Защита от пети. Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы
27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.
Особенности Petya
Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».
Petya образца 2016 года
Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.
Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .
Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.
Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).
При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .
Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.
27 июня страны Европы поразила атака вируса-вымогателя, известного под безобидным именем Petya (в различных источниках также можно встретить названия Petya.A, NotPetya и GoldenEye). Шифровальщик требует выкуп в биткоинах, эквивалентный 300 долларам. Заражены десятки крупных украинских и российских компаний, также фиксируется распространение вируса в Испании, Франции и Дании.
Кто попал под удар?
Украина
Украина стала одной из первых стран, подвергшихся атаке. По предварительным оценкам, атакованы около 80 компаний и госучреждений:
На сегодняшний день вирус не просто шифрует отдельные файлы, а полностью забирает у пользователя доступ к жесткому диску. Также вирус-шифровальщик использует поддельную электронную подпись Microsoft, которая показывает пользователям, что программа разработана доверенным автором и гарантирует безопасность. После заражения компьютера вирус модифицирует специальный код, необходимый для загрузки операционной системы. В результате при запуске компьютера загружается не операционная система, а вредоносный код.
Как защититься?
- Закройте TCP-порты 1024–1035, 135 и 445.
- Обновите базы ваших антивирусных продуктов.
- Так как Petya распространяется при помощи фишинга, не открывайте письма из неизвестных источников (если отправитель известен, уточните, безопасно ли это письмо), будьте внимательны к сообщениям из соцсетей от ваших друзей, так как их аккаунты могут быть взломаны.
- Вирус ищет файл C:\Windows\perfc , и, если не находит его, то создаёт и начинает заражение. Если же такой файл на компьютере уже есть, то вирус заканчивает работу без заражения. Нужно создать пустой файл с таким именем. Рассмотрим этот процесс подробнее.
Методом защиты поделился ресурс BleepingComputer. Для удобства они подготовили скрипт , который сделает всю работу за вас, а ниже приведена подробная инструкция на случай, если вы захотите сделать всё самостоятельно.
Инструкция по защите от Petya
В настройках «Параметры папки» отключите опцию «Скрывать расширения для зарегистрированных типов файлов». Это позволит создать файл без расширения.
Перейдите в папку C:\Windows и найдите файл notepad.exe :
Создайте копию этого файла (система запросит подтверждение):
Переименуйте полученную копию файла в perfc :
Система выдаст предупреждение, что файл может оказаться недоступным:
Информация которую стоит знать любому пользователю о вирусе Petya.
Что это за вирус?
- Во вторник 27 июня 2017 года в сети появился вирус под названием Petya. Были атакованы компании Роснефть и банк Хоум Кредит. После выполнения эта угроза перезаписывает главную загрузочную запись (MBR) с помощью Ransom: DOS / Petya.A и шифрует сектора системного диска. Происходит это поочередно так: Заставляет ПК пере загрузиться и выводит фальшивое системное сообщение, которое отмечает предполагаемую ошибку на диске и показывает фальшивую проверку целостности: Далее вы получите следующее сообщение, содержащее инструкции по покупке ключа для разблокировании системы.
- Вирус шифрует файлы на всех дисках о кроме папки Windows на диске C: следующие расширение шифруемых файлов:
- Не давно была атака вируса WannaCry который многим похож на вирус Petya о котором говорим в этой статье. Ну для начала схожесть у них что они крипто вирусы, это вирусы которые шифруют файлы пользователя требуя за расшифровку выкуп. Как утверждает Лаборатория Касперский это не тот вирус как раньше Petya а название его ExPetr, то есть этот вирус на много модифицирован скажем так что был раньше. Более подробней вы можете узнать на сайте хотя как говориться некоторые строчки кода схожи.
Защита и где можно заразиться?
