Обновлено : добавлена информация о файлах perfc.dat и perfc.dll
Анализируя внутреннюю работу шифровальщика, Серпер первым обнаружил, что NotPetya выполняет поиск локального файла и предотвращает процедуру шифрования, если файл оказывается на диске.
Первые результаты анализа были позже подтверждены другими исследовательскими организациями, такими как PT Security , TrustedSec , Emsisoft и Symantec .
Это означает, что жертвы могут создать этот файл на своих компьютерах, установить его только для чтения и таким способом заблокировать выполнение Ransomware NotPetya.
Несмотря на то, что данный метод предотвращает запуск шифровальщика, он скорее является способом вакцинации, чем универсальным способом блокировки. Это связано с тем, что каждый пользователь должен самостоятельно создать этот файл в отличие от блокирующего домена, когда один исследователь мог самостоятельно предотвратить распространение инфекции.
Чтобы вакцинировать ваш компьютер с целью предотвращения возможного заражения вирусом Petya, просто создайте файл с именем perfc в папке C:\Windows и установите уровень доступа “Только чтение”. Для тех, кто хочет быстро и просто выполнить эту задачу, Лоуренс Абрамс (Lawrence Abrams) создал пакетный файл, который автоматически выполняет все действия.
Загрузить данный файл можно по следующей ссылке - nopetyavac.bat . Скачайте и запустите файл на компьютере от имени администратора.
Обратите внимание, что bat-скрипт также будет создавать два дополнительных файла, которые называются perfc.dat и perfc.dll . Хотя тестирование данного способа выполнялось без них, автором метода была получена информация, что эти дополнительные файлы необходимы для надежности работы вакцинации.
Для тех, кто хочет вакцинировать свой компьютер вручную, мы приводим отдельную инструкцию (опубликована на BleepingComputer). Обратите внимание, что мы подробно описали шаги, чтобы они были понятны даже неопытным пользователям ПК.
Сначала включите отображение расширений файлов в Проводнике Windows на вкладке “Вид ”. Убедитесь, что в “Параметры папок > Вид ” отключена опция “” (галочка не отмечена).
Затем откройте папку C:\Windows и прокрутите вниз, пока не увидите программу .
Щелкните по ней левой кнопкой мыши один раз для выделения. Затем нажмите Ctrl + C , чтобы скопировать, а затем Ctrl + V , чтобы вставить его. При вставке вы получите запрос с просьбой предоставить разрешение на копирование файла.
Нажмите кнопку “Продолжить ”, и будет создана копия блокнота: notepad - копия.exe . Щелкните левой кнопкой мыши по этому файлу и нажмите клавишу F2 на клавиатуре, а затем удалите имя файла журнала - notepad - копия.exe и введите perfc , как показано ниже.
После того как имя файла было изменено на perfc , нажмите Enter на клавиатуре. Теперь вы получите запрос, действительно ли вы хотите переименовать файл.
Нажмите “Да ”, а затем “Продолжить ”.
Теперь, когда файл perfc был создан, нужно установить атрибут доступа “”. Для этого щелкните правой кнопкой мыши файл и выберите “Свойства”, как показано ниже.
Откроется меню свойств этого файла. Внизу нужно установить флажок “”. Установите галочку, как показано на рисунке ниже.
Теперь нажмите кнопку “Применить ”, а затем кнопку “ОК ”. Окно свойств должно быть закрыто.
Для надежности вакцинации повторите те же действия, создав файлы C:\Windows\perfc.dat и C:\Windows\perfc.dll .
Теперь ваш компьютер будет защищен от шифровальщика NotPetya / SortaPetya / Petya.
Нашли опечатку? Выделите и нажмите Ctrl + Enter
За последнюю неделю многие слышали об хакерской атаке по всему миру. А также эта хакерская атака больше всего вреда принесла Украине и России, а так как нас в большинстве читают пользователи как раз этих стран, то мы решили собрать все способы защиты от вируса Petya. Поэтому в этой статье Вы узнаете как защититься от вируса Петя. Мы покажем Вам не один способ, а несколько. Вы уже сможете выбрать для себя самый удобный. Также для тех кто уже попался на уловку хакеров мы покажем как удалить вирус Петя самому.
