Как победить вирус Petya
Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry. Эксперты Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним.
Жертвами вымогателя уже стали украинские, российские и международные компании, в частности, Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК «Люкс», Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.
Анализ образца вымогателя, проведенный нашими экспертами, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.
После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).
На данный момент число транзакций увеличилось до 45.
Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.
В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).
Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.
О существующей угрозе компрометации мы сообщали более месяца назад в оповещениях об атаке WannaCry и давали рекомендации, каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации мы дадим и в данной статье. Кроме того, наша компания разработала бесплатную утилиту WannaCry_Petya_FastDetect для автоматизированного выявления уязвимости в инфраструктуре. Система MaxPatrol выявляет данную уязвимость как в режиме Audit, так и в режиме Pentest. Подробная инструкция указана в наших рекомендациях. Кроме того, в MaxPatrol SIEM заведены соответствующие правила корреляции для выявления атаки Petya.
Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBR шифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:\Windows\ (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).
Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.
Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.
С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:\Windows\, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.
Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MS Windows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.
Если заражение уже произошло, мы не рекомендуем платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.
В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов. Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями. Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.
Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:
Petya.A, Petya.C, PetrWrap или PetyaCry? Новая вирусная угроза для компаний России и Украины
Не так давно мы выпустили статью по комплексной проактивной защите от направленных атак и вирусов-шифровальщиков, которая содержала в том числе последние крупные вирусные заражения вредоносным ПО типа Ransomware, в копилку можно добавить еще один пример.
27 июня 2017 г. зарегистрирована масштабная хакерская атака на серверы и рабочие станции сетей крупных российских, украинских компаний, организаций по всему миру, перечень которых пополняется непрерывно и в соцсетях появляется все больше подобных фотографий:
Вирусом является модификация нашумевшего в 2016 году шифровальщика-вымогателя Petya.A/Petya.C. Распространяется новый вирус Petya.C несколькими способами:
Как защититься от шифрования данных?
Первым делом необходимо обновить сигнатуры антивирусного ПО на серверах и рабочих станциях (в случае наличия антивирусного ПО) — база сигнатур должна быть обновлена 27.06.2017 не ранее 20:00 (первые упоминания о добавлении Petya.C в базу сигнатур начали поступать в 19ч). Вот перечень вредоносных файлов и их хеш-значений:
Помимо обновления антивирусного ПО рекомендуем применить дополнительные меры защиты:
— 84.200.16[.]242
— 84.200.16[.]242/myguy.xls
— french-cooking[.]com/myguy.exe
— 111.90.139[.]247
— COFFEINOFFICE[.]XYZ
Что делать по факту заражения?
Ни в коем случае не переводите деньги на счет злоумышленников, их электронная почта заблокирована, и вы в любом случае не сможете таким образом восстановить данные.
При заражении рабочей станции / сервера в сети необходимо принять соответствующие меры по устранению вредоносного ПО:
Обнаружение распространения вируса по сети
В ходе распространения по сети, предположительно, используется разновидность инструмента от Microsoft Windows Sysinternals — PsExec.
Существует SIGMA-правило для обнаружения использования PsExec, оно может быть автоматически сконвертировано в запрос Splunk и ElasticSearch:
title: PsExec tool execution on destination host
status: experimental
description: Detects PsExec service installation and execution events (service and Sysmon)
author: Thomas Patzke
reference: www.jpcert.or.jp/english/pub/sr/ir_research.html
logsource:
product: windows
detection:
service_installation:
EventID: 7045
ServiceName: ‘PSEXESVC’
ServiceFileName: ‘*\PSEXESVC.exe’
service_execution:
EventID: 7036
ServiceName: ‘PSEXESVC’
sysmon_processcreation:
EventID: 1
Image: ‘*\PSEXESVC.exe’
User: ‘NT AUTHORITY\SYSTEM’
condition: service_installation or service_execution or sysmon_processcreation
falsepositives:
— unknown
level: low
Снова эпидемия?
