Обновлено: добавлена информация о файлах perfc.dat и perfc.dll
Вредоносная кампания Petya была запущена 27 июня и за считанные часы угроза инфицировала огромное количество компьютеров по всему миру. Шифровальщик блокирует разделы MFT и MBR на жестком диске и препятствует нормальной загрузке компьютеров. Если жертвы не желают платить выкуп, то действенного способа для восстановления файлов на данный момент не существует.
Первоначально исследователи полагали, что новый троян-вымогатель стал обновленной версией старой угрозы под названием Petya. Однако, позже выяснилось, что исследователи имеют дело с новым видом шифровальщика, который заимствовал часть кода от Petya. Вот почему программа-вымогатель была переименована и теперь часто встречается как NotPetya, Petna или SortaPetya.
Найден способ предотвращения заражения вирусом Petya (NotPetya)
Из-за глобального характера распространения эпидемии Petya, многие исследователи по информационной безопасности стали объединять свои усилия в поисках возможной лазейки в алгоритме шифрования или блокирующего домена (killswitch-домен), который был эффективен в случае с WannaCry.
Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.
98% sure that the name is is perfc.dll Create a file in c:\windows called perfc with no extension and #petya #Nopetya won&&t run! SHARE!! https://t.co/0l14uwb0p9
— Amit Serper (@0xAmit) 27 июня 2017 г.
Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security, TrustedSec, Emsisoft и Symantec.
Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.
Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.
Как защититься от NotPetya / Petna / Petya
Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:\Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который автоматически выполняет все действия.
Загрузить данный файл можно по следующей ссылке - nopetyavac.bat. Скачайте и запустите файл на компьютере от имени администратора.
Обратите внимание, что bat-скрипт также будет создавать два дополнительных файла, которые называются perfc.dat и perfc.dll. Хотя тестирование данного способа выполнялось без них, автором метода была получена информация, что эти дополнительные файлы необходимы для надежности работы вакцинации.
Для тех, кто хочет вакцинировать свой компьютер вручную, мы приводим отдельную инструкцию (опубликована на BleepingComputer). Обратите внимание, что мы подробно описали шаги, чтобы они были понятны даже неопытным пользователям ПК.
Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид”. Убедитесь, что в “Параметры папок > Вид” отключена опция “Скрывать расширения для зарегистрированных типов файлов” (галочка не отмечена).
Затем откройте папку C:\Windows и прокрутите вниз, пока не увидите программу notepad.exe.
Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl+C, чтобы скопировать, а затем Ctrl+V, чтобы вставить его. При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.
Нажмите кнопку “Продолжить”, и будет создана копия блокнота: notepad — копия.exe. Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала - notepad — копия.exe и введите perfc, как показано ниже.
После того как имя файла было изменено на perfc, нажмите Enter на клавиатуре. Теперь вы получите запрос, действительно ли вы хотите переименовать файл.
Нажмите “Да”, а затем “Продолжить”.
Теперь, когда файл perfc был создан, нужно установить атрибут доступа “Только чтение”. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.
Откроется меню свойств этого файла. Внизу нужно установить флажок “Только чтение”. Установите галочку, как показано на рисунке ниже.
Теперь нажмите кнопку “Применить”, а затем кнопку “ОК”. Окно свойств должно быть закрыто.
Для надежности вакцинации повторите те же действия, создав файлы C:\Windows\perfc.dat и C:\Windows\perfc.dll.
Теперь ваш компьютер будет защищен от шифровальщика NotPetya / SortaPetya / Petya.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО