Три способа защититься от вируса Petya. Вирус Petya: защита, лечение, удаление, дешифровка

27 июня, накануне Дня Конституции, вся Украина оказалась под ударом неизвестных хакеров. Вирус под названием Petya атаковал корпоративные сети банков, СМИ, различных компаний, органов власти, футбольных клубов, мобильных операторов.

28 июня в Кабмине заявили, что масштабная хакерская атака на корпоративные сети и сети органов власти была остановлена.

О вирусе-вымогателе по-прежнему известно не слишком много, но за сутки специалисты озвучили несколько действенных способов защиты от вируса. "Страна" собрала три самых эффективных их них.

При этом специалисты напоминают, что удалить вирус с уже пораженного устройства не получится. Компьютер по сути превращается просто в кусок неработающего пластика.Также специалисты не советуют отправлять "выкуп" на счет хакеров, поскольку это бессмысленно.

Антивирус

По словам IT-специалистов, нужно обязательно пользоваться антивирусами. При этом вирус Petya блокирует Avast, тогда как антивирус "Касперский" его не видит.

Айтишники советуют не скачивать сторонние программы и файлы. Не переходить по подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей.

При этом зараженные письма авторы вируса могут маскировать, например. под письмо из фискальной службы.

Замминистра информполитики Дмитрий Золотухин опубликовал пример такого письма. Если открыть такое сообщение - запустится вредоносная программа, которая зашифрует все данные на компьютере. Создатели вируса Petya идут на хитрость, осознавая, что фишинговое письмо должно побудить пользователя открыть его.

Например, в скриншоте, который опубликовал замминистра видно, что хакеры использовали сообщение о неуплате налогов, которое якобы пришло из фискальной службы. К письму было прикреплено зараженное вложение под видом послания для руководителя предприятия.

Фото: facebook.com/dzolotukhin

"Прививка-обманка"

Специалисты компании Symantec советуют

В момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный "Блокнот". Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.


Напомним, что "Страна", ведет

Руководитель проектов по информационной безопасности системного интегратора КРОК Павел Луцик на своей странице в Facebook поделился инструкциями по восстановлению данных при атаке «Пети»:

Если использовалось раздельное хранение данных основной ОС (C:/) и базы данных и других данных (D:/), необходимо провести следующую процедуру:
1) Отключить жесткие диски от скомпроментированного устройства
2) Подключить жесткие диски к изолированной станции, не имеющей выхода в локальную сеть и сеть Интернет
3) Осуществить анализ подключенных жестких дисков, при наличии незашифрованных данных, осуществить их резервное копирование на съемный носитель информации с последующим отключением носителя от изолированной станции
4) Осуществить переустановку ОС на скомпроментированном устройстве, переподключить базу данных и восстановить конфигурационные файлы
5) Восстановление данных необходимо осуществлять поэтапно, с учетом возможности повторного заражения устройства (в отличие от WannaCry, Petya несколько часов остается в неактивированном состоянии, чтобы избежать срабатывания эвристических модулей антивирусных движков)

Cybereason

Сам Серпер утверждает, что данный метод работает с вероятностью 98%.

Позже находку исследователя подтвердили эксперты Positive Technologies , TrustedSec и Emsisoft .

Symantec

Американский производитель антивирусного программного обеспечения Symantec также выпустил рекомендации по борьбе с вирусом-вымогателем Petya, придерживаясь той же позиции, что и коллеги из Cybereason и Positive Technologies.

Согласно инструкциям, пользователям необходимо имитировать заражение компьютера, создав в программе «Блокнот» файл perfc и разместив его в папке Windows на диске C . Когда вирус попадает в систему, он ищет этот файл и, найдя его, прекращает работу. Никакого расширения у имени файла в директории C:\Windows\ быть не должно.

Positive Technologies

Positive Technologies подтверждает, что создние на жестком диске файла perfc можно предотвратить выполнение Petya.A.

  • Установить обновления ОС и прикладного ПО. Особое внимание обратить на установку обновлений MS17-010.
  • По возможности отключить службу SMB v.1 или запретить передачу данных по портам TCP 139 и 445.
  • Запретить запуск файлов с именем perfc.dat.
  • Обратить внимание сотрудников на правила безопасной работы с электронной почтой и опасность открытия неизвестных вложений, в особенности исполняемых файлов.
  • Проверить работоспособность системы резервного копирования информации.