- Подцепить такой зловред можно в письме по электронной почте файл Петя.apx или с установкой обновления бухгалтерской программы M.E.doc. Ниже есть описание с блога Майкрософт о этой программе налогового уровня M.E.doc. Если в вашей сети дома или на работе появиться зараженная машина, то зловред будет распространяться с помощью все той же уязвимости что и вирус WannaCry по протоколу Smb. Эксплойт который использует уязвимость в Windows-реализации протокола SMB. Корпорация майкрософт как писалось в статье для защиты от WannaCry настоятельно рекомендует установить обновления для всех систем Windows и даже было выпущено обновления для уже давно не поддерживаемых продуктов таких как Windows Xp. Получается защита у вас должна стоят как и для вируса WannaCry так и для Petya одинаково. Более подробней о защите и установке обновлений читайте в статье . Бесплатную защиту от шифровальщиков в довесок к антивирусам и антишпионам можно установить от Касперского. Так же если вы пользуетесь антишпионом то в него уже встроена защита не только от ПНП но и от вымогателей шифровальщиков, на сайте написано на счет шифровальщиков: Не дает злоумышленникам шифровать Ваши файлы с целью получения выкупа. Думаю это самый лучший способ установив MBAM к вашему антивирусу. Вариант от Майкрософт который уже встроен в систему, защитник Windows 8.1 и Windows 10, Microsoft Security Essentials для Windows 7 и Windows Vista. Так же вы можете загрузить для одноразового сканирования на предмет зараженности вашего компьютера всех типов угроз. На сайте Майкрософт есть полное описание вируса откуда взялса и как попадает в систему, более точное описание правда на английском языке. На блоге говориться что первая зараженность точнее вымогательный процесс начался с Украинской компании M.E.Doc которая разрабатывает программное обеспечение налогового учета, MEDoc.
- Точный перевод с использованием Google Translate: Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc.
Расшифровка файлов?
- Пользователям предлагают написать на указанный почтовый ящик доказательства перечисления средств для получения ключа расшифровки. Если вы соберетесь переводить средства для расшифровки файлов то вы не сможете написать на почту зло вреду что вы отправили выкуп. Адрес электронной почты, на который жертвы должны были сообщать когда перечислили средства заблокирован германским провайдером, на их сервере был почтовый ящик. Так что перевести вы сможете а выслать вам ключ не смогут. Так что скажем официально получить ключ от вымогателей не представиться возможным. Кошелек вымогателей известный на данный момент 1 июля 2017 года, данные по поступлениям обновляются в течении 15 секунд. Чтобы остановить вирус на компьютере жертвы нужно создать пустой файл на диске C:\Windows\ perfc в свойствах указать только для чтения. Именно дешифровальщиков пока еще нет исключение для старых версий вируса на GitHub .
Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.
Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetyaКак ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом
При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это
ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:Как Уберечь Себя От Вируса Petya
Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip
ОБНОВЛЕНО 29.06.2017
Также рекомендую загрузить оба файла просто в папку Windows. Много источников пишут, что файл perfc или perfc.dll должен находиться в папке C:\Windows\Что Делать Если Компьютер Уже Поражён Вирусом Petya
Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDiskКто Распространил Вирус Петя По Всей Украине
Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
Вы можете ознакомиться также с другими статьями на тему "Windows 8.1, 7, XP"
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя
Недавно многие интернет ресурсы и компьютеры пользователей подверглись атаке, за ней стоял вирус-вымогатель Petya . Были заблокированы сайты крупнейших госучреждений, от Ощадбанка и сайта правительства до Новой почты и т.д. За последнее время Petya/NoPetya является самым масштабным вирусом, который поразил множество компьютеров. Благо, как и от любого вируса, от него есть возможность защититься и удалить, только ничего не стоит делать самостоятельно.
Petya вирус: как работает?
Компьютерный вирус Петя относится к нише шифровальщиков, он проникает в систему и провоцирует перезапуск системы, а во время загрузки ОС шифрует файлы, а также реестр. По окончании процесса показывается сообщение, в котором требуется выкуп в 300-400$ на биткоин счет, затем придет пароль для обратной расшифровки файлов.
Особенность вируса в том, что он поражает систему необратимым образом и доступа к её функциям нет вовсе. Наибольшее распространение приобрел на территории Украины и России. Эксперты еще устанавливают пути заражения вирусом, но сегодня считается, что он проникал через фальшивое обновление известной программы M.E.Doc. Механизм действия вируса построен на использовании уже известной уязвимости ETERNALBLUE, которая была задействована у печально известной Wanna Cry, а также эксплойт ETERNALROMANCE. При помощи подбора паролей и указанных дыр в защите Windows вирус распространялся и поражал все компьютеры в рамках одной локальной сети.
Настолько широкого распространения как у Wanna Cry вирус не приобрел, так как распространение через сеть не происходит, но использование обоих эксполойтов помогает заразить все компьютеры локальной системы.
Вирус Петя: как удалить?
