Петя а вирус дешифратор

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

На данный момент число транзакций увеличилось до 45.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

Несколько месяцев назад и мы и другие IT Security специалисты обнаружили новый вредонос – Petya (Win32.Trojan-Ransom.Petya.A). В классическом понимании он не был шифровальщиком, вирус просто блокировал доступ к определенным типам файлов и требовал выкуп. Вирус модифицировал загрузочную запись на жестком диске, принудительно перезагружал ПК и показывал сообщение о том что “данные зашифрованы – гоните ваши деньги за расшифровку”. В общем стандартная схема вирусов-шифровальщиков за исключением того что файлы фактически НЕ зашифровывались. Большинство популярных антивирусов начали идентифицировать и удалять Win32.Trojan-Ransom.Petya.A через несколько недель после его появления. Кроме того появились инструкции по ручному удалению. Почему мы считаем что Petya не классический шифровальщик? Этот вирус вносит изменения в в Master Boot Record и препятствует загрузке ОС, а также шифрует Master File Table (главную таблицу файлов). Он не шифрует сами файлы.

Вредонос Petya. Экран с предупреждением

Однако несколько недель тому назад появился более изощренный вирус Mischa, судя по всему написанный теми же мошенниками. Этот вирус ШИФРУЕТ файлы и требует заплатить за расшифровку 500 – 875$ (в разных версиях 1.5 – 1.8 биткоина). Инструкции по “расшифровке” и оплате за нее хранятся в файлах YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT.

Вирус Mischa – содержимое файла YOUR_FILES_ARE_ENCRYPTED.HTML

Сейчас фактически хакеры заражают компьютеры пользователей двумя вредоносами: Petya и Mischa. Первому нужны права администратора в системе. То есть если пользователь отказывается выдать Petya админские права либо же удалил этот зловред вручную – в дело включается Mischa. Этому вирусу не нужны права администратора, он является классическим шифровальщиком и действительно шифрует файлы по стойкому алгоритму AES и не внося никаких изменений в Master Boot Record и таблицу файлов на винчестере жертвы.

Реклама “пакета” вредоносов Mischa и Petya на одном из хакерских форумов

Заражение происходит преимущественно через электронную почту, куда приходит письмо с вложенным файлом – инсталятором вируса. Оно может быть зашифровано под письмо с Налоговой, от Вашего бухгалтера, как вложенные квитанции и чеки о покупках и.т.д. Обращайте внимание на расширения файлов в таких письмах – если это исполнительный файл (.exe), то с большой вероятностью он может быть контейнером с вирусом Petya \ Mischa. И если модификация зловреда свежая – Ваш антивирус может и не отреагировать.

Обновление 30.06.2017: 27 июня модифицированный вариант вируса Petya (Petya.A) массово атаковал пользователей в Украине. Эффект от данной атаки был колоссален и экономический ущерб пока не подсчитан. За один день была парализована работа десятков банков, торговых сетей, государственных учреждений и предприятий разных форм собственности. Вирус распространялся преимущественно через уязвимость в украинской системе подачи бухгалтерской отчетности MeDoc с последним автоматическим обновлением данного ПО. Кроме того вирус затронул и такие страны как Россия, Испания, Великобритания, Франция, Литва.

“Украинский” вариант вируса Petya

Исключительно эффективный метод работы со зловредным ПО вообще и программами-вымогателями в частности. Использование зарекомендовавшего себя защитного комплекса гарантирует тщательность обнаружения любых вирусных компонентов, их полное удаление одним щелчком мыши. Обратите внимание, речь идет о двух разных процессах: деинсталляции инфекции и восстановления файлов на Вашем ПК. Тем не менее, угроза, безусловно, подлежит удалению, поскольку есть сведения о внедрении прочих компьютерных троянцев с ее помощью.

Загрузить программу для удаления вируса Mischa \ Petya. После запуска программного средства, нажмите кнопку Start Computer Scan (Начать сканирование).Загрузить программу для удаления зловреда
Petya и Mischa
Установленное ПО предоставит отчет по обнаруженным в ходе сканирования угрозам. Чтобы удалить все найденные угрозы, выберите опцию Fix Threats (Устранить угрозы). Рассматриваемое зловредное ПО будет полностью удалено.

