Как победить вирус Petya

Как защититься от вируса Petya, парализовавшего целые города?

Одним из главных событий этой недели уже стала новая вирусная атака на Россию и Украину. Совершенно неожиданно начали появляться сообщения о заражении компьютеров самых разных предприятий. Сейчас количество пострадавших компаний исчисляется десятками, сотнями или даже тысячами. В данной статье мы написали инструкцию, как защитить себя от этого вируса и что нужно делать в случае заражения.

В России о заражении сообщили «Башнефть», «Роснефть» и «Рязанская нефтеперерабатывающая компания». На Украине атаке были подвержены крупные энергокомпании, банки, мобильные операторы, почтовые компании, большие магазины, такие как «Ашан», «Эпицентр» и METRO, и даже аэропорт «Борисполь». Многие магазины были вынуждены остановить свою работу, люди не могут снять деньги в банкоматах, а в киевском метро нельзя оплатить проезд банковской картой или смартфоном.

Вирус Petya опасен исключительно для компьютеров под управлением Windows. При этом есть информация, что даже установка самых последних обновлений системы и безопасности не спасает от него. Кроме того, наличие антивируса также не гарантирует вам безопасность. Но защититься от этого вируса всё же можно, и это не составит особого труда: достаточно закрыть на компьютере определённые TCP-порты. Мы подготовили подробные инструкции для пользователей Windows 7 и Windows 10.

Как защититься от вируса Petya на Windows 7:

• зайдите в «Пуск» → «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом» → «Брандмауэр Windows»;

• в открывшемся окне выберите пункт «Дополнительные параметры»;

• в левой панели выберите «Правила для входящих подключений», а затем в правой нажмите «Создать правило»;

• выберите «Для порта» и нажмите «Далее»;
• в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;
• нажмите «Далее»;

• в следующем окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

• примените правило для всех профилей и закончите процедуру;
• аналогичную процедуру необходимо выполнить для «Правила для исходящих подключений».

Как защититься от вируса Petya на Windows 10:

• через встроенный поиск Windows введите «брандмауэр» и запустите соответствующую службу;

• в левой панели выберите «Правила для входящих подключений»;

• затем в правой панели нажмите «Создать правило»;

• в открывшемся окне выберите «Для порта» и нажмите «Далее»;

• в следующем окне выберите «Протокол TCP» и «Определённые локальные порты», а затем укажите в поле следующие порты: 1024-1035, 135 и 445;

• в новом окне выберите «Блокировать подключение» и снова нажмите кнопку «Далее»;

• примените правило для всех профилей и нажмите «Далее»;
• в последнем окне вам нужно указать любое имя для правила и нажать «Готово»;

• повторите всю процедуру для «Правила для исходящих подключений».

Если вы всё же «поймали» вирус Petya, то необходимо сразу же отключить все остальные компьютеры от сети, а заражённую машину выключить любым способом. Затем необходимо загрузиться с помощью LiveCD любого Linux-дистрибутива или извлечь жёсткий диск/SSD-накопитель и подключить его к другому компьютеру для переноса всех важных данных.

Вирус Petya: все, что вам нужно знать об этом вирусе

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже – зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор “Петя” или, как его еще называют, “Petya”. Темпы распространения данный угрозы очень впечатляют: за пару дней он смог “побывать” в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно вирус Wanna Cry.

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя “Петя”. В этой статье я расскажу вам о том, что это за вирус “Petya”, как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус “Petya”?

Для начала нам стоит понять, чем же является Petya. Вирус Петя – это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов – он практически мгновенно “отбирает” у вас весь жесткий диск целиком.

Правильное название нового вируса – Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса “Petya”

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table – главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск – это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо “файл” на вашем ПК. Если быть еще точнее, то после “работы” Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время – он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп – 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт (“дыра”) в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который “закрывает” эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель “Пети” смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

• Самое главное и основное – возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
• Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
• Активируйте опцию “Показывать расширения файлов” в настройках ОС – так вы всегда сможете увидеть истинное расширение файлов.
• Включите “Контроль учетных записей пользователя” в настройках Windows.
• Необходимо установить один из лучших антивирусов, чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус – и вы уже будете в гораздо большей безопасности, чем раньше.
• Обязательно делайте “бэкапы” – сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные – вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
• Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
• Установите бесплатную утилиту Kaspersky Anti-Ransomware. Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл – просканируйте ваш диск одной из утилит для удаления вредоносного ПО или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус Wanna Cry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя – прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными – то у вас есть несколько путей.

• Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
• Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom.
• Форматирование диска и установка операционной системы. Минус – все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как “Башнефть” и “Роснефть”. Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся – “а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить – нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac – можете спать спокойно, вам ничего не угрожает.

Вирус Petya: как защититься

Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — нанесение массового ущерба.

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

• Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
• Откройте папку C:Windows, прокрутите вниз, пока не увидите программу notepad.exe.
• Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
• Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
• После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
• Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
• Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
• Теперь нажмите кнопку «Применить», а затем кнопку «ОК».

