Как защититься от вируса петя


Как работает вирус Petya (Петя) и как от него защититься — СКБ Контур

В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.

Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.

Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».

Как это происходит и можно ли этот процесс предупредить?

Вирус «Петя» — как работает?

Вирус Petya известен также под другими названиями: Petya.A, PetrWrap, NotPetya, ExPetr. Попадая в компьютер, он скачивает из интернета шифровальщик и пытается поразить часть жесткого диска с данными, необходимыми для загрузки компьютера. Если ему это удается, то система выдает Blue Screen of Death («синий экран смерти»). После перезагрузки выходит сообщение о проверке жесткого диска с просьбой не отключать питание. Таким образом, вирус-шифровальщик выдает себя за системную программу по проверке диска, шифруя в это время файлы с определенными расширениями. В конце процесса появляется сообщение о блокировке компьютера и информация о том, как получить цифровой ключ для дешифровки данных. Вирус Petya требует выкупа, как правило, в биткоинах. Если у жертвы нет резервной копии файлов, она стоит перед выбором — заплатить сумму в размере $300 или потерять всю информацию. По мнению некоторых аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель —  нанесение массового ущерба. 

Как избавиться от Petya?

Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.

Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:

  • Для начала нужно разобраться с расширением файлов. Убедитесь, что в окне «Параметры папок» в чекбоксе «Скрыть расширения для зарегистрированных типов файлов» нет галочки.
  • Откройте папку C:\Windows, прокрутите вниз, пока не увидите программу notepad.exe. 
  • Кликните по notepad.exe левой кнопкой, затем нажмите Ctrl + C, чтобы скопировать, а затем Ctrl + V, чтобы вставить файл. Вы получите запрос с просьбой предоставить разрешение на копирование файла.
  • Нажмите кнопку «Продолжить», и файл будет создан как блокнот — Copy.exe. Кликните левой кнопкой мыши по этому файлу и нажмите клавишу F2, а затем сотрите имя файла Copy.exe и введите perfc.
  • После изменения имени файла на perfc нажмите Enter. Подтвердите переименование.
  • Теперь, когда файл perfc создан, нужно сделать его доступным только для чтения. Для этого кликните правой кнопкой мыши на файл и выберите «Свойства».
  • Откроется меню свойств этого файла. Внизу вы увидите «Только для чтения». Поставьте галочку.
  • Теперь нажмите кнопку «Применить», а затем кнопку «ОК». 

Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.

Поздравляем, ваш компьютер защищен от NotPetya / Petya!

Как бороться с вирусом-вымогателем: общие рекомендации

Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.  

  1. Не платите деньги злоумышленникам. Даже если вы перечислите деньги вымогателям, нет никакой гарантии, что вы сможете восстановить доступ к своим файлам. А в случае с NotPetya / Petya это в принципе бессмысленно, потому что цель шифровальщика — уничтожить данные, а не получить деньги.
  2. Убедитесь, что вы регулярно создаете резервные копии данных. В этом случае, даже если ваш ПК станет объектом атаки вируса-вымогателя, вы сможете восстановить любые удаленные файлы. 
  3. Не открывайте электронные письма с сомнительными адресами. Злоумышленники будут пытаться обмануть вас при установке вредоносных программ или постараются получить важные данные для атак. Обязательно сообщайте ИТ-специалистам о случаях, если вы или ваши сотрудники получают подозрительные письма, ссылки.
  4. Используйте надежное программное обеспечение. Важную роль в защите компьютеров от заражений играет своевременное обновление антивирусников. И, конечно, нужно использовать продукты авторитетных в этой области компаний.
  5. Используйте механизмы сканирования и блокировки сообщений со спамом. Входящие электронные письма должны проверяться на наличие угроз. Важно, чтобы блокировались любые типы сообщений, которые в своем тексте содержат ссылки или типичные ключевые слова фишинга.
  6. Убедитесь, что все программы обновлены. Регулярное устранение уязвимостей программного обеспечения необходимо для предотвращения заражений.

Предотвратим потерю информации

Узнать больше

Стоит ли ждать новых атак?

Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться. 

Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.   

kontur.ru

Как защититься от вируса Петя

За последнюю неделю многие слышали об хакерской атаке по всему миру. А также эта хакерская атака больше всего вреда принесла Украине и России, а так как нас в большинстве читают пользователи как раз этих стран, то мы решили собрать все способы защиты от вируса Petya.

Поэтому в этой статье Вы узнаете как защититься от вируса Петя. Мы покажем Вам не один способ, а несколько. Вы уже сможете выбрать для себя самый удобный. Также для тех кто уже попался на уловку хакеров мы покажем как удалить вирус Петя самому.

Способ 1. Как защититься от вируса Петя создав файл завершения работы вируса

Сразу же после начала первых масштабных атак, специалисты всего мира начали думать и искать проблему почему так произошло и как с этим бороться. Первую идею предложили специалисты компании Symantec, как по сути можно обмануть вирус на ещё не зараженных компьютерах.

  1. Создайте на рабочем столе файл perfc.dll. Это без проблем можно сделать с помощью простого блокнота, создав простой текстовый файл и переименовал его. Возможно для этого Вам понадобиться включить отображение расширения файлов.
  2. Зайдите по пути C:\Windows и скиньте сюда этот файл любым способом. Например, можно запустить блокнот от имени администратора, открыть созданный файл perfc.dll и сохранить его по этому пути. А также для надежности можете создать 3 файла с именем perfc как у меня.
  3. Измените Атрибут файлов на Только чтение. Это делается в свойствах каждого из файлов.