Сразу же после начала первых масштабных атак, специалисты всего мира начали думать и искать проблему почему так произошло и как с этим бороться. Первую идею предложили специалисты компании Symantec, как по сути можно обмануть вирус на ещё не зараженных компьютерах.
Как работает этот способ спросите Вы. Легко, вирус после завершения работы создает этот файл сам. Если мы это сделаем за него, то Petya уже подумает что компьютер заражен. Способ действительно простой и надежный. Так как многие антивирусные программы не смогли его обнаружить. Хотя Microsoft утверждает, что даже Защитник Windows 10 на последней сборке с легкостью с ним справится. Так ли это, проверять не стал, сразу решил перестраховаться.
Для защиты нам понадобиться всего лишь закрыть на компьютере определенные TCP порты которые использует вирус для заражения. Этот способ также без проблем подойдет как на предыдущих операционных системах, так и на Windows 10. Я покажу как это сделать на примере Windows 10, последней версии.
Совсем для ленивых есть способ защитится от вируса Пети использовать всего лишь файл . Или создать его на компьютере самому.
@echo offecho Administrative permissions required. Detecting permissions…
echo.
net session >nul 2>&1if %errorLevel% == 0 (
if exist C:\Windows\perfc (
echo Computer already vaccinated for NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.dll
echo This is a NotPetya/Petya/Petna/SortaPetya Vaccination file. Do not remove as it protects you from being encrypted by Petya. > C:\Windows\perfc.datattrib +R C:\Windows\perfc
attrib +R C:\Windows\perfc.dll
attrib +R C:\Windows\perfc.datecho Computer vaccinated for current version of NotPetya/Petya/Petna/SortaPetya.
echo.
) else (
echo Failure: You must run this batch file as Administrator.
)
netsh advfirewall firewall add rule name=»Petya TCP» dir=in action=block protocol=TCP localport=1024-1035,135,139,445
netsh advfirewall firewall add rule name=»Petya UDP» dir=in action=block protocol=UDP localport=1024-1035,135,139,445
pause
После выполнения батника у Вас автоматически сделаются способ 1 и способ 2, как на меня так удобней и быстрей. Не забудьте открыть bat файл от имени администратора, иначе изменений не будет. В принципе после этого Вы можете проверить создались ли файлы и были ли созданы новые правила.
Если Вы уже попались на уловку хакеров, увидели экран смерти и с перепуга выключили компьютер, тогда у Вас ещё есть шанс восстановить все самому.
Также на счет удалить вирус Петя, то переустановку операционной системы никто не отменял.
В этой статье мы разобрали, как защитится от вируса Петя и как удалить вирус Петя, если Вы уже попались на него. А вообще советую быть осторожными со само распаковывающимся архивами с расширением.exe. Так как в большинстве случаев Вы словите или вирус или много мусора который захотите удалить. Ну и как говорится лучше предотвратить чем исправлять, поэтому дерзайте. Пишите в комментарии была ли Вам статья полезной и не забывайте подписываться на обновления.
27 июня 2017 года мир столкнулся с новой вымогательской эпидемией, причиной который стала новая версия шифровальщика Petya, известного специалистам еще с 2016 года. Операторы малвари явно переняли несколько приемов у разработчиков нашумевшего и сумели спровоцировать новый виток паники.
В этом материале мы постарались собрать всю известную на данный момент информацию об этой вредоносной кампании.
Как уже было сказано выше, шифровальщик Petya еще в марте 2016 года. Однако версия, с которой мир столкнулся 27 июня 2017 года, сильно отличается от того «Пети».
Petya образца 2016 года
Как можно видеть на иллюстрациях выше, среди пострадавших стран Украина еще вчера лидировала с большим отрывом.
Еще 27 июня 2017 года украинская киберполиция сообщила , что по предварительным данным шифровальщик распространился на территории Украины так быстро «благодаря» программному обеспечению компании M.E.Doc. Аналогичные предположения высказывали и ИБ-специалисты, в том числе эксперты Cisco Talos и Microsoft .
