Sok internetrajongó még mindig naivan azt hiszi, hogy ha nem megy fel kétes oldalakra, és nem követi az ismeretlen hivatkozásokat, nincs esélye a vírus „elkapására”. „Sajnos ez nem így van” – mondja a DriverPack. (az illesztőprogramokkal végzett munka automatizálásával foglalkozott a Microsoft Windows platformon. - A szerk.). „A vírusok új generációja teljesen másképp működik – az egyik protokollban található sebezhetőséget kihasználva aktiválják magukat.” Köztük Petya is. A Symantec szerint (Vírusirtó szoftvereket fejlesztő amerikai cég. – A szerk.), Petya 2016 óta létezik. De csak most vált aktívvá. Igaz, lehet, hogy nem éppen Petya. A Kaspersky Lab a Trojan ExPetr-nek hívta, és azt állítja, hogy hasonló az előző „Petya”-hoz, de csak kissé. És a Ciscóban (egy csúcstechnológiákra, köztük a kiberbiztonságra szakosodott amerikai cég. - A szerk.) Az új ransomware vírus a Nyetya nevet kapta.

2 Miért veszélyes?

Bárhogy is hívja „Petya”, a probléma továbbra is fennáll. „A vírus terjedése az e-mail címekre küldött adathalász leveleken keresztül történik” – figyelmeztet a Group-IB ( Kiberbűnözés elleni küzdelemre szakosodott orosz cég. - kb. szerk.). - Egy rosszindulatú melléklet megnyitása után a célszámítógép megfertőződik, és a fájlok titkosítva lesznek. Bármely melléklet – .doc, .docx, .xls, .xlsx, .rtf és más Microsoft Office formátumú fájl – rosszindulatú tartalmat tartalmazhat." A Cisco hozzátette, hogy a vírus titkosítja a számítógép fő rendszerindítási rekordját (mondhatnánk a merevlemez „tartalmát”).

Ha vállalati hálózatról beszélünk, akkor annak teljes hálózatának megfertőzéséhez csak egy „fertőzött” számítógépre van szükség. "Egy rosszindulatú fájl elindítása után egy feladat jön létre a számítógép újraindításához, 1-2 órát késik, ezalatt van időd visszaállítani az operációs rendszer működését" - tűnik reményt a Positive Technologies. (Kiberbiztonságra szakosodott orosz cég. - Szerk.). - A fájlok azonban nem lesznek visszafejtve. A tartalom befejezése utáni visszaállításához a privát kulcs ismerete szükséges, így a kulcs ismerete nélkül az adatok nem állíthatók vissza.”

Sajnos a szakértők azt is megállapították, hogy az eszközkészlet lehetővé teszi, hogy a Petya működőképes maradjon még azokban az infrastruktúrákban is, ahol a WannaCry tanulságát figyelembe vették, és a megfelelő biztonsági frissítéseket telepítették, ezért olyan hatékony a titkosító.

3 Hogyan lehet Petyát megbuktatni?

Annak érdekében, hogy ne váljon egy ilyen támadás áldozatává, először frissítenie kell a használt szoftvert a legújabb verzióra, különösen telepítenie kell az összes legújabb MS Windows frissítést. „Feliratkozás a Microsoft műszaki biztonsági értesítéseire” – tanácsolja a Group-IB is. Valójában ez a garancia arra, hogy amikor a Microsoft elemzi a fenyegetés semlegesítésének módjait, a vállalat telepíti a megfelelő frissítéseket. A Microsoft orosz részlege egyébként már beszámolt arról, hogy a vírusirtó szoftverek észlelik ezt a zsarolóvírust, és védekeznek ellene.

