27 июня 2017 года виртуальный мир потрясла новая вирусная атака. Не успели мы оправиться от вируса WannaCry, как на арену вышел вирус-вымогатель Petya.
Расскажем что это за зверь такой и как от него защититься?
С чего все началось?
Днем 27 июня Petya поразил свыше 90 организаций сначала на Украине, затем и в России. Чуть позже Индия и некоторые страны Европы также сообщили об атаках на свои организации.
Как он работает?
Принцип работы вируса довольно прост: он блокирует доступ к данным и требует 300 долларов в криптовалюте Bitcoin за разблокировку. Восстановить данные самостоятельно на текущий момент невозможно.
Petya распространяется через спам-письмо. Сообщается, что первые версии Petya маскировались под резюме. Когда пользователь открывал зараженное письмо, на экране появлялась Windows-программа, требовавшая прав администратора.
Если пользователь по невнимательности нажимал "Да", то вирус внедрялся в загрузочную область жесткого диска и выдавал "синий экран смерти", требующий перезагрузки компьютера.
На этом этапе жесткий диск еще не зашифрован и данные можно спасти, выключив компьютер и подключив жесткий диск к другому компьютеру, чтобы скопировать информацию без потери.
После перезагрузки Petya автоматически запускает программу, маскирующуюся под утилиту CHKDSK, которая, впрочем, не проверяет жесткий диск на предмет ошибок, а шифрует его.
После шифрования компьютер показывает черный экран с сообщением о том, что пользователь стал жертвой вируса-вымогателя Petya и предложение заплатить 300$ в биткоинах за разблокировку.
Как защититься?
Мы нашли в Интернете несколько несколько инструкций по защите от "Пети".
Инструкция №1:
Указывается, что инструкция актуальна для Windows 10, однако пользователи отмечают, что эти операции можно сделать и в Windows 7 и в Windows 8 и 8.1
Инструкция №2
Если обмануть «вирус Петя», и сделать вид, что компьютер уже заражен, есть шанс спасти свой пк от угрозы.
В момент атаки вирус ищет на компьютере файл C:\Windows\perfc. Если такой файл на компьютере уже будет размещен ранее, то вирус заканчивает работу без заражения.
Чтобы создать этот файл, нужно использовать обычную программу «Блокнот». В разных источниках советуют создавать либо файл perfc (без расширения), либо perfc.dll.
Также такой файл советуют сделать доступным только для чтения. Это нужно для того, чтобы вирус Петя не мог внести в него никаких изменений.
Инструкция №3
Совет от редактора статьи:
Пока еще не поздно, сделайте резервные копии важных файлов. Это можно сделать как на внешний жесткий диск, так и в "облако". Сейчас бесплатных облачных сервисов в Интернете очень много (Яндекс.Диск, Google Drive, Dropbox - самые известные).
Что делать, если компьютер уже заражен?
Не поддаваться панике и уж тем более не вздумать платить вымогателям.
Варианта здесь всего два плюс один:
1. Прервать атаку
Если вы подозреваете, что стали жертвой атаки, у вас после открытия спам-письма или запуска подозрительной программы выскочил "синий экран", компьютер перезагрузился и запустилась программа проверки дисков - срочно выключайте компьютер. У вас еще есть шанс спасти данные.
Нужно подключить ваш жесткий диск к другому компьютеру и скопировать данные на него.
2. Форматировать диск с потерей всех данных
К сожалению, если атака прошла и все файлы были зашифрованы, то это единственный верный вариант.
2+1. Ждать решения от производителей антивирусов
Почему этот вариант под номером два плюс один?
Дело в том, что производители антивирусов могут годами разрабатывать "противоядие" от вирусов-шифровальщиков. Увы, но вероятность успешного подбора критоключа очень низкая. Поэтому если ваши данные настолько ценные, что вы готовы подождать пару лет, то стоит положить ваш жесткий диск на полку и ждать решения. В противном случае воспользоваться вариантом №2.
А может заплатить вымогателям?
Если вы вдруг решите все-таки заплатить вымогателям, то знайте:
1) Каждая успешная оплата вдохновляет хакеров на написание новых вирусов. Ведь основная цель именно нажива.
2) Специалисты по информационной безопасности отмечают, что те пользователи, которые заплатили, получали ключ разблокировки, который лишь частично разблокировал файлы. За вторую часть просили еще столько же денег. Еще раз - им нужны только деньги.
3) По некоторой информации их почтовый адрес уже заблокирован, поэтому вы просто не сможете связаться с ними.
Советуем не рассматривать вариант оплаты вымогателям в принципе.
Что успел натворить вирус?
На Украине была поражена правительственная сеть, в России - компании "Роснефть", Mars, Nivea и другие. В Кремле заявили, что их вирус не затронул. Между тем Киев возложил ответственность за атаку на российские спецслужбы, назвав происходящее элементом гибридной войны.
По данным агентства "112.Украина" на Украине среди прочих атаке подверглись банки "Ощадбанк", "Пивденный", ОТП, "Приватбанк"; аэропорт Борисполь, "Укрпочта", Киевский метрополитен, "Новая почта", "Укрэнерго", "Киевэнерго", сеть заправок ТНК, канал ATR, "Киевводоканал", официальный сайт правительства, ГП "Антонов", ГП "Документ".
В России из-за вируса-вымогателя «Петя» нарушена работа туроператоров. Нет доступа на заблокированные сервисы, в том числе, на сайты бронирования.
«1 канал» сообщает, что во Франции сеть крупных супермаркетов пострадала от вируса «Петя», поэтому могут возникнуть проблемы с поставками товаров.
Из-за «Пети» вышла из строя система управления грузопотоком в морском порту Мумбаи (Индия) – все теперь делается вручную.
Аналогичные проблемы вирус Petya создал в аэропорту Харькова. Там пассажиров также регистрируют вручную.
По данным "Лаборатории Касперского", шифровальщик использует поддельную электронную подпись Microsoft. Технология электронной подписи кода используется для того, чтобы показать пользователям, что программа разработана доверенным автором и гарантирует, что не нанесет вреда. В "Лаборатории Касперского" полагают, что вирус был создан 18 июня 2017 года.
Для прекращения распространения вируса в Group-IB рекомендуют немедленно закрыть TCP-порты 1024-1035, 135 и 445.