Как работает этот способ спросите Вы. Легко, вирус после завершения работы создает этот файл сам. Если мы это сделаем за него, то Petya уже подумает что компьютер заражен. Способ действительно простой и надежный.

Многие антивирусные программы не смогли его обнаружить. Хотя Microsoft утверждает, что даже Защитник на последних сборках с лёгкостью с ним справится. Так ли это, проверять не стал, сразу решил перестраховаться.

Способ 2. Как защититься от вируса Petya закрыв нужные вирусу порты

Для защиты нам понадобиться всего лишь закрыть на компьютере определенные TCP порты которые использует вирус для заражения. Этот способ также без проблем подойдет как на предыдущих операционных системах, так и на Windows 10. Я покажу как это сделать на примере Windows 10, последней версии.

  1. Откройте стандартную панель в поиске начав вводить Панель управления, и выберите Классическое приложение.
  2. Переходим по пути Система и безопасность => Брандмауэр Windows, и выбираем пункт Дополнительные параметры.
  3. В открывшимся окне переходим в Правила для входящих подключений и нажимаем Создать правило.
  4. Тип правила выбираем Для порта и нажимаем Далее. Здесь выбираем Протокол TCP и указываем собственно порты 1024-1035, 135, 445, которые использует вирус Петя.
  5. В шаге Действие ставим отметку на Блокировать подключение. Далее в Профиль оставляем все галочки установленными и в следующем пункте задаем Имя правила и собственно создаем само правило.
  6. На всякий случай такое же правило создаем в пункте Правила для исходящих подключений.

Способ 3. Защитить компьютер от вируса Petya в автоматическом режиме

Совсем для ленивых можно защитится от вируса Пети используя всего лишь файл WinddProtivPetya.bat. Или самостоятельно создать его у себя на компьютере.

  1. Открываем блокнот и вставляем в него нижеуказанный код. Сохраняем файл и любым способом меняем расширения файла на .bat.
    @echo offecho Administrative permissions required. Detecting permissions...
 echo.
 net session >nul 2>&1if %errorLevel% == 0 (
 if exist C:\Windows\perfc (
 echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
 echo.
 ) else (
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
 echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.datattrib +R C:\Windows\perfc
 attrib +R C:\Windows\perfc.dll
 attrib +R C:\Windows\perfc.datecho Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
 echo.
 )
 ) else (
 echo Failure: You must run this batch file as Administrator.
 )
 netsh advfirewall firewall add rule name="Petya TCP" dir=in action=block protocol=TCP localport=1024-1035,135,139,445
 netsh advfirewall firewall add rule name="Petya UDP" dir=in action=block protocol=UDP localport=1024-1035,135,139,445
 pause
  2. Нажимаем на него правой кнопкой мыши и в контекстном меню выбираем пункт Запуск от имени администратора.

После выполнения батника у Вас автоматически сделаются способ 1 и способ 2, как на меня так удобней и быстрее. Не забудьте открыть .bat файл от имени администратора, иначе изменений не будет. В принципе после этого Вы можете проверить создались ли файлы и были ли созданы новые правила.

Как удалить вирус Петя

Если Вы уже попались на уловку хакеров, увидели экран смерти и с перепуга выключили компьютер, тогда у Вас ещё есть шанс восстановить все самому.

  1. Вам нужно сделать загрузочный диск или загрузочную флешку с антивирусом, который может вылечить компьютер от вируса Petya. Для этого подходят, например, Kaspersky Rescue Disk или ESET NOD32 LiveCD.
  2. Запускаете любого из них с флешки на компьютере и ждете пока антивирус найдет и удалит Петю.
  3. Если файлы все же успели зашифроваться, тогда можете использовать подходящие для расшифровки файлов утилиты, здесь Вам может помочь, например,  Shadow Explorer или Stellar Phoenix Windows Data Recovery.

Заключение

Советую быть осторожными со само распаковывающимся архивами особенно с расширением .exe. Так как в большинстве случаев Вы словите или вирус или много мусора. Ну и как говорится лучше предотвратить, чем долго исправлять. Также на счет удалить вирус Петя, то переустановку операционной системы никто не отменял.

windd.ru

найден простой способ обмануть вымогателя

Компания по разработке програмного обеспечения Symantec нашла простой способ защитить компьютер от вируса вымогателя Petya (Петя). Специалисты рекомендуют сделать вид, что устройство уже заражено.

Удалось установить, что во время атаки вирус ищет на зараженной машине файл C:\Windows\perfc. Если он существует, вредоносная программа прекращает свою работу.

Во время атаки вирус ищет на компьютере файл C:\Windows\perfc. Пользователям рекомендуют самим создать такой файл, чтобы обмануть вирус Фото: www.symantec.com

Программисты рекомендуют пользователям создать либо файл perfc (без расширения), либо perfc.dll. В обоих случаях для этих целей можно воспользоваться обычным текстовым редактором «Блокнот». Также советуют сделать файл доступным только для чтения, чтобы вирус не смог внести в него изменения.

