Ох уж этот Petya. Главное, что нужно знать о вирусе-вымогателе

Эпидемия продолжается, авторы пока не установлены
Экран вируса Petya
Экран вируса Petya

Во вторник вирус, похожий по своему действию на майский эксплойт WannaCrypt0r (или WannaCry) атаковал компьютеры в корпоративных сетях России и Украины. Пострадали серверы Роснефти и Башнефти, металлургической компании Evraz и Хоум Кредит Банк. Украинские пользователи сравнили ущерб от вируса с необъявленной войной (в стране высказывались разные предположения, откуда пришла угроза, не раз назывался и российский след). Petya повлиял на работу сайтов всех трех основных сотовых операторов, энергетических компаний, банков, киевского метрополитена и даже правительственных структур.

Криптус собрал главное, что известно об этом вирусе и что о нем нужно знать.

Что такое Petya

Как и WannaCry, этот вирус относится к шифровальщикам. Его создатели вымогают у жертвы деньги в обмен на ключ для дешифровки данных на диске. Сравнивать степень опасности двух вирусов бессмысленно – она примерно одинакова, хотя принцип их действия отличается. Petya может зашифровать не только файлы на компьютере, но и оглавление жесткого диска, где хранится информация о расположении файлов. Без этого оглавления содержимое носителя становится бессмысленным набором нулей и единиц.

Первыми вирус распознали в антивирусной компании Eset, где сразу же оговорились, что Petya представляет собой модифицированную версию прошлогоднего эксплойта, который успешно распознается большинством антивирусных продуктов. А Лаборатория Касперского предложила помощь всем пострадавшим через свои страницы в социальных сетях. Кстати, специалисты Лаборатории отказываются называть этот вирус модифицированным Petya, хотя и признают наличие нескольких общих строк кода. Там его называют ExPetr. А в Symantec говорят, что вирус напоминает другой прошлогодний эксплойт под названием Mischa.

Уязвимость, позволявшая выполнить вредоносный код, была устранена еще весной до появления WannaCry, так что оба вируса затронули только тех пользователей, кто не установил последние версии обновлений операционной системы.

Источник вируса

Специалисты антивирусной компании Eset считают, что «посев» произошел где-то в украинских сетях. Подтверждением этому может служить одновременный массовый отказ систем внутри страны. Такое происходит, если источником заражения является какая-то программа, получающая обновления из одного источника. Этой программой в Eset называют бухгалтерское ПО M.E.Doc, активно используемое украинскими компаниями как наиболее приспособленное для сдачи налоговой отчетности в электронном формате.

Сергей Володин, специалист компании «Антифишинг», лично разбирал один из случаев заражения сервера, с которым в последние дни никто напрямую не работал. Единственной подозрительной строчкой в журнале событий оказалось обращение к серверу обновлений бухгалтерского ПО. Володин проверил полученные в разные дни файлы и заметил, что они отличаются по размеру, хотя версия продукта была указана одна и та же.

В Eset считают, что распространение вируса началось еще 22 июня, но активирован он был спустя почти неделю, что и дало столь масштабный эффект.

Petya, остановись!

В среду компания Symantec, занимающаяся вопросами кибербезопасности, опубликовала простой рецепт, позволяющий не допустить заражения компьютера вирусом-вымогателем.

Для этого необходимо создать в папке WINDOWS на диске C пустой файл с названием perfc. Никаких расширений у этого файла быть не должно. На всякий случай специалисты рекомендуют поставить ему атрибут «Только для чтения». Как показано на скриншоте, размещенном в Твиттер-аккаунте Symantec, исполняемый код проверяет наличие этого файла и останавливает процесс шифрования компьютера. Но не решает проблему его дальнейшего распространения.

На деле же вирус Petya, или ExPetr, или Mischa (а скорее, все сразу) продолжает заражать компьютеры уже за пределами Украины и России. Еще накануне о проблемах сообщила британская рекламная группа WPP и оператор морских грузовых перевозок Maersk. В среду распространение вируса продолжилось. Интерфакс сообщил о случаях заражения в Италии, Израиле, Сербии, Венгрии, Румынии, Польше, Аргентине, Чехии, Германии, Великобритании и США. Россия по количеству инфицированных компьютеров оказалась только на 14 месте в общем списке.

Соцсети
Сайт сделан в Бреле 2017