RU EN

Найден способ предотвращения шифрования файлов вымогателем Petya

29.06.2017

Предотвратить выполнение вредоносного кода можно, создав в папке C:\Windows файл perfc.

Исследователь безопасности Амит Серпер (Amit Serper) предложил способ, позволяющий предотвратить распространение шифровальщика Petya.A (другие названия NotPetya/SortaPetya/Petna).

Во вторник, 27 июня, мир накрыла волна атак с использованием модифицированной версии вымогательского ПО Petya. В России от атак пострадали предприятия «Роснефть» и «Башнефть», в Украине из строя вышла компьютерная сеть Кабинета министров, ПО в аэропорту «Борисполь», Укрпочта, Киевский метрополитен, некоторые банки, включая «Ощадбанк». Также прекратил работу сайт МВД Украины.

Petya.A шифрует разделы MFT и MBR жесткого диска компьютера и требует за расшифровку $300 в биткойнах. Для того чтобы восстановить свои файлы, жертва должна связаться с операторами вредоноса по электронной почте, указанной в сообщении с требованием выкупа, и указать номер своего биткойн-кошелька и электронный адрес. После оплаты злоумышленники обещают выслать на этот адрес ключ для дешифровки. Однако почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.

Исследователи безопасности анализируют код вредоноса в надежде найти уязвимость (например, вшитый домен, как в случае с WannaCry), позволяющую остановить волну атак. Серпер первым обнаружил, что, попав на систему, Petya.A ищет определенный локальный файл и если такой файл уже есть на диске, прекращает процесс шифрования. Позже находку исследователя подтвердили эксперты Positive Technologies, TrustedSecи Emsisoft . То есть, пользователь может создать на жестком диске этот файл, включить режим для чтения и тем самым предотвратить выполнение Petya.A.

Вышеописанный метод имеет большой минус. Он не позволяет отключить вредонос, как в случае с WannaCry, поскольку каждый пользователь должен сам настроить на своем компьютере нужный файл и тем самым остановить распространение инфекции. Для этого нужно в папке C:\Windows создать файл perfc, доступный только для чтения. Здесь можно скачать уже готовый командный файл, любезно предоставленный Лоуренсом Абрамсом из Bleeping Computer. С его помощью можно легко и быстро создать нужный файл.

securitylab.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.