Как было отмечено, программа-вымогатель Mischa блокирует файлы с помощью стойкого алгоритма шифрования, так что зашифрованные данные нельзя возобновить взмахом волшебной палочки – если не принимать в расчет оплату неслыханной суммы выкупа (иногда доходит до 1000$). Но некоторые методы действительно могут стать палочкой-выручалочкой, которая поможет восстановить важные данные. Ниже Вы можете с ними ознакомиться.

Программа автоматического восстановления файлов (дешифратор)

Известно весьма неординарное обстоятельство. Данная инфекция стирает исходные файлы в незашифрованном виде. Процесс шифрования с целью вымогательства, таким образом, нацелен на их копии. Это предоставляет возможность таким программным средствам как Data Recovery Pro восстановить стертые объекты, даже если надежность их устранения гарантирована. Настоятельно рекомендуется прибегнуть к процедуре восстановления файлов, ее эффективность не вызывает сомнений.

Теневые копии томов

В основе подхода предусмотренная Windows процедура резервного копирования файлов, которая повторяется в каждой точке восстановления. Важное условие работы данного метода: функция “Восстановление системы” должна быть активирована до момента заражения. При этом любые изменения в файл, внесенные после точки восстановления, в восстановленной версии файла отображаться не будут.

" data-medium-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" data-large-file="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?fit=392%2C515&ssl=1" class="lazyload" data-src="https://i1.wp.com/itsecurity-ru.com/wp-content/uploads/2016/04/previous-versions.png?resize=392%2C515" alt="previous-versions" width="392" height="515" data-recalc-dims="1" />

Использовать “теневой проводник” ShadowExplorer. Вышеописанный процесс можно автоматизировать с помощью инструмента под названием Shadow Explorer. Он не выполнят принципиально новой работы, но предлагает более удобный способ извлечения теневых копий томов. Итак, скачиваем и устанавливаем прикладную программу, запускаем и переходим к файлам и папкам, предыдущие версии которых следует восстановить. Чтобы выполнить процедуру, щелкните любой объект правой клавишей мыши и выберите команду Экспорт (Export).

Резервное копирование

Это самый лучший среди всех не связанных с выкупом способов. Если процедура резервного копирования данных на внешний сервер применялась до момента атаки программы-вымогателя на Ваш компьютер, для восстановления зашифрованных файлов понадобиться попросту войти в соответствующий интерфейс, выбрать необходимые файлы и запустить механизм восстановления данных из резерва. Перед выполнением операции необходимо удостовериться, что вымогательское ПО полностью удалено.

Очистка в ручном режиме чревата упущением отдельных фрагментов вымогательского ПО, которые могут избежать удаления в виде скрытных объектов операционной системы или элементов реестра. Чтобы исключить риск частичного сохранения отдельных зловредных элементов, выполните сканирование Вашего компьютера с помощью надежного защитного программного комплекса, специализирующегося на зловредном ПО.

Вирус впервые поднял свою уродливую голову в 2016 году, а в июне 2017 г. снова произошла атака вредоносного ПО на основе Petya. Программа-вымогатель Petya действует по тому же принципу, что и остальные подобные программы: заплати выкуп, который требуют злоумышленники, или потеряй доступ к своим личным файлам. Но в отличие от других родственных программ, шифрующих ваши файлы один за другим, эта подвергает шифрованию весь жесткий диск.

Petya — это тип программы-вымогателя, проявляющий активность как минимум с марта 2016 г. Он отличается от других подобных программ тем, что вместо последовательного шифрования файлов блокирует доступ ко всему жесткому диску посредством шифрования основной таблицы файлов (MFT): файловая система становится нечитаемой и ОС Windows не может загрузиться. С другой стороны, некоторые версии вируса шифруют и файлы, и MFT, что в итоге приводит к потере доступа к собственным данным.

Как правило, целью программы-вымогателя становились отделы кадров в государственных учреждениях и частных компаниях, которым по электронной почте направлялись фальшивые письма от соискателей со ссылкой для скачивания из Dropbox. При переходе по этой ссылке загружается файл .exe, который шифрует доступ к компьютеру жертвы, и, как заявляется, вернуть доступ можно, только уплатив определенную сумму в биткойнах. В марте 2017 г. появился новый вариант программы-вымогателя — PetrWrap. Он содержал исправленную версию оригинального вируса Petya с несколькими модификациями.

