратить на установку обновлений MS17-010.
- По возможности отключить службу SMB v.1 или запретить передачу данных по портам TCP 139 и 445.
- Запретить запуск файлов с именем perfc.dat.
- Обратить внимание сотрудников на правила безопасной работы с электронной почтой и опасность открытия неизвестных вложений, в особенности исполняемых файлов.
- Проверить работоспособность системы резервного копирования информации.
Из-за того, что вредоносная программа использует стойкие криптографические алгоритмы шифрования, в настоящее время расшифровка файлов не представляется возможной. Эксперты «Лаборатории Касперского» изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.
Эксперты говорят, что это только начало и что новые атаки еще впереди. Если было бы безопаснее хранить данные вашего компьютера только на машине или серверах, подключенных к сети вашей компании, то теперь даже меньше! Решение для резервного копирования находится в облаке, решая как проблему с вирусом, так и физические проблемы на жестком диске компьютеров. Помимо доступного пространства, вы все равно можете управлять своими документами в Интернете, не зацифровываясь на машине, имея доступ к нескольким компьютерам и местоположениям.
Принесите свой бизнес облачным вычислениям! Основным способом избежать заражения любым вирусом является безопасность сотрудников компании. Если атака прошла успешно, пользователь получает сообщение о том, что файлы были зашифрованы, требуя погашения, которое должно быть оплачено для их освобождения.
«Цифровая подстанция» следит за обновлениями в рекомендациях защитников критической инфраструктуры. Новость будет обновляться по мере поступления информации.
Многие интернет-любители до сих пор наивно полагают, что если не заходить на сомнительные странички и не переходить по незнакомым ссылкам, шансов «поймать» вирус нет. «К сожалению, это не так, - констатируют в компании DriverPack (занимается автоматизацией работы с драйверами на платформе Microsoft Windows. - Прим. ред.). - Новое поколение вирусов действует совершенно иначе - они активируют себя самостоятельно, используя уязвимость в одном из протоколов». Из их числа и Petya. По данным компании Symantec (американская компания, разрабатывающая антивирусный софт. - Прим. ред.), Petya существует с 2016 года. А вот активизировался он только сейчас. Правда, это может быть и не совсем Petya. В «Лаборатории Касперского» троянец назвали ExPetr и утверждают, что на прошлого «Петю» он похож, но незначительно. А в компании Cisco (американская компания, специализирующаяся на высоких технологиях, в том числе по кибербезопасности. - Прим. ред.) новый вирус-вымогатель и вовсе назвали Nyetya.
Зачем вам нужна защита от передозировки
Затем необходимо заплатить выкуп с помощью биткойна, чтобы восстановить доступ к файлам. Цена разблокировки данных и устройства увеличивается со временем. Если платеж не производится по дате, указанной преступниками, компьютер навсегда недоступен. Мы рекомендуем организациям немедленно обновлять свои системы. Этот извозчик оказывает влияние на большое количество отраслей и организаций, включая ключевые отрасли, такие как энергетические, банковские и транспортные системы.
Этот вирус затрагивает несколько секторов и организаций, включая базовую инфраструктуру, такую как энергетика, банки и транспортные системы. Это новое поколение выкупов, предназначенных для использования последних исследований. Сегодняшний атакующий вирус, известный как Петя, является вымогателем.
Чем опасен?
Как ты «Петю» ни назови, а проблема остается. «Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса, - предупреждают в Group-IB (российская компания, специализирующаяся на борьбе с киберпреступностью. - Прим. ред.). - После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов. Любые вложения - .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент». В Cisco добавили, что вирус шифрует главную загрузочную запись компьютера (можно сказать, «содержание» жесткого диска).
В этом варианте вместо таргетинга только на одну организацию этот вирус использует комплексный подход, который атакует любое обнаруженное устройство, чей прикрепленный червь он может использовать. Затем он указывает, что если вы выключите компьютер, вы потеряете все системные данные. У этой атаки есть другая тактика, чем предыдущие. Обычно самыми большими потерями были данные.
Что за зверь такой?
Кроме того, система перезапускается в одночасовом цикле, добавляя к атаке еще один элемент отказа в обслуживании. Однако, поскольку для этого эксплойта использовались дополнительные векторы атаки, только исправление не было бы достаточным для полного прекращения этого эксплойта, это означает, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Есть некоторые действительно интересные аспекты об этой атаке. Второй аспект заключается в том, что это может быть просто испытанием для будущих атак, нацеленных на недавно выпущенные уязвимости.
