Что известно об эпидемии вируса «Петя» и как не потерять все свои файлы

Илья Рубцов, 

На Чернобыльской АЭС за радиацией следят вручную, потому что компьютеры пришлось выключить. Роснефть атакована. Сайты туроператоров лежат. Причина — новый вирус-шифровальщик, заразивший тысячи компьютеров. Рассказываем всё, что знаем о нём, о лечении и профилактике.

Что случилось

Началась эпидемия вируса-шифровальщика. Однозначного мнения о происхождении и природе зловреда у специалистов нет. Они отмечают, что он похож на вирус Petya, который известен еще с начала прошлого года, причём в том апреле уже был готов дешифровщик. Однако для распространения новая модификация — её называют NonPetya, ExPetya, Petya.A — использует «свежие» уязвимости. В том числе и ту, через которую в мае прорывался на компьютеры WannaCry.

Новый «Петя» попадает на компьютер, шифрует файлы, пытается пробиться на соседние машины, после чего перезагружает систему. Во время загрузки он имитирует работу утилиты проверки жёсткого диска, а потом раскрывает карты: файлы зашифрованы, нужен выкуп. Денег просят 300 долларов, но обязательно в Биткоинах. Поскольку Bitcoin позволяет посмотреть все операции и баланс, зная только адрес кошелька, мы выяснили, что за первые сутки атаки вымогатель получил около 10 тысяч долларов.

Информация по Bitcoin-кошельку вымогателя (на момент публикации)
Информация по Bitcoin-кошельку вымогателя (на момент публикации)

Кто пострадал

  • Роснефть
  • Башнефть
  • многие российские туроператоры
  • Russ Outdoor (крупнейший оператор наружной рекламы в России)
  • Чернобыльская АЭС (перешли на ручной мониторинг радиации)
  • метрополитен Киева (перестал принимать оплату картами)
  • аэропорт «Борисполь» (не работало табло)
  • производитель шоколада Toblerone и печенек Oreo (ничего святого)
  • служба доставки TNT
  • ...и сотни других компаний

Как Петя заражает

Есть два совершенно разных этапа: попадание внутрь какой-то сети и распространение в ней.

Чтобы «Петя» попал на какой-нибудь компьютер в сети организации, его просто присылают по электронной почте. Происходит это так. Сотрудник получает письмо с офисным документом. При открытии Word (или Excel, или другое приложение из пакета) предупреждает пользователя, что в документе содержится указатель на внешний файл. Если это предупреждение проигнорировать, то скачается и запустится, собственно, вирус. А если на компьютере давно не обновляли MS Office, то предупреждение даже не появится.

После этого начинается вторая жизнь «Пети». Зашифровав файлы и перезаписав загрузочную область жёсткого диска, он пытается попасть на другие компьютеры в той же сети. Для этого у него есть два метода. Первый — уязвимость в сетевой службе SMBv1. Она отвечает за «Сетевое окружение», но эта самая версия номер 1 на практике давно не используется. При этом она включена по умолчанию даже в современных версиях Windows. Эта уязвимость стала достоянием общественности в марте, когда эксплуатирующий её код оказался среди утечек из АНБ, и её же использовал вирус WannaCry, поразивший тысячи компьютеров в мае. После той эпидемии только самые ленивые или смелые не установили заплатки для Windows.

Но есть и второй способ. «Петя», если он запущен пользователем с правами администратора, получает информацию обо всех учётных записях на компьютере, в том числе доменных — сетевых, используемых в этой организации. Вооружившись такой информацией, вирус может получить доступ к другим компьютерам в сети и заразить их.

Что делать, если заразился

Во-первых, ни в коем случае не переводите деньги на биткоин-кошелек. Хостер уже заблокировал почтовый ящик, на которой, по инструкции вируса, жертва должна отправить доказательства оплаты. Даже если авторы зловреда собирались сдержать слово и получив деньги выдать ключи для разблокировки, они уже не смогут сделать это.

Во-вторых, примите как данность, что, скорее всего, вы не сможете расшифровать данные на этом компьютере. Специалисты по информационной безопасности советуют просто сразу отформатировать винчестер и начать восстанавливать файлы из бекапов.

Что делать, если еще не заразился

Создайте в директории C:\Windows файл с именем perfc (без расширения, однако есть сведения, что подходит и имя perfc.dat ) и в свойствах файла поставьте галочку «Только чтение». Вирус проверяет наличие этого файла, и если видит его, то считает, что компьютер уже «в работе».

Установите все обновления Windows. Даже если система у вас пиратская, лучше получить чёрный фон рабочего стола и надпись о необходимости активировать ОС, чем заблокированный компьютер и зашифрованные файлы.

Установите все обновления MS Office. Старые версии не предупреждают пользователя, когда скачивают вставленный в документ внешний исполняемый объект. Новые предупреждают.

Не открывайте файлы от неизвестных вам отправителей, даже неисполняемые файлы: документ Word или таблица Excel — это намного больше, чем просто набор букв и цифр.

Рекомендуется также бросить дурную привычку работать под учётной записью с правами администратора. Создайте отдельного обычного пользователя, и входите в систему под ним.

Регулярно делайте резервные копии ваших данных на внешний носитель. Это может быть и просто внешний диск (но он не должен быть постоянно подключен), или сетевая служба, не дающая прямого доступа к файлам копии, или облако — опять-таки с возможностью вернуться к предыдущим версиям файлов.


Автор
Илья Рубцов

Комментарии