Вирус Petya заражает компьютеры по всему миру. Чем он опасен и как спастись?
[Win32/Diskcoder.Petya.C]
Вирус Petya вышел за пределы России и Украины, об атаках на компьютеры сообщили компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.
Petya шифрует главную загрузочную запись (MBR) на жёстком диске и выводит на мониторе требование выкупа за дешифрацию данных — эквивалент 300 долларов США в биткоинах. Как этот вирус попадает на компьютеры и какие версии Windows он заражает, пока неизвестно.
О вирусе Petya.A стало известно в апреле 2016 года. Он распространялся по электронной почте. Адресат запускал приложенный к письму exe-файл и предоставлял программе права администратора, после чего она показывала поддельный BSOD (синий экран смерти). После перезагрузки вирус запускал поддельную утилиту, замаскированную под проверку диска, и зашифровывал данные в накопителе, причём не целиком, а частично. Файлы можно было спасти, если вовремя пресечь зловредную активность на этапе появления BSOD: экстренно выключить компьютер, подключить винчестер к незаражённой машине и сделать бэкап.
С той поры Petya мутировал и теперь, вероятно, распространяется по другой схеме. Обновлённый код позволяет ему обходить антивирусную проверку и проникать в хорошо защищённые компьютерные сети частных компаний и государственных организаций. Раньше инструкция по переводу денег была размещена на специальном сайте, а теперь сайта нет, подробная информация приводится на экране, с помощью которого Petya блокирует доступ к операционной системе. Пользователю предлагается перевести деньги на указанный кошелёк и написать хакерам на электронную почту, после чего ему придёт код для расшифровки файлов, который нужно ввести на тот же экран.
По данным ESET Israel, компьютеры компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает запись MBR, но не трогает сами данные. Вирус распространяется через уязвимость в SMB, но это, вероятно, не единственный способ его появления на компьютере.
Попробовать вернуть файлы можно с помощью программы TestDisk, выбрав в опциях восстановление MBR. Как обезопасить свой компьютер закрыв определённые TCP-порты, читайте в инструкции на нашем сайте. Защититься от вируса такого типа также помогает программа MBRFilter, которая препятствует повреждению MBR.
Часть 2
Вирус Petya.A: как работает, как уберечься, как удалить вредоносную программу
ирус Petya.A: как работает, как уберечься, как удалить вредоносную программу, атаковавшую сегодня компьютеры на Украине и в России.
Уже известно, что вирус Petya.A не является совсем новым – он похож на своего предшественника вирус WannaCry, и также шифрует файлы алгоритмами RSA-4096 и AES-256. Расшифровываются они исключительно с помощью приватного ключа, хранящегося на удаленном сервере. Получить его можно только заплатив создателям вредоносной программы.
Несмотря на сходство внешнего вида надписи на системную ошибку, она таковой не является. В это время вирус Petya.A шифрует данные. При попытке остановить процесс и перезагрузить компьютер на экран выскакивает красный скелет и слова «Нажмите любую клавишу!».
Выполнив требуемое действие, пользователь видит сообщение о выкупе, заплатив который, он снова получит доступ к своим данным. На это дается неделя, после чего сумма выкупа увеличивается вдвое.
Как только Petya.A. попадает в систему, он начинает переписывать загрузочные файлы и мастер записи, без которого не обойтись при загрузке системы.
Как удалить вирус Petya.A. Сделать это крайне трудно – можно попытаться восстановить настройки вышеупомянутого мастера записи. Но и после этих манипуляций и удаления вредоносной программы файлы будут зашифрованными. Ведь исчезнут только инфекционные файлы, а удаление вируса не расшифрует пострадавшие файлы.
Как уберечься от вируса Petya.A. В большинстве случае пользователи «ловят» его через электронную почту. Точнее, через спам-сообщения – в них есть ссылки на скачивание файлов с Dropbox под названием «приложение folder-gepackt.exe». При загрузке и открытии этих файлов вирус Petya.A и попадает в систему.
Между тем, в одной из украинских IT-компаний рассказали – хакерская атака вирусом Petya.A направлена на интернет-провайдеров. Поймать вирус можно при включении компьютера и входе в браузер.
Вирус Petya.A: как работает, как уберечься, как удалить вредоносную программу – полезные советы в свете масштабной хакерской атаки.
