Вирус petya файл. Как защититься от вируса Petya A? Инструкция (обновляется)

Новая волна цифровой пандемии охватила преимущественно компьютеры пользователей и организаций Европы и США. Согласно статистическим данным, основной удар вирусной атаки Petya пришелся на Украину, где отслеживается более 70% от всех заражённых устройств. Стоит отметить, в первую волну атаки были заражены компьютеры крупных компаний и организаций в более чем 60 странах.

Принцип работы вируса

Вирус-шифровальщик Petya проникает в систему через интернет-соединение, скачивая и декомпилируя файл-исполнитель. Заражение компьютера происходит быстро, так как:

• файлы, размером до 1 Мб шифруются полностью;
• в файлах большего объёма шифруется только 1 Мб кода;
• для каждого системного диска создаётся отдельный поток, ускоряющий работу вируса;
• используется уникальная шифровка данных, не имеющая аналогов;
• Petya использует системные библиотеки.

Полная шифровка всех системных данных происходит после перезагрузки компьютера. На экране появляется сообщение, где разработчик вируса просит перечислить $300 в криптовалюте Bitcoin на специальный кошелёк и прислать на электронную почту письмо с номером перевода. В отличие от первых версий вируса 2016 года, новая модификация необратимо поражает систему. Решения по самостоятельному восстановлению данных не существует.

Пользователи, которые перевели деньги злоумышленнику, код для восстановления системы так и не получили. Вирус был разработан не с целью вымогания средств, а для нанесения ущерба пользовательским данным и нарушения работы крупных компаний и организаций. Этому свидетельствует наличие только одного электронного адреса для подтверждения платежа, который был заблокирован. Злоумышленники не получат вашего письма с кодом выполненного перевода Bitcoin. Точную информацию о разработчиках вирусной программы выяснить не удалось.

Как защитить компьютер от Petya

Предварительно защитить компьютер от шифрования файлов не сложно. Для этого в папке с Windows, путь к которой стандартно находится по адресу C:\Windows необходимо создать файл с названием perfc.

Дополнительно требуется установить атрибут «только для чтения». Это можно сделать, нажав ПКМ на требуемый файл и открыть параметр «Свойства». Установите галочку возле параметра «только чтение».

Такое решение защитит от заражения файлов, но не от распространения вируса на другие компьютеры. Если вы заметили следы Petya на ПК - не рекомендуется выключать и перезагружать его. Переводите ваше устройство в спящий режим и отключите интернет-соединение.

Вирус-шифровальщик Petya достаточно опасен и может уничтожить все файлы на вашем устройстве. Предварительно позаботьтесь о безопасности!

Стоит отметить, что встроенные средства защиты Windows и популярные антивирусные программы (в т.ч. NOD32) после обновления способны обнаружить и обезвредить вирус.

С 27 июня по миру распространяется новый вирус-шифровальщик Petya, блокирующий компьютеры с Windows. Он проникает в ПК через локальные сети, поэтому эпидемии подвержены почти исключительно организации, а не индивидуальные пользователи. За разблокировку каждого устройства Petya просит $300 биткоинами.

Больше всего жертв пока на Украине (атакованы госучреждения, энергетические компании, мобильные операторы и банки) и в России (главная жертва - «Роснефть»). Но сейчас жалобы на Petya поступают уже со всего мира. Похожим образом события развивались в мае, когда корпоративные сети были атакованы другим шифровальщиком - WannaCry (WannaCrypt) .

«Секрет» попросил экспертов в сфере кибербезопасности объяснить, как обезопасить себя от такой атаки.

Кирилл Ермаков

Технический директор группы QIWI

Когда компании по всему миру пострадали от WannaCry, стало очевидно, что многие недобросовестно относятся к такому базовому процессу информационной безопасности, как установка обновлений. Злоумышленники пользовались возможностями атаковать необновлённые системы и раньше, но теперь это наконец получило большую огласку.

Вирус не использовал никакого «секретного оружия», «уязвимостей нулевого дня». Он использовал уязвимости, «заплатки» на которые существуют уже довольно давно. Просто традиционно угрозы информационной безопасности недооценивают. Непосредственная задача директора по информационной безопасности - объяснять коллегам на C-level, что игры кончились и современная кибератака может просто остановить работу их бизнеса.