Так, киберполиция сообщала, что последнее обновление, 22 июня распространявшееся с серверов компании (upd.me-doc.com.ua), было заражено вымогателем Petya.
Специалисты Microsoft, в свою очередь, пишут, что 27 июня они заметили, что процесс обновления M.E.Doc (EzVit.exe) начал выполнять вредоносные команды, приводившие к установке Petya (см. иллюстрацию ниже).
При этом на официальном сайте M.E.Doc появилось сообщение, гласившие, что «на сервера осуществляется вирусная атака», которое вскоре исчезло и теперь доступно только в кеше Google .
Also, Microsoft says they have evidence that "a few active infections" of Petya initially started from the legitimate MEDoc updater process.
Информация которую стоит знать любому пользователю о вирусе Petya.
Что это за вирус?
- Во вторник 27 июня 2017 года в сети появился вирус под названием Petya. Были атакованы компании Роснефть и банк Хоум Кредит. После выполнения эта угроза перезаписывает главную загрузочную запись (MBR) с помощью Ransom: DOS / Petya.A и шифрует сектора системного диска. Происходит это поочередно так: Заставляет ПК пере загрузиться и выводит фальшивое системное сообщение, которое отмечает предполагаемую ошибку на диске и показывает фальшивую проверку целостности: Далее вы получите следующее сообщение, содержащее инструкции по покупке ключа для разблокировании системы.
- Вирус шифрует файлы на всех дисках о кроме папки Windows на диске C: следующие расширение шифруемых файлов:
- Не давно была атака вируса WannaCry который многим похож на вирус Petya о котором говорим в этой статье. Ну для начала схожесть у них что они крипто вирусы, это вирусы которые шифруют файлы пользователя требуя за расшифровку выкуп. Как утверждает Лаборатория Касперский это не тот вирус как раньше Petya а название его ExPetr, то есть этот вирус на много модифицирован скажем так что был раньше. Более подробней вы можете узнать на сайте хотя как говориться некоторые строчки кода схожи.
Защита и где можно заразиться?
- Подцепить такой зловред можно в письме по электронной почте файл Петя.apx или с установкой обновления бухгалтерской программы M.E.doc. Ниже есть описание с блога Майкрософт о этой программе налогового уровня M.E.doc. Если в вашей сети дома или на работе появиться зараженная машина, то зловред будет распространяться с помощью все той же уязвимости что и вирус WannaCry по протоколу Smb. Эксплойт который использует уязвимость в Windows-реализации протокола SMB. Корпорация майкрософт как писалось в статье для защиты от WannaCry настоятельно рекомендует установить обновления для всех систем Windows и даже было выпущено обновления для уже давно не поддерживаемых продуктов таких как Windows Xp. Получается защита у вас должна стоят как и для вируса WannaCry так и для Petya одинаково. Более подробней о защите и установке обновлений читайте в статье . Бесплатную защиту от шифровальщиков в довесок к антивирусам и антишпионам можно установить от Касперского. Так же если вы пользуетесь антишпионом то в него уже встроена защита не только от ПНП но и от вымогателей шифровальщиков, на сайте написано на счет шифровальщиков: Не дает злоумышленникам шифровать Ваши файлы с целью получения выкупа. Думаю это самый лучший способ установив MBAM к вашему антивирусу. Вариант от Майкрософт который уже встроен в систему, защитник Windows 8.1 и Windows 10, Microsoft Security Essentials для Windows 7 и Windows Vista. Так же вы можете загрузить для одноразового сканирования на предмет зараженности вашего компьютера всех типов угроз. На сайте Майкрософт есть полное описание вируса откуда взялса и как попадает в систему, более точное описание правда на английском языке. На блоге говориться что первая зараженность точнее вымогательный процесс начался с Украинской компании M.E.Doc которая разрабатывает программное обеспечение налогового учета, MEDoc.
