Petya, NotPetya или Petna? Все, что нужно знать о новой эпидемии. От вируса Petya легко защититься. Вот что следует сделать прямо сейчас Защита от petya создать файл

С 27 июня по миру распространяется новый вирус-шифровальщик Petya, блокирующий компьютеры с Windows. Он проникает в ПК через локальные сети, поэтому эпидемии подвержены почти исключительно организации, а не индивидуальные пользователи. За разблокировку каждого устройства Petya просит $300 биткоинами.

Больше всего жертв пока на Украине (атакованы госучреждения, энергетические компании, мобильные операторы и банки) и в России (главная жертва - «Роснефть»). Но сейчас жалобы на Petya поступают уже со всего мира. Похожим образом события развивались в мае, когда корпоративные сети были атакованы другим шифровальщиком - WannaCry (WannaCrypt) .

«Секрет» попросил экспертов в сфере кибербезопасности объяснить, как обезопасить себя от такой атаки.

Кирилл Ермаков

Технический директор группы QIWI

Когда компании по всему миру пострадали от WannaCry, стало очевидно, что многие недобросовестно относятся к такому базовому процессу информационной безопасности, как установка обновлений. Злоумышленники пользовались возможностями атаковать необновлённые системы и раньше, но теперь это наконец получило большую огласку.

Вирус не использовал никакого «секретного оружия», «уязвимостей нулевого дня». Он использовал уязвимости, «заплатки» на которые существуют уже довольно давно. Просто традиционно угрозы информационной безопасности недооценивают. Непосредственная задача директора по информационной безопасности - объяснять коллегам на C-level, что игры кончились и современная кибератака может просто остановить работу их бизнеса.

Новый вирус сначала казался похожим на вирус Petya 2016 года, но потом выяснилось, что к старому вирусу он имеет весьма отдалённое отношение. Если вообще имеет. Так что теперь он фигурирует под хештегами #Petya, #NotPetya, #petrWrap и имеет идентификатор Win32/Diskcoder.Petya.C.

Мне этот вирус кажется очень любопытным и даже, можно сказать, нравится (технически). Как и в WannaCry, в нём задействована украденная у Агентства национальной безопасности США программа EternalBlue, которая использует одну из уязвимостей в компьютерах под управлением Windows. Но у распространения нового вируса есть ещё один вектор: попав на одну машину, он добывает данные учётных записей с заражённой рабочей станции и, используя их, пытается проникнуть на все остальные компьютеры. Именно поэтому получилось так, что многие, кто установил патч против WannaCry, всё равно пострадали при атаке Petya / NotPetya. Системные администраторы в компаниях часто совершают ошибку при проектировании инфраструктуры: выстраивают её так, чтобы локальная учётная запись администратора подходила ко всем машинам.

Кроме того, Petya / NotPetya интересен тем, что цели его создателей неочевидны. Если бы они хотели много денег, они бы сделали вирус, который не пытается всё зашифровать и не требует выкуп, а тихонько сидит в системе, как классический троян, и потом используется для целенаправленной атаки. Но в данном случае злоумышленники заработали копейки, зато парализовали работу многих крупных компаний по всему миру. Может, это какая-то манипуляция с курсами валют, акций?

Тем, кто хочет уберечь свою компанию от таких угроз, могу дать только один совет: уделите внимание системным администраторам, службе безопасности и их требованиям. Базовые процессы информационной безопасности могут быть не выстроены по разным причинам. Но часто основная проблема - это то, что бизнес не поддерживает действия ИТ- и ИБ-департаментов, потому что не хочет расходовать на это деньги и ресурсы, не понимая, зачем это нужно. Но ведь иногда проще потерпеть неудобства, связанные с обновлением программного обеспечения, чем лишиться всего, недооценив угрозу.

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Андрей Брызгин

Руководитель направления «Аудит и консалтинг» в Group-IB

Эта атака - явно не последняя. Чем больше компания, чем шире её IT-инфраструктура, тем больше шансов, что хотя бы один компьютер будет уязвим, непропатчен или просто забыт. Вирусу Petya было достаточно одного уязвимого компьютера, чтобы заразить всю сеть. Информационной безопасностью надо заниматься комплексно, в том числе с применением специализированных решений. Следует регулярно делать аудит безопасности.