Вирус Петя защита не всегда помогает, тем более, что на стадии распространения многие антивирусы не распознавали файл в качестве вируса. Столь масштабное поражение ПК не было проигнорировано разработчиками антивирусных сигнатур и риск в дальнейшем столкнуться с вирусом невысок, а вот другие модификации встретить возможно.
Сразу после проникновения в ПК вирус перезапускает его, процедура выполняется принудительно. В процессе загрузки появляется окно, в котором предлагается выполнить процедуру восстановления системы. Ничего не подозревающий пользователь нажимает Enter и начинается процесс шифрования. На самом деле окно, которое подделано под системное CHKDSK, не является оригинальным, таким образом пользователь подтверждает действия вируса.
Не стоит идти на поводу, просто перезагрузить ПК повторно. При помощи F9 перейти к выбору накопителя и перейти на другой диск, если такой есть. Далее необходимо с рабочего стола Windows выполнить сканирование системы на предмет наличия вирусов, сегодня уже практически все передовые антивирусы правильно распознают шифровальщик и позволят удалить его.
Иначе просто выполнить загрузку при помощи диска восстановления (установочный диск или флешка).
Вирус Петя: как защититься?
Вирус Петя как не поймать его на свой компьютер, а соответственно защитить свои данные? Сразу после проявления вируса, его образец поступил ко многим продвинутым администраторам, которые пытались найти методы борьбы с Petya. Сам вирус использует уязвимости системы для проникновения и поражения ее, а программисты нашли уязвимости в коде вредителя.
От пользователя требуется минимальное количество действий, нужно создать файл perfc, который должен находиться в каталоге C:\Windows и иметь параметр «Только чтение». Нельзя назвать метод панацеей, так как дальнейшие модификации вируса обойдут это ограничения и проблема появится снова, но до того времени появится полноценная защита со стороны антивирусов.
Процесс создания файла:
- Изначально стоит сделать доступными расширения файлов для редактирования. Необходимо открыть любую папку и нажать на «Упорядочить» и выбрать «Параметры папок и поиска», если у вас десятка, то пункт можно найти в разделе «Файл»;
- Перейти во вкладку «Вид» и пролистать перечень к концу, снять галочку с раздела «Скрывать расширения для зарегистрированных типов файлов»;
- Теперь создайте или скопируйте любой файл на диске;
- ПКМ по нему и «Переименовать», не стоит менять уже имеющиеся файлы, иначе может возникнуть ошибка;
- Введите имя perfc, никаких расширений стоять не должно и подтвердите окно предупреждения;
- ПКМ по созданному защитному файлу и установить галочку возле «Только чтение».
В большей мере направленность вируса приходится на корпоративные сети, таким образом компания теряет колоссальные средства за простой и это может подвигнуть заплатить вымогателю. Существуют общие способы защиты от всех видов вирусов.
Вирус вымогатель Петя – способы защиты
Команда из Kaspersky Lab определила, что ко многим компаниям на компьютер проник вирус через банальные ссылки на облако, обычно отсылаются файлы типа резюме.
Когда Вирус Петя атаковал, то уже поздно предпринимать действия для защиты, разве что нужно сразу отключить локальную сеть, поэтому нужно защититься предварительно:
- Бекапы – это основа любого бизнеса, без них присутствует высокий риск потери важнейших данных. Важно делать 2 копии: первая хранится на облаке, вторая на обычном съемном диске и заблокировать доступ к редактированию и изменению файлов на накопителе;
- Фишинг – подделка сайтов, писем и т.д. от других организаций, например, банков, магазинов, интернет ресурсов информационного характера. Помимо подделанного текста всегда в сообщении есть ссылка на страницу, которая загрузит файл, скрипт и система будет поражена вирусом;
- Взлом – друзей, знакомых могут взломать в Skype, ВК, Gmail, Facebook и т.д. не стоит доверять никому, иначе можно получить вирус Petya;
- Загружая файлы из сети обратите внимание на расширения, самые опасные – exe, vbs и scr.
- Выполняйте обновления антивируса, ОС.
Заключение
Новый вирус Петя по сути использует уже известные уязвимости с целью получения прав администратора, потом вводит пользователя в заблуждение поддельным окном восстановления. Таким образом, когда вы уже знаете алгоритм действия Petya/NoPetya, можно не попасть на удочку злоумышленников.
Если у Вас остались вопросы по теме «Как удалить или защититься от вируса вымогателя Petya?», то можете задать их в комментариях
if(function_exists("the_ratings")) { the_ratings(); } ?>