Опис вірусу Petya, він же Petna, він же NotPetya, GoldenEye

1. Як вірус Petya заражає комп'ютери?
2. Які комп'ютери можуть бути заражені вірусом Petya?
3. Як захиститися від Petya?
4. Як видалити Petya?
5. Відновлення зашифрованих файлів
6. Схожі статті
7. PS

Опубліковано: 02.07.2017 Останнє оновлення цієї статті: 02.07.2017

Ця стаття описує вірус Petya. Як це вірус заражає комп'ютери, які шкідливі дії здійснює, як від нього захиститися і як його видалити.

Менше місяця тому була масована атака з великою кількістю жертв. Вірус-шифрувальник Wana Crypt0r тоді наробив великого шуму і великих проблем. І ось знову. І на цей раз навіть гірше.

Спочатку вірус вірус Petya, відомий так само під іменами Petna, NotPetya, GoldenEye класифікували як шифрувальник-вимагач. Однак більш детальне вивчення показало, що Петя це шкідливий код, який просто знищує дані, але маскується під вимагача. Тобто, "залиш надію кожен, хто сюди входить". Якщо ви його зловили то ваші дані пропали безповоротно. Повернути можна буде лише те, що вдасться відновити за допомогою програм відновлення даних.

Власне те ж саме відбулося і з жертвами WanaCry, але чим Петя страшніше? Справа в тому, що на відміну від WanaCry, він не тільки шифрує призначені для користувача файли, але і службову частину файлової системи NTFS. В результаті взагалі всі файли недоступними. Крім цього він знищує вміст MBR сектора, записує туди свій завантажувач. Таким чином навіть сама Windows перестає завантажуватися.

симптоматика:

• Раптова перезавантаження, після якої відображається підроблений екран, нібито працюючої програми chkdsk (стандартна програма Windows). Насправді, в цей момент відбувається знищення даних.
• Після завершення роботи псевдо-chkdsk відображається інформація з вимогою перевести гроші через біткойн.

Екран імітує роботу chkdsk:

Як вірус Petya заражає комп'ютери?

Первісне зараження відбувається традиційно, через файл містить шкідливий код. В якості носія, в цей раз використовується документ MS Office. Точніше документ у форматі RTF, але якщо на комп'ютері встановлено MS Office, документи RTF обробляються Word. При відкритті цього файлу відбувається виконання шкідливого коду, через вразливість.

Файл цей може прийти по пошті, вкладенням, під виглядом важливого документа, наприклад з банку або державних органів. Або будь-яким іншим способом, наприклад через autorun з флешки.

Після зараження одного комп'ютера, вірус перевіряє наявність підключення до локальної мережі і намагається заразити інші комп'ютери в локальній мережі. Використовуючи ту ж саму уразливість SMB що і WanaCry. Але не тільки її, вірус може заражати інші комп'ютери в локальній мережі використовуючи стандартні механізми Windows - WMI або PSexec.

Після цього вірус записує свій код в стартові сектори диска (замість завантажувача Windows) і виконує перезавантаження Windows. Після перезавантаження виконується цей код, який знищує дані.

Які комп'ютери можуть бути заражені вірусом Petya?

• На комп'ютері повинна працювати Windows (будь-яка версія, починаючи з XP).
• Комп'ютер повинен бути підключений до локальної мережі і до Інтернет.

Для зараження необов'язково відкрити файл з вірусом на самому комп'ютері. Такий файл може відкрити власник іншого комп'ютера у вашій локальній мережі. І на ваш комп'ютер вірус потрапить вже через локальну мережу.

Як захиститися від Petya?

Якийсь час буде працювати ось такий спосіб:

Створити в папці Windows файл з ім'ям perfc (без розширення!) І привласнити цього файлу права доступу тільки для читання.

Але цей спосіб, розробники вірусу, швидше за все "пофиксил" в наступних версіях вірусу.

Які ще способи захисту?

встановити оновлення ms17-010 , Як це описано в статті про Wana Decrypt0r .

Зупинити і відключити службу winmgmt (Інструментарій управління Windows). Однак потрібно знати, що від цієї служби залежить робота ддругіх служб, наприклад ICS і Центр забезпечення безпеки.

Але все це не дає гарантії від зараження. Так само як і антивірусні програми. Хоча ймовірність уникнути зараження звичайно зросте.

Як видалити Petya?

Видалення вірусу Petya, в гіршому випадку це перевстановлення Windows. У кращому випадку відновлення завантажувального сектора диска.

Якщо вам пощастить і ви встигнете вимкнути комп'ютер миттєво після появи екрану "chkdsk", то потім можна завантажити комп'ютер з іншого носія і відновити завантажувальний сектор. Найкраще використовувати MS DaRT.

Якщо ви трохи забаритеся і вірус почне знищувати дані, тут вже складніше.

Якщо він встигне знищити обидві копії MFT, тоді витягти можна буде мало що. За допомогою програм відновлення даних типу R-Studio (або інших подібних).

Якщо він знищить тільки одну копію MFT, тоді відновити можна буде все.

Я не знаю в який точно послідовності він знищує файли. Якщо лінійно, від початку розділу до його кінця, тоді цілком можна встигнути врятувати другу копію MFT. Якщо не сидіти перед екраном і не дивитися як збільшується відсоток роботи псевдо-chkdsk.

Якщо вам пощастило і ви змогли відновити Windows, потрібно перевірити наявність, і видалити файл \ Windows \ perfc в ньому записано тіло вірусу. Саме тому підроблений файл з таким ім'ям запобігає зараженню комп'ютера - виявивши такий файл, вірус вважає, що комп'ютер вже заражений.

Відновлення зашифрованих файлів

Зашифровані файли відновити не вийде. Просто тому, що така можливість у цьому зловредів не передбачена. Це не вимагач, це знищувач, який для чогось маскується під вимагача.

Більш того, враховуючи знищення MFT взагалі швидше за все будуть втрачені абсолютно всі файли, навіть незашифровані. Просто тому що саме в MFT інформація про те, як файли записані в секторах диска. Тобто без MFT диск це просто купа незв'язаної інформації, цифровий сміття.

Хоча, використовуючи програми типу PhotoRec, Recuva, R-Studio з цього сміття можливо щось вдасться витягнути.

Схожі статті

Як віруси заражають комп'ютери

PS

Ще одна сумне нагадування про те, наскільки важливо робити резервні копії даних.

Іван Сухов 2017 р