1). Своевременно устанавливайте апдейты операционных систем и патчи систем безопасности.

2). Настройте почтовые фильтры для отсеивания зашифрованных архивов.

3). Если компьютеры работают на Windows, подпишитесь на уведомления Microsoft по технической безопасности.

4). Если в корпоративной сети есть компьютеры без апдейтов безопасности, запретите сотрудникам подключать к ней личные ноутбуки.

5). Проведите тренинг для сотрудников по информационной безопасности.

6). Не платите выкуп вымогателям. Совершенно не факт, что они вышлют ключи шифрования. У Group-IB нет доказательств того, что данные были восстановлены после оплаты.

Антивирусные программы стоят на компьютере практически каждого пользователя, однако иногда появляется троян или вирус, который способен обойти самую лучшую защиту и заразить ваше устройство, а что еще хуже — зашифровать ваши данные. В этот раз таким вирусом стал троян-шифратор «Петя» или, как его еще называют, «Petya». Темпы распространения данный угрозы очень впечатляют: за пару дней он смог «побывать» в России, Украине, Израиле, Австралии, США, всех крупных странах Европы и не только. В основном он поразил корпоративных пользователей (аэропорты, энергетические станции, туристическую отрасль), но пострадали и обычные люди. По своим масштабам и методам воздействия он крайне похож на нашумевший недавно .

Вы несомненно должны защитить свой компьютер, чтобы не стать жертвой нового трояна-вымогателя «Петя». В этой статье я расскажу вам о том, что это за вирус «Petya», как он распространяется, как защититься от данной угрозы. Кроме того мы затронем вопросы удаления трояна и дешифровки информации.

Что такое вирус «Petya»?

Для начала нам стоит понять, чем же является Petya. Вирус Петя — это вредоносное программное обеспечение, которое является трояном типа «ransomware» (вымогатель). Данные вирусы предназначены для шантажа владельцев зараженных устройств с целью получения от них выкупа за зашифрованные данные. В отличии от Wanna Cry, Petya не утруждает себя шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.

Правильное название нового вируса — Petya.A. Кроме того, Касперский называет его NotPetya/ExPetr.

Описание вируса «Petya»

После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?

Представьте, что ваш жесткий диск — это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Пети жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.

Таким образом, в отличии от Wanna Cry, который я упоминал в начале статьи, Petya.A не шифрует отдельные файлы, тратя на это внушительное время — он просто отбирает у вас всякую возможность найти их.

После всех своих манипуляций он требует от пользователей выкуп — 300 долларов США, которые нужно перечислить на биткойн счет.

Кто создал вирус Петя?

При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч, который «закрывает» эту дыру несколько месяцев назад, однако, не все же пользуются лицензионной копией Windows и устанавливает все обновления системы, ведь правда?)

Создатель «Пети» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и навряд ли будет известна)

Как распространяется вирус Петя?

Вирус Petya чаще всего распространяется под видом вложений к электронным письмам и в архивах с пиратским зараженным ПО. В вложении может находиться абсолютно любой файл, в том числе фото или mp3 (так кажется с первого взгляда). После того, как вы запустите файл, ваш компьютер перезагрузится и вирус сымитирует проверку диска на ошибки CHKDSK, а сам в этот момент видоизменит загрузочную запись вашего компьютера (MBR). После этого вы увидите красный череп на экране вашего компьютера. Нажав на любую кнопку, вы сможете получить доступ к тексту, в котором вам предложат заплатить за расшифровку ваших файлов и перевести необходимую сумму на bitcoin кошелек.

Как защититься от вируса Petya?