Если речь идет о корпоративной сети, то чтобы заразить ее всю, нужен всего один «инфицированный» компьютер. «После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть восстановить работоспособность ОС, - вроде бы дают надежду в Positive Technologies (российская компания, специализирующаяся на кибербезопасности. - Прим. ред.). - Однако расшифровать файлы не удастся. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно».
Частично это объяснялось тем, что исследователи смогли остановить и отключить атаку. Однако атака вируса «Петя» намного сложнее, хотя пока не известно, будет ли она более успешной в финансовом плане, чем предыдущая атака. Когда ферма достигает известной уязвимости, для которой исправление доступно в течение нескольких месяцев или лет, это вина самих жертв.
Рост вирусов вымогательства является драматическим, в дополнение к удивительному диапазону вариантов в прошлом году. Теперь мы видим и отслеживаем различные виды выкупа. В этом случае основные функции, такие как данные, зашифровываются, а выкуп требуется в обмен на ключ, чтобы разблокировать их. Мы также видели увеличение типа атаки с использованием вымогательства, основанного на отказе в обслуживании, которое может принимать различные формы. Основная атака отказа в обслуживании направлена на организацию, которая перегружает службы, делая их недоступными для клиентов и пользователей.
Увы, эксперты также выяснили, что набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
Как сделать так, чтобы Petya не прошел?
Для того чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. «Подпишитесь на Microsoft Technical Security Notifications», - советуют и в Group-IB. Собственно, это залог того, что когда Microsoft проанализирует пути обезвреживания этой угрозы, компания установит соответствующие обновления. К слову, в российском подразделении Microsoft уже сообщили, что антивирусное ПО обнаруживает этот вирус-вымогатель и защищает от него.
Для его выкупа требуется выкуп. Это кросс-платформа, которая в настоящее время совместима с пятью различными платформами и включает в себя набор автоматизированных инструментов задач, динамических списков паролей, делает их динамичными и обновляемыми и пытается имитировать поведение человека, чтобы его не идентифицировали с помощью радара обнаружения. Одной из интереснейших разработок стала разработка выкупной услуги как услуги, позволяющая менее техническим преступникам использовать технологию вымогательства, чтобы начать свой собственный бизнес по вымогательству в обмен на предоставление разработчикам доли прибыли.
Причем в DriverPack отмечают, что последствия атаки оказались настолько серьезными, что «компания Microsoft пошла на беспрецедентный шаг — выпустила обновление даже для снятой с поддержки Windows XP. Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB (сетевой протокол, появившийся в 1983 году. - Прим.ред.) и без последних обновлений». «Некоторые пользователи держат не обновлёнными компьютеры много-много лет», - разводит руками руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Однако если обновления все-таки делаются, то параллельно с этим процессом в компании Cisco советуют внести в стратегию обеспечения безопасности базовое положение относительно резервного копирования ключевых данных.
То, что мы видим сейчас, - это два других эксплойта, добавленных в семейство угроз вымогательства. Анализируются другие подписи. Проверяют эту возможность. Являясь мировым лидером в области высокопроизводительной сетевой безопасности, мы позволяем компаниям и правительствам консолидировать и интегрировать независимые технологии без снижения производительности. Опять Европа задрожала из-за компьютерной атаки, которая на этот раз началась в Украине, и оттуда она распространилась повсюду, будучи в состоянии выполнять.
Поскольку до сих пор нет единого мнения о названии, для каждой компании это нормально. Имена много, но не имеет большого значения назначать конкретное имя, так как вирус еще не полностью контролируется. Великое зло заключалось в том, что немногие компании обновили систему, и даже сейчас все еще существует большое количество компаний с уязвимостью для решения. Когда система заражена, файлы зашифровываются и запрашивается искупление в биткойнах, так что доступ к оборудованию возвращается пользователю.
Еще для дополнительной защиты от Petya разработчики советуют создавать на компьютере файл-обманку. В частности, как пишет в своем твиттере компания Symantec, чтобы защититься от вируса, нужно создать файл под названием perfc и разместить его в папке Windows на диске C. Проникая в компьютер, вирус проверяет систему на наличие заражения, и такой файл имитирует его. Создать файл можно в программе «Блокнот». Из имени документа будет необходимо удалить расширение.txt.