Причиной широкого распространения вируса является невыполнение базовых необходимых мероприятий по защите от направленных атак подобного рода:
Новая эпидемия шифровальщика Petya / NotPetya / ExPetr
Прямо сейчас начинается новая эпидемия неизвестного шифровальщика. В этом посте все, что мы об этом знаем, и наши советы по защите
[Обновлено 28 июня, 21.00]
Вчера началась эпидемия очередного шифровальщика, которая, похоже, обещает быть не менее масштабной, чем недавняя всемирная заварушка с WannaCry.
Есть множество сообщений о том, что от новой заразы пострадало несколько крупных компаний по всему миру, и, похоже, масштабы бедствия будут только расти.
Существовали предположения о том, что это все тот же WannaCry (это не он), а также, что это какая-то вариация шифровальщика Petya (Petya.A или Petya.D или PetrWrap). На самом деле новый вирус существенно отличается от ранее существовавших модификаций Petya, именно поэтому мы не считаем его «Петей» — мы выделяем его в отдельное семейство ExPetr.
Эксперты «Лаборатории Касперского» продолжают изучать, что это за новая напасть, и по мере того, как они выясняют подробности, мы будем дополнять этот пост.
Пока мы можем сказать, что атака комплексная, в ней используется несколько векторов заражения. Один из них — все тот же эксплойт EternalBlue, который был использован для распространения WannaCry. Больше технических деталей в нашем посте на Securelist.
На данный момент продукты «Лаборатории Касперского» детектируют новую заразу со следующими вердиктами:
Нашим корпоративным клиентам мы советуем следующее
Советы домашним пользователям
Домашних пользователей данная угроза касается в меньшей степени, поскольку злоумышленники концентрируют свое внимание на крупных организациях. Однако защититься также не помешает. Вот, что стоит сделать:
Не платите выкуп
Если ваш компьютер уже заражен данным шифровальщиком и файлы заблокированы, мы не рекомендуем платить выкуп. Это не поможет вам вернуть файлы: дело в том, что служба e-mail, услугами которой пользовались злоумышленники, заблокировала почтовые адреса, на которые должны приходить данные об уплате выкупа. Так что даже если вы переведете деньги, вам не удастся связаться с ними, подтвердить перевод и получить ключ, необходимый для восстановления файлов.
Обновлено: Как оказалось, это еще не все. Проведенный нашими экспертами анализ показал, что у жертв изначально не было шансов вернуть свои файлы.
Исследователи Лаборатории Касперского проанализировали ту часть кода зловреда, которая связана с шифрованием файлов, и выяснили что после того, как диск зашифрован, у создателей вируса уже нет возможности расшифровать его обратно.
Для расшифровки необходим уникальный идентификатор конкретной установки трояна. В ранее известных версиях схожих шифровальщиков Petya/Mischa/GoldenEye идентификатор установки содержал информацию, необходимую для расшифровки. В случае Expetr (aka NotPetya) этого идентификатора нет (‘installation key’, который показывает ExPetr — это ничего не значащий набор случайных символов). Это означает, что создатели зловреда не могут получать информацию, которая требуется для расшифровки файлов. Иными словами, жертвы вымогателя не имеют возможности вернуть свои данные.
Не стоит платить выкуп. Это не поможет вернуть файлы.
Шифровальщик-вымогатель Petya ест жесткие диски
Казалось, что хуже Cryptolocker и CTB-Locker нет ничего, но теперь есть вымогатель Petya, который грозит стать настоящей катастрофой.
[Обновлено 28 июня 2017]
К тому же они развиваются, причем быстро. Новые вымогатели используют сильные алгоритмы шифрования с длинными ключами, не зная которые расшифровать данные не получится. Плохие парни перешли на Tor и платежи в биткоинах, чтобы их точно никогда не поймали. Ну а теперь появился троянец-вымогатель «Петя», который забирает у пользователя доступ к жесткому диску целиком, вместо того чтобы корпеть над отдельными файлами.
Как у «Пети» получается добраться до вашего ПК
Основной целью «Пети» являются корпоративные пользователи: шифровальщик попадает на ПК с помощью спама, притворяясь письмом от кандидата на ту или иную должность. Стандартный сценарий заражения выглядит следующим образом.