Sőt, a DriverPack megjegyzi, hogy a támadás következményei olyan súlyosak voltak, hogy „a Microsoft példátlan lépést tett – még a Windows XP-hez is kiadott egy frissítést, amely már megszűnt. Ez azt jelenti, hogy minden nyitott SMB protokollt használó számítógép ki van téve a támadásnak. (1983-ban megjelent hálózati protokoll – a szerk.)és a legújabb frissítések nélkül." „Egyes felhasználók sok-sok éven át frissítetlenül tartják számítógépeiket” – von vállat Vjacseszlav Zakorzsevszkij, a Kaspersky Lab víruskereső kutatási részlegének vezetője. Ha azonban frissítéseket hajt végre, a Cisco azt tanácsolja, hogy ezzel a folyamattal párhuzamosan építsen be biztonsági stratégiájába egy alapvető rendelkezést a kulcsfontosságú adatok biztonsági mentésére vonatkozóan.

A Petya elleni további védelem érdekében a fejlesztők azt tanácsolják, hogy hozzon létre csalifájlt a számítógépén. Amint a Twitteren írja, különösen, hogy megvédje magát a vírustól, létre kell hoznia egy perfc nevű fájlt, és el kell helyeznie a C meghajtó Windows mappájába. A számítógépbe behatolva a vírus ellenőrzi a rendszer fertőzését, és így tovább egy fájl azt utánozza. Létrehozhat egy fájlt a Jegyzettömbben. El kell távolítania a .txt kiterjesztést a dokumentum nevéből.

4 Ha Petya jött volna

Először is, az informatikai szakértők nem javasolják, hogy pénzt fizessenek ransomware-nek, ha egy vírus blokkolta a számítógépet. Ezt pedig nem high-tech okok magyarázzák. "A szabálysértők e-mail címét már blokkolták, és még ha ki is fizetik a váltságdíjat, valószínűleg nem kapják meg a fájlok visszafejtéséhez szükséges kulcsot" - mondja a Positive Technologies. És általában, a Kaspersky Lab megjegyzi, ha pénzt adsz az adathalászoknak, a vírusok csak elszaporodnak. „A zsarolóvírusok hálózaton való elterjedésének megakadályozása érdekében javasolt a többi nem fertőzött számítógép kikapcsolása, a fertőzött csomópontok leválasztása a hálózatról, és a feltört rendszerekről képeket készíteni” – ad konkrét ajánlásokat a Positive Technologies.

Sőt, ha a számítógépen lévő adatok már titkosítva vannak, akkor jobb, ha nem rángatózik. „Ha lehetségessé válik a fájlok legalább egy részének visszafejtése és visszaállítása, akkor a további műveletek csak zavarhatják a jövőbeni visszafejtést” – mondja Vjacseszlav Zakorževszkij, a Kaspersky Lab munkatársa. "Ha a kutatók megtalálják a fájlok visszafejtésének módját, a zárolt adatok a jövőben visszaállíthatók" - bízik a Positive Technologies. Zakorzsevszkij úr azt tanácsolja, hogy próbálja meg visszaállítani a biztonsági másolatokat, ha vannak ilyenek.

5 Hány „Sing” van a világon?

A Kaspersky Lab becslései szerint csak az IoT-eszközöket ért kártevő támadások száma meghaladja a hétezret, ezek több mint fele 2017 első hat hónapjában jelent meg. Összességében több mint 6 milliárd internetre csatlakozó eszköz van a világon. Zakorzsevszkij szerint a világ kiberfenyegetéseinek intenzitása naponta változik, de még mindig nem sokat. Inkább a támadások földrajza változik. És a napszak és a nemzeti ünnepek is befolyásolják a „kiberstatisztikát”.

Az információbiztonsági piacon tevékenykedő nagy piaci szereplők online térképekkel rendelkeznek, amelyek valós időben mutatják a támadások számát szerte a világon. Ezek az adatok olyan felhasználók adatain alapulnak, akik telepítettek egy vagy másik víruskereső programot. A Kaspersky Lab víruskereső kutatási részlegének vezetője, Vjacseszlav Zakorzsevszkij elmondta, hogyan olvassák a szakemberek az ilyen térképeket, és hol található a legtöbb tárhely, amelyek az adathalászat és más „rosszindulatú programok táptalaja”.

