В СБУ дали одесситам рекомендации по защите компьютеров от кибератаки вируса-вымогателя
По данным СБУ, попадания вредоносного программного обеспечения Petya.A (относится к виду ШПЗ «ransomware», «шифровальщик», «локер») на ЭВМ под управлением операционных систем Windows государственных и коммерческих структур происходило путем эксплуатации уязвимости MS17-010.
Главным назначением ШПЗ данного вида является шифрование всех файлов хранятся на компьютере-жертве. После выполнения собственного программного кода выводится сообщение о преобразовании файлов с предложением произвести оплату ключа дешифрования для разблокировки данных. На сегодня зашифрованные данные, к сожалению, расшифровке не подлежат. Продолжается работа над возможностью дешифровки зашифрованных данных. Средства, которые требуют вымогатели не выплачивать - оплата не гарантирует восстановления доступа к зашифрованным данным.
рекомендации:
1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, которые содержатся на компьютере.
2. Сохраните все файлы, которые наиболее ценны, отдельного не подключен к компьютеру носитель, а в идеале - резервную копию вместе с операционной системой.
3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat. Также для предупреждения шифрования нужно создать файл C: \ Windows \ perfc.dat с атрибутом «только для чтения». Перед началом процесса шифрования вирус проверяет наличие файла perfc.dat, если файл уже существует вирус завершает работу и не шифрует файлы.
4. В зависимости от версии ОС Windows установить патч с ресурса: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx, а именно:
- для Windows XP - https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
- для Windows Vista 32 bit - https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu
-для Windows Vista 64 bit - https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
- для Windows 7 32 bit - https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
- для Windows 7 64 bit - https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
- для Windows 8 32 bit - https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu
- для Windows 8 64 bit - https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu
- для Windows 10 32 bit - https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
- для Windows 10 64 bit - https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
- See more at: https://ssu.gov.ua/ua/news/1/category/2/view/3643#sthash.fI6Aqvwn.dpuf
Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по адресу: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx
Если по какой-то причине вы не можете применить обновление, возможным решением для уменьшения атаки является отключение SMBv1 по шагам, задокументированных в https://support.microsoft.com/ru-RU/help/2696547/how-to-enable-and-disable -smbv1-smbv2-and-smbv3-in-windows-and-windows
5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.
6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известной адреса, который вызывает подозрение относительно его содержания - связаться с отправителем и подтвердить факт отправки письма.
7. Сделать резервные копии всех критически важных данных.
8. Когда пользователь видит «синий экран смерти», данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если компьютер перезагружаются и запускает check Disk, немедленно выключайте его. На этом этапе вы можете вытянуть свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома) и скопировать файлы.
9. Для предотвращения вредоносным ПО менять MBR (в котором в данном случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений по запрету доступа к MBR:
• решение Cisco Talos https://www.talosintelligence.com/mbrfilter , исходные коды доступны здесь https://github.com/Cisco-Talos/MBRFilter
• зрелое решение Greatis https://www.greatis.com/security/
• свежее решение SydneyBackups https://www.sydneybackups.com.au/sbguard-anti-ransomware/ .
Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлено указанные патчи, независимо от факта подключения к локальной или глобальной сети.
Следует ззначиты, что существует возможность попробовать восстановить доступ к заблокированного указанным вирусом компьютера с ОС Windows.
Поскольку указанное ШПЗ вносит изменения в МBR записи из-за чего вместо загрузки операционной системы пользователю показывается окно с текстом о шифровании файлов.
Эта проблема решается восстановлением MBR записи. Для этого существуют специальные утилиты. Можно использовать для этого утилиту «Boot-Repair». Инструкция https://help.ubuntu.com/community/Boot-Repair
Нужно загрузить ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/
Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (можно использовать Universal USB Installer).
Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.
После этого Windows загружается нормально. Но большинство файлов с расширениями doc, dox, pdf и т.д. будут зашифрованы. Для их расшифровки нужно ждать пока будет разработан дешифратор, советуем скачать нужные зашифрованные файлы на USB-носитель или диск для дальнейшего их расшифровки и переустановить операционную систему.
По опыту СБУ, в отдельных случаях восстановить утраченную информацию можно с помощью программы ShadowExplorer, но это станет возможным только тогда, когда в операционной системе работает служба VSS (Volume Shadow Copy Service), которая создает резервные копии информации с компьютера. Восстановление происходит не путем расшифровки информации, а с помощью резервных копий.
Дополнительно рекомендуем администраторам сетей:
1. Заблокировать запросы к следующим ресурсам в сети Интернет (скобки у точек вставлены, чтобы не было ссылок):
- 84.200.16 [.] 242
- 111.90.139 [.] 247
- 185.165.29 [.] 78
- 95.141.115 [.] 108
- 84.200.16 [.] 242 / myguy.xls
- http: // french-cooking [.] Сom / myguy.exe
2. Если в сети уже есть зараженные рабочие станции или серверы необходимо отключить (как минимум на период проверки) TCP-порты 1024-1035, 135 и 445.
3. Заблокировать использования учетных записей локальных администраторов и администраторов домена на рабочих станциях, запретив им полномочия локального и удаленного управления (https://technet.microsoft.com/windows-server-docs/security/securing-privileged-access/securing- privileged-access)
4. Задействовать бесплатный сетевой сервис Local Administrator Password Solution (LAPS) для генерации динамически изменяемых паролей администраторов (https://technet.microsoft.com/en-us/security/jj653751 или https://www.microsoft.com/en -us / download / details.aspx? id = 46899).
5. Настроить групповые политики безопасности AppLocker на контроль списка приложений на рабочих станциях (https://technet.microsoft.com/en-us/library/dd723678(v=ws.10).aspx).
6. Воспользоваться бесплатным решением для предотвращения атак 0-дня (https://www.microsoft.com/en-us/download/details.aspx?id=50766 и https://www.microsoft.com/en-us/ download / details.aspx? id = 50766).
7. В связи с тем, что в ходе своего распространения сетью вирус использует PsExec, целесообразно применить SIGMA-правило для выявления использования PsExec, оно может быть автоматически конвертуване в запрос Splunk и ElasticSearch, например
title: PsExec tool execution on destination host
status: experimental
description: Detects PsExec service installation and execution events (service and Sysmon)
author: Thomas Patzke
reference: www.jpcert.or.jp/english/pub/sr/ir_research.html
logsource:
product: windows
detection:
service_installation:
EventID: 7045
ServiceName: "PSEXESVC"
ServiceFileName: '* \ PSEXESVC.exe "
service_execution:
EventID: 7036
ServiceName: "PSEXESVC"
sysmon_processcreation:
EventID: 1
Image: '* \ PSEXESVC.exe "
User: "NT AUTHORITY \ SYSTEM"
condition: service_installation or service_execution or sysmon_processcreation
falsepositives:
- unknown
level: low
Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:
И. https://eset.ua/download_files/news/ESET_Recommendations_v2.0.pdf
1. Если зараженный компьютер включен, и не перезагружайте и не выключайте!
a) Выполните создание лога с помощью программы ESET Log Collector Загрузите утилиту ESET Log Collector: https://eset.ua/ua/download/utility?name=logcollector Убедитесь в том, что установлены все галочки в окне «Артефакты для сбора» . Во вкладке «Режим сбора журналов ESET» установите «Исходный двоичный код с диска». Нажмите на кнопку «Собрать». Отправьте архив с журналами на электронный адрес support@eset.ua.
b) В продуктах ESET включите сервис ESET Live Grid, а также выявление нежелательных и опасных приложений. Дождитесь обновления сигнатур до версии 15653 и просканируйте ПК.
2. Если компьютер выключен, не включайте его! Для сбора информации, которая поможет написать декодер, перейдите к выполнению пункта 3, для сканирования системы перейдите к пункту 4.
3. С уже зараженного компьютера (не загружается) нужно собрать MBR для дальнейшего анализа. Собрать его можно с помощью этой инструкции: • Загрузите ПК с ESET SysRescue Live CD или USB (создание описано в Приложении 1). • Предоставьте согласие с условиями лицензии на использование. • Нажмите CTRL + ALT + T (откроется терминал). • Напишите команду "parted -l" без кавычек, параметром является маленькая буква "L" и нажмите. • Смотрите список дисков и идентифицируйте заражен (должен быть один из / dev / sda). • Введите команду "dd if = / dev / sda of = / home / eset / petya.img bs = 4096 count = 256" без кавычек, вместо "/ dev / sda" используйте диск, который определили в предыдущем шаге, и нажмите ( файл /home/eset/petya.img будет создан). • Подключите USB-флешку и скопируйте файл /home/eset/petya.img. • Компьютер можно выключить. • Отправьте файл petya.img на электронный адрес support@eset.ua .
ИИ. https://zillya.ua/ru/epidemiya-
Методы противодействия заражению:
1. Отключение устаревшего протокола SMB1. Инструкция по отключению SMB1 в TechBlog компании Microsoft: https://blogs.technet.microsoft.com/filecab/2016/09/16/stop-using-smb1/
2. Установление обновлений безопасности операционной системы Windows с Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
3. Если есть возможность отказаться от использования в локальной сети протокола NetBios (не использовать для организации работы сетевые папки и сетевые диски), в брандмауэре локальных ПК и сетевого оборудования заблокировать TCP / IP порты 135, 139 и 445
4. Установите антиспам системы электронной почты, чтобы отфильтровать все потенциально вредные входящие сообщения. Определите конкретные ограничения расширения файлов в вашей почтовой системе.
