Госспецсвязи
ГОСУДАРСТВЕННЫЙ центр киберзащиты И ПРОТИВОДЕЙСТВИЯ киберугроз
CERT-UA

Рекомендации по защите компьютеров от кибератаки вируса-вымогателя

zaxustBig

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал - тоже не перезагружайте его) - вирус срабатывает при перезагрузке и зашифровывает все файлы, которые содержатся на компьютере.

2. Сохраните все файлы, которые наиболее ценны, отдельного не подключен к компьютеру носитель, а в идеале - резервную копию вместе с операционной системой.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C: \ Windows \ perfc.dat. Также для предупреждения шифрования нужно создать файл C: \ Windows \ perfc. Перед началом процесса шифрования вирус проверяет наличие файла perfc в папке C: \ Windows \, ​​если файл уже существует вирус завершает работу и не шифрует файлы.

4. В зависимости от версии ОС Windows установить патч с соответствующего ресурса.

5. Убедиться, что на всех компьютерных системах установлено антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения, следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. В случае получения письма с известной адреса, который вызывает подозрение относительно его содержания - связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.
Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлено указанные патчи, независимо от факта подключения к локальной или глобальной сети.

8. Когда пользователь видит "синий экран смерти", данные еще не зашифрованы, то есть вирус еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам «синий экран», перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытянуть свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного назад). И скопировать файлы.

9. Для предотвращения вредоносным ПО менять MBR (в котором в данном случае и записывалась программа-шифровальщик) рекомендуется установить одно из решений по запрету доступа к MBR.

10. На сетевом оборудовании и групповыми политиками заблокировать на системах и серверах порты 135, 445, 1024-1035 TCP.

11. Ограничить возможность запуска исполняемых файлов (* .exe) на компьютерах пользователей из директорий% TEMP%,% APPDATA%.

12. Обеспечить недопустимости открытия вложений в подозрительных сообщениях (в письмах от адресантов, по которым возникают, например: автор по неизвестным причинам изменил язык общения; тема письма является нетипичной для автора, то, как автор обращается к адресату, является нетипичным и тому подобное; а также в сообщениях с нестандартным текстом, побуждающих к переходу на подозрительные ссылки или к открытию подозрительных файлов - архивов, исполняемых файлов и т.д.).

13. Системным администраторам и администраторам безопасности обратить внимание на фильтруваннявхидних / исходящих информационных потоков, в частности почтового и веб-трафика.

14. Восстановить MBR запись.