Petya.A: как остановить вирус на полпути и восстановить данные

Обучение

27.06.2017

ЧИТАТИ УКРАЇНСЬКОЮ

Вирус Petya.A, в рекордно короткие сроки поразивший компьютеры стратегических структур Украины – банков, энергетических компаний и правительственных органов – продолжает шествие по IT-инфраструктурам крупных предприятий. Атаке уже подверглись сайты Министерства внутренних дел, Секретариата Кабинета министров, «Новой почты», «Укртелекома», «Ощадбанка», «Кредобанка» «ТАСкомбанка», «Киевэнерго», ДТЭК, «Новуса», «Эпицентра» «Вог», «Киевстара» и многие другие.

Как работает Petya.A?

Petya.A шифрует все данные на жестком диске. Расшифровка невозможна без приватного ключа – за это Petya требует 0.9 биткоинов, что равно примерно $300. Это цена за разблокировку одного ПК. Компании с сотнями устройств могут понести космический ущерб. На оплату выкупа создатели вируса отводят неделю. В GigaCloud пока не получили информации о расшифровке данных пользователей, оплативших требуемую сумму. В первый же день атаки обнаружена ссылка на один из кошельков, куда уходят деньги из зараженных устройств (на момент написания материала, сумма уже превышала 7000 долларов).

Что произойдет, если пользователь словит Petya.A?

1. Компьютер немедленно перезапустится.

2. После запуска на экране появится сообщение о якобы проверке OS Windows диска на ошибки (Disk Check), а в этот момент будет происходить собственно шифрование файлов.

3. Считается, что Petya перехватывает управление компьютером на самых первых этапах загрузки, шифруя данные в скрытом режиме.

4. В ответ на любые действия пользователя, вирус отражает красный экран с мигающим черепом и надписью «Нажмите любую клавишу». При нажатии появляется окно с требованием о выкупе.

Откуда взялся Petya?

Petya.A – новая модификация прошлогоднего вируса, первые версии которого распространялись как спам-письма, маскирующиеся под резюме. Petya 2017 впервые заявил о себе, загрузившись вместе с обновлением программы для электронного документооборота M.E.doc (именно поэтому временно не рекомендуется использовать обновления, которые эта программа предлагает установить при запуске). Далее вредоносное ПО распространялось при помощи уязвимости в протоколе Samba (так же, как и во время атак WannaCry).

Как защититься от вируса?

Чтобы не загрузить вирус из интернета, необходимо:

1. Не открывать вложения от неизвестных и сомнительных отправителей по почте.

2. Не переходить по ссылкам от неизвестных отправителей.

3. Переходить только по достоверным ссылкам и сайтам.

Чтобы не заразиться от компьютера в локальной сети, действительно, желательно сразу же отключиться от интернета: Petyа заражает все устройства на одном домене.

В качестве профилактических мер действительны советы наших специалистов по защите от вируса WannaCry:

1. Регулярно обновлять резервные копии критических систем и файлов. Резервные копии (на внешних носителях или в облачных сервисах) – это единственный шанс полностью предотвратить потерю данных.

2. Установить последние обновления на все операционные системы Windows.

3. Заблокировать внешние соединения с интернетом по протоколам SMB/NetBIOS. Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445.

4. Использовать актуальные версии ОС, для которых выпускаются обновления безопасности.

5. Контролировать и блокировать трафик к узлам сети Tor, которые часто используются шифровальщиком и другими вредоносными программами.

6. Использовать средства защиты персональных компьютеров – антивирусное программное обеспечение базами сигнатур, что регулярно обновляются.

Как вылечиться?

Вирус Petya действует в два этапа:

1. Удаляет MBR с диска, перезагружает компьютер.

2. Запускает шифрование данных под видом проверки диска (Check Disk). Это и есть индикатор вируса: обычно Check Disk выполняется только вручную.

Незашифрованные данные можно восстановить, если вовремя выключить компьютер.

Как спасти данные до шифрования:

1. Выключить компьютер (можно принудительно).

2. Загрузиться c Live CD (ОС на сменном носителе; для Windows – со средой предустановки Windows PE). С этого устройства запустить антивирус, и после полной очистки – загрузиться снова.

Нюанс: не все антивирусы могут помочь, если компьютер уже заражен, поскольку хакеры использовали уязвимости Windows, о которых до сих пор ничего не было известно. Поэтому антивирус – в первую очередь профилактическое средство. Список антивирусов, которые могут справиться, есть у Virus Total.

3. Использовать сервис для восстановления данных. Он поможет, так как Petya шифрует только таблицу, не затрагивая файлы. Мы рекомендуем программное решение R-Studio, которое поблочно сканирует диск и восстанавливает видимые файлы. Решение работает с разными файловыми системами (в том числе и файловой системой ОС Windows).

Если данные зашифрованы:

В сети есть «таблетки» от старых модификаций Petyа. Поиск методов борьбы с Petya.A еще продолжается.

Специалисты GigaCloud сообщают, что в лечении вируса помогает полное восстановление данных из бекапов.

Наличие бекапов позволяет хранить незашифрованные копии файлов и документов, и даже если страдают компьютеры или серверы, на них можно полностью переустановить операционные системы и незараженное ПО, а затем, из бекапа, восстановить базы данных и документы. При этом важно, чтобы бекапы не хранились на собственных или постоянно подключенных сетевых дисках, так как в этом случае они тоже подвержены шифрованию. Поэтому для бекапов лучше использовать специальные решения, такие как Veeam или Acronis.

subscribe

Подписаться на новости

Оставьте свой Email, и будьте всегда в курсе свежих новостей!