Некоторые эксперты по безопасности предлагают помимо файла C: windows perfc создать файлы C: Windows perfc.dat и C: Windows perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.

1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы.
3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.

Как разблокировать зараженный вирусом Petya (Петя) компьютер

В США начато расследование по поводу вчерашней атаки вируса-вымогателя Petya (Петя). По последним данным, он заразил около 300 тысяч компьютеров в России и Украине , также известны отдельные случаи заражения устройств в Польше , Италии , Великобритании , Германии , Франции и США, сообщает Reuters.

Основными жертвами вируса стали крупные фирмы и компании — например, ” Роснефть “, “Nivea”, Приват банк, и даже Киевский метрополитен.

– По имеющимся у нас данным на текущий момент, данный шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода, – комментирует Вячеслав Закоржевский, руководитель отдела антивирусных исследований “Лаборатории Касперского “. – В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. Мы назвали его ExPetr.

В компании рекомендуют всем пользователям Windows установить все обновления для операционной системы и позаботиться о резервном копировании файлов.

– В большинстве случаев продукты «Лаборатории Касперского» успешно блокировали начальный вектор атаки данного шифровальщика, – продолжает Вячеслав Закоржевский. – Сейчас мы работаем над детектированием возможных будущих модификаций этого вымогателя. Также наши эксперты изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

Если же ваш компьютер уже оказался заражен вирусом Petya, платить требуемый выкуп в 300 биткоинов бессмысленно, предупреждают специалисты. Электронные адреса, на которые хакеры предлагают сообщать об уплате выкупа, уже заблокированы — так что вы не сможете получить ключ-дешифратор. Поэтому для начала надо попробовать запустить компьютер в безопасном режиме и откатить систему назад, ко времени до скачивания Petya. Далее нужно запустить антивирус и обновить его вирусные базы.

Что делать, если ваш компьютер заражен вирусом Petya:

Если вы пользуетесь продуктами “Лаборатории Касперского”:

– Необходимо убедиться, что защитное решение включено и использует актуальные вирусные базы;

– Удостоверьтесь, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher);

– В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals.

Если вы не пользуетесь продуктами “Лаборатории Касперского”:

– Запретите исполнение файла с названием perfc.dat;

– Заблокируйте запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС Windows.

ЧИТАЙТЕ ТАКЖЕ

Как защитить компьютер от вируса Petya (Петя): найден простой способ обмануть вымогателя

Компания по разработке програмного обеспечения Symantec нашла простой способ защитить компьютер от вируса вымогателя Petya (Петя). Специалисты рекомендуют сделать вид, что устройство уже заражено (подробности)

Новый вирус-вымогатель Petya маскируется под резюме кадровикам

Во вторник, 27 июня, крупнейшие компании России и Украины подверглись атаке вируса-вымогателя Petya. В числе пострадавших оказались компьютеры “Роснефти”, ” Башнефти “, Ощадбанка и Приват банка, а также Nivea, Mars и других (подробности)

Читайте также

Программист, прославившийся тапками в виде рыб, создал обувь с чипом для Илона Маска

Виталий Сотников уверен, что его ноу-хау придется по вкусу американскому миллиардеру и изобретателю [фото, видео]

Лучшие видеокамеры 2020

Видеокамеры — это нишевый продукт. Но если же вы все-таки решили приобрести ее, мы поможем разобраться с выбором лучшего устройства в 2020 году

Лучшие эхолоты для рыбалки 2020

Какая современная рыбалка без эхолота? Рассказываем, на какие лучшие модели стоит обратить внимание в 2020 году

Одноклассники разрешили подключаться к звонку по приглашению без авторизации в соцсети

Во время пандемии количество звонков в ОК выросло на 39%

К юбилею «Комсомолки» в Viber появился тематический стикерпак

В честь своего дня рождения “Комсомольская правда” дарит пользователям набор праздничных стикеров.

ВКонтакте поможет школьникам отпраздновать «Последний звонок» онлайн

В этом году торжественная линейка и праздник по случаю окончания школы пройдут в новом формате

Лучшие велокомпьютеры 2020

Для заядлого велосипедиста велокомпьютер – полезный гаджет, который расскажет много о прогулке или тренировке. О том, как подобрать лучшее устройства для себя, – в рейтинге КП

Как защитить квартиру от воров

Современные средства безопасности шагнули далеко вперед, но важно их правильно использовать. «Комсомолка» вместе с экспертом рассказывает, как защитить квартиру от воров

Завершился крупнейший фестиваль года VK Fest — трансляции посмотрели 280 миллионов раз

А в ходе акции, проходившей в дни фестиваля, было собрано 2 миллиона рублей на благотворительность

Парогенераторы: топ-10 по версии КП

Мы изучили предложения на рынке и рассказываем, на что обратить внимание при выборе отпаривателя

Игровые мыши: топ-10 по версии КП

Мы составили рейтинг моделей и рассказали про их плюсы и минусы

Газовые горелки: топ-10

Мы составили рейтинг из лучших моделей

Возрастная категория сайта 18+

Информационный портал по безопасности

Как победить вирус Petya

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelez International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

На данный момент число транзакций увеличилось до 45.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:Windows (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:Windows, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

Все, что нужно знать о вирусе Petya, и как с ним бороться

А все почему? Потому что люди ленятся обновлять Windows и открывают что попало в почте

Что такое Petya? Во вторник, 27 июня, компьютерный вирус, направленный на Windows-системы, парализовал работу многих учреждений в Украине, включая банки, государственные предприятия и частные компании. Считается, что это модификация вируса Petya, который свирепствовал еще в 2016 году.

