За даними СБУ, шкідливе програмне забезпечення (далі — ШПЗ) Petya.A (вид ШПЗ «ransomware», «шифрувальник», «локер») потрапляє на ЕОМ під управлінням операційних систем Windows державних та комерційних структур, використовуючи вразливість MS17-010.
Консультація за темою:
Головне призначення ШПЗ цього виду — шифрування усіх файлів, що збережені на комп’ютері жертви. Після виконання власного програмного коду виводиться повідомлення про перетворення файлів з пропозицією оплатити ключ дешифрування для розблокування даних. Нині триває робота над можливістю дешифрування зашифрованих даних. Поки що зашифровані дані, на жаль, розшифрувати не можна. Тому СБУ наголошує — кошти, які вимагають здирники, не виплачуйте, оскільки оплата не гарантує відновлення доступу до зашифрованих даних.
Рекомендації СБУ:
- якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, — ні в якому разі не перезавантажуйте його (навіть якщо ПК вже постраждав). Вірус спрацьовує при перезавантаженні і зашифровує всі файли комп’ютера;
- збережіть найбільш цінні файли на окремий, не підключений до комп’ютера носій, а в ідеалі — створіть резервну копію разом з операційною системою.
- для зменшення ризику зараження, звертайте увагу на адресата електронної кореспонденції — не завантажуйте та не відкривайте додатки у листах, які надіслані з невідомих адрес. Якщо отримали лист з відомої адреси, який викликає підозру його вміст — зв’яжіться із відправником та підтвердіть факт відправки листа;
- коли бачите «синій екран смерті» — дані ще не зашифровані, тобто вірус ще не дістався до головної таблиці файлів. Якщо комп’ютер перезавантажується і запускає check Disk — негайно вимикайте його. На цьому етапі ви (самі або за допомогою сисадміна) можете витягнути свій жорсткий диск, підключити його до іншого комп’ютера (тільки не у якості завантажувального тому) і скопіювати файли.
Служба безпеки України наводить докладні рекомендації й для IT-фахівців.
Також СБУ зазначає, що існує можливість спробувати відновити доступ до заблокованого вірусом комп’ютера з ОС Windows.
ШПЗ вносить зміни до МBR запису — замість завантаження операційної системи користувач бачить вікно з текстом про шифрування файлів. Цю проблему можна вирішити, відновивши MBR запис. Для цього можна використати утиліту «Boot-Repair».
Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор. СБУ радить завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.
За інформацією Служби безпеки України
