XP1971 ®
Только чтение
Стаж: 14 лет
Сообщений: 633
Ratio: 187.35
Поблагодарили: 4171
100%
|
Инструкция пострадавшим от Trojan.Encoder.12544 28 июня 2017 года
Троянец Trojan.Encoder.12544 распространяется с помощью уязвимости в протоколе SMB v1 - MS17-010 (CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148), которая была реализована через эксплойт NSA "ETERNAL_BLUE", использует 139 и 445 TCP-порты для распространения. Это уязвимость класса Remote code execution, что означает возможность заражения компьютера удалeнно.
Чтобы восстановить возможность входа в операционную систему, необходимо восстановить MBR (в том числе стандартными средствами консоли восстановления Windows, запуском утилиты bootrec.exe /FixMbr).
Также для этого можно использовать Dr.Web LiveDisk — создайте загрузочный диск или флешку, выполните загрузку с этого съемного устройства, запустите сканер Dr.Web, выполните проверку пострадавшего диска, найденное Обезвредить. После этого: отключите ПК от ЛВС, выполните запуск системы, установите патч MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
Windows XP SP3:
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-rus_84397f9eeea668b975c0c2cf9aaf0e2312f50077.exe
Windows Server 2003 x86:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-rus_62e38676306f9df089edaeec8924a6fdb68ec294.exe
Windows Server 2003 x64:
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-rus_6efd5e111cbfe2f9e10651354c0118517cee4c5e.exe
Троянец заменяет MBR (главная загрузочная запись диска) и создает, а затем и выполняет задание в планировщике системы на перезагрузку системы, после которой загрузка ОС уже невозможна из-за подмены загрузочного сектора диска. Сразу после создания задания на перезагрузку запускается процесс шифрования файлов. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования диска. Он шифруется на открытом ключе RSA и удаляется. После перезагрузки, при успешной подмене MBR, также шифруется главная файловая таблица MFT, в которой хранится информация о содержимом диска. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно.
В настоящий момент расшифровки файлов нет, ведется анализ и поиск решений. «Доктор Веб». Найден способ защитить компьютер от нового опасного вирусаСпециалисты компании Symantec опубликовали в блоге компании в Twitter инструкцию, которая может помочь против заражения компьютера новым вирусом-вымогателем Petya, который начал распространения в минувший вторник, 27 июня.
По их словам, при инфицировании компьютера вредоносная программа ищет файл, расположенный по адресу C:\Windows\perfc. Если такой файл существует, вирус прекращает работу.
Чтобы защитить компьютер, пользователю необходимо вручную создать файл perfc (без расширения) в папке Windows на системном диске (C. В некоторых случаях этого сделать не получится без прав администратора - тогда достаточно создать такой файл в любом другом месте диска, а затем скопировать его в папку Windows, подтвердив свое действие.
Кроме того, как утверждают в Microsoft, антивирусное ПО компании способно защитить пользователей от нового вируса. Пресс-секретарь Microsoft в России Кристина Давыдова рассказала "РИА Новости", что вымогатель использует несколько способов распространения, включая тот, который использовал нашумевший в мае вирус WannaCry.
Стоит отметить, что операционная Windows 10 со всеми установленными обновлениями не подвержена заражению.
Вирус-вымогатель Petya атаковал несколько десятков тысяч компьютеров по всему миру, включая Россию, Украину и другие страны. Многие атакованные машины установлены в крупных компаниях и государственных организациях.
|
|
|