Так выглядит экран компьютера, зараженного вирусом Petya Фото: www.symantec.com

Во вторник, 27 июня, сначала Украина и Россия, а вслед за ними другие страны Европы и США пострадали от атак вируса-вымогателя Petya. Кроме того, случаи заражения были зафиксированы в Индии и Китае. Вредоносная программа блокирует работу компьютеров и шифрует находящиеся на машине данные. В обмен на дешифровку она требует перевести на указанный адрес 300 долларов в биткоинах.

В результате атак пострадали компьютеры правительственных организаций, банков, различных предприятий и коммерческих фирм. Отмечается, что принцип действия Petya напоминает работу вируса WannaCry, который распространился по миру месяц назад.

КСТАТИ

Новый вирус-вымогатель Petya маскируется под резюме кадровикам

Во вторник, 27 июня, крупнейшие компании России и Украины подверглись атаке вируса-вымогателя Petya. В числе пострадавших оказались компьютеры "Роснефти", "Башнефти", Ощадбанка и Приват банка, а также Nivea, Mars и других (подробности)

ЧИТАЙТЕ ТАКЖЕ

За чем на самом деле охотились хакеры, устроившие суператаку вируса WannaCry

Как и предполагала «КП», массовая кибер-атака 12 мая оказалась прикрытием для похищения баз данных, хранящихся на серверах государственных структур, в том числе персональных данных россиян. Напомним, в пятницу днем на десятках тысячах компьютеров появился вирус-шифровальщик WannaCry, который не давал возможность открывать хранящиеся на дисках данные, а за расшифровку требовал 300 долларов в криптовалюте (виртуальные деньги, которыми можно анонимно расплачиваться в цифровом мире) (подробности)

www.kp.ru

Как победить вирус Petya / Positive Technologies corporate blog / Habr

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.


Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

На данный момент число транзакций увеличилось до 45.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).

Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.

Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей [email protected] был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.

Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

  • C:\Windows\perfс
  • Задача в планировщике Windows с пустым именем и действием (перезагрузка)
  • "%WINDIR%\system32\shutdown.exe /r /f"

Срабатывание правил IDS/IPS:
  • msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;
  • msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;
  • msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;
  • msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1
  • msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1

Сигнатуры:

habr.com

Вирус Petya. Что это такое и как защититься? — DRIVE2

27 июня украинские государственные структуры и частные компании попали под удар "вируса-вымогателя" под названием Petya.A. Кибератаке подверглись Кабинет Министров, "Ощадбанк", "Укрэнерго", "Новая почта", аэропорт Борисполь, Чернобыльская АЭС и другие организации. "ГОРДОН" рассказывает, как работает вирус Petya.A и можно ли от него защититься.

ля разблокирования компьютера вирус требует перечислить $300 на Bitcoin-кошелек Фото: Евгений Бородай /

Что такое Petya.A?

Это "вирус-вымогатель", который зашифровывает данные на компьютере и требует $300 за ключ, позволяющий их расшифровать. Он начал инфицировать украинские компьютеры около полудня 27 июня, а затем распространился и на другие страны: Россию, Великобританию, Францию, Испанию, Литву и т.д. На сайте Microsoft вирус сейчас имеет "серьезный" уровень угрозы.
Заражение происходит благодаря той же уязвимости в Microsoft Windows, что и в случае с вирусом WannaCry, который в мае поразил тысячи компьютеров во всем мире и нанес компаниям около $1 млрд ущерба.
Вечером киберполиция сообщила, что вирусная атака происходила через программу M.E.Doc, предназначенную для электронной отчетности и документооборота. По данным правоохранителей, в 10.30 вышло очередное обновление M.E.Doc, с помощью которого на компьютеры скачивалось вредоносное программное обеспечение.
В M.E.Doc обвинения опровергли, отметив, что все обновления проверяются крупными антивирусными компаниями и разработчик не получил ни одного обращения о заражении вирусом персонального компьютера. На официальном сайте M.E.Doc сообщалось, что серверы разработчика тоже попали под вирусную атаку.
Petya.A – это новая модификация криптовымогателя Petya, о котором было известно еще в 2016 году (с этим не согласна "Лаборатория Касперского", утверждающая, что вирусы не связаны между собой).
Petya распространялся с помощью электронной почты, выдавая программу за резюме сотрудника. Если человек пытался открыть резюме, вирус просил предоставить ему права администратора. В случае согласия пользователя начиналась перезагрузка компьютера, затем жесткий диск шифровался и появлялось окно с требованием "выкупа".

При этом сам вирус Petya имел уязвимость: получить ключ для расшифровки данных можно было с помощью специальной программы. Этот метод в апреле 2016-го описывал редактор Geektimes Максим Агаджанов.

Однако некоторые пользователи предпочитают платить "выкуп". Согласно данным одного из известных кошельков Bitcoin, создатели вируса получили 3,64 биткоина, что соответствует приблизительно $9100.

Кто попал под удар вируса?

В Украине жертвами Petya.A в основном стали корпоративные клиенты: госструктуры, банки, СМИ, энергетические компании и другие организации.

Среди прочих под удар попали предприятия "Новая почта", "Укрэнерго", OTP Bank, "Ощадбанк", ДТЭК, Rozetka, "Борис", "Укрзалізниця", ТНК, "Антонов", "Эпицентр", "24 канал", а также аэропорт Борисполь, Кабинет Министров Украины, Госфискальная служба и другие.