A DriverPack becslései szerint Oroszországban a felhasználók több mint 35%-a teljesen védtelen a számítógépes vírusokkal szemben. „A legveszélyeztetettebbek azok a Windows 10-nél fiatalabb operációs rendszerek felhasználói, akik nem telepítették a Microsoft legújabb frissítését, és nyitva hagyják az SMB-portokat” – mondják a szakértők. A cég elemzési adatai szerint a felhasználók több mint 18%-a licenc nélküli Windows operációs rendszeren dolgozik, ami automatikusan veszélybe sodorja őket, 23%-uknál le van tiltva a Windows Update szolgáltatás, további 6%-uknál pedig elavult operációs rendszer van telepítve, amihez frissítéseket elvileg nem adnak ki.

Nikolay Nelyubin, kifejezetten a Fontanka.ru számára

Csoport-IB 2017.06.28 17:18

5318

Június 27-én nagyszabású kibertámadást rögzítettek a Petya titkosítási szekrény új módosításával Ukrajnában, Oroszországban és a világ számos más országában.

A vírus adathalász levelekkel terjed a vállalati alkalmazottak e-mail címére. Egy rosszindulatú melléklet megnyitása után a célszámítógép megfertőződik, és a fájlok titkosítva lesznek.

Bármely melléklet – .doc, .docx, .xls, .xlsx, .rtf és más Microsoft Office formátumú fájl – rosszindulatú tartalmat tartalmazhat. Amikor megnyit egy mellékletet a Petya vírussal, rosszindulatú szoftverek települnek a CVE-2017-0199 ismert biztonsági rést kihasználva.

A vírus a fertőzés után 30-40 percet vár (hogy elterjedjen), majd Petya titkosítja a helyi fájlokat.

A visszafejtésért a zsarolók 300 dolláros váltságdíjat követelnek bitcoinban egy internetes pénztárcába.

Áldozatok

Az első 2 órában energetikai, távközlési és pénzügyi cégeket támadtak meg – ennek eredményeként több mint 100 vállalat fertőződött meg világszerte:
- Oroszországban: Rosneft, Bashneft, Home Credit Bank, Evraz és mások;
- Ukrajnában: „Zaporozhyeoblenergo”, „Dneproenergo”, „Dneprovskaya Electric Power System”, Mondelez International, Oschadbank, Mars, „Novaya Poshta”, Nivea, TESA, kijevi metró, Ukrajna kormányzati számítógépei, Auchan üzletek, ukrán szolgáltatók („“ Kyivstar", LifeCell, "UkrTeleCom"), Privatbank, Boryspil repülőtér és mások;
- a világban: amerikai biogyógyszer-óriás Merck, Maersk, indiai, ausztrál, észt és mások cégek.

Mit kell tenni, hogy megvédje magát?

1. Tegyen intézkedéseket a mimikatz és a privilégium eszkalációs technikák ellen a Windows hálózatokon.
2. Telepítse a KB2871997 jelű javítást.
3. Rendszerleíró kulcs: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential 0-ra állítva.
4. Győződjön meg arról, hogy a helyi rendszergazdai jelszavak minden munkaállomáson és kiszolgálón eltérőek.
5. Sürgősen módosítsa a tartományokban lévő kiemelt felhasználók (rendszergazdák) összes jelszavát.
6. Telepítse a CVE-2017-0199 és az EternalBlue (MS17-010) javításokat.
7. Sürgősen vegyék el az adminisztrációs jogokat mindenkitől, akinek nincs rá szüksége.
8. Ne engedje meg a felhasználóknak, hogy laptopokat csatlakoztassanak a LAN-hoz, amíg a javításokat nem telepítették a hálózat összes számítógépére.
9. Rendszeresen készítsen biztonsági másolatot minden kritikus rendszerről. Ideális esetben mindkét lehetőséget használja – biztonsági mentést a felhőben és a cserélhető adathordozón.
10. Végezze el a nulla bizalmi politikát, és biztosítson biztonsági képzést alkalmazottainak.
11. Tiltsa le az SMBv1-et a hálózaton.
12. Iratkozzon fel a Microsoft műszaki biztonsági értesítéseire.
1. Bűnözőket szponzorál.

