Кто такой этот Petya

Во вторник по миру распространился новый вирус-вымогатель. На самом деле, он старый
Экран вируса Petya
Экран вируса Petya

Днем во вторник стали поступать сообщения о сбоях в компьютерных системах в России и Украине. Пострадали Роснефть, Башнефть, Evraz, Хоум Кредит Банк. Что касается Украины, то тут проще назвать компании, не затронутые атакой. О них мы писали раньше.

В первых сообщениях СМИ говорилось о вирусе-вымогателе, принцип действия которого похож на недавний WannaCry, шифровавший пользовательские данные и предлагавший в обмен на ключ для их восстановления перечислить определенную сумму на биткоин-адрес. Однако, уже через час специалисты антивирусной компании Eset сообщили, что в этот раз речь идет не о модификации WannaCry, а о совершенно другом коде, который известен еще с весны 2016 года. Он называется Win32/Diskcoder.Petya и прекрасно определяется практически всеми антивирусными продуктами, в том числе и встроенным в операционную систему Windows Defender.

Petya распространяется посредством фишинговых сообщений по почте (украинские пользователи подтвердили, что действительно получали странные письма за несколько часов до обвала систем), а после сохранения на диске требует его запуска. В отличие от WannaCry, шифрующего файлы, Petya требует доступа к диску в обход операционной системы – он шифрует не файлы, а саму файловую систему, данные о которой хранятся в защищенном разделе жесткого диска и недоступны стандартным приложениям, в том числе, и вирусам.

После запуска программы, которая требует предоставить ей расширенные права, вирус пытается распространиться по локальной сети, подменяет параметры загрузки системы, после чего выводит ее из работоспособного состояния с так называемым «синим экраном смерти» (Blue screen of death, BSOD). В процессе перезагрузки пользователь видит, как ему кажется, стандартный экран проверки диска, под который замаскировано пользовательское окно вируса. На шифрование файловой системы требуется совсем немного времени – всего несколько минут, и это значительно быстрее, чем в случае с WannaCry. По окончании процесса пользователю выводится сообщение с предложением перечислить деньги за ключ для расшифровки.

Вот так работала первая версия Petya:

Демонстрация работы вирса Diskcoder Petya

Правила безопасности

Вирус во многом рассчитан на невнимательное поведение пользователя с почтой и антивирусными программами. Вот несколько советов, которые помогут уменьшить риск заражения:

  • Обязательно установите антивирусную программу. Скорее всего, она «поймает» вирус в тот момент, когда он попытается внести изменения в системные настройки и заблокирует его;
  • Если антивирус на компьютере есть, проверьте, давно ли он обновлялся и работает ли в принципе;
  • Внимательно следите за вложениями электронной почты. Не открывайте никакие файлы, даже если они пришли от известного отправителя. А от неизвестного – тем более;
  • Следите за сообщениями, которые выдает операционная система, когда открываете программу. Вирусу нужны повышенные права, и он их обязательно попросит. Это – один из главных признаков, что запускается что-то опасное;
  • Если после запуска такой программы система «упала» с синим экраном и пошла в перезагрузку, ни в коем случае не продолжайте. Немедленно выключите компьютер и обратитесь к профессионалу. В этот момент все ваши данные целы, с ними пока ничего не случилось, а значит – их можно скопировать с зараженного диска. Вероятнее всего, в этот момент еще сохраняется шанс и «вылечить» саму операционную систему.
Соцсети
Сайт сделан в Бреле 2017