Атака распространилась и на регионы. К примеру, на Чернобыльской АЭС из-за кибератаки перестал работать электронный документооборот и станция перешла на ручной мониторинг уровня радиации. В Харькове оказалась заблокированной работа крупного супермаркета "Рост", а в аэропорту регистрацию на рейсы перевели в ручной режим.

Полный размер

Из-за вируса Petya.A в супермаркете

По данным издания "Коммерсантъ", в России под удар попали компании "Роснефть", "Башнефть", Mars, Nivea и другие.

Как защититься от Petya.A?

Инструкции о том, как защититься от Petya.A, опубликовали Служба безопасности Украины и киберполиция.
Киберполиция советует пользователям установить обновления Windows с официального сайта Microsoft, обновить или установить антивирус, не загружать подозрительные файлы из электронных писем и немедленно отсоединять компьютер от сети, если замечены нарушения в работе.

СБУ подчеркнула, что в случае подозрений компьютер нельзя перезагружать, поскольку шифрование файлов происходит именно при перезагрузке. Спецслужба порекомендовала украинцам сохранить ценные файлы на отдельный носитель и сделать резервную копию операционной системы.

Эксперт по кибербезопасности Влад Стыран писал в Facebook, что распространение вируса в локальной сети можно остановить, заблокировав в Windows TCP-порты 1024–1035, 135, 139 и 445. В интернете есть инструкции о том, как это сделать.

Специалисты американской компании Symantec отметили, что в момент атаки Petya ищет файл С:\Windows\perfc. Если создать этот файл самостоятельно (с помощью "Блокнота"), можно сделать вид, что компьютер уже заражен и избежать шифрования.

График интенсивности заражения вирусом Petya.A. Фото: ЕРА

Что говорят эксперты и чиновники?

Генеральный директор интернет-магазина Rozetka Владислав Чечеткин заявил, что экономические потери Украины от "вируса-вымогателя" могут быть больше, чем "от месяца горячей войны".

Эксперт в области кибербезопасности, технический директор компании SHALB Владимир Цап в комментарии изданию "ГОРДОН" подчеркнул, что ответственность за последствия кибератаки должна нести компания Microsoft, против которой клиенты могут подать иски.

"Они не обеспечили должное качество своего кода. И если фирмы и компании, которые покупали это программное обеспечение, понесли финансовые потери, они должны требовать компенсации. К примеру, если в машине неисправные тормоза, то производитель отзывает всю партию. Microsoft же продает софт и в случае обнаружения ошибок просто извиняется", – подчеркнул Цап.

Пресс-секретарь СБУ Елена Гитлянская не исключила, что кибератака была организована из России или с оккупированных территорий Донбасса. Эту версию озвучил и секретарь СНБО Александр Турчинов, отметив, что после первичного анализа вируса "можно говорить о российском следе".

gordonua.com/publications…zashchititsya-194980.html

www.drive2.ru

Petya — Википедия

Petya (также известна как Petya.A, Petya.D[2], Trojan.Ransom.Petya, PetrWrap[2], NotPetya[2], ExPetr, GoldenEye[2]) — вредоносная программа, сетевой червь и программа-вымогатель, поражающая компьютеры под управлением Microsoft Windows. Первые разновидности вируса были обнаружены в марте 2016 года[3][4].

Программа шифрует файлы на жёстком диске компьютера-жертвы, а также перезаписывает и шифрует MBR — данные, необходимые для загрузки операционной системы[5]. В результате все хранящиеся на компьютере файлы становятся недоступными. Затем программа требует денежный выкуп в биткойнах за расшифровку и восстановление доступа к файлам. При этом первая версия вируса шифровала не сами файлы, а MFT-таблицу — базу данных с информацией о всех файлах, хранящихся на диске[3]. Уплата выкупа является бесполезной, так как версия Petya 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно[6][7].

Первые версии в 2016[править | править код]

Впервые вирус Petya был обнаружен в марте 2016 года. Компания «Check Point» тогда отметила, что, хотя ему удалось заразить меньше компьютеров, чем другим программам-вымогателям начала 2016 года, таким как CryptoWall, поведение нового вируса заметно отличается, благодаря чему он «немедленно был отмечен как следующий шаг в развитии программ-вымогателей»[8]. За восстановление доступа к файлам программа требовала от пользователя 0,9 биткойна (около 380 долларов США по состоянию на март 2016 года)[9]. Другую разновидность программы обнаружили в мае 2016 года. Она содержала дополнительную полезную нагрузку: если вирусу не удаётся получить права администратора для перезаписи MBR и последующего шифрования MFT, он устанавливает на зараженный компьютер другую вредоносную программу — Mischa, которая шифрует файлы пользователя напрямую (такая операция обычно не требует прав администратора), а затем требует выкуп в размере 1,93 биткойна (на тот момент — 875 долларов США)[10][11].