Считается, что вирус Petya стоит за массовой атакой в целях вымогательства выкупа, которая затронула компании и организации по всему миру в конце июня 2017 г. Больше всего от атаки пострадала Украина, где нападению подверглись такие значимые цели, как Киевский метрополитен, Национальный банк Украины и несколько аэропортов. Об атаке также сообщили многие международные компании, в том числе Nivea, Maersk, WPP и Mondelez.

На данный момент нет точной информации. Были затронуты компании и учреждения по всему миру — в России, Великобритании, Индии и т. д., и сейчас невозможно определить точное географическое происхождение вируса.

Антивирусная технология Avast обнаруживает и удаляет программу-вымогатель Petya, а также другие виды вредоносного ПО. Если ваш ПК заражен Petya, наш антивирус обнаружит его, изолирует и уничтожит. Если он обнаружит, что вирус Petya пытается проникнуть в ваш компьютер, антивирус заблокирует его.

К сожалению, нет надежного дешифратора для восстановления файлов, зашифрованных посредством последних версий Petya. Поэтому так важно предотвратить внедрение этой вредоносной программы.

Программа-вымогатель Petya распространилась так широко и быстро, используя уязвимость ОС Windows под названием EternalBlue. Очень важно всегда устанавливать новейшие обновления безопасности Windows, чтобы избежать проникновения в систему такого вредоносного ПО, как Petya.

Если файлы были зашифрованы, вернуть их изначальное состояние невозможно. Даже согласие на требования злоумышленников и уплата выкупа не гарантируют, что ваши файлы будут расшифрованы, — злоумышленники могут просто забрать ваши деньги и исчезнуть. Поэтому лучше просто предотвратить попадание вируса Petya в ваш компьютер.

Антивирус с последними обновлениями на ПК — это ваша первая линия обороны. Соблюдение правил техники безопасности в сети также может значительно помочь защитить вас и ваши данные. Например, никогда не стоит открывать подозрительные вложения электронной почты, даже если вы знаете отправителя и доверяете ему. Если у вас возникли подозрения, не рискуйте.

Petya (петя) — лишь одна из многих разновидностей программ-вымогателей, которые, в свою очередь, представляют собой всего один из видов вредоносного ПО, которое может причинить вред вашему компьютеру, данным и поставить под угрозу вашу безопасность в сети. Если вы ищете надежный и комплексный инструмент для удаления вредоносных программ и предотвращения угроз, Avast может предложить вам все необходимое — от базовой защиты Free Antivirus до расширенных функций обеспечения безопасности и повышения производительности Avast Premier.

Будьте всегда в курсе, подпишитесь:

Программа-вымогатель Petya A, наряду с его вариантом GoldenEye, уже поразила правительства, компании и частных лиц во всем мире. Эта программа настолько катастрофична, что даже те, кто исправили свои OS Windows и обновили его, могут стать жертвами этой кибератаки, что приводит к большим финансовым потерям. В Украине он в основном поразил бухгалтерские компьютеры через программу M.E.Doc.

Для борьбы с киберпреступниками 360 разработал инструмент дешифрования программ-вымогателей для спасения компьютеров, захваченных программами-вымогателями. Этот инструмент может возвращать файлы больше чем из 80 программ-вымогателей Петя А, GoldenEye, и их пресловутый прецедент WannaCry тоже в списке поддержки расшифровки.

Ране мы уже описывали один способ как можно было восстановить часть данных после кибер атаки от 27.06.2017 года, и обещали боле подробную инструкция.

Чтобы разблокировать ПК, зараженный Petya, надо выполнить такие шаги.

2. Откройте 360 инструментов дешифрования программ-вымогателей и щелкните желтый баннер сверху, чтобы начать процесс дешифрования.

3. Внесите свой личный код дешифрования в сообщение выкупа (смотрите красное поле, выделенное на скриншоте ниже). 360 инструментов дешифрования программ-вымогателей начнет вычислять ключ дешифрования.

4. Получите ваш ключ дешифрования.

5. Внесите ключ дешифрования в сообщение выкупа, чтобы разблокировать ПК.

