В последнее время кошмарный сон каждого выглядит так: вы включаете свой компьютер и видите загадочное сообщение о том, что ваши файлы зашифрованы. Вы скоро поймете, что ваши данные, скорее всего, потеряны навсегда - даже если вы заплатите выкуп хакерам.

Новый вирус Petya(также называемый NotPetya) в считанные часы нанес удар по Европе, но больше всех пострадала Украина – повреждения получили энергосистема, банки, госучреждения и аэропорты страны. Первые симптомы атаки проявились 27 июня, когда жертвой вируса пали Национальный банк Украины и Киевский международный аэропорт. Сообщается, что пострадали даже системы радиационного мониторинга в Чернобыле. Но Petya, который ориентирован на операционную систему Windows, не остался там. Microsoft подтвердил, что были заражены компьютеры в 64 странах. Зараза не обошла стороной и обычных пользователей. Дошло до того, что учреждения отключали свои сайты, а пользователи не включали компьютер, чтобы не запустить вирус.

Но на этот раз нашлась вакцина от вируса, которая защищает ПК от проникновения вируса, по крайней мере пока. Вредоносное ПО, требующее выкуп в обмен на дешифрование файлов, по словам компании Symantec, особенно изощренное, потому что вместо простого шифрования файлов системы, он фактически модифицирует главную загрузочную запись компьютера, чтобы зашифровать жесткий диск. После заражения системы отображается сообщение, требующее биткойнов на сумму $300. Однако, поскольку указанный адрес электронной почты для подтверждения того, что выкуп был уплачен, был отключен провайдером электронной почты, есть мало шансов, что ключ дешифрования будет предоставлен, даже если жертва заплатит. По сути, те, кто попал в лапы Petya, могут попрощаться со своими файлами.

Но ситуация не безнадежна. Для тех, кто либо не хотят, либо просто не могут позволить себе отключить свой компьютер и ждать, пока все пройдет, имеется оружие в битве против этой атаки. К счастью, это довольно простое домашнее средство.

Исследователь безопасности по имени Амит Серпер, похоже, нашел способ всего несколькими легкими шагами предотвратить запуск вредоносного ПО на уязвимых компьютерах. Его наблюдение, которое было подтверждено другими исследователями, выяснило, что Petya ищет определенный файл на компьютере перед тем, как шифровать его содержимое. Если этот файл находится, вирус не заражает ПК.

Амит Серпер утверждает, что все заинтересованные пользователи должны создать файл с названием «perfc» в папке C: \ Windows. Важно отметить, что файл должен быть только для чтения и у него не должно быть расширения(наподобие.txt, .jpg, .doc и т.д.).

Кроме этого, не мешает установить обновления безопасности Windows. Эксплойт EternalBlue, используемый вирусом Petya, основан на уязвимости блока сообщений сервера (SMB), которая была исправлена в марте.

Как объясняет Серпер, поддержания ОС Windows в актуальном состоянии с помощью патчей безопасности и создания вышеуказанного файла должно быть достаточно, чтобы противостоять Petya. Хотя это уже не поможет Национальному банку Украины, вас это может спасти.

Недавно многие интернет ресурсы и компьютеры пользователей подверглись атаке, за ней стоял вирус-вымогатель Petya . Были заблокированы сайты крупнейших госучреждений, от Ощадбанка и сайта правительства до Новой почты и т.д. За последнее время Petya/NoPetya является самым масштабным вирусом, который поразил множество компьютеров. Благо, как и от любого вируса, от него есть возможность защититься и удалить, только ничего не стоит делать самостоятельно.

Petya вирус: как работает?

Компьютерный вирус Петя относится к нише шифровальщиков, он проникает в систему и провоцирует перезапуск системы, а во время загрузки ОС шифрует файлы, а также реестр. По окончании процесса показывается сообщение, в котором требуется выкуп в 300-400$ на биткоин счет, затем придет пароль для обратной расшифровки файлов.