Массовое заражение в 2017[править | править код]

27 июня 2017 года началось массовое распространение новой модификации программы. На этот раз вирус использует те же уязвимости системы, что и WannaCry (к примеру, эксплойт EternalBlue от АНБ и бэкдор DoublePulsar), а за восстановление доступа к данным требует отправить 300 долларов в биткойнах[5]. Однако специалисты не рекомендуют пользователям идти на поводу у вымогателей, поскольку это всё равно не поможет им восстановить доступ к данным: электронный адрес, на который злоумышленники просят отправить данные после осуществления платежа, уже заблокирован провайдером[2][12]. По мнению главного инженера компании «McAfee» Кристиана Бика, эта версия была разработана так, чтобы распространяться максимально быстро[13]. В компании «ESET» заявили, что распространение вредоносной программы началось на Украине через популярное бухгалтерское программное обеспечение M.E.Doc[14]. Атаке подверглись энергетические компании[15], украинские банки[16], аэропорт Харькова[17], Чернобыльская АЭС[18], правительственные сайты. Национальный банк Украины опубликовал на своём сайте официальное заявление о хакерской атаке на банки страны и борьбе с ней[19]. Позднее стали появляться сообщения о хакерской атаке на российские банки, компании, предприятия: «Сбербанк», «Хоум Кредит», «Роснефть», «Башнефть»[20] и «Евраз»[21]. Также сообщения о заражении стали поступать из Италии, Израиля, Сербии, Венгрии, Румынии, Польши, Аргентины, Чехии, Германии, Великобритании, США, Дании, Нидерландов, Испании, Индии, Франции и Эстонии[14][22][23][24].

Согласно сообщениям киберполиции Украины, атака, вероятно, началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которую по всей стране используют для подготовки и отправки налоговой отчетности[25]. Это может объяснить, почему пострадало большое количество украинских организаций, в том числе правительство, банки, государственные энергетические компании, киевский аэропорт и метро. Так, например, система радиационного мониторинга в Чернобыльской АЭС была отключена от сети, вынуждая сотрудников перейти на ручные счётчики и ручное управление в целом. Вторая волна эпидемии была воспроизведена фишинговой кампанией с вредоносными вложениями[23]. Сама компания M.E.Doc опровергает, что распространение вируса может быть связано с её файлами обновления[26]. Однако специалисты Microsoft подтверждают, что первые случаи заражения начались именно с установки обновления M.E.Doc[27].

По мнению части аналитиков, вирус лишь маскируется под вымогателя, в то время как его истинная цель — не денежная выгода, а нанесение массового ущерба[6]. В пользу этого говорит тот факт, что версия вируса 2017 года (названная NotPetya) не предполагает возможности расшифровки информации на жёстком диске, а уничтожает её безвозвратно. К этому выводу пришёл, в частности, эксперт по информационной безопасности Мэтт Свише, а также специалисты Лаборатории Касперского. Вирусный аналитик Маркус Хатчинс, который в мае 2017 года случайно остановил распространение сетевого червя WannaCry, также допускает, что целью кибератаки был массовый сбой систем, а не получение выкупа, но при этом отрицает, что необратимые повреждения жесткого диска были спланированы злоумышленниками заранее[6]. Исследователь кибербезопасности Николас Уивер выдвинул следующую гипотезу: Petya был «преднамеренной, злонамеренной, разрушительной атакой или, возможно, испытанием, замаскированным под вымогательство»[28]. Специалист под псевдонимом Grugq отметил, что первая версия вируса была «преступным предприятием с целью вымогательства денег», но новая версия явно предназначена не для этого[29]. Он также добавил:

Вероятнее всего, этот червь предназначен для быстрого распространения и нанесения максимального ущерба с помощью правдоподобного, на первый взгляд, вымогательства.

К тому же, механизм вымогательства вредоносного ПО сконструирован неумело и являлся вовсе бесполезным: единственный адрес плохо зашифрован, то есть движение денег можно отследить. Ещё одной недоработкой можно отметить требование отправить 60-значный персональный идентификационный ключ заражённой машины с компьютера, который невозможно копировать и вставлять[23]. Более того, специалисты Лаборатории Касперского выяснили, что в новой версии вируса этот ключ — ничего не значащий набор случайных символов[2]. Это может говорить о том, что создатели вируса, скорее всего, и не собирались расшифровывать данные.

Поскольку основной удар кибератаки пришёлся на Украину, существует гипотеза о том, что эта атака является политически мотивированной. В пользу этой версии говорит и то, что 28 июня — День Конституции на Украине[30][31].

Большинство крупных антивирусных компаний заявляют, что их программное обеспечение обновлено, чтобы активно обнаруживать и защищать от заражений вируса: например, продукты компании Symantec используют сигнатуры обновлённой версии 20170627.009[5]. Лаборатория Касперского также заявляет, что её программное обеспечение готово к обнаружению вредоносного ПО и защите от него[2]. Кроме того, актуальные обновления Windows исправляют уязвимость EternalBlue, что позволяет остановить один из основных способов заражения, а также защитить пользователей от будущих атак с разного рода полезными нагрузками[32].

Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.[33] Однако такая «вакцина» на самом деле не предотвращает заражение: вредоносное ПО по-прежнему будет использовать «точку опоры» на заражённом ПК, с целью распространиться в другие компьютерные системы через локальную сеть[23].

По мнению части аналитиков, называть новую угрозу «Petya», строго говоря, неверно. Вредоносное ПО действительно обладает значительным количеством кода с более старой областью, предназначенной для вымогательства, которая идентифицируется антивирусными системами, как Petya. Однако уже через несколько часов после начала эпидемии, некоторые исследователи по информационной безопасности заметили, что это сходство весьма поверхностно[29]. Исследователи из Лаборатории Касперского отказались называть вредоносную программу «Petya» — вместо этого они используют термины New Petya, NotPetya, ExPetr[2]. Распространяются и другие варианты этого названия — Petna, Pneytna и прочие. Кроме того, другие исследователи, которые самостоятельно обнаружили вредоносное ПО, определили его совсем другими названиями: например, румынская компания Bitdefender назвала его Goldeneye[23]. С другой стороны, американская компания Symantec считает новую угрозу разновидностью вируса Petya, не присваивая ей какого-то другого названия[5].

