Как работает вирус вымогатель Petya?
- Июль 19, 2017
- 9358
Возможно, вы уже в курсе о хакерской угрозе зафиксированной 27 июня 2017 года в странах России и Украины, подвергшиеся масштабной атаке похожей на WannaCry. Вирус блокирует компьютеры и требует выкуп в биткоинах за дешифровку файлов. В общей сложности пострадало более 80 компаний в обеих странах, включая российские «Роснефть» и «Башнефть».
Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300. Но в отличии от Wanna Cry, Petya не утруждает шифрованием отдельных файлов — он практически мгновенно «отбирает» у вас весь жесткий диск целиком.
Правильное название этого вируса — Petya.A. Отчет ESET раскрывает некоторые возможности Diskcoder.C (он же ExPetr, PetrWrap, Petya или NotPetya)
По статистике всех пострадавших , вирус распространялся в фишинговых письмах с зараженными вложениями. Обычно письмо приходит с просьбой открыть текстовый документ, а как мы знаем второе расширение файла txt.exe скрывается, а приоритетным является последнее расширения файла. По умолчанию операционная система Windows не отображает расширения файлов и они выгладят вот так:
Так что я рекомендую вам включить отображение расширений.
В 8.1 в окне проводника (Вид \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
В 7 в окне проводника (Alt \ Сервис \ Параметры папок \ Убираем галочку Скрывать расширения для зарегистрированных типов файлов)
И самое страшное, что пользователей даже не смущает, что письма приходят от неизвестных пользователей и просят открыть непонятные файлы.
После открытия файла пользователь видит «синий экран смерти».
После перезагрузки, похоже на то, что запускается «Скан диск» на самом деле, вирус шифрует файлы.
В отличие от других программ-вымогателей, после того как этот вирус запущен, он немедленно перезапускает ваш компьютер, и когда он загружается снова, на экране появляется сообщение: “НЕ ВЫКЛЮЧАЙТЕ ВАШ ПК! ЕСЛИ ВЫ ОСТАНОВИТЕ ЭТОТ ПРОЦЕСС, ВЫ МОЖЕТЕ УНИЧТОЖИТЬ ВСЕ ВАШИ ДАННЫЕ! ПОЖАЛУЙСТА, УБЕДИТЕСЬ, ЧТО ВАШ КОМПЬЮТЕР ПОДКЛЮЧЕН К ЗАРЯДКЕ!”. Хотя это может выглядеть как системная ошибка, на самом деле, в данный момент Petya молча выполняет шифрование в скрытом режиме. Если пользователь пытается перезагрузить систему или остановить шифрования файлов, на экране появляется мигающий красный скелет вместе с текстом “НАЖМИТЕ ЛЮБУЮ КЛАВИШУ!”. Наконец, после нажатия клавиши, появится новое окно с запиской о выкупе. В этой записке, жертву просят заплатить 0.9 биткойнов, что равно примерно $400. Тем не менее, это цена только за один компьютер. Поэтому, для компаний, которые имеют множество компьютеров, сумма может составлять тысячи. Что также отличает этого вымогателя, так это то, что он дает целую неделю чтобы заплатить выкуп, вместо обычных 12-72 часов, которые дают другие вирусы этой категории.
Более того, проблемы с Petya на этом не заканчиваются. После того, как этот вирус попадает в систему, он будет пытаться переписать загрузочные файлы Windows, или так называемый загрузочный мастер записи, необходимый для загрузки операционной системы. Вы будете не в состоянии удалить Petya вирус с вашего компьютера, если вы не восстановите настройки загрузочного мастера записи (MBR). Даже если вам удастся исправить эти настройки и удалить вирус из вашей системы, к сожалению, ваши файлы будут оставаться зашифрованными, потому что удаление вируса не обеспечивает расшифровку файлов, а просто удаляет инфекционные файлы. Конечно, удаления вируса имеет важное значение, если вы хотите продолжить работу с компьютером
После попадания на ваш компьютер под управлением системы Windows, Petya практически мгновенно зашифровывает MFT (Master File Table — главная таблица файлов). За что же отвечает эта таблица?
Представьте, что ваш жесткий диск - это самая большая библиотека во всей вселенной. В ней содержатся миллиарды книг. Так как же найти нужную книгу? Только с помощью библиотечного каталога. Именно этот каталог и уничтожает Петя. Таким образом, вы теряете всякую возможность найти какой-либо «файл» на вашем ПК. Если быть еще точнее, то после «работы» Petya жесткий диск вашего компьютера будет напоминать библиотеку после торнадо, с обрывками книг, летающими повсюду.
Таким образом, в отличии от Wanna Cry, Petya.A не шифрует отдельные файлы, тратя на это внушительное время - он просто отбирает у вас всякую возможность найти их.
Кто создал вирус Петя?
При создании вируса Петя был задействован эксплойт («дыра») в ОС Windows под названием «EternalBlue». Microsoft выпустил патч kb4012598 (из ранее выпущенных уроков по WannaCry мы уже рассказывали об этом обновлении, которое «закрывает» эту дыру.
Создатель «Petya» смог с умом использовать беспечность корпоративных и частных пользователей и заработать на этом. Его личность пока что неизвестна (да и вряд ли будет известна)
Как удалить вирус Petya?
Как удалить вирус Petya.A с вашего жесткого диска? Это крайне интересный вопрос. Дело в том, что если вирус уже заблокировал ваши данные, то и удалять будет, фактически, нечего. Если вы не планирует платить вымогателям (чего делать не стоит) и не будете пробовать восстанавливать данные на диске в дальнейшем, вам достаточно просто произвести форматирование диска и заново установить ОС. После этого от вируса не останется и следа.
Если же вы подозреваете, что на вашем диске присутствует зараженный файл - просканируйте ваш диск антивирусом от компании ESET Nod 32 и проведите полное сканирование системы. Компания NOD 32 заверила, что в его базе сигнатур уже есть сведения о данном вирусе.
Дешифратор Petya.A
Petya.A зашифровывает ваши данные очень стойким алгоритмом шифрования. На данный момент не существует решения для расшифровки заблокированных сведений.
Несомненно, мы бы все мечтали получить чудодейственный дешифратор (decryptor) Petya.A, однако такого решения просто нет. Вирус WannaCry поразил мир несколько месяцев назад, но лекарство для расшифровки данных, которые он зашифровал, так и не найдено.
Единственный вариант, это если ранее у вас были теневые копии файлов.
Поэтому, если вы еще не стали жертвой вируса Petya.A - обновите ОС систему, установите антивирус от компании ESET NOD 32. Если вы все же потеряли контроль над своими данными - то у вас есть несколько путей.
- Заплатить деньги. Делать этого бессмысленно! Специалисты уже выяснили, что данные создатель вируса не восстанавливает, да и не может их восстановить, учитывая методику шифрования.
- Попробовать удалить вирус с компьютера, а ваши файлы попробовать восстановить с помощью теневой копии (вирус их не поражает)
- Вытащить жесткий диск из вашего устройства, аккуратно положить его в шкаф и жать появления дешифратора.
- Форматирование диска и установка операционной системы. Минус - все данные будут утеряны.
Petya.A и Android, iOS, Mac, Linux
Многие пользователи беспокоятся - «а может ли вирус Petya заразить их устройства под управлением Android и iOS. Поспешу их успокоить - нет, не может. Он рассчитан только на пользователей ОС Windows. То же самое касается и поклонников Linux и Mac - можете спать спокойно, вам ничего не угрожает.
Разработка расширений Joomla