Особенность вируса в том, что он поражает систему необратимым образом и доступа к её функциям нет вовсе. Наибольшее распространение приобрел на территории Украины и России. Эксперты еще устанавливают пути заражения вирусом, но сегодня считается, что он проникал через фальшивое обновление известной программы M.E.Doc. Механизм действия вируса построен на использовании уже известной уязвимости ETERNALBLUE, которая была задействована у печально известной Wanna Cry, а также эксплойт ETERNALROMANCE. При помощи подбора паролей и указанных дыр в защите Windows вирус распространялся и поражал все компьютеры в рамках одной локальной сети.

Настолько широкого распространения как у Wanna Cry вирус не приобрел, так как распространение через сеть не происходит, но использование обоих эксполойтов помогает заразить все компьютеры локальной системы.

Вирус Петя: как удалить?

Вирус Петя защита не всегда помогает, тем более, что на стадии распространения многие антивирусы не распознавали файл в качестве вируса. Столь масштабное поражение ПК не было проигнорировано разработчиками антивирусных сигнатур и риск в дальнейшем столкнуться с вирусом невысок, а вот другие модификации встретить возможно.

Сразу после проникновения в ПК вирус перезапускает его, процедура выполняется принудительно. В процессе загрузки появляется окно, в котором предлагается выполнить процедуру восстановления системы. Ничего не подозревающий пользователь нажимает Enter и начинается процесс шифрования. На самом деле окно, которое подделано под системное CHKDSK, не является оригинальным, таким образом пользователь подтверждает действия вируса.

Не стоит идти на поводу, просто перезагрузить ПК повторно. При помощи F9 перейти к выбору накопителя и перейти на другой диск, если такой есть. Далее необходимо с рабочего стола Windows выполнить сканирование системы на предмет наличия вирусов, сегодня уже практически все передовые антивирусы правильно распознают шифровальщик и позволят удалить его.

Иначе просто выполнить загрузку при помощи диска восстановления (установочный диск или флешка).

Вирус Петя: как защититься?

Вирус Петя как не поймать его на свой компьютер, а соответственно защитить свои данные? Сразу после проявления вируса, его образец поступил ко многим продвинутым администраторам, которые пытались найти методы борьбы с Petya. Сам вирус использует уязвимости системы для проникновения и поражения ее, а программисты нашли уязвимости в коде вредителя.

От пользователя требуется минимальное количество действий, нужно создать файл perfc, который должен находиться в каталоге C:\Windows и иметь параметр «Только чтение». Нельзя назвать метод панацеей, так как дальнейшие модификации вируса обойдут это ограничения и проблема появится снова, но до того времени появится полноценная защита со стороны антивирусов.

Процесс создания файла:

1. Изначально стоит сделать доступными расширения файлов для редактирования. Необходимо открыть любую папку и нажать на «Упорядочить» и выбрать «Параметры папок и поиска», если у вас десятка, то пункт можно найти в разделе «Файл»;
2. Перейти во вкладку «Вид» и пролистать перечень к концу, снять галочку с раздела «Скрывать расширения для зарегистрированных типов файлов»;

1. Теперь создайте или скопируйте любой файл на диске;

1. ПКМ по нему и «Переименовать», не стоит менять уже имеющиеся файлы, иначе может возникнуть ошибка;
2. Введите имя perfc, никаких расширений стоять не должно и подтвердите окно предупреждения;
3. ПКМ по созданному защитному файлу и установить галочку возле «Только чтение».

В большей мере направленность вируса приходится на корпоративные сети, таким образом компания теряет колоссальные средства за простой и это может подвигнуть заплатить вымогателю. Существуют общие способы защиты от всех видов вирусов.

Вирус вымогатель Петя – способы защиты

Команда из Kaspersky Lab определила, что ко многим компаниям на компьютер проник вирус через банальные ссылки на облако, обычно отсылаются файлы типа резюме.

