Что такое вирус Petya и как с ним бороться

Во вторник 27 июня 2017 г. вирус Petya атаковал государственные учреждения и крупные компании в Украине, России, Европе и США. Вирус шифровал данные на жестких дисках и требовал 300 $ на кошелек Bitcoin за ключ расшифровки данных. За сутки злоумышленникам перевели 9000$ на кошелек Bitcoin.

Что такое вирус Petya?

Вирус-шифровальщик Petya впервые был обнаружен в апреле 2016 г. Вирус маскировался под резюме в электронной почте. Когда пользователь переходил по ссылке, то запускался исполняемый файл, который требовал запуск с расширенными привилегиями. Если пользователь соглашался на предоставление расширенных привилегий, то вирус начинал шифровать таблицу размещения файлов NTFS, известную как MFT, и отправлял компьютер в перезагрузку. После перезагрузки пользователю выдавалось сообщение, что все файлы зашифрованы.

Однако вчера в сети появилась новая модификация вируса-шифровальщика Petya. На данный момент известно, что Petya или NotPetya (название дали в Лаборатории Касперского) шифрует MBR загрузочный сектор диска и заменяет его своим собственным. что является новинкой в мире Ransomware.

Распространяется вирус с использованием последних, предположительно 0day уязвимостей.

Вирусу Petya необходима перезагрузка. Поэтому, если ваш компьютер сам ушел в перезагрузку и включил «проверку диска», вам необходимо немедленно выключить компьютер. Пока идет «проверка диска», вирус шифрует ваши файлы. Если вы успели выключить компьютер до завершения «проверки», то есть большая вероятность сохранить файлы, подключив жесткий диск к другому компьютеру.

В интернете есть дешифровальщик вируса Petya, но он подходит только к старым версиям вируса-шифровальщика. И работоспособность его не подтверждена.

Кто пострадал от вируса-шифровальщика Petya?

Украина

Госструктуры: Кабинет министров Украины, Министерство внутренних дел, Министерство культуры, Министерство финансов, Нацполиция (и региональные сайты), Киберполиция, КГГА, Львовский городской совет, Минэнерго, Нацбанк

Банки: Ощадбанк, Сбербанк, ТАСКомерцбанк, Укргазбанк, Пивденный, ОТР банк, Кредобанк.

Транспорт: Аэропорт «Борисполь», Киевский метрополитен, Укрзализныця

СМИ: Радио Эра-FM, Football.ua, СТБ, Интер, Первый национальный, Телеканал 24, Радио «Люкс», Радио «Максимум», «КП в Украине», Телеканал АТР, «Корреспондент.нет»

Крупные компании: «Новая почта», «Киевэнерго», «Нафтогаз Украины», ДТЭК, «Днепрэнерго», «Киевводоканал», «Новус», «Эпицентра», «Арселлор Миттал», «Укртелеком», «Укрпочта»

Мобильные операторы: Lifecell, Киевстар, Vodafone Украина,

Медицина: «Фармак», клиника Борис, больница Феофания, корпорация Артериум,

Автозаправки: Shell, WOG, Klo, ТНК

Россия

Крупнейшая жертва кибератаки в России — «Роснефть». Официальный твиттер нефтяной компании сообщил о «мощной атаке» на сервера, перестал работать сайт «Роснефти». По данным «Ведомостей», вирус поразил компьютеры в НПЗ «Башнефти», «Башнефть-добыче» и управлении «Башнефти». Все они принадлежат «Роснефти». Представители компании предостерегли тех, кто будет распространять «лживые слухи».

RNS пишет, что атаке подверглись компания Mondelez, производящая шоколад Alpen Gold и Milka, и фирма Mars: у неё «затруднения с работой IT-системы сегмента [корма для животных] Royal Canin».

О хакерской атаке сообщили в офисе металлургической компании Evraz и банка «Хоум кредит». В Центробанке РФ заявили, что от хакеров пострадали ещё несколько кредитно-финансовых организаций: каких — не сообщается.

Евросоюз

Вечером во вторник появились сообщения об атаках на европейские и американские компании. Среди них — британская рекламная фирма WPP, голландские транспортная компания APM и служба доставки TNT, французский производитель стройматериалов «Сен-Гобен», международный оператор морских перевозок Moller-Maersk, американская фармацевтическая Merck и юридическая фирма DLA Piper.

The Independent пишет, что вирус заразил компьютеры компаний в и Индии. Bleepingcomputer сообщает о пострадавших датских компаниях. От атаки пострадал испанский офис компании Mondelez. Костин Райю пишет об атаках на компьютеры в Польше, Италии, Германии и Беларуси.

Как защититься от вируса Petya?

Специалисты Positive Technologies нашли локальный «kill switch» для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc» (perfc — файл без расширения).

Необходимо закрыть TCP-порты 1024-1035, 135 и 445.

Обновите Windows, если это возможно.

Обновите антивирус, если у вас это не происходит автоматически.

Не открывайте файлы в письмах, которые вам покажутся подозрительными. Если вам пришло письмо от друга с вложением, уточните у него, отправлял ли он вам что-то.

Если компьютер внезапно захотел перезагрузиться, выключите его и не включайте. Если есть возможность, подключите жёсткий диск к другому устройству. Не используйте как загрузочный. Проверьте его антивирусом.

Отключите автозапуск для внешних устройств.