Petya.A: як зупинити вірус на півшляху та як відновити дані

Навчання

27.06.2017

ЧИТАТЬ НА РУССКОМ

Вірус Petya.A, що в рекордно короткі терміни вразив комп’ютери стратегічних структур України – банків, енергетичних компаній та урядових органів – продовжує ходу IT-інфраструктурами великих підприємств. Атаці вже піддалися сайти Міністерства внутрішніх справ, Секретаріат Кабінета міністрів, «Нової пошти», «Укртелекома», «Ощадбанка», «Кредобанка», «ТАСкомбанка», «Київенерго», ДТЕК, «Новуса», «Епіцентра», «Вог», «Київстара» та багатьох інших компаній.

Як працює Petya.A?

Petya.A шифрує всі дані на жорсткому диску. Розшифровка неможлива без приватного ключа – за це Petya вимагає 0.9 біткоінів, що дорівнює приблизно $300. Це ціна за розблокування одного ПК. Компанії з сотнями пристроїв можуть понести космічний збиток. На оплати викупу творці вірусу відводять тиждень.

У GigaCloud на разі не отримали інформацію щодо розшифрування даних користувачів, які оплатили необхідну суму. У перший же день атаки було виявлено посилання на один з гаманців, на який надходять гроші із заражених пристроїв (на момент написання матеріалу, сума вже перевищувала 7000 доларів).

Що станеться, якщо користувач зловить Petya.A?

1. Комп’ютер негайно перезавантажиться.

2. Після запуску на екрані з’явиться повідомлення про буцімто перевірку OS Windows диску на помилки (Disk Check), а в цей час відбуватиметься шифрування файлів.

3. Вважається, що Petya перехоплює управління комп’ютером на початкових етапах завантаження, шифруючи дані у прихованому режимі.

4. У відповідь на будь-які дії користувача, вірус виводить червоний екран з мигаючим черепом та надписом «Натисніть будь-яку клавішу». При натисканні з’являється вікно з вимогою про викуп.

Звідки взявся Petya?

Судячи з назви, Petya.A – нова модифікація минулорічного вірусу, перші версії якого поширювалися як спам-листи, замасковані під резюме. Petya 2017 вперше заявив про себе, завантажившись разом із оновленням програми для електронного документообігу M.E.doc (саме тому тимчасово не рекомендується застосовувати оновлення, яке пропонує це програмне забезпечення під час запуску). Надалі шкідливе ПЗ розповсюджувалося за допомогою вразливості у протоколі Samba (яка також використовувалась під час атак WannaCry).

Як захиститися від вірусу?

Щоб не завантажити вірус з інтернету, необхідно:

1. Не відкривати вкладення від невідомих та сумнівних відправників по пошті.

2. Не переходити за посиланнями від невідомих відправників.

3. Переходити тільки за достовірними посиланнями, сайтами.

Щоб не заразитися від комп’ютера в локальній мережі, дійсно, бажано одразу ж відключитися від інтернету: Petyа заражає всі пристрої на одному домені.

Профілактикою стане дотримання порад від наших спеціалістів із захисту від вірусу WannaCry:

1. Регулярно оновлювати резервні копії критично важливих систем та файлів. Резервні копії (на зовнішніх носіях чи у хмарних сервісах) – це єдиний шанс повністю запобігти втраті даних.

2. Установити останні оновлення на всі операційні системи Windows.

3. Заблокувати зовнішні з’єднання з інтернетом за протоколами SMB/NetBIOS. Щоб припинити поширення вірусу, необхідно терміново закрити TCP-порти 1024–1035, 135 та 445.

4. Використовувати актуальні версії ОС, для яких випускаються оновлення з безпеки.

5. Контролювати та блокувати трафік до вузлів мережі Tor, які часто використовуються шифрувальником та іншими шкідливими програмами.

6. Використовувати засоби захисту персональних комп’ютерів – антивірусне програмне забезпечення базами сигнатур, що регулярно оновлюються.

Як вилікуватися?

Вірус діє в два етапи:

1. Видаляє MBR з диску, перезавантажує комп'ютер.

2. Запускає шифрування даних від виглядом перевірки диску (Check Disk). Це і є індикатором вірусу: зазвичай Check Disk виконується тільки вручну.

Незашифровані дані можна відновити, якщо вчасно виключити комп'ютер.

Як врятувати дані:

1. Виключити комп'ютер (можна примусово).

2. Завантажитися з Live CD (ОС на змінному носії; для Windows – із середовищем передвстановлення Windows PE). З цього пристрою – запустити антивірус, і після повної очистки – завантажитися знову.

Нюанс: не всі антивіруси можуть допомогти, якщо комп'ютер вже заражено, оскільки хакери використали вразливості Windows, про які досі нічого не було відомо. Отже антивірус – у першу чергу профілактичний засіб. Перелік антивірусів, які можуть впоратися, подає Virus Total.

3. Виктористати сервіс для відновлення даних. Він допоможе, оскільки Petya шифрує тільки таблицю, не зачіпаючи файли. Ми рекомендуємо програмне рішення R-Studio, яке блочно сканує диск та відновлює видимі файли. Рішення працює з різними файловими підсистемами (у т.ч. і з файловою системою ОС Windows).

Якщо дані вже зашифровані:

У мережі є «пігулки» від старих модифікацій Petyа. Пошук методів боротьби з Petya.A ще триває.

Спеціалісти GigaCloud повідомляють, що в лікуванні вірусу допомагає повне відновлення даних із бекапів.

Наявність бекапів дозволяє зберігати незашифровані копії файлів та документів, і навіть якщо постраждають комп'ютери чи сервери, на них можна повністю перевстановити операційні системи та незаражене ПЗ, а потім, з бекапу, відновити бази даних та документи. При цьому важливо, щоб бекапи не зберігалися на власних чи постійно підключених мережевих дисках. В такому разі вони також можуть бути зашифровані. Тому для бекапів краще за все використовувати спеціальні рішення, такі як Veeam чи Acronis.

subscribe

Підписатись на новини

Залиште свій Email, и будьте завжди в курсі свіжих новин!