Вчера произошло массовое заражение компьютеров вирусом вымогателем (шифровальщиком) Petya/NotPetya/Petya.A. Этот вирус скрытно проникает на компьютер, принудительно перезагружает его и во время загрузки операционной системы зашифровывает файлы пользователя и таблицу хранения информации о файлах. Когда этот процесс заканчивается, пользователю показывается следующее сообщение.
Petya (NotPetya) вирус шифровальщик
Полный текст сообщения о выкупе:
Ooops, your important files are encrypted.
If you see this text, then your files are no longer accessible, because they have been encrypted. Perhaps you are busy looking for a way to recover your
files, but don’t waste your time. Nobody can recover your files without our
decryption service.We guarantee that you can recover all your files safely and easily. All you
need to do is submit the payment and purchase the decryption key.Please follow the instructions:
1. Send $300 worth of Bitcoin to following address:
lflz7153HHuxXTuR2R1t78mGSdzafithBUX2. Send your Bitcoin wallet ID and personal installation key to e-mail
wowsmith1234569posteo.net. Your personal installation key:If you already purchased your key, please enter it below.
Key:
Больше всего было заражено компьютеров в двух странах: Украина и Россия. По мнению экспертов, этот вирус в качестве способа проникновения на компьютер использовал поддельное обновление популярной программы M.E.Doc. После заражения одного компьютера, Petya/NotPetya вирус, используя утилиту подбора паролей, а так же уязвимости в операционной системе Windows, такие как ETERNALBLUE (эту уязвимость использовал вирус Wanna Cry) и ETERNALROMANCE, заражает все компьютеры в локальной сети. Как результат масштабы атаки поражают, они практически не уступают печально известному вирусу Wanna Cry.
Не смотря на то, что Petya NotPetya вирус вымогатель активно использует оба эксполойта, чтобы заразить как можно больше компьютеров, он не распростаняется через Интернет, он поражает компьютеры исключительно в локальной сети (там где было первоначальное проникновение вируса). Так как размер каждой локальной сети ограничен, то и количество зараженных компьютеров будет не так велико, как при атаке Wanna Cry вируса.
Как блокировать шифрование файлов Petya/NotPetya вирусом шифровальщиком
Как уже было сказано выше, после того как вирус проникает на компьютер, он принудительно выполняет его перезагрузку. Когда операционная система начинает загружаться, появляется поддельное сообщение о запуске процедуры восстановления файловой системы на диске C, аналогичное тому, которое показывает системная утилита CHKDSK.
Petya (NotPetya) — поддельное сообщение о восстановлении файловой системы
Если в этот момент выключить компьютер, то в дальнейшем загрузившись с диска восстановления можно полностью вернуть свои файлы, то есть предотвратить шифрование. Так же можно подключить диск с зараженного компьютера к другому компьютеру, проверить диск на вирусы и удалить их, после чего скопировать свои файлы.
Как защитить компьютер от Petya/NotPetya вируса-вымогателя
Множество экспертов, после получения образцов вируса, стали искать способ заблокировать его распространение и таким способом защитить ещё не зараженные компьютеры. Этот способ был найден. Чтобы защитить свой компьютер от Petya (NotPetya) вируса, пользователю необходимо создать файл perfc и поместить его в каталог C:\Windows. Кроме этого, необходимо установить права доступа к этому файлу «Только Чтение». Сделать это не сложно, ниже мы приводим инструкцию как быстро создать файл perfc и защитить систему от проникновения вируса-шифровальщика Petya (NotPetya).
В первую очередь вам нужно настроить операционную систему таким образом, чтобы Проводник показывал расширения всех файлов. Для этого откройте Проводник, кликните левой клавишей мыши по меню Файл.
Выберите пункт «Изменить параметры папок и поиска». Откройте окно аналогичное ниже приведенному.
Здесь выберите вкладку Вид и пролистайте список параметров, пока не увидите пункт «Скрывать расширения для зарегистрированных типов файлов». Снимите галочку, после чего нажмите клавишу OK. Теперь в Проводнике откройте диск C, затем папку Windows. Будьте внимательны, не удаляйте и не перемещайте файлы из этой папки, так как это может привести к не работоспособности компьютера.
В списке файлов найдите HelpPane.exe (можете использовать любой файл), кликните по нему правой клавишей мыши и выберите пункт Копировать (можете нажать на клавиатуре клавиши CTRL и C одновременно).
Файл будет скопирован в буфер обмена, теперь в окне проводника кликните правой клавишей и нажмите Вставить (можете просто на клавиатуре нажать две клавиши CTRL и V одновременно). Вам будет показано окно с предупреждением, аналогичное приведенному ниже.
Здесь кликните Продолжить. В результате этих действий в папке появится новый файл HelpPane — копия.exe. Теперь кликните по нему правой клавишей и выберите пункт Переименовать (можете просто выбрать файл и нажать на клавиатуре F2).
Удалите старое имя файла и введите perfc, после чего нажмите клавишу Enter. Операционная система покажет предупреждение.
Подтвердите свои действия, нажмите клавишу Да. Теперь вам осталось только изменить права доступа к файлу. Найдите файл perfc и кликните по нему правой клавишей, выберите пункт Свойства. Перед вами откроет следующее окно.
Поставьте галочку в пункте «Только чтение» и нажмите клавишу OK.
Теперь ваш компьютер защищен от проникновения вируса Petya (NotPetya). Дополнительно к этим действия рекомендую установить антивирусную программу и утилиту для борьбы с вредоносными программами. Прочитайте эти инструкции: Как выбрать антивирус, Как удалить вредоносные программы.