2. Nincs bizonyítékunk arra, hogy a váltságdíjat fizetők adatait helyreállították volna.

Megkezdődött a zsarolóvírus-járvány. A szakértőknek nincs egyértelmű véleményük a kártevő eredetéről és természetéről. Megjegyzik, hogy hasonlít a tavaly év eleje óta ismert Petya vírushoz, és áprilisban már készen is volt egy dekódoló. A terjedéshez azonban egy új módosítás - NonPetya, ExPetya, Petya.A - „friss” sebezhetőségeket használ. Beleértve azt is, amelyen keresztül a WannaCry májusban áttört a számítógépekig.

Az új „Petya” felkerül a számítógépre, titkosítja a fájlokat, megpróbál betörni a szomszédos gépekre, majd újraindítja a rendszert. A betöltés során egy merevlemez-ellenőrző segédprogram működését imitálja, majd felfedi kártyáit: a fájlok titkosítva vannak, váltságdíjat kell fizetni. 300 dollárt kérnek, de Bitcoinban kell lennie. Mivel a Bitcoin lehetővé teszi az összes tranzakció és egyenleg megtekintését, csak a pénztárca címének ismeretében, megtudtuk, hogy a támadás első napján a ransomware körülbelül 10 ezer dollárt kapott.

Információk a ransomware Bitcoin pénztárcájáról (a közzététel időpontjában)

Tipikus kép tegnap sok orosz irodában

Hogyan fertőz Petya

Ahhoz, hogy „Petya” eljusson a szervezet hálózatának valamelyik számítógépéhez, egyszerűen elküldik e-mailben. Ez így történik. Egy alkalmazott levelet kap egy irodai dokumentummal. A Word (vagy Excel, vagy a csomagból egy másik alkalmazás megnyitásakor) figyelmezteti a felhasználót, hogy a dokumentum egy külső fájlra mutató mutatót tartalmaz. Ha figyelmen kívül hagyja ezt a figyelmeztetést, a vírus letöltődik és elindul. És ha az MS Office hosszú ideig nem frissült a számítógépen, akkor a figyelmeztetés meg sem jelenik.

Ezt követően kezdődik „Petya” második élete. A fájlok titkosításával és a merevlemez rendszerindítási területének felülírásával megpróbál bejutni az ugyanazon a hálózaton lévő többi számítógépre. Erre két módszere van. Az első az SMBv1 hálózati szolgáltatás biztonsági rése. A „Network Neighborhood”-ért felel, de ugyanezt az 1-es verziót már régóta nem használják a gyakorlatban. Alapértelmezés szerint azonban még a Windows modern verzióiban is engedélyezve van. A sérülékenység márciusban vált nyilvánossá, amikor az NSA-tól kiszivárgott az azt kihasználó kód, illetve májusban a számítógépek ezreit megfertőző WannaCry vírus is kihasználta. A járvány után csak a leglustábbak vagy a legbátrabbak nem telepítettek javításokat a Windowshoz.

De van egy második út is. A "Petya", ha rendszergazdai jogokkal rendelkező felhasználó indította el, információkat kap a számítógépen lévő összes fiókról, beleértve a tartományban használt hálózati fiókokat is. Ezzel az információval felvértezve a vírus hozzáférhet a hálózat többi számítógépéhez, és megfertőzheti azokat.

Mi a teendő, ha megfertőződik

Először is, soha ne utaljon pénzt Bitcoin pénztárcába. A házigazda már letiltotta a postafiókot, amelybe a vírus utasítása szerint az áldozatnak fizetési bizonylatot kell küldenie. Még ha a kártevő szerzői be is állnák a szavukat, és miután megkapták a pénzt, kiadnák a feloldó kulcsokat, ezt már nem tudják megtenni.