Когда Вирус Петя атаковал, то уже поздно предпринимать действия для защиты, разве что нужно сразу отключить локальную сеть, поэтому нужно защититься предварительно:

1. Бекапы – это основа любого бизнеса, без них присутствует высокий риск потери важнейших данных. Важно делать 2 копии: первая хранится на облаке, вторая на обычном съемном диске и заблокировать доступ к редактированию и изменению файлов на накопителе;
2. Фишинг – подделка сайтов, писем и т.д. от других организаций, например, банков, магазинов, интернет ресурсов информационного характера. Помимо подделанного текста всегда в сообщении есть ссылка на страницу, которая загрузит файл, скрипт и система будет поражена вирусом;
3. Взлом – друзей, знакомых могут взломать в Skype, ВК, Gmail, Facebook и т.д. не стоит доверять никому, иначе можно получить вирус Petya;
4. Загружая файлы из сети обратите внимание на расширения, самые опасные – exe, vbs и scr.
5. Выполняйте обновления антивируса, ОС.

Заключение

Новый вирус Петя по сути использует уже известные уязвимости с целью получения прав администратора, потом вводит пользователя в заблуждение поддельным окном восстановления. Таким образом, когда вы уже знаете алгоритм действия Petya/NoPetya, можно не попасть на удочку злоумышленников.

Если у Вас остались вопросы по теме «Как удалить или защититься от вируса вымогателя Petya?», то можете задать их в комментариях

if(function_exists("the_ratings")) { the_ratings(); } ?>

С 27 июня по миру распространяется новый вирус-шифровальщик Petya, блокирующий компьютеры с Windows. Он проникает в ПК через локальные сети, поэтому эпидемии подвержены почти исключительно организации, а не индивидуальные пользователи. За разблокировку каждого устройства Petya просит $300 биткоинами.

Больше всего жертв пока на Украине (атакованы госучреждения, энергетические компании, мобильные операторы и банки) и в России (главная жертва - «Роснефть»). Но сейчас жалобы на Petya поступают уже со всего мира. Похожим образом события развивались в мае, когда корпоративные сети были атакованы другим шифровальщиком - WannaCry (WannaCrypt) .

«Секрет» попросил экспертов в сфере кибербезопасности объяснить, как обезопасить себя от такой атаки.

Кирилл Ермаков

Технический директор группы QIWI

Когда компании по всему миру пострадали от WannaCry, стало очевидно, что многие недобросовестно относятся к такому базовому процессу информационной безопасности, как установка обновлений. Злоумышленники пользовались возможностями атаковать необновлённые системы и раньше, но теперь это наконец получило большую огласку.

Вирус не использовал никакого «секретного оружия», «уязвимостей нулевого дня». Он использовал уязвимости, «заплатки» на которые существуют уже довольно давно. Просто традиционно угрозы информационной безопасности недооценивают. Непосредственная задача директора по информационной безопасности - объяснять коллегам на C-level, что игры кончились и современная кибератака может просто остановить работу их бизнеса.

Новый вирус сначала казался похожим на вирус Petya 2016 года, но потом выяснилось, что к старому вирусу он имеет весьма отдалённое отношение. Если вообще имеет. Так что теперь он фигурирует под хештегами #Petya, #NotPetya, #petrWrap и имеет идентификатор Win32/Diskcoder.Petya.C.

Мне этот вирус кажется очень любопытным и даже, можно сказать, нравится (технически). Как и в WannaCry, в нём задействована украденная у Агентства национальной безопасности США программа EternalBlue, которая использует одну из уязвимостей в компьютерах под управлением Windows. Но у распространения нового вируса есть ещё один вектор: попав на одну машину, он добывает данные учётных записей с заражённой рабочей станции и, используя их, пытается проникнуть на все остальные компьютеры. Именно поэтому получилось так, что многие, кто установил патч против WannaCry, всё равно пострадали при атаке Petya / NotPetya. Системные администраторы в компаниях часто совершают ошибку при проектировании инфраструктуры: выстраивают её так, чтобы локальная учётная запись администратора подходила ко всем машинам.