  1. ↑ ExPetr интересуется серьезным бизнесом (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  2. 1 2 3 4 5 6 7 8 Новая эпидемия шифровальщика Petya / NotPetya / ExPetr (неопр.). Kaspersky Lab. Дата обращения 28 июня 2017.
  3. 1 2 Petya ransomware eats your hard drives (неопр.). Kaspersky Lab (30 марта 2016). Дата обращения 27 июня 2017.
  4. ↑ Ransom.Petya (неопр.). Symantec | United States (29 марта 2016). Дата обращения 27 июня 2017.
  5. 1 2 3 4 Petya ransomware outbreak: Here’s what you need to know, Symantec Security Response. Дата обращения 27 июня 2017.
  6. 1 2 3 Петя стирает память. Вирус Petya безвозвратно удаляет файлы пользователя (неопр.). Газета.Ру (29 июня 2017). Дата обращения 29 июня 2017.
  7. ↑ Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20 (рус.). Дата обращения 7 июля 2017.
  8. ↑ Decrypting the Petya Ransomware (неопр.). Check Point Blog (11 апреля 2016). Дата обращения 28 июня 2017.
  9. ↑ Вымогатель Petya шифрует жесткие диски (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  10. Constantin, Lucian. Petya ransomware is now double the trouble (англ.), Network World. Дата обращения 28 июня 2017.
  11. ↑ Вместе с шифровальщиком Petya теперь поставляется вымогатель Mischa (неопр.). blog.kaspersky.ru. Дата обращения 28 июня 2017.
  12. ↑ Hacker Behind Massive Ransomware Outbreak Can't Get Emails from Victims Who Paid (англ.). Motherboard. Дата обращения 28 июня 2017.
  13. Burgess, Matt. What is the Petya ransomware spreading across Europe? WIRED explains (англ.), WIRED UK. Дата обращения 28 июня 2017.
  14. 1 2 Лаборатория ESET назвала Украину источником заражения вирусом Petya (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  15. ↑ "Киевэнерго" подверглось хакерской атаке, проблемы ощутило и "Укрэнерго", Интерфакс-Украина. Дата обращения 28 июня 2017.
  16. ↑ Неизвестные хакеры заблокировали компьютеры Ощадбанка в Киеве и вымогают биткоины (рус.). strana.ua. Дата обращения 28 июня 2017.
  17. ↑ Аэропорт Харькова из-за хакерской атаки перешел на регистрацию в ручном режиме (рус.), Interfax.ru (28 июня 2017). Дата обращения 28 июня 2017.
  18. ↑ Из-за кибератак мониторинг Чернобыльской АЭС перевели в ручной режим (рус.) (недоступная ссылка). Новости Mail.Ru. Дата обращения 28 июня 2017. Архивировано 1 августа 2017 года.
  19. ↑ НБУ попередив банки та інших учасників фінансового сектору про зовнішню хакерську атаку (неопр.) (недоступная ссылка). bank.gov.ua. Дата обращения 28 июня 2017. Архивировано 29 июня 2017 года.
  20. ↑ Вирус «Петя.А» уже атаковал компьютеры десятка крупных компаний, Пятый канал. Дата обращения 28 июня 2017.
  21. Наталья Селиверстова. Информационная система Evraz подверглась хакерской атаке, РИА Новости (27 июня 2017). Дата обращения 17 июля 2017.
  22. ↑ ФОТО: Все магазины Ehituse ABC закрыты из-за международной кибератаки, RUS Delfi (28 июня 2017). Дата обращения 28 июня 2017.
  23. 1 2 3 4 5 Solon, Olivia. What is the Petya ransomware attack, and how can it be stopped? (англ.), The Guardian (27 June 2017). Дата обращения 28 июня 2017.
  24. ↑ Huge cyber attack spreading across the world (англ.), The Independent (27 June 2017). Дата обращения 28 июня 2017.
  25. Cyberpolice Ukraine. Це ПЗ має вбудовану функцію оновлення, яка періодично звертається до серверу http://upd.me-doc.com.ua  за допомогою User Agent "medoc1001189". (неопр.). @CyberpoliceUA (27 июня 2017). Дата обращения 28 июня 2017.
  26. ↑ M.E.Doc (рус.). www.facebook.com. Дата обращения 28 июня 2017.
  27. ↑ New ransomware, old techniques: Petya adds worm capabilities (англ.), Windows Security. Дата обращения 28 июня 2017.
  28. ↑ ‘Petya’ Ransomware Outbreak Goes Global — Krebs on Security (англ.). krebsonsecurity.com. Дата обращения 28 июня 2017.
  29. 1 2 the grugq. Pnyetya: Yet Another Ransomware Outbreak (неопр.). the grugq (27 июня 2017). Дата обращения 28 июня 2017.
  30. Lee, David. 'Vaccine' created for huge cyber-attack (англ.), BBC News (28 June 2017).
  31. ↑ Cyberattack Hits Ukraine Then Spreads Internationally (неопр.). The New York Times (27 июня 2017). Дата обращения 28 июня 2017.
  32. ↑ Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003 - MSPoweruser (англ.), MSPoweruser (13 May 2017). Дата обращения 28 июня 2017.
  33. P. T. Security. #StopPetya We have found local “kill switch” for #Petya: create file "C:\Windows\perfc"pic.twitter.com/zlwB8Zimhv (неопр.). @PTsecurity_UK (27 июня 2017). Дата обращения 7 июля 2017.

ru.wikipedia.org

Как защитить компьютер от заражения вирусом Petya.A

27 июня 2017, 17:37 19 697

Как показывают последние события, от опасности, исходящей от компьютерных вирусов и хакеров, не застрахованы даже вполне серьезные компании. Что делать, чтобы ваш компьютер и ваш бизнес не пострадали от хакерских атак?

