Информационное письмо о вредоносном программном обеспечении

Уважаемые пользователи системы электронной почты, далее (СЭП) Информационно-вычислительной сети Правительства Республики Бурятия, далее (ИВС Правительства РБ).

В сети интернет появились новые версии вирусов семейства Trojan.Encoder, Trojan-Ransom, PDM:Trojan которые, реализуют процедуры шифрования файлов с последующим требованием выкупа для их дешифровки.

Методы заражения, лечения и расшифровки у всех примерно одинаковы:

- заражение происходит через уязвимости в операционной системе семейства Microsoft Windows (далее - ОС);

- заражение происходит через спам-письмо в электронной почте при открытии вложенных файлов или ссылок на интернет ресурс;

- вирус распознается и удаляется антивирусом Касперского со свежими обновленными базами;

- файлы расшифровываются дешифратором, путем подбора паролей-ключей к используемым видам шифрования (в настоящее время нет дешифратора, который способен расшифровать зараженные файлы).

Зашифрованными могут оказаться различные типы файлов, например такие как: *.xls, *.xlsx, *.doc, *.docx, *.pdf, *.jpg, *.rar и т.д.), поэтому необходимо регулярно производитьрезервное копирование информации.

Спам-письмо может прийти на любой почтовый ящик (СЭП ИВС Правительства РБ,Mail.ru, Yandex.ru, Yahoo.com. Gmail.com и т.д.).

В случае получения подобных сообщений необходимо:

- не открывать вложенные файлы.

- не проходить по ссылкам.

- отправить сообщение в СПАМ.

В целях предотвращения заражения необходимо (на постоянной основе):

- использовать лицензионное программное обеспечение и лицензионные антивирусные средства защиты.

- поддерживать в актуальном состоянии базы данных антивирусного программного обеспечения.

- своевременно производить обновления ОС.

В случае выявления заражения средств вычислительной техники (далее СВТ) необходимо:

- незамедлительно отключить СВТ от сети ИВС Правительства РБ, сети Интернет.

- не выключать СВТ от сети питания (из розетки).

- сообщить об инциденте в отдел технического сопровождения Центра обработки данных по телефонам: 8(3012) 21-44-51, 8(3012) 21-27-00.

Не все антивирусные компании способны расшифровать зашифрованные файлы, так как за частую используются устойчивые методы и алгоритмы шифрования.

Если Вы столкнулись с данной ситуацией на домашнем компьютере, необходимо обратиться в техническую поддержку антивирусной программы (необходимо наличие лицензионного антивирусного программного обеспечения, номера лицензии), описать проблему и следовать дальнейшим рекомендациям специалистов компании.

Пользователям на домашних компьютерах советуем использовать лицензионное системное программное обеспечение (устанавливать обновления безопасности и патчи), лицензионное антивирусное программное обеспечение (проверять актуальность антивирусных баз, последнюю дату обновления). Рекомендуемые к использованию антивирусные средства защиты: антивирус Касперского, антивирус DrWeb.

Категорически запрещается:

Связываться со злоумышленниками и осуществлять оплату услуги по дешифрованию Вашей информации.

В более чем 50% случаев после «оплаты» Вы не получите НИЧЕГО.

В дополнение прилагаем методические рекомендации по противодействию вредоносного программного обеспечения.

 

Приложение к письму

 

 

Методические рекомендации по противодействию вредоносного программного обеспечения WannaCry

 

Рекомендации по противодействию в информационных системах, подключенных к сети общего пользования Интернет

 

1.     Установить для открытых информационных систем, имеющих подключение к сети Интернет, обновление безопасности для Windows KB4013389 от 14 марта 2017 года.

2.    Заблокировать входящий трафик на межсетевом экране, компьютере, сервере по портам SMB (139 и 445).

3.    Установить актуальные обновления баз данных компьютерных вирусов к антивирусным средствам и осуществить полную проверку средства вычислительной техники.

4.    Для минимизации ущерба (предотвращения шифрования в случае заражения), выполнить резервное копирование чувствительных файлов в форматах: .der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

 

Рекомендации при наличии подозрения на зараженность вредоносного программного обеспечения WannaCry

 

Перед началом работы на средстве вычислительной техники.

1.​ Загрузить средство вычислительной техники (далее – СВТ) с использованием загрузочного диска (Live-CD, Live-USB), размещенного на официальных сайтах производителей антивирусных средств (далее - АВС), например, АО «Лаборатория Касперского», ООО «Доктор Веб».

2.​ Обновить базы данных компьютерных вирусов (далее – БДКВ) АВС с использованием функциональных возможностей Live-CD (описание порядка действий приведено на диске).

3.​ Внести изменения в настройки АВС (установить режим – информирование о зараженных объектах).

4.​ Провести полную проверку жестких дисков.

5.​ При выявлении фактов заражения носителей информации ВПО таких как:

1) Trojan-Ransom.Win32.Scatter.uf

2) Trojan-Ransom.Win32.Fury.fr

3) PDM:Trojan.Win32.Generic

4) Trojan-Ransom.Win32.Zapchast.i

5) Trojan-Ransom.Win32.Wanna.c

6) Trojan-Ransom.Win32.Wanna.b

7) Trojan-Ransom.Win32.Agent.aapw

8) Troyan.Encoder.11432

необходимо скопировать на внешний носитель информации все зашифрованные файлы с расширением «.WCRY». (Для расшифровки информации в файлах, после возможного выхода утилиты дешифрования).

Все незашифрованные файлы (при их наличии) с пользовательской информацией следующих расширений:

.der, .pfx, .key, .crt, .csr, .p12, .pem, .odt, .sxw, .stw, .3ds, .max, .3dm, .ods, .sxc, .stc, .dif, .slk, .wb2, .odp, .sxd, .std, .sxm, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .mdf, .ldf, .cpp, .pas, .asm, .cmd, .bat, .vbs, .sch, .jsp, .php, .asp, .java, .jar, .class, .mp3, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mp4, .mkv, .flv, .wma, .mid, .m3u, .m4u, .svg, .psd, .tiff, .tif, .raw, .gif, .png, .bmp, .jpg, .jpeg, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .ARC, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .dwg, .pdf, .wk1, .wks, .rtf, .csv, .txt, .msg, .pst, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotm, .dot, .docm, .docx, .doc

с жесткого диска СВТ скопировать на другой внешний носитель информации.

6.​ В случае, если ВПО осуществило шифрование критически важной для пользователя информации, необходимо извлечь жесткий диск из СВТ, на случай выхода утилиты дешифрования, использующей в своей работе алгоритмы, применяемые в самом ВПО WannaCry, для последующего восстановления информации.

7.​ В случае выхода утилиты дешифрования, использующей в своей работе алгоритмы, применяемые в ВПО WannaCry, перед загрузкой зараженной операционной системы, необходимо в BIOSе установить дату и время, соответствующие (максимально приближенные) времени заражения.

8.​ Дешифровку файлов осуществлять в соответствии с инструкцией по использованию утилиты.

Примечание.

Исходя из принципов функционирования ВПО WannaCry (оригинальный файл удаляется после его шифрования), существует вероятность восстановления удаленных файлов специальным программным обеспечением типа R-Studio.

 

С уважением, Шварцкопф Сергей Эдуардович

 

Ведуший инженер отдела технического сопровождения ЦОД ГКУ ХТК

«Администрации Главы Республики Бурятия и Правительства Республики Бурятия»

 

E-mail: sse@govrb.ru

Тел.: 8(3012) 21-44-51; Тел.\факс: 8(3012) 21-27-00.

Термин: 

Яндекс.Метрика