Около четырех тысяч долларов все еще были переданы атакующим во время атаки. Это означает, что пользователи, затронутые этой проблемой, не должны производить никаких платежей, потому что они не смогут получить ключ дешифрования. Рекомендация нескольких экспертов по компьютерной безопасности заключается в том, что предприятия и отдельные пользователи должны уделять особое внимание этим типам атак и должны стараться постоянно обновлять свое оборудование, чтобы они не подвергались атакам и что вирусы распространены в больших масштабах.
Многие компании и даже больницы стали жертвами. Проверка до 130% быстрее. Для защиты вашего компьютера необходимо иметь антивирусную программу. К сожалению, много раз пользователь сталкивается с проверкой, которая берет навсегда. Безопасный просмотр и загрузка Всплывающие окна могут привести к появлению вредоносных веб-сайтов, которые крадут вашу личную информацию при случайном нажатии.
Если Petya все же пришел
В первую очередь, эксперты по информационным технологиям не рекомендуют платить деньги вымогателям, если вирус все же заблокировал компьютер. Причем объясняют это вовсе не высокотехнологичными причинами. «Почтовый адрес нарушителей уже был заблокирован, и даже в случае оплаты выкупа ключ для расшифровки файлов наверняка не будет получен», - говорят в Positive Technologies. Да и в целом, отмечают в «Лаборатории Касперского», если давать деньги «фишерам», вирусы будут только множиться. «Для предотвращения распространения шифровальщика в Сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от Сети зараженные узлы и снять образы скомпрометированных систем», - дают конкретные рекомендации в Positive Technologies.
Полная защита и даже более глубокое вредоносное ПО могут заразить ваш компьютер несколькими способами. Петя - это выкупный долг. Как и другие вымогательства, Петя атакует файлы, чтобы их шифровать один за другим, изменяя расширение, но, кроме того, атаки Петя. Эта модификация выполняется путем поддельного сканирования. Используемый вектор и, следовательно, использование двух удаленных уязвимостей. Многие компании по всему миру были затронуты расизмом Петя, и, похоже, авторы в основном ориентированы на компании.
Оттуда были запущены Вечные инструменты для заражения уязвимых компьютеров компании. Если в сети сотни компьютеров и десятки уязвимы, это может повредить. С другой стороны, похоже, что программное обеспечение также установлено с инструментами для кражи учетных записей сетевых доменов для заражения других компьютеров. Это еще раз показывает, что нападение предназначалось для целей компаний.
Причем если данные на компьютере уже зашифрованы, лучше «не дергаться». «Если появится возможность расшифровать и восстановить хотя бы часть файлов, то дополнительные действия могут только помешать будущей расшифровке», - считает Вячеслав Закоржевский из «Лаборатории Касперского». «В случае, если исследователи найдут способ расшифровки файлов, заблокированные данные могут быть восстановлены в будущем», - уверены и в Positive Technologies. Господин Закоржевский при этом советует попытаться восстановить резервные копии, если таковые имеются.
Следует отметить, что страны Восточной Европы и особенно Украина сильно пострадали. Более того, во Франции люди соединяются сзади, поэтому компьютеры не подвергаются прямой атаке. Чтобы заразить компьютер, необходимо выполнить несколько условий. Трек атаки, специально предназначенный для Украины и ее торговых партнеров, кажется все более ясным.
Описание вируса «Petya»
Спустя неделю после распространения вируса «Петя», который нарушил работу нескольких очень больших, прогрессирует трек «пациент-ноль». И беспорядок доказательств, доступных исследователям, как государственным, так и частным, все более настойчиво указывает на нападение, специально предназначенное для этого. «Целями атаки были Украина и организации, которые ведут бизнес с Украиной».
Сколько в мире «Петь»?
В «Лаборатории Касперского» подсчитали, что число вредоносных программ для атак только на устройства Интернета вещей превышает семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. А всего в мире работают больше 6 миллиардов подключенных к Интернету устройств. По словам Закоржевского, интенсивность по киберугрозам в мире ежедневно меняется, но все же не сильно. Скорее, меняется география атак. И еще влияют на «киберстатистику» время суток и национальные праздники.
У основных игроков рынка, работающих на рынке информационной безопасности, есть онлайн-карты, показывающие количество атак в реальном времени по всему миру. Эти данные основаны на данных пользователей, поставивших у себя тот или иной «антивирусник». Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал, как читают профессионалы такие карты и где расположено большинство хостингов, являющихся «рассадником» фишинга и прочих «зловредов».
По оценкам DriverPack, полностью беззащитны перед компьютерными вирусами более 35% пользователей в России. «Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB», - уверены эксперты. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.