Знакомьтесь, это Petya. Petya — вымогатель, шифрующий главную таблицу файлов на диске. Не будьте как Petya! https://t.co/hks24hClKo
После того как пользователь решается открыть «резюме», перед ним оказывается не документ с информацией об опыте работы кандидата, а синий экран смерти. Это значит, что «Петя» попал на ПК пользователя и приступил к своим черным делам.
Весь ваш жесткий диск принадлежит нам
Обычно троянцы-вымогатели шифруют только файлы определенного типа: картинки, документы или сохранения игр — и оставляют операционную систему нетронутой, чтобы жертва могла воспользоваться своим ПК, чтобы внести выкуп. Но «Петя» из числа более свирепых: он предпочитает блокировать жесткий диск целиком.
Вне зависимости от того, много разделов на вашем жестком диске или всего один, на нем всегда остается некое невидимое для пользователя пространство. Оно называется Master Boot Record, или главная загрузочная запись. В ней содержатся данные о количестве разделов на диске и специальный код, необходимый для загрузки операционной системы. Он называется Boot Loader.
Этот код всегда запускается перед самой ОС, и именно его модифицирует Petya, чтобы при запуске компьютера загружалась не операционная система, а «Петин» вредоносный код.
Для пользователя этот процесс выглядит так, будто после падения системы заработал Check Disk (программа для проверки дисков и файловой системы). Но на самом деле в это время «Петя» шифрует Master File Table, или главную таблицу файлов. Эта таблица является еще одной скрытой частью вашего жесткого диска: она содержит данные о том, как расположены все ваши файлы и папки.
Представьте, что ваш жесткий диск — это огромная библиотека, в которой хранятся миллионы и даже миллиарды книг. А главная таблица файлов выступает в роли библиотечного каталога. На самом деле это довольно упрощенное объяснение. Если чуть ближе к истине, то надо говорить, что «книги» на жестком диске хранятся не целиком, а в виде отдельных страниц и даже кусочков бумаги. Без какой-либо сортировки или даже намека на порядок.
Так что можете себе представить, насколько сложно будет найти хотя бы одну «книгу», или файл, если кто-то украдет каталог из библиотеки. Но именно это и делает «Петя».
На данном этапе единственное, что отличает «Петю» от других вымогателей, — это то, что он работает без подключения к Сети. Но это, в общем-то, и неудивительно, поскольку «Петя» самостоятельно «съел» операционную систему вместе с возможностью подключиться к Интернету. Так что пользователю приходится искать другой компьютер, чтобы заплатить выкуп и вернуть данные.
Кстати, про шифровальщиков-вымогателей. Говорят, что их жертвы готовы платить за фотки, а за рабочие файлы — нет: https://t.co/aiY6Z2hdnV
Как победить «Петю»
Когда речь идет о современных троянцах-вымогателях, специалистам по безопасности крайне сложно найти способ расшифровки украденных данных. Не удалось это и в случае с «Петей». По крайней мере пока.
Тем не менее у нас есть и хорошие новости. Dropbox удалил вредоносные архивы, содержащие «Петю», и теперь злоумышленникам придется искать новые способы распространения троянца. Проблема в том, что, скорее всего, это не займет у них много времени.
Поэтому важно понять, как не дать вымогателю добраться до ваших данных.
10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic.twitter.com/OE5ik48iRo
1. Когда пользователь видит синий экран смерти, его данные еще не зашифрованы, то есть «Петя» еще не добрался до главной таблицы файлов. Если вы видите, что компьютер показывает вам синий экран, перезагружается и запускает Check Disk, немедленно выключайте его. На этом этапе вы можете вытащить свой жесткий диск, подключить его к другому компьютеру (только не в качестве загрузочного тома!) и скопировать свои файлы.
2. «Петя» шифрует только таблицу, не трогая сами файлы. Специалисты по восстановлению данных могут их вернуть. Это длительная и дорогостоящая процедура, но вполне реальная. Однако не пытайтесь осуществить ее самостоятельно — из-за случайной ошибки ваши файлы могут исчезнуть навсегда.
3. Лучший способ защиты — это предупредить атаку, используя защитное решение. Kaspersky Internet Security не даст спаму проникнуть в ваш почтовый ящик, так что вы, скорее всего, никогда и не получите ссылку, за которой скрывается «Петя». Если же «Петя» каким-то образом проник в систему, Kaspersky Internet Security распознает его как Trojan-Ransom.Win32.Petr и заблокирует все его вредоносные действия. Более того, все остальные наши защитные решения умеют то же самое.
Обновление от 28 июня 2017
Если вы ищете информацию о новой волне заражений шифровальщиком Petya / NotPetya / ExPetr, то про него у нас есть отдельный пост с советами, как защититься.
Эпидемия вируса-шантажиста Petya: что необходимо знать
Следом за массивными атаками WannaCry в прошлом месяце в настоящее время развивается крупный инцидент с программой-шантажистом, получившей название NotPetya. Утром исследователи предполагали, что эта программа является вариантом вируса-шантажиста Petya, но Kaspersky Labs и другие компании сообщили, что несмотря на их схожесть, на самом деле это #NotPetya. Независимо от его имени, вот что следует знать.
Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.
Petya использует другую быстро распространяющуюся атаку, которая аналогично WannaCry эксплуатирует уязвимость ENTERNALBLUE по классификации АНБ. В отличие от WannaCry, вирус Petya также может распространятся через инструментарий управления Windows (WMI) и PsExec (подробнее об этом ниже). Несколько пугающих фактов об этой новой вредоносной программе:
О заражениях сообщалось по всему миру: атаке подверглись системы метро, национальные коммунальные службы, банки и международные корпорации: размах до сих пор не известен, но продолжают поступать сообщения о зараженных компьютерах и заблокированных ИТ-системах в различных отраслях по всему миру.
Как распространяется вирус Petya?
Сначала считали, что вирус Petya должен использовать зацепку в корпоративных сетях, полученную через сообщения электронной почты с зараженным вложением в виде документа Word, в котором используется уязвимость CVE-2017-0199. (Если вы установили исправления для Microsoft Office, то должны быть защищены от этого направления атаки.)
Хотя фишинг часто используется для атак, в этом случае одним из основных источников стала MeDoc, фирма финансового программного обеспечения, располагающаяся на Украине. Функция обновления программного обеспечения MeDoc была взломана, и злоумышленники использовали ее для распространения программы-шантажиста Petya (источник). Это объясняет, почему Украина пострадала больше всех.
После заражения одного компьютера вирус Petya распространялся по одноранговой сети на другие компьютеры и серверы под управлением Windows с незакрытой уязвимостью MS17-010 (это уязвимость SMB, которую всем рекомендовали устранить во время атаки WannaCry). Он также может распространяться через механизм PsExec в ресурсы admin$ даже на компьютерах с установленными исправлениями. Мы недавно написали подробное руководство о PsExec и об отключении PowerShell. Здесь это будет полезным.
Позитивным моментом, по крайней мере при таком положении дел, является то, что заражение по одноранговой сети, похоже, не выходит за пределы локальной сети. Вирус Petya может достаточно эффективно перемещаться по всей локальной сети, вряд ли может переходить в другие сети. Как утверждает @MalwareTechBlog, любящий пиццу пользователь Интернета, который прославился тем, что обнаружил аварийный выключатель WannaCry:
Текущая атака Petya отличается в том плане, что в ней инструменты эксплуатации уязвимости используются только для распространения в локальной сети, а не в Интернете (то есть, очень мала вероятность заразится, если ваш компьютер не находится в одной сети с зараженным компьютером). Исходя из того, что размер сетей ограничен, и их можно достаточно быстро проверить, распространение вредоносного программного обеспечения прекратится после проверки локальной сети. Поэтому тут нет опасности, как в случае вируса WannaCry, который все еще продолжает распространяться (хотя я уже предотвратил его активацию с помощью «аварийного выключателя»).
Порядок обнаружения PsExec с помощью DatAlert
Если у вас DatAlert версии 6.3.150 или более поздней версии, вы можете обнаружить файл PsExec.exe на файловых серверах Windows следующим образом:
1. Выберите Tools –> DatAlert –> DatAlert
2. Выполните поиск строки system admin
3. Для каждого из выбранных правил (разверните группы для просмотра), нажмите Edit Rule и установите флажок Enabled
В случае обнаружения PsExec программа DatAlert создаст предупреждения средств системного администратора в категории оповещений Reconnaissance, например System administration tool created or modified (Средство системного администратора создано или изменено) или An operation on a tool commonly used by system administrators failed (Сбой операции в средстве, которое обычно используется системными администраторами).
Это должно помочь обнаружить, использует ли вирус Petya механизм PsExec для распространения на файловые серверы. Продолжайте читать эту статью, потому что это еще не все действия, которые помогут предотвратить первоначальное заражение и остановить распространение вируса Petya по вашим конечным точкам.
Что вирус Petya делает?
После появления на компьютере вирус NotPetya выжидает полтора часа перед началом атаки, вероятнее всего, это время выделяется для заражения других машин и затруднения обнаружения точки входа.
По окончании времени ожидания происходит следующее.
1. Он шифрует основную таблицу файлов на локальных носителях NTFS.
2. Копирует себя в основную загрузочную запись зараженной рабочей станции или сервера.
3. Принудительно выполняет перезагрузку компьютера, чтобы заблокировать пользователей.
4. Отображает экран блокировки с требованием выкупа при загрузке (показан ниже).
Все компьютеры в офисе не работают. Глобальная атака #Ransomware. Я слышал, что несколько других компаний также подверглись атаке. Делайте резервные копии и берегите себя. pic.twitter.com/YNctmvdW2I
— Мигир (Mihir, @mihirmodi) 27 июня 2017 г.
Посредством шифрования основной таблицы файлов компьютер отключается от сети, пока не будет выплачена требуемая сумма. Потенциально это может навредить организации намного сильнее, чем шифрование некоторых файлов на сервере. В большинстве случаев сотрудникам ИТ-отдела приходится индивидуально работать с каждым компьютером; стандартная реакция на программы-шантажисты «Мы просто восстановим эти файлы из резервной копии» оказалась неэффективной.
Если процессы удаленной загрузки или создания образов отсутствуют, и восстановить зараженные компьютеры нельзя, то для исправления ситуации может понадобиться восстанавливать рабочие станции вручную. Хотя в большинстве случаев это возможно, компаниям с множеством удаленных установок сделать это будет очень трудно и займет много времени. Для транспортных компаний, у которых в каждый момент времени 600 и более грузовых судов находятся в рейсе, это практически невозможно.
Как заметила компания Microsoft: «Только в случае наличия максимальных прав (например, когда включен параметр SeDebugPrivilege) вирус пытается перезаписать код основной загрузочной записи» — если зараженный пользователь не обладает правами администратора на компьютере, вирус попробует зашифровать пользовательские данные со следующими разрешениями.
Что делать?
Предотвращение заражения вирусом Petya очень похоже на действия, которые могли быть предприняты ранее в отношении атаки WannaCry:
Локальный аварийный выключатель
Существует также некоторое подобие локального аварийного выключателя. Если на данном компьютере существует файл %WINDIR%\perfc (без расширения), программа-шантажист не будет выполнена. Можно проявить изобретательность в вариантах развертывания этого файла на всех рабочих станциях в вашей среде.
Кроме того, можно посмотреть, какие антивирусные продукты для конечных точек могут обнаружить вирус Petya, в результатах проверки VirusTotal.
Образец вируса Petya, полученный исследователями, был скомпилирован 18 июня.
Следует ли платить?
В сообщении программы-шантажиста была указана учетная запись Posteo (поставщика услуг электронной почты). Отдел жалоб и безопасности Posteo разместил следующее обновление.
Они сделали следующее.
1. Заблокировали эту учетную запись.
2. Подтвердили, что с учетной записи не отправлялись ключи для расшифровки.
3. Обратились в органы власти с предложением помощи всеми доступными средствами.
Все это приводит нас к выводу, что не следует платить требуемую сумму, поскольку вы не получите необходимые ключи расшифровки.
История продолжает развиваться, и мы будем обновлять эту заметку по мере появления новой информации.