Поделиться

Твитнуть

Поделиться

Сегодня многие предприятия подверглись серьезной кибератаке. Это уже второй такой случай за последние несколько месяцев. И предыдущий (WannaCry), и сегодняшний (Petya.A) вирусы наносят большой ущерб своим «носителям», но от них можно легко защититься. Что примечательно, эти атаки отличаются только объемом разрушений: методы защиты от вирусов для пользователей были и остаются совершенно одинаковыми.

Читайте также: Вирус-криптовымогатель заблокировал работу массы корпораций Украины

Что происходит: вирус устанавливается на компьютер-носитель и рассылает от имени владельца собственные копии по контактам из адресных книг. Если зараженный компьютер подключен к локальной сети, то вирус распространяется и по ней. Затем вирус блокирует доступ ко всем файлам и требует перечислить деньги на некий счёт для разблокировки.

Вирус работает очень быстро, и ошибка одного пользователя может привести к заражению всех компьютеров в организации.

Сегодняшний активный вирус использует для распространения еще и обновления программы М.Е.Doc – желательно отключить автоматические обновления этой программы до тех пор, пока проблема не будет устранена •

Как избежать заражения

1

Главное правило

Никогда, ни при каких обстоятельствах, не открывать вложения из писем, пришедших с незнакомых адресов, «по ошибке», предназначенных не вам, и так далее.

evo.business

Все, что нужно знать о вирусе Petya, и как с ним бороться

Что такое Petya? Во вторник, 27 июня, компьютерный вирус, направленный на Windows-системы, парализовал работу многих учреждений в Украине, включая банки, государственные предприятия и частные компании. Считается, что это модификация вируса Petya, который свирепствовал еще в 2016 году.

По другим данным, это модификация вируса WannaCry, заразившего более 100 тыс. компьютеров в мае 2017 года.

Что делает вирус Petya

По этому вопросу тоже нет единого мнения.

Вирус Petya блокирует компьютер, шифрует данные и требует перевести $300 на bitcoin-кошелек. После получения выкупа хакеры обещают выслать ключ для раскодирования информации.

Однако появляются версии, что вирус стирает информацию, а не шифрует ее. Так что выкуп платить бесполезно.

Как вылечить вирус Petya

На ранней стадии – когда компьютер заразился, но еще до момента шифрования/стирания – можно попробовать воспользоваться антивирусным утилитами, которые загружаются с флешки. Например, утилитой Cureit от Dr.Web. Правда проблема в том, что сайт Dr.Web закрыт для доступа из Украины в связи с указом Президента о блокировании российских ресурсов.

Если же вирус успел порезвиться у вас на ПК, то с данными, вероятно, можно попрощаться.

Как защититься от вируса Petya

Если вы еще не заражены, тогда для защиты от вируса Petya рекомендуется сделать три шага.

1. Обновите Windows. Вирус эксплуатирует уязвимость систем Windows. Патч, закрывающий эту уязвимость (MS17-010), был выпущен еще в марте 2017 года, но кто же устанавливает эти скучные обновления, правда? Просто запустите «Центр обновления Windows». В Windows 7 он находится в «Панели управления», в Windows 10 – в меню «Параметры».

Или можно просто загрузить патч вручную с сайта Microsoft. Но устанавливать регулярные обновления Windows все равно нужно.

2. Замаскировать свой ПК под уже зараженный, и тогда вирус обойдет вас стороной. Для этого нужно создать файл perfc.dat или просто perfc с правами «только для чтения» и скопировать его в корневую папку Windows (путь C:\Windows).

Как это сделать? Откройте «Блокнот», ничего там не пишите, а просто сохраните файл с именем perfc куда-нибудь на диск. Затем найдите этот файл (он называется perfc.txt) в «Проводнике», удалите расширение txt либо измените его на dat – получится perfc.dat, кликните на него правой кнопкой мыши и поставьте галочку «Только для чтения». Скопируйте полученный файл в папку Windows на диске С.

3. Закрыть порты TCP 1024-1035, 135, 139 и 445. Сделать это не так сложно. В Windows 7 нажмите Пуск и в командной строке напишите cmd, затем нажмите Enter.

Откроется консоль. В нее скопируйте первою строку команд и нажмите Enter, затем вторую и тоже нажмите Enter:

netsh advfirewall firewall add rule name=”Petya TCP” dir=in action=block protocol=TCP localport=1024-1035,135,139,445

netsh advfirewall firewall add rule name=”Petya UDP” dir=in action=block protocol=UDP localport=1024-1035,135,139,445

В Windows 10 нажмите правой кнопкой мыши на кнопке Пуск и выберите запуск командной строки с правами администратора. Затем скопируйте команды, как написано выше.