Кроме того, Petya / NotPetya интересен тем, что цели его создателей неочевидны. Если бы они хотели много денег, они бы сделали вирус, который не пытается всё зашифровать и не требует выкуп, а тихонько сидит в системе, как классический троян, и потом используется для целенаправленной атаки. Но в данном случае злоумышленники заработали копейки, зато парализовали работу многих крупных компаний по всему миру. Может, это какая-то манипуляция с курсами валют, акций?

Тем, кто хочет уберечь свою компанию от таких угроз, могу дать только один совет: уделите внимание системным администраторам, службе безопасности и их требованиям. Базовые процессы информационной безопасности могут быть не выстроены по разным причинам. Но часто основная проблема - это то, что бизнес не поддерживает действия ИТ- и ИБ-департаментов, потому что не хочет расходовать на это деньги и ресурсы, не понимая, зачем это нужно. Но ведь иногда проще потерпеть неудобства, связанные с обновлением программного обеспечения, чем лишиться всего, недооценив угрозу.

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Андрей Брызгин

Руководитель направления «Аудит и консалтинг» в Group-IB

Эта атака - явно не последняя. Чем больше компания, чем шире её IT-инфраструктура, тем больше шансов, что хотя бы один компьютер будет уязвим, непропатчен или просто забыт. Вирусу Petya было достаточно одного уязвимого компьютера, чтобы заразить всю сеть. Информационной безопасностью надо заниматься комплексно, в том числе с применением специализированных решений. Следует регулярно делать аудит безопасности.

1). Своевременно устанавливайте апдейты операционных систем и патчи систем безопасности.

2). Настройте почтовые фильтры для отсеивания зашифрованных архивов.

3). Если компьютеры работают на Windows, подпишитесь на уведомления Microsoft по технической безопасности.

4). Если в корпоративной сети есть компьютеры без апдейтов безопасности, запретите сотрудникам подключать к ней личные ноутбуки.

5). Проведите тренинг для сотрудников по информационной безопасности.

6). Не платите выкуп вымогателям. Совершенно не факт, что они вышлют ключи шифрования. У Group-IB нет доказательств того, что данные были восстановлены после оплаты.

Многие интернет-любители до сих пор наивно полагают, что если не заходить на сомнительные странички и не переходить по незнакомым ссылкам, шансов «поймать» вирус нет. «К сожалению, это не так, - констатируют в компании DriverPack (занимается автоматизацией работы с драйверами на платформе Microsoft Windows. - Прим. ред.) . - Новое поколение вирусов действует совершенно иначе - они активируют себя самостоятельно, используя уязвимость в одном из протоколов». Из их числа и Petya. По данным компании Symantec (американская компания, разрабатывающая антивирусный софт. - Прим. ред.) , Petya существует с 2016 года. А вот активизировался он только сейчас. Правда, это может быть и не совсем Petya. В «Лаборатории Касперского» троянец назвали ExPetr и утверждают, что на прошлого «Петю» он похож, но незначительно. А в компании Cisco (американская компания, специализирующаяся на высоких технологиях, в том числе по кибербезопасности. - Прим. ред.) новый вирус-вымогатель и вовсе назвали Nyetya.

2 Чем опасен?

Как ты «Петю» ни назови, а проблема остается. «Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса, - предупреждают в Group-IB (российская компания, специализирующаяся на борьбе с киберпреступностью. - Прим. ред. ). - После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов. Любые вложения - .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент». В Cisco добавили, что вирус шифрует главную загрузочную запись компьютера (можно сказать, «содержание» жесткого диска).

Если речь идет о корпоративной сети, то чтобы заразить ее всю, нужен всего один «инфицированный» компьютер. «После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть восстановить работоспособность ОС, - вроде бы дают надежду в Positive Technologies (российская компания, специализирующаяся на кибербезопасности. - Прим. ред. ). - Однако расшифровать файлы не удастся. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно».

Увы, эксперты также выяснили, что набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

3 Как сделать так, чтобы Petya не прошел?

Для того чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. «Подпишитесь на Microsoft Technical Security Notifications», - советуют и в Group-IB. Собственно, это залог того, что когда Microsoft проанализирует пути обезвреживания этой угрозы, компания установит соответствующие обновления. К слову, в российском подразделении Microsoft уже сообщили, что антивирусное ПО обнаруживает этот вирус-вымогатель и защищает от него.

Причем в DriverPack отмечают, что последствия атаки оказались настолько серьезными, что «компания Microsoft пошла на беспрецедентный шаг — выпустила обновление даже для снятой с поддержки Windows XP. Это значит, что под угрозой атаки находятся все компьютеры с открытым протоколом SMB (сетевой протокол, появившийся в 1983 году. - Прим.ред.) и без последних обновлений». «Некоторые пользователи держат не обновлёнными компьютеры много-много лет», - разводит руками руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский. Однако если обновления все-таки делаются, то параллельно с этим процессом в компании Cisco советуют внести в стратегию обеспечения безопасности базовое положение относительно резервного копирования ключевых данных.

Еще для дополнительной защиты от Petya разработчики советуют создавать на компьютере файл-обманку. В частности, как пишет в своем твиттере чтобы защититься от вируса, нужно создать файл под названием perfc и разместить его в папке Windows на диске C. Проникая в компьютер, вирус проверяет систему на наличие заражения, и такой файл имитирует его. Создать файл можно в программе «Блокнот». Из имени документа будет необходимо удалить расширение.txt.

4 Если Petya все же пришел

В первую очередь, эксперты по информационным технологиям не рекомендуют платить деньги вымогателям, если вирус все же заблокировал компьютер. Причем объясняют это вовсе не высокотехнологичными причинами. «Почтовый адрес нарушителей уже был заблокирован, и даже в случае оплаты выкупа ключ для расшифровки файлов наверняка не будет получен», - говорят в Positive Technologies. Да и в целом, отмечают в «Лаборатории Касперского», если давать деньги «фишерам», вирусы будут только множиться. «Для предотвращения распространения шифровальщика в Сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от Сети зараженные узлы и снять образы скомпрометированных систем», - дают конкретные рекомендации в Positive Technologies.

Причем если данные на компьютере уже зашифрованы, лучше «не дергаться». «Если появится возможность расшифровать и восстановить хотя бы часть файлов, то дополнительные действия могут только помешать будущей расшифровке», - считает Вячеслав Закоржевский из «Лаборатории Касперского». «В случае, если исследователи найдут способ расшифровки файлов, заблокированные данные могут быть восстановлены в будущем», - уверены и в Positive Technologies. Господин Закоржевский при этом советует попытаться восстановить резервные копии, если таковые имеются.

5 Сколько в мире «Петь»?

В «Лаборатории Касперского» подсчитали, что число вредоносных программ для атак только на устройства Интернета вещей превышает семь тысяч, причем более половины из них появились за первые шесть месяцев 2017 года. А всего в мире работают больше 6 миллиардов подключенных к Интернету устройств. По словам Закоржевского, интенсивность по киберугрозам в мире ежедневно меняется, но все же не сильно. Скорее, меняется география атак. И еще влияют на «киберстатистику» время суток и национальные праздники.

У основных игроков рынка, работающих на рынке информационной безопасности, есть онлайн-карты, показывающие количество атак в реальном времени по всему миру. Эти данные основаны на данных пользователей, поставивших у себя тот или иной «антивирусник». Руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский рассказал, как читают профессионалы такие карты и где расположено большинство хостингов, являющихся «рассадником» фишинга и прочих «зловредов».

По оценкам DriverPack, полностью беззащитны перед компьютерными вирусами более 35% пользователей в России. «Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB», - уверены эксперты. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.

Николай Нелюбин, специально для «Фонтанки.ру»

27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.

Особенности Petya

Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».

Petya образца 2016 года

Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.

Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .

Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.

Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).

При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .

Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.