Másodszor, fogadja el, hogy valószínűleg nem tudja visszafejteni az adatokat ezen a számítógépen. Az információbiztonsági szakértők azt tanácsolják, hogy egyszerűen formázza meg a merevlemezt, és kezdje el a fájlok visszaállítását a biztonsági másolatokból.

Mi a teendő, ha még nem fertőzött

Létrehozás a könyvtárban C:\Windows nevű fájl perfc(kiterjesztés nincs, de van információ, hogy a név is megfelelő perfc.dat) és a fájl tulajdonságainál jelölje be a „Csak olvasható” jelölőnégyzetet. A vírus ellenőrzi a fájl jelenlétét, és ha meglátja, úgy véli, hogy a számítógép már „működik”.

Rendszeresen készítsen biztonsági másolatot adatairól külső tárhelyre. Ez lehet csak egy külső meghajtó (de nem kell állandóan csatlakoztatva), vagy egy hálózati szolgáltatás, amely nem biztosít közvetlen hozzáférést a másolt fájlokhoz, vagy a felhő - ismételten vissza lehet térni a fájlok korábbi verzióihoz.

A közelmúltban számos internetes forrást és felhasználói számítógépet támadtak meg, és ez mögött is állt Petya ransomware vírus. A legnagyobb kormányzati intézmények honlapjait blokkolták, az Oschadbanktól és a kormányzati honlaptól a Nova Poshta-ig stb. Az utóbbi időben a Petya/NoPetya a legnagyobb vírus, amely sok számítógépet megfertőzött. Szerencsére, mint minden vírus, megvédheti magát tőle és eltávolíthatja, de nem kell semmit tennie.

Petya vírus: hogyan működik?

A Petya számítógépes vírus a titkosítók résébe tartozik, behatol a rendszerbe, és rendszer-újraindítást vált ki, az operációs rendszer indításakor pedig titkosítja a fájlokat, valamint a rendszerleíró adatbázist. A folyamat végén megjelenik egy üzenet, amelyben 300-400 dollár váltságdíjat kell fizetni a Bitcoin-számlához, majd egy jelszót küldenek a fájlok visszafejtéséhez.

A vírus sajátossága, hogy visszafordíthatatlanul érinti a rendszert, és funkcióihoz egyáltalán nem fér hozzá. Legelterjedtebb Ukrajnában és Oroszországban. A szakértők még vizsgálják, hogyan terjedt el a vírus, de ma úgy gondolják, hogy a híres M.E.Doc program hamis frissítésén keresztül jutott be. A vírus hatásmechanizmusa a már ismert ETERNALBLUE sebezhetőségen alapul, amelyet a hírhedt Wanna Cry-ben, valamint az ETERNALROMANCE exploitban használtak. A jelszó kitalálása és a Windows-védelemben lévő lyukak segítségével a vírus elterjedt, és az ugyanazon a helyi hálózaton belüli összes számítógépet érintette.

A vírus nem terjedt el annyira, mint a Wanna Cry, mivel nem terjed a hálózaton keresztül, de mindkét exploit használata segít megfertőzni a helyi rendszer összes számítógépét.

Petya vírus: hogyan lehet eltávolítani?

A Petya vírusvédelem nem mindig segít, különösen azért, mert a terjesztési szakaszban sok víruskereső nem ismerte fel a fájlt vírusként. A PC ilyen nagyarányú vereségét a víruskereső aláírások fejlesztői nem hagyták figyelmen kívül, és kicsi a vírussal való találkozás kockázata a jövőben, de más módosításokkal is találkozhatunk.

Közvetlenül a PC-be való behatolás után a vírus újraindítja, és az eljárást erőszakkal hajtják végre. A rendszerindítási folyamat során megjelenik egy ablak, amely a rendszer-helyreállítási eljárás végrehajtására kéri. A gyanútlan felhasználó megnyomja az Enter billentyűt, és megkezdődik a titkosítási folyamat. Valójában a CHKDSK rendszerként meghamisított ablak nem eredeti, így a felhasználó megerősíti a vírus műveleteit.

Ne tévesszen meg, csak indítsa újra a számítógépet. Az F9 gombbal válassza ki a meghajtót, és váltson másik meghajtóra, ha van ilyen. Ezután meg kell vizsgálnia a rendszert a Windows asztaláról, ma már szinte minden fejlett vírusirtó helyesen felismeri a zsarolóprogramot, és lehetővé teszi annak eltávolítását.

Ellenkező esetben egyszerűen indítsa el a rendszert helyreállítási lemezről (telepítőlemezről vagy flash meghajtóról).

Petya vírus: hogyan védekezhet?

Hogyan kerülheti el a Petya vírus elkapását a számítógépén, és hogyan védheti meg adatait ennek megfelelően? Közvetlenül a vírus megjelenése után egy minta sok haladó rendszergazdához eljutott, akik megpróbáltak módszereket találni Petya leküzdésére. Maga a vírus a rendszer sebezhetőségeit használja a behatoláshoz és legyőzéséhez, a programozók pedig sebezhetőséget találtak a kártevő kódjában.

Minimális számú műveletet kell végrehajtania a felhasználónak, létre kell hoznia egy perfc fájlt, amelynek a C:\Windows könyvtárban kell lennie, és a „Csak olvasható” beállítással kell rendelkeznie. A módszer nem nevezhető csodaszernek, mivel a vírus további módosításai megkerülik ezeket a korlátozásokat, és a probléma újra megjelenik, de addig is megjelenik a vírusirtókkal szembeni teljes védelem.

A fájl létrehozásának folyamata:

1. Kezdetben érdemes szerkeszthetővé tenni a fájlkiterjesztéseket. Meg kell nyitnia bármely mappát, kattintson az „Elrendezés” elemre, és válassza a „Mappa és keresési beállítások” lehetőséget, ha van egy tucatja, akkor az elem megtalálható a „Fájl” részben;
2. Lépjen a „Nézet” fülre, görgessen a lista végére, törölje a jelet a „Regisztrált fájltípusok kiterjesztésének elrejtése” szakaszból;

1. Most hozzon létre vagy másoljon bármilyen fájlt a lemezen;

1. RMB rajta és „Átnevezés”, ne módosítsa a meglévő fájlokat, különben hiba léphet fel;
2. Írja be a perfc nevet, ne legyen kiterjesztés, és erősítse meg a figyelmeztető ablakot;
3. RMB a létrehozott védőfájlon, és jelölje be a „Csak olvasható” jelölőnégyzetet.

A vírus nagyobb mértékben a vállalati hálózatokat célozza meg, így a cég hatalmas összegeket veszít az állásidő miatt, és ez a ransomware fizetésére késztetheti őket. Vannak általános védekezési módszerek minden típusú vírus ellen.

Petya ransomware vírus - védekezési módszerek

A Kaspersky Lab csapata megállapította, hogy sok vállalat vírust kapott a számítógépére a felhőre mutató banális hivatkozásokon keresztül, általában olyan fájlokat küldenek, mint az önéletrajzok.

Amikor a Petya vírus megtámadta, már túl késő tenni a védekezés érdekében, kivéve, ha azonnal le kell tiltania a helyi hálózatot, ezért először saját magát kell megvédenie:

1. A biztonsági mentések minden üzlet alapját képezik, ezek nélkül nagy a kockázata a kritikus adatok elvesztésének. Fontos, hogy 2 másolatot készítsen: az elsőt a felhőben, a másodikat egy szokásos cserélhető meghajtón tárolja, és blokkolja a hozzáférést a meghajtón lévő fájlok szerkesztéséhez és módosításához;
2. Adathalászat – hamis webhelyek, e-mailek stb. más szervezetektől, például bankoktól, üzletektől, internetes információforrásoktól. Az üzenet a hamisított szövegen kívül mindig tartalmaz egy olyan oldalra mutató hivatkozást, amely letölt egy fájlt, egy szkriptet, és a rendszer megfertőződik vírussal;
3. Hackelés – a barátok és ismerősök feltörhetők Skype-on, VK-n, Gmailen, Facebookon stb. nem szabad megbízni senkiben, különben elkaphatja a Petya vírust;
4. Amikor letölti a fájlokat a hálózatról, figyeljen a legveszélyesebb kiterjesztésekre: exe, vbs és scr.
5. Frissítse víruskeresőjét és operációs rendszerét.

