Top.Mail.Ru
Уважаемый пользователь Game2Day!

Мы обнаружили, что вы используете систему удаления рекламы (Adblock, AdGuard или какую-то другую).

Реклама – наш единственный источник дохода и она позволяет нам каждый день готовить актуальные и крутые материалы.

Чтобы наш проект жил и развивался, просим вас отключить блокировку рекламы на нашем сайте. Ну а мы обещаем не делать ее надоедливой.

Как вирус Petya заражает компьютеры и как от него защититься

Новости из России, Украины и Беларуси напоминают сюжет настоящего голливудского блокбастера про хакеров: вирус Petya заблокировал работу компьютеров магазинов, различных важных и стратегических объектов, в том числе Чернобыльской АЭС, из-за него остановилась работа крупных предприятий.

Специалисты криминалистической лаборатории Group-IB утверждают, что от вируса пострадали более 8 десятков компаний в России и Украине. При этом украинские СМИ оценивают количество организаций-жертв в несколько сотен. Сообщения о вирусе также поступили из США, Великобритании, Португалии, Испании, Франции, Дании, Нидерландов и Литвы.

Пародирует WannaCry


Недавно мир пережил крупную атаку другого вируса-эпидемии WannaCry, который использовал сложный программный эксплойт и, как предполагается, был разработан АНБ США. Этот же эксплоит использует и «Петя», только сейчас он перестал быть эффективным и быстро распространяемым оружием, поскольку многие компании обновили операционные системы, закрыв уязвимости.

Petya распространяется мгновенно


Вместо этого вирус использует более фундаментальные уязвимости в работе компьютерных сетей. В этом плане Petya более продвинутый и запросто может парализовать работу крупных организаций. Исполнительный директор TrustedSec Дэвид Кеннеди заявил, что лично видел, как менее чем за 10 минут «Петя» поражает сети с 5 тысячами компьютеров.

Если WannaCry распространялся благодаря необновленным и плохо защищенным системам, то Petya работает над крупными корпоративными сетями. Как только заразился один компьютер, вирус, скорее всего, уже использовал сетевые инструменты Windows (WMI) и PsExec для заражения других машин. Как правило, оба инструмента используются для удаленного доступа администраторов, однако при этом они же часто являются лазейкой для распространения вредоносного программного обеспечения в уязвимой сети. Эксперт по сетевой безопасности Лесли Кархарт:

WMI является очень удобным и эффективным методом для хакеров. Он встроен в системы и редко регистрируется или блокируется средствами безопасности. PsExec реже используется и лучше контролируется, но при этом он все равно эффективен.

Кто виноват?


Исследование Talos Intelligence показало, что вирус начал распространение через фальш-обновление украинской бухгалтерской программы M.E.Dox. Создатели приложения утверждают, что это не так, поскольку последний апдейт был разослан еще 22 июня – за 5 дней до атаки. Однако другие исследовательские группы солидарны с Talos: хакеры подделали цифровую подпись в обновлении и таким образом проникли в сети компаний. На это же косвенно указывает и то, что 60% заражений пришлось на Украину, где от «Пети» пострадали многие предприятия, включая центральный банк и крупнейший аэропорт.

Как защитить себя от заражения


Специалисты «Лаборатории Касперского» рекомендуют включить все уровни антивирусной защиты вручную и обновить базы. Также следует установить с официального сайта Microsoft все обновления безопасности. В качестве дополнительной меры предосторожности с помощью AppLocker можно запретить выполнение файла perfc.dat и запуск утилиты PSExec из Sysinternals Suite.

Эксперты Symantec считают, что остановить шифровальщика можно, создав пустой файл без расширения с названием perfc в каталоге C:\Windows. Дело в том, что именно этот файл ищет Petya в момент атаки (C:\Windows\perfc) и если обнаруживает, вирус заканчивает работу без заражения.

Создать такой файл можно с помощью обычного «Блокнота». Разные источники советуют создать либо файл perfc (без расширения), либо perfc.dll. Также рекомендуется сделать этот файл доступным только для чтения, чтобы вирус не смог внести в него изменения (делается в свойствах файла).

Чтобы прекратить распространение вируса, необходимо закрыть TCP-порты 1024−1035, 135 и 445. Также специалисты советуют на всякий случай сделать резервные копии важных файлов.

P.S.


Если компьютер уже заражен и файлы заблокированы, платить выкуп не стоит, поскольку файлы это не вернет. Служба email, услугами которой пользовались хакеры, заблокировала почтовые адреса, куда должны были приходить данные об уплате выкупа. Так что даже если вы переведете деньги, получить ключ, необходимый для восстановления файлов, не получится.


Поделиться

Вы не авторизованы

Войдите, чтобы оставить комментарий!


Еще не зарегистрированы? Регистрация здесь.