6. Важное примечание: Если вы ввели ключ неправильно, то увидите сообщение ниже. В этой ситуации не продолжайте вводить ключ. Перезагрузите компьютер и снова введите ключ

7. Теперь ваша операционная система разблокирована.

Инструкции по расшифровке для версии Red Skeleton

Выполните те же шаги, о которых говорилось ранее. (Код расшифровки длиннее, чем в сообщении выкупа GoldenEye.)

После ввода ключа дешифрования вы увидите сообщение ниже. Это означает, что ваша система была разблокирована.

Чтобы спасти ваши файлы, используйте 360 инструментов дешифрования программ-вымогателей для сканирования папки, в которой ваши файлы зашифрованы.

Подождите, пока 360 инструмент дешифрования программ-вымогателей вернет ваши файлы обратно. (Не выключайте инструмент до завершения процесса,иначе файлы могут быть повреждены).

Программа-вымогатель — это не одноразовая атака. Проверьте наш Арсенал против программ-вымогателей, в том числе 360 Document Protector и инструмент против кибер-оружия АНБ, подготовленный для защиты от программ-вымогателей. Ваша безопасность — это в настоящее время самая большая наша забота.

Скачать надежный антивирус с несколькими движками проверки на вирусы можно на официальном сайте совсем бесплатно.

Фото: ТАСС/Сергей Коньков

В России атаке вируса-шифровальщика подверглись компании "Роснефть", "Башнефть", Mars, Nivea и производитель шоколада Alpen Gold Mondelez International. Вирус-вымогатель также атаковал систему радиационного мониторинга Чернобыльской атомной электростанции. Кроме того, атака коснулась компьютеров правительства Украины, "Приватбанка" и операторов связи. Вирус блокирует компьютеры и требует выкуп 300 долларов в биткоинах.

В микроблоге в Twitter пресс-служба "Роснефти" рассказала о хакерской атаке на серверы компании. "На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами. По факту кибератаки компания обратилась в правоохранительные органы", – отмечается в сообщении.

По словам пресс-секретаря компании Михаила Леонтьева, "Роснефть" и ее дочерние сообщества работают в штатном режиме. После атаки компания перешла на резервную систему управления производственными процессами, так что добыча и подготовка нефти не остановлены. Атаке подверглась также система банка Home Credit.

По словам исполнительного директора AGIMA Евгения Лобанова , на самом деле атака была проведена двумя вирусами-шифровальщиками: Petya и Misha.

"Они работают в связке. "Петя" не заражает без "Миши". Он может заражать, но вчерашняя атака была двумя вирусами: сначала Petya, потом Misha. "Петя" переписывает boot-девайс (откуда идет загрузка компьютера), а Миша – шифрует файлы по определенному алгоритму, – пояснил специалист. – Petya шифрует загрузочный сектор диска (MBR) и заменяет его своим собственным, Misha шифрует уже все файлы на диске (не всегда)".

Он отметил, что вирус-шифровальщик WannaCry, который атаковал крупные мировые компании в мае этого года, не похож на "Петю", это новая версия.

Евгений Лобанов подчеркнул, что атака сильнее ударила по Украине, чем по России.

"Мы больше подвержены атакам, чем другие страны Запада. От этой версии вируса мы будем защищены, но от его доработок – нет. У нас интернет небезопасен, на Украине еще менее. В основном, были подвержены атаке транспортные компании, банки, мобильные операторы (Vodafone, Київстар) и медицинские компании, тот же Фарммаг, автозаправки Shell – все очень крупные трансконтинентальные компании", – рассказал он в беседе с m24.ru.

Исполнительный директор AGIMA отметил, что пока нет никаких фактов, которые указывали бы на географическое положение распространителя вируса. По его мнению, вирус предположительно появилась именно в России. К сожалению, прямых доказательств этого нет.

"Есть предположение, что это наши хакеры, поскольку первая модификация появилась в России, а сам вирус, что ни для кого не секрет, был назван в честь Петра Порошенко. Это была разработка русских хакеров, но кто дальше ее изменял – сложно сказать. Понятно, что находясь даже в России, легко заиметь компьютер с геолокацией в США, например", – пояснил эксперт.