Новый вирус сначала казался похожим на вирус Petya 2016 года, но потом выяснилось, что к старому вирусу он имеет весьма отдалённое отношение. Если вообще имеет. Так что теперь он фигурирует под хештегами #Petya, #NotPetya, #petrWrap и имеет идентификатор Win32/Diskcoder.Petya.C.

Мне этот вирус кажется очень любопытным и даже, можно сказать, нравится (технически). Как и в WannaCry, в нём задействована украденная у Агентства национальной безопасности США программа EternalBlue, которая использует одну из уязвимостей в компьютерах под управлением Windows. Но у распространения нового вируса есть ещё один вектор: попав на одну машину, он добывает данные учётных записей с заражённой рабочей станции и, используя их, пытается проникнуть на все остальные компьютеры. Именно поэтому получилось так, что многие, кто установил патч против WannaCry, всё равно пострадали при атаке Petya / NotPetya. Системные администраторы в компаниях часто совершают ошибку при проектировании инфраструктуры: выстраивают её так, чтобы локальная учётная запись администратора подходила ко всем машинам.

Кроме того, Petya / NotPetya интересен тем, что цели его создателей неочевидны. Если бы они хотели много денег, они бы сделали вирус, который не пытается всё зашифровать и не требует выкуп, а тихонько сидит в системе, как классический троян, и потом используется для целенаправленной атаки. Но в данном случае злоумышленники заработали копейки, зато парализовали работу многих крупных компаний по всему миру. Может, это какая-то манипуляция с курсами валют, акций?

Тем, кто хочет уберечь свою компанию от таких угроз, могу дать только один совет: уделите внимание системным администраторам, службе безопасности и их требованиям. Базовые процессы информационной безопасности могут быть не выстроены по разным причинам. Но часто основная проблема - это то, что бизнес не поддерживает действия ИТ- и ИБ-департаментов, потому что не хочет расходовать на это деньги и ресурсы, не понимая, зачем это нужно. Но ведь иногда проще потерпеть неудобства, связанные с обновлением программного обеспечения, чем лишиться всего, недооценив угрозу.

–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Андрей Брызгин

Руководитель направления «Аудит и консалтинг» в Group-IB

Эта атака - явно не последняя. Чем больше компания, чем шире её IT-инфраструктура, тем больше шансов, что хотя бы один компьютер будет уязвим, непропатчен или просто забыт. Вирусу Petya было достаточно одного уязвимого компьютера, чтобы заразить всю сеть. Информационной безопасностью надо заниматься комплексно, в том числе с применением специализированных решений. Следует регулярно делать аудит безопасности.

1). Своевременно устанавливайте апдейты операционных систем и патчи систем безопасности.

2). Настройте почтовые фильтры для отсеивания зашифрованных архивов.

3). Если компьютеры работают на Windows, подпишитесь на уведомления Microsoft по технической безопасности.

4). Если в корпоративной сети есть компьютеры без апдейтов безопасности, запретите сотрудникам подключать к ней личные ноутбуки.

5). Проведите тренинг для сотрудников по информационной безопасности.

6). Не платите выкуп вымогателям. Совершенно не факт, что они вышлют ключи шифрования. У Group-IB нет доказательств того, что данные были восстановлены после оплаты.

Обновлено : добавлена информация о файлах perfc.dat и perfc.dll

Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.

Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security , TrustedSec , Emsisoft и Symantec .

Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.

Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.

Как защититься от NotPetya / Petna / Petya

Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:\Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который автоматически выполняет все действия.

Загрузить данный файл можно по следующей ссылке - nopetyavac.bat . Скачайте и запустите файл на компьютере от имени администратора.

Обратите внимание, что bat-скрипт также будет создавать два дополнительных файла, которые называются perfc.dat и perfc.dll . Хотя тестирование данного способа выполнялось без них, автором метода была получена информация, что эти дополнительные файлы необходимы для надежности работы вакцинации.