Következtetés

Az új Petya vírus lényegében a már ismert sebezhetőségeket használja fel a rendszergazdai jogok megszerzése érdekében, majd egy hamis helyreállítási ablakkal félrevezeti a felhasználót. Így, ha már ismeri a Petya/NoPetya algoritmust, elkerülheti, hogy a támadók csapdájába essen.

Ha továbbra is kérdései vannak a „Hogyan lehet eltávolítani vagy megvédeni magát a Petya ransomware vírustól?” témában, felteheti őket a megjegyzésekben

if(function_exists("a_értékelések")) ( the_ratings(); ) ?>

Június 27-én az európai országokat egy ártalmatlan Petya néven ismert ransomware vírus támadta meg (különböző forrásokban megtalálhatók a Petya.A, NotPetya és GoldenEye nevek is). A ransomware 300 dollárnak megfelelő váltságdíjat követel bitcoinban. Több tucat ukrán és orosz nagyvállalat fertőződött meg, a vírus terjedését Spanyolországban, Franciaországban és Dániában is rögzítik.

Kit ütöttek meg?

Ukrajna

Ukrajna volt az egyik első ország, amelyet megtámadtak. Az előzetes becslések szerint mintegy 80 vállalatot és kormányzati szervet támadtak meg:

Ma a vírus nem csak az egyes fájlokat titkosítja, hanem teljesen elveszi a felhasználó hozzáférését a merevlemezhez. A zsarolóprogram egy hamis Microsoft elektronikus aláírást is használ, amely megmutatja a felhasználóknak, hogy a programot megbízható szerző fejlesztette ki, és garantálja a biztonságot. A számítógép megfertőzése után a vírus módosítja az operációs rendszer betöltéséhez szükséges speciális kódot. Ennek eredményeként a számítógép indulásakor nem az operációs rendszer, hanem a rosszindulatú kód töltődik be.

Hogyan védd meg magad?

1. Zárja be az 1024–1035, 135 és 445 TCP-portokat.
2. Frissítse víruskereső termékeinek adatbázisait.
3. Mivel a Petya terjesztése adathalászattal történik, ne nyissa meg az ismeretlen forrásból származó e-maileket (ha ismert a feladó, ellenőrizze, hogy az e-mail biztonságos-e), legyen figyelmes a közösségi hálózatokról érkező üzenetekre az ismerőseitől, mert fiókjukat feltörhetik.
4. Vírus keres fájlt C:\Windows\perfc, és ha nem találja meg, akkor fertőzést hoz létre és indít el. Ha már létezik ilyen fájl a számítógépen, akkor a vírus fertőzés nélkül befejezi a működését. Létre kell hoznia egy üres fájlt ugyanazzal a névvel. Nézzük meg közelebbről ezt a folyamatot.

A BleepingComputer erőforrás megosztotta a védelmi módszert. A kényelem kedvéért elkészítettek egy forgatókönyvet, amely elvégzi az összes munkát Ön helyett, és az alábbiakban részletes utasításokat talál arra az esetre, ha mindent maga szeretne megtenni.

Útmutató a Petya elleni védekezéshez

A Mappabeállítások beállításainál kapcsolja ki az Ismert fájltípusok kiterjesztésének elrejtése beállítást. Ezzel kiterjesztés nélküli fájl jön létre.

Menjen a mappába C:\Windowsés keresse meg a fájlt notepad.exe:

Készítsen másolatot erről a fájlról (a rendszer megerősítést kér):

Nevezze át a fájl eredményül kapott másolatát erre: perfc:

A rendszer figyelmezteti Önt, hogy a fájl esetleg nem érhető el: