27 июня вирус-шифровальщик Petya A захватил информационные сети ряда крупных украинских компаний, банков, СМИ и государственных учреждений. Среди жертв вредоносного вируса оказались, в частности Кабинет Министров, Ощадбанк, «Новая почта», аэропорт «Борисполь» и даже сайты тех структур, которые должны с такими явлениями бороться, — Киберполиции и Госспецсвязи.
Realist собрал информацию о вирусе-вымогателе и рекомендации по борьбе с ним.
Что такое вирус Petya A?
По данным специалистов, основными целями вируса являются корпоративные пользователи, к которым вирус попадает с помощью спама, преимущественно направленного в кадровые отделы. Вирус заходит под видом письма от кандидата на вакантную должность, в котором предлагается перейти по ссылке на «резюме», однако при открытии воспроизводится не простой текстовый файл, а самораспаковывающийся архив с расширением .EXE. Также вирус может попасть в систему через сторонние ссылки, которые приходят на почту или в мессенджеры.
По данным СБУ, подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
После того как пользователь открывает файл, перед ним оказывается не документ с информацией об опыте работы кандидата или файл с другой интересующей информацией, а синий экран, что означает, что Petya A уже попал на ПК пользователя.
После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya.
Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи алгоритма шифрования и восстановить их невозможно, только если пользователь не внесет выкуп ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.
Чего нельзя делать ни в коем случае
— Ни в коем случае не платить вымогателям и ожидать подробных рекомендаций от специалистов. Пострадали от вируса не только в Украине, поэтому над его нейтрализацией усиленно работают эксперты нескольких стран.
— Не переходить по посторонним ссылкам неопределенного содержания.
— Не открывать посторонние файлы.
— Всегда помнить об общих правилах безопасности в интернете.
— Не стоит переходить на неизвестные сайты, даже если они обещают быть очень интересными. Вирусы чаще всего прячутся как раз под броскими вывесками.
Что делать, чтобы уберечься
— Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал — тоже не перезагружайте его).
Вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере, поэтому есть вероятность утери всех имеющихся на ПК данных.
— Сохраните все файлы, которые наиболее ценны на отдельном внешнем носителе, а в идеале — резервную копию вместе с операционной системой.
— Для распознования шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc. dat
В зависимости от версии ОС Windows установить соответствующий патч с ресурса: https://technet.microsoft.com/…/libr…/security/ms17−010.aspx
— Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение, которое функционирует должным образом и использует актуальные базы вирусных сигнатур.
При необходимости установить или обновить имеющееся антивирусное программное обеспечение.
— Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланы от неизвестных адресатов.
В случае получения письма с известного адреса, но которое вызывает подозрение относительно его содержания, связаться с отправителем и подтвердить факт отправки письма.
— Сделать резервные копии всех критически важных данных.
Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать сотрудников к работе с компьютерами, на которых не установлены указанные патчи, независимо от факта подключения к локальной или глобальной сети.
Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний и ждать дальнейших инструкций от уполномоченных структур и профильных специалистов.
По материалам Службы безопасности Украины