Компания Microsoft рассказала о результатах массовой атаки вируса-вымогателя Petya, который шифрует файлы пользователя на компьютере и затем требует выкуп в размере 300 долларов.
Данные основаны на телеметричній информации. «Петя» заразил 20 000 компьютеров по всему миру, что значительно меньше, чем ожидалось. Однако отметим, что статистика Microsoft может не отражать действительность, это только ориентировочные данные. 70% всех жертв вируса стали компьютеры с Украины. В других странах ситуация в корне другая. Также было подчеркнуто, что практически все зараженные компьютеры — устройства на Windows 7.
Microsoft советует администраторам ограничивать или блокировать доступ к специфическим IP для SMB и блокировать удаленное выполнение кода через PSEXEC.
При попадании на ПК Petya модифицирует Master Boot Record (MBR) и перезаписывает второй сектор диска C, уничтожая Volume Boot Record (VBR). Microsoft сообщает, что второй пункт не совсем понятен, потому что не используется при старте компьютера и на устройствах с Windows 7 и выше эта смена не дает вообще никакого эффекта. К тому же код вируса с багами и при исполнении он потребляет в 10 раз больше памяти, чем ему нужно на самом деле.
Интересной является и поведение Petya при выявлении антивирусного ПО. Например, если он находит установлен Антивирус Касперского или ему не удается изменить MBR, то вирус уничтожает первые десять секторов жесткого диска.
Если на ПК есть SecureBoot и UEFI, пользователь может активировать чистую установку и выполнить восстановление загрузки. На компьютерах без UEFI с установленным Антивирусом Касперского можно загрузиться с установочного носителя, перейти в консоль восстановления и выполнить команды bootrec/fixmbr и bootrec/fixboot.
Однако, если пользователь увидит перед собой такое изображение, то восстановить файлы невозможно. Выход один — извлечь накопитель из компьютера и попробовать как-нибудь расшифровать информацию на другом, здоровом ПК.
Следите за нашими анонсами, чтобы не пропустить дальнейшего развития событий с вирусом Petya.
Источник информации:
technet
По материалам Ua Format