В результате TCP-порты будут закрыты. При этом сетевые папки на вашем ПК будут недоступны для чтения. Это значит, если вы «расшаривали» какую-то папку на своем компьютере для общего доступа, скажем, в рабочей сети, то больше ее никто из коллег не увидит .

Позднее, когда эпидемия уляжется, можно будет отменить эти действия следующими командами:

netsh advfirewall firewall del rule name=”Petya TCP”
netsh advfirewall firewall del rule name=”Petya UDP”

Если этот путь показался вам сложным, здесь вы найдете второй вариант.

Если вам совсем страшно жить, можно временно перейти под Linux. Как запустить Linux с флешки (без установки на ПК), читайте в этом обзоре.

Как распространяется вирус Petya

Здесь как с зомби-апокалипсисом – источник уже не важен. Кто-то где-то открыл в почте прикрепленный файл от неизвестного лица, заразил свой ПК, а тот в свою очередь, используя уязвимость в Windows, заразил другие компьютеры в этой сети.

А все почему? Потому что люди ленятся обновлять Windows (отсюда возможность для вируса заражать ПК по сети), а кликать на вложения от неизвестных источников – это без проблем.

По данным нашей Киберполиции, разносчиком вируса в Украине стала система сдачи отчетности в налоговую «М.E.Doc». Последние вину отрицают.

Так что обновляйте систему и не клацайте на непонятные вложения.

techtoday.in.ua

Специалисты компании Virus #Petya показали способ защиты от вируса-вымогателя Petya

Увольняемые в Западной Европе поляки могут отобрать рабочие места у украинцев Сергей Левочкин: "Сейчас в парламенте существует коалиция Зеленского и Привата"
  • Новости
  • Статьи
  • Интервью
  • Лента Соцсетей
  • Видео
  • Атака на Страну
  • Коронавирус
  • Деньги
  • Шоу-бизнес
  • Спорт
В зоне отчуждения горят села, пожары подбираются к Чернобыльской АЭС. Видео ОПЕК и Россия подписали договор о самом большом в истории снижении добычи нефти Символ вербы. Как украинцы игнорировали карантин на Вербное воскресенье и что будет на Пасху "Сын в Украине, а мама в "ДНР". Что происходит с украинцами, которые застряли на Донбассе из-за карантина Увольняемые в Западной Европе поляки могут отобрать рабочие места у украинцев Сергей Левочкин: "Сейчас в парламенте существует коалиция Зеленского и Привата"

strana.ua

Как защитить свой компьютер от нового вируса Petya — Российская газета

Вирус-шифровальщик Petya парализовал работу крупных компаний и государственных организаций по всему миру.

Одного незащищенного компьютера достаточно, чтобы заразить все машины, подключенные к внутренней сети. Фото: Донат Сорокин/ТАСС

Новый вирус начиная с 27 июня атаковал десятки тысяч компьютеров. По данным информационного агентства Reuters, он, в частности, вызвал хаос в портах от Мумбаи до Лос-Анджелеса, остановил производство на фабрике шоколада в Австралии и перевел в ручной режим систему радиационного мониторинга в зоне отчуждения в Чернобыле.

Напомним, что в середине мая пользователи Интернета по всему миру уже столкнулись с похожим вирусом, который шифрует содержимое жесткого диска компьютера и требует перечислить определенную сумму в криптовалюте Bitcoin, чтобы вернуть доступ к данным. По информации британского издания The Guardian, предыдущий вирус WannaCry атаковал более 230 тысяч компьютеров в более чем 150 государствах. Чтобы защититься от вируса, по словам экспертов, все без исключения компьютеры в компании или организации должны быть защищены - на них должна стоять самая свежая версия Windows с обновлениями и современный антивирус. Одного незащищенного ПК достаточно, чтобы заразить все компьютеры внутренней сети. Также следует игнорировать электронные письма от незнакомцев и не нажимать на ссылки в них. А продвинутые пользователи могут создать в папке Windows на системном диске C: файл под названием perfc или perfc.dll. Обнаружив такие файлы, вирус не будет заражать компьютер, утверждают в компании Symantec. Ну и, конечно, нельзя отправлять создателям вируса никаких денег. Тем более что, по данным СМИ, электронный почтовый ящик хакеров заблокирован и письма не дойдут до адресата.

rg.ru

Три способа как защититься от вируса Petya, который атаковал Украину

Увольняемые в Западной Европе поляки могут отобрать рабочие места у украинцев Сергей Левочкин: "Сейчас в парламенте существует коалиция Зеленского и Привата"
  • Новости
  • Статьи
  • Интервью
  • Лента Соцсетей
  • Видео
  • Атака на Страну
  • Коронавирус
  • Деньги
  • Шоу-бизнес
  • Спорт
В зоне отчуждения горят села, пожары подбираются к Чернобыльской АЭС. Видео ОПЕК и Россия подписали договор о самом большом в истории снижении добычи нефти Символ вербы. Как украинцы игнорировали карантин на Вербное воскресенье и что будет на Пасху "Сын в Украине, а мама в "ДНР". Что происходит с украинцами, которые застряли на Донбассе из-за карантина

strana.ua


Смотрите также



© 2010- GutenBlog.ru Карта сайта, XML.