• Самое главное и основное — возьмите за правило ставить обновления для вашей операционной системы! Это невероятно важно. Сделайте это прямо сейчас, не откладывайте.
• Отнеситесь с повышенным вниманием ко всем вложениям, которые приложены к письмам, даже если письма от знакомых людей. На время эпидемии лучше пользоваться альтернативными источниками передачи данных.
• Активируйте опцию «Показывать расширения файлов» в настройках ОС — так вы всегда сможете увидеть истинное расширение файлов.
• Включите «Контроль учетных записей пользователя» в настройках Windows.
• Необходимо установить один из , чтобы избежать заражения. Начните с установки обновления для ОС, потом установите антивирус — и вы уже будете в гораздо большей безопасности, чем раньше.
• Обязательно делайте «бэкапы» — сохраняйте все важные данные на внешний жесткий диск или в облако. Тогда, если вирус Petya проникнет на ваш ПК и зашифрует все данные — вам будет достаточно прост провести форматирование вашего жесткого диска и установить ОС заново.
• Всегда проверяйте актуальность антивирусных баз вашего антивируса. Все хорошие антивирусы следят за угрозами и своевременно реагируют на них, обновляя сигнатуры угроз.
• Установите бесплатную утилиту Kaspersky Anti-Ransomware . Она будет защищать вас от вирусов-шифраторов. Установка данного ПО не избавляет вас от необходимости установить антивирус.

Как удалить вирус Petya?

Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.

Если же вы подозреваете, что на вашем диске присутствует зараженный файл — просканируйте ваш диск одной из или же установите антивирус Касперского и проведите полное сканирование системы. Разработчик заверил, что в его базе сигнатур уже есть сведения о данном вирусе.

Дешифратор Petya.A

Petya.A зашифровывает ваши данные очень стойким алгоритмом. На данный момент не существует решения для расшифровки заблокированных сведений. Тем более не стоит пытаться получить доступ к данным в домашних условиях.

Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.

Поэтому, если вы еще не стали жертвой вируса Петя — прислушайтесь к советам, которые я дал в начале статьи. Если вы все же потеряли контроль над своими данными — то у вас есть несколько путей.

• Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
• Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора. Кстати, Лаборатория Касперского постоянно работает в этом направлении. Доступные дешифраторы есть на сайте No Ransom .
• Форматирование диска и установка операционной системы. Минус — все данные будут утеряны.

Вирус Petya.A в Росси

В России и Украине было атаковано и заражено свыше 80 компаний на момент написания статьи, в том числе такие крупные, как «Башнефть» и «Роснефть». Заражение инфраструктуры таких крупных компаний говорит о всей серьезности вируса Petya.A. Несомненно, что троян-вымогатель будет и дальше распространяться по территории России, поэтому вам стоит позаботиться о безопасности своих данных и последовать советам, которые были даны в статье.

Petya.A и Android, iOS, Mac, Linux

Многие пользователи беспокоятся — «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить — нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac — можете спать спокойно, вам ничего не угрожает.

Заключение

Итак, сегодня мы подробно обсудили новый вирус Petya.A. Мы поняли, чем является данный троян и как он работает, узнали как уберечься от заражения и удалить вирус, где взять дешифратор (decryptor) Petya. Надеюсь, что статья и мои советы оказались полезны для вас.

За последнюю неделю многие слышали об хакерской атаке по всему миру. А также эта хакерская атака больше всего вреда принесла Украине и России, а так как нас в большинстве читают пользователи как раз этих стран, то мы решили собрать все способы защиты от вируса Petya. Поэтому в этой статье Вы узнаете как защититься от вируса Петя. Мы покажем Вам не один способ, а несколько. Вы уже сможете выбрать для себя самый удобный. Также для тех кто уже попался на уловку хакеров мы покажем как удалить вирус Петя самому.

Способ 1. Как защититься от вируса Петя создав файл завершения работы вируса

Сразу же после начала первых масштабных атак, специалисты всего мира начали думать и искать проблему почему так произошло и как с этим бороться. Первую идею предложили специалисты компании Symantec, как по сути можно обмануть вирус на ещё не зараженных компьютерах.