5. Убедитесь, что приложения со следующими расширениями содержатся в черном списке: .js, .vbs, .docm, .hta, .exe, .cmd, .scr и .bat. Кроме того, обрабатывайте ZIP архивы в полученных сообщениях с особой осторожностью.
6. Регулярное резервное копирование ваших файлов,
III. https://www.symantec.com/
По рекомендациям антивирусной компании Symantec, для установления факта заражения компьютеру шифровальщиком файлов, необходимо завершить все локальные задачи и проверить наличие следующего файла C: \ Windows \ perfc /
Кроме того, как быстрый способ предотвращения дальнейшего распространения вируса, пока будут установлены патчи п. 4, целесообразно принудительное создание в дисковой директории C: \ Windows \ текстового файла perfc и установления для него атрибута «только для чтения».
IV. https://www.romadcyber.com
Возможные сценарии восстановления данных:
1. В ручном режиме:
- Поиск файлов на жестком диске по сигнатурам, при этом имя файлов не восстанавливается. Возможно лишь только для нефрагментированные файлов.
- Поиск файловых записей по сигнатуре FILE, получения списка кластеров, принадлежащих файла, таким образом восстанавливается данные и имя файлов.
- метод восстановления выборочных файлов с помощью восстановления нерезидентного список секторов, принадлежащих файла (Data Runs). Данный метод базируется на следующей концепции: выполняется поиск кластера, содержащего исходный файл (поиск осуществляется по сигнатурой), далее номер этого кластера используется для поиска нерезидентного список секторов, принадлежащих файла.
С помощью описанных методов, возможно восстановить файлы большого размера, которые нельзя восстановить с помощью поискового запроса по сигнатурой и автоматическими средствами.
- Восстановление MBR возможно по команде "bootrec / FixMbr" до перезагрузки системы (Vista +, в случае с Windows XP можно использовать команду "fixmbr").
- Восстановление MBR после перезагрузки, но до шифрования. Необходимо удалить оригинальный MBR из 34 секторов (0x4400 смещение на диске, размер 0x200) расшифровывать (xor 0x07) и записать в начало диска.
2. Полуавтоматический сценарий восстановления:
Эта проблема решается восстановлением MBR записи. Используем для этого утилиту «Boot-Repair».
Нужно загрузить ISO образ «Boot-repair»:
https://sourceforge.net/p/boot-repair-cd/home/Home/
Затем с помощью одной из указанных в инструкции утилит создаем Live-USB (в качестве примера Universal USB Installer). Загрузиться с созданной Live-USB и далее следовать инструкции по восстановлению MBR записи.
3. Автоматический сценарий восстановления данных:
- В том случае, если фейковый chkdsk Petya отработал по своему сценарию, то шансы на к восстановлению данных, в настоящее время, достаточно малы.
- В том случае, если питание компьютера отключено, то рекомендуем подключить HDD к другому (не впечатлен) PC и запустить R-Studio или GetDataBack.
Напоминаем, что при заражении системы с использованием ШПЗ «PSEXEC» в директориях Windows могут присутствовать следующие файлы:
«C: \ Windows \ perfc.dat»
«C: \ Windows \ dllhost.dat»
Также для остановки распространения данного вредоносного ПО необходимо заблокировать запуск ПО «PSEXEC.EXE» с помощью средств локальной или групповой политики безопасности на потенциально уязвимых машинах, а также, если возможно, заблокировать или выключить дистанционный доступ к WMI.
В ходе исследования и согласно информации от компетентных вирусных аналитиков было обнаружено особенность, позволяющая предотвратить заражение через PsExec и WMI. Для этого достаточно создать пустой файл "c: \ Windows \ Perfc".
Антивирусное программное обеспечение Microsoft проявляет и защищает от вируса Petya.A. Предварительный анализ показал, что вирус использует несколько методов для распространения, включая те, которые были задействованы в обновлении безопасности (MS17-010), ранее предоставленном для всех платформ от Windows XP к Windows 10.
На данный момент, Windows Defender, System Center Endpoint Protection и Forefront Endpoint Protection определили эти угрозы как Ransom: Win32 / Petya.
Убедитесь, что ваша установленная версия является одной из перечисленных или более поздней:
Установленная версия угрозы: 1.247.197.0
Версия создана в 12:04:25 PM: вторник, 27 июню 2017 (Тихоокеанское время)
Последнее обновление: 12:04:25 PM: Вторник, 27 Июнь 2017 (Тихоокеанское время)
Кроме того, бесплатный сканер безопасности Microsoft Safety Scanner https://www.microsoft.com/security/scanner/ разработан для обнаружения этой угрозы, а также для выявления многих других. Если вы используете антивирус не от корпорации Microsoft, пожалуйста, обратитесь к компании-провайдера, посоветовали в СБУ.