По другим данным, это модификация вируса WannaCry, заразившего более 100 тыс. компьютеров в мае 2017 года.

Что делает вирус Petya

По этому вопросу тоже нет единого мнения.

Вирус Petya блокирует компьютер, шифрует данные и требует перевести $300 на bitcoin-кошелек. После получения выкупа хакеры обещают выслать ключ для раскодирования информации.

Однако появляются версии, что вирус стирает информацию, а не шифрует ее. Так что выкуп платить бесполезно.

Как вылечить вирус Petya

На ранней стадии – когда компьютер заразился, но еще до момента шифрования/стирания – можно попробовать воспользоваться антивирусным утилитами, которые загружаются с флешки. Например, утилитой Cureit от Dr.Web. Правда проблема в том, что сайт Dr.Web закрыт для доступа из Украины в связи с указом Президента о блокировании российских ресурсов.

Если же вирус успел порезвиться у вас на ПК, то с данными, вероятно, можно попрощаться.

Как защититься от вируса Petya

Если вы еще не заражены, тогда для защиты от вируса Petya рекомендуется сделать три шага.

1. Обновите Windows. Вирус эксплуатирует уязвимость систем Windows. Патч, закрывающий эту уязвимость (MS17-010), был выпущен еще в марте 2017 года, но кто же устанавливает эти скучные обновления, правда? Просто запустите «Центр обновления Windows». В Windows 7 он находится в «Панели управления», в Windows 10 – в меню «Параметры».

Или можно просто загрузить патч вручную с сайта Microsoft. Но устанавливать регулярные обновления Windows все равно нужно.

2. Замаскировать свой ПК под уже зараженный, и тогда вирус обойдет вас стороной. Для этого нужно создать файл perfc.dat или просто perfc с правами «только для чтения» и скопировать его в корневую папку Windows (путь C:Windows).

Как это сделать? Откройте «Блокнот», ничего там не пишите, а просто сохраните файл с именем perfc куда-нибудь на диск. Затем найдите этот файл (он называется perfc.txt) в «Проводнике», удалите расширение txt либо измените его на dat – получится perfc.dat, кликните на него правой кнопкой мыши и поставьте галочку «Только для чтения». Скопируйте полученный файл в папку Windows на диске С.

3. Закрыть порты TCP 1024-1035, 135, 139 и 445. Сделать это не так сложно. В Windows 7 нажмите Пуск и в командной строке напишите cmd, затем нажмите Enter.

Откроется консоль. В нее скопируйте первою строку команд и нажмите Enter, затем вторую и тоже нажмите Enter:

netsh advfirewall firewall add rule name=”Petya TCP” dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name=”Petya UDP” dir=in action=block protocol=UDP localport=1024-1035,135,139,445

В Windows 10 нажмите правой кнопкой мыши на кнопке Пуск и выберите запуск командной строки с правами администратора. Затем скопируйте команды, как написано выше.

В результате TCP-порты будут закрыты. При этом сетевые папки на вашем ПК будут недоступны для чтения. Это значит, если вы «расшаривали» какую-то папку на своем компьютере для общего доступа, скажем, в рабочей сети, то больше ее никто из коллег не увидит .

Позднее, когда эпидемия уляжется, можно будет отменить эти действия следующими командами:

netsh advfirewall firewall del rule name=”Petya TCP”
netsh advfirewall firewall del rule name=”Petya UDP”

Если этот путь показался вам сложным, здесь вы найдете второй вариант.

Если вам совсем страшно жить, можно временно перейти под Linux. Как запустить Linux с флешки (без установки на ПК), читайте в этом обзоре.

Как распространяется вирус Petya

Здесь как с зомби-апокалипсисом – источник уже не важен. Кто-то где-то открыл в почте прикрепленный файл от неизвестного лица, заразил свой ПК, а тот в свою очередь, используя уязвимость в Windows, заразил другие компьютеры в этой сети.

А все почему? Потому что люди ленятся обновлять Windows (отсюда возможность для вируса заражать ПК по сети), а кликать на вложения от неизвестных источников – это без проблем.

По данным нашей Киберполиции, разносчиком вируса в Украине стала система сдачи отчетности в налоговую «М.E.Doc». Последние вину отрицают.

Так что обновляйте систему и не клацайте на непонятные вложения.