"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер. Если перезагрузитесь, то больше никогда не войдете в систему"

Он также дал несколько рекомендаций в случае, если компьютер уже подвергся атаке вируса-шифровальщика.

"Если вдруг произошло "заражение" компьютера – нельзя выключать компьютер, потому что вирус Petya подменяет MBR – первый загрузочный сектор, из которого грузится операционная системе. Если перезагрузитесь, то больше никогда не войдете в систему. Это отрубаете отходные пути, даже если появится "таблетка" вернуть данные уже будет невозможно. Далее, нужно сразу отключиться от интернета, чтобы компьютер не выходил в сеть. Сейчас уже выпущен официальный патч от Microsoft, он обеспечивает 98 процентов гарантии безопасности. К сожалению пока не 100 процентов. Определенную модификацию вируса (их три штуки) он пока обходит", – рекомендовал Лобанов. – Однако, если вы все-таки перезагрузились и увидели начало процесса "проверки диска", в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD (операционная система, загружающаяся со сменного носителя – m24.ru) или USB-диска даст доступ к файлам".

Кроме того, эксперт также рассказал, почему чаще всего атакам подвергаются пользователи Microsoft, а не MacOSX (операционная система Apple – m24.ru) и Unix-систем.

"Тут правильнее говорить не только о MacOSX, но и о всех unix-системах (принцип одинаковый). Вирус распространяется только на компьютеры, без мобильных устройств. Атаке подвержена операционная система Windows и угрожает только тем пользователям, которые отключили функцию автоматического обновления системы. Обновления в виде исключения доступны даже для владельцев старых версий Windows, которые уже не обновляются: XP, Windows 8 и Windows Server 2003", – сказал эксперт.

Он добавил, что существуют сообщества, определяющие уязвимости, которым подвержены операционные системы и сервисы, у этих сообществ есть определенный номер в этой системе учета уязвимости.

"MacOSХ и Unix таким вирусам глобально не подвергаются, потому что многие крупные корпорации используют инфраструктуру Microsoft. MacOSX не подвержена, поскольку не так распространена в госструктурах. Под нее меньше вирусов, их не выгодно делать, потому что сегмент атаки будет меньше, чем, если атаковать Microsoft", – заключил специалист.

"Число атакованных пользователей достигло двух тысяч"

В пресс-службе Лаборатории Касперского , эксперты которой продолжают расследование последней волны заражений, рассказали, что "этот шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода".

В Лаборатории уверены, что в данном случае речь идет о новом семействе вредоносного программного обеспечения с существенно отличающейся от Petya функциональностью. В Лаборатории Касперского назвали новый шифровальщик ExPetr.

"По данным Лаборатории Касперского, число атакованных пользователей достигло двух тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран. На данный момент наши эксперты предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance", – рассказали в пресс-службе.

Эксперты также изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные. В Лаборатории также дали рекомендации для всех организаций, чтобы избежать атаки вируса в будущем.

"Мы рекомендуем организациям установить обновления для ОС Windows. Для Windows XP и Windows 7 следует установить обновление безопасности MS17-010, а также убедиться, что они обладают эффективной системой резервного копирования данных. Своевременное и безопасное резервирование данных дает возможность восстановить оригинальные файлы, даже если они были зашифрованы вредоносным ПО", – посоветовали эксперты Лаборатории Касперского.

Своим корпоративным клиентам Лаборатория также рекомендует убедиться, что все механизмы защиты активированы, в частности удостовериться, что подключение к облачной инфраструктуре Kaspersky Security Network, в качестве дополнительной меры рекомендуется использовать компонент "Контроль активности программ", чтобы запретить всем группам приложений доступ (а соответственно и исполнение) файла с названием "perfc.dat" и т.д.

"Если вы не используете продукты "Лаборатории Касперского", рекомендуем запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals с помощью функции AppLocker, входящей в состав ОС (операционной системы – m24.ru) Windows", – рекомендовали в Лаборатории.

Распространение вируса удалось приостановить случайно и временно: если хакеры изменят всего несколько строчек кода, вредоносное ПО вновь начнет работать. Ущерб от программы оценивают в миллиард долларов. После лингвокриминалистического анализа эксперты установили, что WannaCry создали выходцы из Китая или Сингапура.

Читайте также: