Вероятно, многие уже слышали про вирус Petya. На сегодняшний день в сети свирепствует новая уже его новая модификация. Пока что известно, что «Новый Petya» шифрует MBR (Master Boot Record) загрузочный сектор диска и заменяет его своим собственным, что является «новинкой» в мире Ransomware, его друг #Misha (название из Интернета) который прибывает чуть позже, шифрует уже все файлы на диске (не всегда).
Петя и Миша не новы, но такого глобального распространения не было ранее. Пострадали и довольно хорошо защищенные компании. Шифруется все, включая загрузочные сектора (оригинальные) и Вам остается только читать текст вымогателя, после включения компьютера. Распространяется данный вирус с использованием последних, предположительно 0day уязвимостей.
Проблема так же состоит в том, что для перезаписи MBR Пете необходима перезагрузка компьютера, что пользователи в панике успешно и делают.
Из действующих рекомендаций по состоянию на 28 июня, советуем НЕ ВЫКЛЮЧАТЬ компьютер, если обнаружили шифровальщика, а переводить его в режим «sleep» ACPI S3 Sleep (suspend to RAM), с отключением от интернета при любых обстоятельствах.
ВНИМАНИЕ! Дешифровальщиков пока нет, те что выложены в интернете, подходят только к старым версиям.
Способы борьбы с вирусом:
• Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:\Windows\perfc.dat
• В зависимости от версии ОС Windows установить патч с ресурса Microsoft (внимание, это не гарантирует 100% безопасности так как у вируса много векторов заражения)
• Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно на сайте Microsoft.
• Похоже, что новый подвид Petya.A, который вчера атаковал Украину — это комбинация уязвимостей CVE-2017-0199 и MS17-010 (ETERNALBLUE, использованная в Wcry по результатам утечки через ShadowBrokers).
• Вы можете скачать актуальный патч от Microsoft и еще один.
• Установить критическое обновление MS17-010, закрывающее уязвимости, которые эксплуатируются для распространения шифровальщика
• Специалисты Positive Technologies нашли локальный “kill switch” для Petya, остановить шифровальщика можно создав файл «C:\Windows\perfc (perfc — файл без расширения) и сделать его доступным только для чтения (read-only)
• Так же есть и хорошие новости: если Вы увидели перезагрузку компьютера и начало процесса «проверки диска», в этот момент нужно сразу же выключить компьютер, и файлы останутся незашифрованными. Загрузка с LiveCD или USB-диска даст доступ к файлам.
• Срочно перенести все важные файлы (ОСОБЕННО БУХГАЛТЕРИЮ) на внешние СХД, харды, флешки, а в идеале личные OneDrive хранилища.