Как работает этот способ спросите Вы. Легко, вирус после завершения работы создает этот файл сам. Если мы это сделаем за него, то Petya уже подумает что компьютер заражен. Способ действительно простой и надежный. Так как многие антивирусные программы не смогли его обнаружить. Хотя Microsoft утверждает, что даже Защитник Windows 10 на последней сборке с легкостью с ним справится. Так ли это, проверять не стал, сразу решил перестраховаться.

Способ 2. Как защититься от вируса Petya закрыв нужные вирусу порты

Для защиты нам понадобиться всего лишь закрыть на компьютере определенные TCP порты которые использует вирус для заражения. Этот способ также без проблем подойдет как на предыдущих операционных системах, так и на Windows 10. Я покажу как это сделать на примере Windows 10, последней версии.

Способ 3. Защитить компьютер от вируса Petya в автоматическом режиме

Совсем для ленивых есть способ защитится от вируса Пети использовать всего лишь файл . Или создать его на компьютере самому.

1. Открываем блокнот и вставляем в него следующий код:

   @echo offecho Administrative permissions required. Detecting permissions…
   echo.
   net session >nul 2>&1if %errorLevel% == 0 (
   if exist C:\Windows\perfc (
   echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
   echo.
   ) else (
   echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
   echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
   echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.datattrib +R C:\Windows\perfc
   attrib +R C:\Windows\perfc.dll
   attrib +R C:\Windows\perfc.datecho Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
   echo.
   ) else (
   echo Failure: You must run this batch file as Administrator.
   )

   netsh advfirewall firewall add rule name=»Petya TCP» dir=in action=block protocol=TCP localport=1024-1035,135,139,445
   netsh advfirewall firewall add rule name=»Petya UDP» dir=in action=block protocol=UDP localport=1024-1035,135,139,445
   pause

2. Сохраняем файл и меняем расширения файла на .bat .
3. Нажимаем на него правой кнопкой мыши и выбираем пункт Запуск от имени администратора .

После выполнения батника у Вас автоматически сделаются способ 1 и способ 2, как на меня так удобней и быстрей. Не забудьте открыть bat файл от имени администратора, иначе изменений не будет. В принципе после этого Вы можете проверить создались ли файлы и были ли созданы новые правила.

Как удалить вирус Петя

Если Вы уже попались на уловку хакеров, увидели экран смерти и с перепуга выключили компьютер, тогда у Вас ещё есть шанс восстановить все самому.

1. Вам нужно сделать загрузочный диск или с антивирусом, который может вылечить компьютер от вируса Petya. Для этого подходят, например, Kaspersky Rescue Disk или ESET NOD32 LiveCD .
2. Запускаете любого из них с флешки на компьютере и ждете пока антивирус найдет и удалит Петю.
3. Если файлы все же успели зашифроваться, тогда можете использовать подходящие для расшифровки файлов утилиты, здесь Вам может помочь, например, Shadow Explorer или Stellar Phoenix Windows Data Recovery.

Также на счет удалить вирус Петя, то переустановку операционной системы никто не отменял.

В этой статье мы разобрали, как защитится от вируса Петя и как удалить вирус Петя, если Вы уже попались на него. А вообще советую быть осторожными со само распаковывающимся архивами с расширением.exe. Так как в большинстве случаев Вы словите или вирус или много мусора который захотите удалить. Ну и как говорится лучше предотвратить чем исправлять, поэтому дерзайте. Пишите в комментарии была ли Вам статья полезной и не забывайте подписываться на обновления.

Group-IB 28.06.2017 17:18

5318

27 июня на Украине, в России и в нескольких других странах мира была зафиксирована масштабная кибератака с использованием новой модификации локера-шифровальщика Petya.

Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний. После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов.

Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент. При открытии вложения с вирусом «Petya» произойдет установка вредоносного программного обеспечения путем использования известной уязвимости CVE-2017-0199.

Вирус ждет 30-40 минут после инфицирования (для распространения), а после этого Petya шифрует локальные файлы.

За расшифровку вымогатели требуют выкуп в размере $300 в биткоинах на интернет-кошелек.

Жертвы

Что необходимо сделать для защиты?