Программа-вымогатель и вирус Petya: что такое и как от него защититься

По всему миру компании и компьютерные системы подвергаются мощной атаке программы-вымогателя, направленной против операционной системы Microsoft Windows. Нередко нанесенный ущерб оказывается критичным.

Что известно

Пока вы читаете эту статью, новая программа-вымогатель быстро распространяется по всему земному шару. Специалисты по компьютерной безопасности пока еще не пришли к единому мнению, поэтому приведенная информация на данный момент является предварительной:

Эту программу-вымогателя окрестили «Petya». Вероятно, она распространяется с использованием двух отдельных эксплойтов. Вам не требуется кликать на что-нибудь или производить иные действия. Вирус распространяется через сеть. Именно поэтому он распространяется с такой скоростью, и вот почему так важно регулярно обновлять систему для поддержания максимального уровня защиты.

Для тех, кому интересна техническая сторона вопроса: данная программа-вымогатель пользуется уязвимыми местами в системе Microsoft Office при работе с документами в формате RTF (CVE-2017-0199). Кроме того, она использует плохо защищенный протокол совместного использования файлов SMBv1. Об этом слабом месте системы Microsoft подробно рассказывается в Бюллетене службы безопасности Microsoft MS17-010.

Вирус уже нанес значительный ущерб многим компаниям, организациям и государственным учреждениям по всему миру. Вот скриншот страницы вируса-вымогателя, которую вы увидите после того, как программа зашифрует ваши файлы:

Скриншот страницы вируса Petya

Колин Харди (Colin Hardy) провел поведенческий анализ вируса Petya, включая демонстрацию действия вредоносной программы (видео на английском языке):

Что делать

Если вы еще не установили обновление MS17-010 от Microsoft, вы должны сделать это как можно скорее.

Если вы продолжаете пользоваться системой Windows без обновлений, вы можете не успеть установить их до того, как вирус попадет в систему. Если возможно, отключите ваш компьютер и не выходите в сеть, пока специалисты по безопасности придут к единому мнению о том, какими именно слабостями в системе пользуется вирус и как защититься от него.

Если вы обладаете соответствующими техническими навыками, мы рекомендуем заблокировать доступ в интернет через порт 445 на рабочей станции Windows. А если вы разбираетесь в вопросах безопасности, возможно, вы захотите контролировать трафик через этот порт.

Следите за новостями Microsoft Security Response Center, где, будем надеяться, в скором времени будет опубликована официальная инструкция по борьбе с вирусом.

Обновите базы вирусов и проверьте систему. На странице VirusTotal вы найдете список антивирусов, которые могут обнаружить существующий вариант программы Petya. Мы загрузили в системы один из зараженных файлов. На этой странице вы видите, какие из антивирусов в данный момент обнаружили этот файл. Зеленые галочки показывают, что файл не замечен антивирусом.

Кто уже подвергся атаке вируса

  • Одними из первых пострадавших, сообщившими об атаке вируса, стали украинская электроэнергетическая компания и главный аэропорт Киева.
  • Работникам Чернобыльской атомной электростанции пришлось вручную контролировать уровень радиации после того, как им пришлось выключить систему Windows, на которой работали сенсоры.
  • Сообщается о повреждении систем самолета Антонов.
  • Перебои в работе также наблюдаются в различных информационных системах многочисленных подразделений судоходной компании Maersk (штаб-квартира в Копенгагене).
  • Продовольственный гигант Modelez, производящий Oreo и Toblerone, также подвергся атаке.
  • Вирус поразил и голландскую судоходную компанию
  • Французская строительная компания St. Gobain тоже пострадала.
  • Фармацевтическая компания Merck заявила о проблемах в работе систем.
  • Юридическая фирма DLA Piper тоже была атакована вирусом.
  • Американская компания-оператор госпиталей Heritage Valley Health System также пострадал.
  • В киевском метро была приостановлена оплата картами из-за атаки вируса.

Список пострадавших длинный и постоянно растет; список выше – всего лишь краткий обзор.

Сильный стимул для новых атак

Многие полагают, что хостинговая компания из Южной Кореи, неделю назад заплатившая взломщикам выкуп в 1 млн. долларов, чтобы восстановить зашифрованные данные, создала прецедент, подстегнувший злоумышленников продолжать атаки.

В результате, прокатилась новая волна атак, поразивших системы по всему миру.

Как активировать защиту от вируса NotPetya/Petna/Petya

Чтобы обезопасить компьютер от заражения существующим на данный момент штаммом вируса NotPetya/Petya/Petna, вам необходимо просто создать файл perfc в директории C:\Windows и указать, что он доступен только для чтения. Для тех, кто хочет упростить себе эту задачу, программисты создали командный файл, который выполнит эту работу за вас.

Обратите внимание, что этот файл одновременно создаст два дополнительных защитных файла: perfc.dat and perfc.dll. Хотя тесты и не выявили необходимости в этих файлах, мы решили добавить их на всякий случай.

Необходимый для запуска batch-файл можно скачать по ссылке: https://download.bleepingcomputer.com/bats/nopetyavac.bat

Те, кто хотят активировать защиту компьютера вручную, должны выполнить шаги указанные далее в тексте статьи. Обратите внимание, что эта схема была разработана, чтобы максимально облегчить процедуру для пользователей, имеющих небольшой опыт пользования компьютером. Более опытные пользователи могут найти и другие, возможно, лучшие варианты.

Во-первых, установите настройки Windows так, чтобы система показывала расширения файлов. Убедитесь, что строка «Скрывать расширения для зарегистрированных типов файлов» в «Параметрах папок» неактивна, как показано на скриншоте ниже.

Скрывать расширения для зарегистрированных типов файлов

После того, как вы настроили отображение расширений, которые рекомендуется никогда не скрывать, откройте папку C:\Windows. В этой директории промотайте список файлов вниз, пока не найдете программу notepad.exe.

notepad.exe

После того, как вы найдете программу notepad.exe, выделите ее, кликнув по ней левой кнопкой мыши. Потом нажмите Ctrl+C, чтобы скопировать и Ctrl+чтобы вставить данный файл в эту же папку. При попытке вставки файла, вы увидите диалоговое окно, запрашивающее разрешение на копирование этого файла.

Копирование файла notepad.exe

Нажмите кнопку Продолжить и вы получите новый файл notepad — копия.exe. Кликните левой кнопкой мыши по этому файлу и нажмите кнопку F2 на клавиатуре, теперь сотрите название файла «notepad — копия.exe» и переименуйте его в perfc, как показано на скриншоте.

Файл perfc

После того, как вы измените название файла на perfc, нажмите клавишу «Enter» на клавиатуре. Теперь вы увидите диалоговое окно, в котором система спрашивает, уверены ли вы, что хотите переименовать файл.

Переименование файла perfc

Нажмите кнопку Да. Windows еще раз запросит разрешение на переименование файла в этой папке. Нажмите Продолжить.

Теперь, когда файл perfc создан, необходимо установить настройки только для чтения. Для этого кликните по файлу правой кнопкой мыши и выберите Свойства, как показано ниже.

Свойства файла perfc

Откроется меню свойств этого файла. Внизу окна будет виден чекбокс Только для чтения. Поставьте галочку напротив него, как показано на скриншоте ниже.

Только для чтения perfc

Нажмите на клавишу Применить и потом кнопку OK. После этого окно свойств закроется. Хотя проведенные нами тесты показали, что для защиты компьютера достаточно файла C:\windows\perfc, также предлагается создать дополнительные файлы C:\Windows\perfc.dat и C:\Windows\perfc.dll, чтобы подстраховаться. Для создания этих файлов повторите вышеописанные шаги.

Теперь ваш компьютер защищен от вируса-вымогателя NotPetya/SortaPetya/Petya.

Помогите защитить компьютеры ваших близких

Пожалуйста, как можно скорее расскажите своим друзьям и родственникам об этом быстро распространяющемся вирусе, чтобы они могли обезопасить себя.

Ответить