Из-за того, что вредоносная программа использует стойкие криптографические алгоритмы шифрования, в настоящее время расшифровка файлов не представляется возможной. Эксперты «Лаборатории Касперского» изучают возможность создания инструмента-дешифратора, с помощью которого можно было бы расшифровать данные.

«Цифровая подстанция» следит за обновлениями в рекомендациях защитников критической инфраструктуры. Новость будет обновляться по мере поступления информации.

В последнее время кошмарный сон каждого выглядит так: вы включаете свой компьютер и видите загадочное сообщение о том, что ваши файлы зашифрованы. Вы скоро поймете, что ваши данные, скорее всего, потеряны навсегда - даже если вы заплатите выкуп хакерам.

Новый вирус Petya(также называемый NotPetya) в считанные часы нанес удар по Европе, но больше всех пострадала Украина – повреждения получили энергосистема, банки, госучреждения и аэропорты страны. Первые симптомы атаки проявились 27 июня, когда жертвой вируса пали Национальный банк Украины и Киевский международный аэропорт. Сообщается, что пострадали даже системы радиационного мониторинга в Чернобыле. Но Petya, который ориентирован на операционную систему Windows, не остался там. Microsoft подтвердил, что были заражены компьютеры в 64 странах. Зараза не обошла стороной и обычных пользователей. Дошло до того, что учреждения отключали свои сайты, а пользователи не включали компьютер, чтобы не запустить вирус.

Но на этот раз нашлась вакцина от вируса, которая защищает ПК от проникновения вируса, по крайней мере пока. Вредоносное ПО, требующее выкуп в обмен на дешифрование файлов, по словам компании Symantec, особенно изощренное, потому что вместо простого шифрования файлов системы, он фактически модифицирует главную загрузочную запись компьютера, чтобы зашифровать жесткий диск. После заражения системы отображается сообщение, требующее биткойнов на сумму $300. Однако, поскольку указанный адрес электронной почты для подтверждения того, что выкуп был уплачен, был отключен провайдером электронной почты, есть мало шансов, что ключ дешифрования будет предоставлен, даже если жертва заплатит. По сути, те, кто попал в лапы Petya, могут попрощаться со своими файлами.

Но ситуация не безнадежна. Для тех, кто либо не хотят, либо просто не могут позволить себе отключить свой компьютер и ждать, пока все пройдет, имеется оружие в битве против этой атаки. К счастью, это довольно простое домашнее средство.

Исследователь безопасности по имени Амит Серпер, похоже, нашел способ всего несколькими легкими шагами предотвратить запуск вредоносного ПО на уязвимых компьютерах. Его наблюдение, которое было подтверждено другими исследователями, выяснило, что Petya ищет определенный файл на компьютере перед тем, как шифровать его содержимое. Если этот файл находится, вирус не заражает ПК.


Амит Серпер утверждает, что все заинтересованные пользователи должны создать файл с названием «perfc» в папке C: \ Windows. Важно отметить, что файл должен быть только для чтения и у него не должно быть расширения(наподобие.txt, .jpg, .doc и т.д.).

Кроме этого, не мешает установить обновления безопасности Windows. Эксплойт EternalBlue, используемый вирусом Petya, основан на уязвимости блока сообщений сервера (SMB), которая была исправлена в марте.

Как объясняет Серпер, поддержания ОС Windows в актуальном состоянии с помощью патчей безопасности и создания вышеуказанного файла должно быть достаточно, чтобы противостоять Petya. Хотя это уже не поможет Национальному банку Украины, вас это может спасти.

Июнь 29, 2017

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже — зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор «Петя» или, как его еще называют, «Petya». Темпы распространения данный угрозы очень впечатляют: за пару дней он смог «побывать» в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя «Петя». В этой статье я расскажу вам о том, что это за вирус «Petya», как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус «Petya»?


Для начала нам стоит понять, чем же является Petya. Вирус Петя — это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название нового вируса — Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса «Petya»

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск — это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп — 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?


При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который «закрывает» эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель «Пети» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?


Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

  • Самое главное и основное — возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
  • Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
  • Активируйте опцию «Показывать расширения файлов» в настройках ОС — так вы всегда сможете увидеть истинное расширение файлов.
  • Включите «Контроль учетных записей пользователя» в настройках Windows.
  • Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус — и вы уже будете в гораздо большей безопасности, чем раньше.
  • Обязательно делайте «бэкапы» — сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные — вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
  • Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
  • Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?


Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя — прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

  • Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
  • Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
  • Форматирование диска и установка операционной системы. Минус — все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как «Башнефть» и «Роснефть». Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.