- Точный перевод с использованием Google Translate: Хотя этот вектор был подробно рассмотрен новостями и исследователями безопасности, включая собственную киберполицию Украины, были только косвенные доказательства этого вектора. У Microsoft теперь есть доказательства того, что несколько активных инфекций выкупа первоначально начались с законного процесса обновления Medoc.
Расшифровка файлов?
- Пользователям предлагают написать на указанный почтовый ящик доказательства перечисления средств для получения ключа расшифровки. Если вы соберетесь переводить средства для расшифровки файлов то вы не сможете написать на почту зло вреду что вы отправили выкуп. Адрес электронной почты, на который жертвы должны были сообщать когда перечислили средства заблокирован германским провайдером, на их сервере был почтовый ящик. Так что перевести вы сможете а выслать вам ключ не смогут. Так что скажем официально получить ключ от вымогателей не представиться возможным. Кошелек вымогателей известный на данный момент 1 июля 2017 года, данные по поступлениям обновляются в течении 15 секунд. Чтобы остановить вирус на компьютере жертвы нужно создать пустой файл на диске C:\Windows\ perfc в свойствах указать только для чтения. Именно дешифровальщиков пока еще нет исключение для старых версий вируса на GitHub .
Group-IB 28.06.2017 17:18
5318
27 июня на Украине, в России и в нескольких других странах мира была зафиксирована масштабная кибератака с использованием новой модификации локера-шифровальщика Petya.
Распространение вируса идет с помощью фишинговой рассылки на e-mail адреса сотрудников компаний. После открытия вредоносного вложения происходит заражение целевого компьютера с шифрованием файлов.
Любые вложения – .doc, .docx, .xls, .xlsx, .rtf и другие файлы в формате Microsoft Office могут содержать вредоносный контент. При открытии вложения с вирусом «Petya» произойдет установка вредоносного программного обеспечения путем использования известной уязвимости CVE-2017-0199.
Вирус ждет 30-40 минут после инфицирования (для распространения), а после этого Petya шифрует локальные файлы.
За расшифровку вымогатели требуют выкуп в размере $300 в биткоинах на интернет-кошелек.
Жертвы
В первые 2 часа были атакованы энергетические, телекоммуникационные и финансовые компании - в итоге было заражено более 100 компаний по всему миру:
- в России: «Роснефть», «Башнефть», Хоум Кредит Банк, Evraz и другие;
- на Украине: «Запорожьеоблэнерго», «Днепроэнерго», «Днепровская электроэнергетическая система», Mondelez International, Ощадбанк, Mars, «Новая Почта», Nivea, TESA, Киевский метрополитен, правительственные компьютеры Украины, магазины «Ашан», украинские операторы («Киевстар», LifeCell, «УкрТелеКом«), Приватбанк, аэропорт «Борисполь» и другие;
- в мире: американский биофармацевтический гигант Merck, Maersk, компании Индии, Австралии, Эстонии и другие.Что необходимо сделать для защиты?
1. Принять меры по противодействию mimikatz и техникам повышения привилегий в сетях Windows.
2. Установить патч KB2871997.
3. Ключ реестра: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet /Control/SecurityProviders/WDigest/UseLogonCredential установить в 0.
4. Убедиться в том, что пароли локальных администраторов на всех рабочих станциях и серверах разные.
5. Экстренно поменять все пароли привилегированных пользователей (администраторов систем) в доменах.
6. Ставить патчи от CVE-2017-0199 и EternalBlue (МS17-010).
7. Экстренно отбирать администраторские права у всех, кому они не нужны.
8. Не разрешайте пользователям подключать ноутбуки к ЛВС, пока не установлены патчи на все компьютеры в сети.
9. Делайте регулярный Backup всех критичных систем. В идеале используйте оба варианта – бэкап в облаке и на съемных носителях.
10. Внедрите политику «нулевого доверия» и проведите обучение по безопасности для своих сотрудников.
11. Отключите SMBv1 в сети.
12. Подпишитесь на Microsoft Technical Security Notifications. 1. Вы спонсируете преступников.
2. У нас нет доказательств того, что данные тех, кто заплатил выкуп, были восстановлены.