Кіберполіція України підготувала звіт щодо вчорашньої вірусної атаки, від якої в першу чергу постраждала Україна. Згідно дослідження, вірусна атака виникла через уразливість в програмі для звітності та документообігу M.E.doc.

Як відбувається зараження

Зранку 27 червня програма M.E.Doc оновилась. Оновлення складало 333 Кб, після цього автоматично створюється тимчасовий файл, який запускається оновленням і інфікує систему.

Після цього користувач побачить таке повідомлення на екрані з вимогою заплатити автору віруса за розшифровку даних.

Далі вірус розповсюджувався, використовуючи вразливість у протоколі SMB. Ця ж вразливість вже використовувалась під час атак вірусу WannaCry. Про неї було відомо ще в березні цього року, після чого оперативно було випущено оновлення. Ті компанії, що вчасно встановили його, є невразливими до нового вірусу.

Для тих, хто оновився, або користується Mac, пропонуємо підбірку, як українці реагують на вірусну атаку.

Що робити?

Якщо комп’ютер заражений, то на даний момент немає жодних відомих методів розшифрування файлів. Кіберполіція працює над створенням декриптора (програми, що зможе розшифрувати дані).

На даний момент головна порада, які дає Кіберполіція: це тимчасово не застосовувати оновлення, які пропонує програмне забезпечення «M.E.doc.» при запуску. Як стало відомо, сьогодні з’вилась нова версія вірусу, що має схожий код і діє схожими методами.

Також треба відключити протокол SMBv1, як це радить зробити Microsoft.

Окрім того, корисним буде заблокувати на мережевому обладнанні або у настройках файєрволу порти 137, 138, 139 та 445, які використовуються вірусом для розповсюдження у локальних мережах.

Поради щодо безпеки

1

Встановлюйте останню версію операційної системи і оновлюйте засоби безпеки.

2

Користуйтесь надійними антивірусами зі свіжими антивірусними базами.

3

На випадок проблем налаштуйте систему відновлення і автоматичних рехервних копій. Для цього використовуйте автоматичне копіювання у хмарних сховищах (ми вже писали, як вибрати найкраще серед них), окрім цього використовуйте переносний жорсткий диск, куди час від часу копіюйте важливі для вас файли.

4

Не довіряйте дивним посиланням, які приходять вам до соцмереж або у месенджери. Особливо якщо це просто повідомлення з посиланням без додаткового тексту. Час від часу зловмисники можуть використовувати ваш номер телефону або ім’я чи прізвище, додаючи його до посилання, щоб здавалось, що воно стосується вас.

5

Завжди тримайте увімкненою функцію «показувати розширення файлів» у Windows. Найімовірнішими типами файлів, де можуть бути віруси, є exe, vbs та scr.

6

Якщо ви помітили дивну активність на комп’ютері, негайно відключіть інтернет і wi-fi, щоб запобігти зараженню.

Порада від Symantec

Антивірусна компанія стверджує, що знайшла простий метод, щоб уникнути зараження. Це має допомогти проти Petya.A та вірусу Misha, що діє схожим чином.

Для того щоб зупинити поширення вірусу на своєму комп’ютері, користувач повинен створити порожній файл з назвою perfc з параметром «тільки для читання» в папці C:\Windows.

Експерти ряду інших компаній підтверджують, що метод працює. Вакцина дозволяє зберегти від вірусу тільки індивідуальні комп’ютери. При цьому вони можуть залишатись носієм вірусу і заражати інші машини в своїй мережі.

Коменти