Для тех, кто хочет вакцинировать свой компьютер вручную, мы приводим отдельную инструкцию (опубликована на BleepingComputer). Обратите внимание, что мы подробно описали шаги, чтобы они были понятны даже неопытным пользователям ПК.

Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид ”. Убедитесь, что в “Параметры папок > Вид ” отключена опция “” (галочка не отмечена).

Затем откройте папку C:\Windows и прокрутите вниз, пока не увидите программу .

Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl + C , чтобы скопировать, а затем Ctrl + V , чтобы вставить его. При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.

Нажмите кнопку “Продолжить ”, и будет создана копия блокнота: notepad - копия.exe . Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала - notepad - копия.exe и введите perfc , как показано ниже.

После того как имя файла было изменено на perfc , нажмите Enter на клавиатуре. Теперь вы получите запрос, действительно ли вы хотите переименовать файл.

Нажмите “Да ”, а затем “Продолжить ”.

Теперь, когда файл perfc был создан, нужно установить атрибут доступа “”. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.

Откроется меню свойств этого файла. Внизу нужно установить флажок “”. Установите галочку, как показано на рисунке ниже.

Теперь нажмите кнопку “Применить ”, а затем кнопку “ОК ”. Окно свойств должно быть закрыто.

Для надежности вакцинации повторите те же действия, создав файлы C:\Windows\perfc.dat и C:\Windows\perfc.dll .

Теперь ваш компьютер будет защищен от шифровальщика NotPetya / SortaPetya / Petya.

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Вирус Petya — быстро растущий вирус, который положил практически все крупные предприятия в Украине 27 июня 2017 года. Вирус Petya шифрует ваши файлы и предлагает за них потом выкуп.

Новый вирус поражает винчестер компьютера и работает как вирус шифровальщик файлов. Через определённое время, вирус Petya «поедает» файлы на вашем компьютере и они становятся зашифрованными (как будто файлы заархивировали и поставили тяжёлый пароль)
Файлы, которые пострадали от вируса шифровальщика Petya, потом уже не восстановить (процент, что вы их восстановите есть, но он очень маленький)
Алгоритма, который восстанавливает файлы пострадавших от вируса Petya — НЕТ
С помощью этой короткой и МАКСИМАЛЬНО полезной статьи вы сможете уберечь себя от #вирусPetya

Как ОПРЕДЕЛИТЬ Вирус Petya или WannaCry и НЕ Заразиться Вирусом

При загрузке файла через интернет, проверьте его онлайн-антивирусом. Онлайн антивирусы могут заранее определить вирус в файле и предотвратить заражение вирусом Petya. Всё, что стоит сделать, проверить загруженный файл с помощью VirusTotal, а потом его уже запускать. Даже если вы ЗАГРУЗИЛИ ВИРУС PETYA, но НЕ запустили вирусный файл, вирус НЕ активен и вред не наносит. Только после запуска вредного файла вы запускаете вирус, помните это

ИСПОЛЬЗОВАНИЕ ДАЖЕ ТОЛЬКО ЭТОГО МЕТОДА ДАЁТ ВАМ ВСЕ ШАНСЫ НЕ ЗАРАЗИТЬСЯ ВИРУСОМ PETYA
Вирус Petya выглядит вот так:

Как Уберечь Себя От Вируса Petya

Компания Symantec предложила решение, которое позволяет себя уберечь от вируса Petya, сделав вид, что он уже у Вас — установлен.
Вирус Petya при попадании на компьютер, создаёт в папке C:\Windows\perfc файл perfc или perfc.dll
Чтобывирусподумал, что он уже установлен и не продолжил свою активность, создайте в папке C:\Windows\perfc файл с пустым содержанием и сохраните его поставив режим изменения «Только Чтение»
Или загрузите virus-petya-perfc.zip и разархивируйте папку perfc в папку C:\Windows\ и поставьте режим изменения «Только Чтение»
Загрузить virus-petya-perfc.zip

Что Делать Если Компьютер Уже Поражён Вирусом Petya

Не включайте компьютер, который уже поразил вас вирусом Petya. Вирус Petya работает таким образом, что пока заражённый компьютер включён, он шифрует файлы. То есть, пока вы держите включённым поражённый вирусом Petya компьютер, новые и новые файлы поддаются заражению и шифрованию.
Винчестер данного компьютера стоит проверить. Проверить его можно с помощью LIVECD или LIVEUSB с антивирусом
Загрузочная флешка с Kaspersky Rescue Disk 10
Загрузочная флешка Dr.Web LiveDisk

Кто Распространил Вирус Петя По Всей Украине

Компания Microsoft выразила свою точку зрение на счёт глобального заражения сети в крупных компаниях Украины. Причиной стало, обновление к программе M.E.Doc. M.E.Doc — популярная бухгалтерская программа, по-этому такой большой прокол компании, как попадание вируса в обновление и установило вирус Petya на тысячи ПК, на которых стояла программа M.E.Doc. А так как вирус поражает компьютеры в одной сети распространился он молниеносно.
#: петя вирус поражает андроид, вирус Petya, как обнаружить и удалить вирус петя, вирус petya как лечить, M.E.Doc, Microsoft, создать папку вирус петя

В последнее время кошмарный сон каждого выглядит так: вы включаете свой компьютер и видите загадочное сообщение о том, что ваши файлы зашифрованы. Вы скоро поймете, что ваши данные, скорее всего, потеряны навсегда - даже если вы заплатите выкуп хакерам.

Новый вирус Petya(также называемый NotPetya) в считанные часы нанес удар по Европе, но больше всех пострадала Украина – повреждения получили энергосистема, банки, госучреждения и аэропорты страны. Первые симптомы атаки проявились 27 июня, когда жертвой вируса пали Национальный банк Украины и Киевский международный аэропорт. Сообщается, что пострадали даже системы радиационного мониторинга в Чернобыле. Но Petya, который ориентирован на операционную систему Windows, не остался там. Microsoft подтвердил, что были заражены компьютеры в 64 странах. Зараза не обошла стороной и обычных пользователей. Дошло до того, что учреждения отключали свои сайты, а пользователи не включали компьютер, чтобы не запустить вирус.

Но на этот раз нашлась вакцина от вируса, которая защищает ПК от проникновения вируса, по крайней мере пока. Вредоносное ПО, требующее выкуп в обмен на дешифрование файлов, по словам компании Symantec, особенно изощренное, потому что вместо простого шифрования файлов системы, он фактически модифицирует главную загрузочную запись компьютера, чтобы зашифровать жесткий диск. После заражения системы отображается сообщение, требующее биткойнов на сумму $300. Однако, поскольку указанный адрес электронной почты для подтверждения того, что выкуп был уплачен, был отключен провайдером электронной почты, есть мало шансов, что ключ дешифрования будет предоставлен, даже если жертва заплатит. По сути, те, кто попал в лапы Petya, могут попрощаться со своими файлами.

Но ситуация не безнадежна. Для тех, кто либо не хотят, либо просто не могут позволить себе отключить свой компьютер и ждать, пока все пройдет, имеется оружие в битве против этой атаки. К счастью, это довольно простое домашнее средство.

Исследователь безопасности по имени Амит Серпер, похоже, нашел способ всего несколькими легкими шагами предотвратить запуск вредоносного ПО на уязвимых компьютерах. Его наблюдение, которое было подтверждено другими исследователями, выяснило, что Petya ищет определенный файл на компьютере перед тем, как шифровать его содержимое. Если этот файл находится, вирус не заражает ПК.

Амит Серпер утверждает, что все заинтересованные пользователи должны создать файл с названием «perfc» в папке C: \ Windows. Важно отметить, что файл должен быть только для чтения и у него не должно быть расширения(наподобие.txt, .jpg, .doc и т.д.).

Кроме этого, не мешает установить обновления безопасности Windows. Эксплойт EternalBlue, используемый вирусом Petya, основан на уязвимости блока сообщений сервера (SMB), которая была исправлена в марте.

Как объясняет Серпер, поддержания ОС Windows в актуальном состоянии с помощью патчей безопасности и создания вышеуказанного файла должно быть достаточно, чтобы противостоять Petya. Хотя это уже не поможет Национальному банку Украины, вас это может спасти.