Вирус Petya (ExPetr) уничтожает, а не блокирует данные

Источник материала:

Вирус Petya, точнее ExPetr, оказался более разрушительным, чем предполагалось ранее. Он не просто блокирует данные ради выкупа, а уничтожает их. Об этом сообщают антивирусные компании.

Руководитель компании Comae, занимающейся кибербезопасностью, утверждает, что вирус, распространившийся по всему миру, не вымогатель, а уничтожитель. Эксперты утверждают, что текущая версия зловреда — модифицированный вариант Petya, код которого настроен на уничтожение, а не блокировку данных. В Comae уверены, что маскировка под вымогатель была сделана осознанно — чтобы привлечь интерес медиа.

Разрушительную силу ExPetr подтверждают и в «Лаборатории Касперского»:

А тем временем, несмотря на появившиеся способы предупреждения заражения, эпидемия распространяется дальше. В частности говорится о проникновении вируса на ряд американских предприятий, в том числе Merck, Nabisco и Oreo, ряд госпиталей и главный порт Лос-Анджелеса.

И еще раз напоминаем, как избежать заражения

В «Лаборатории Касперского» рекомендуют включить все уровни антивирусной защиты и вручную обновить антивирусные базы. Также следует установить все обновления безопасности Windows (они доступны на официальном сайте Microsoft).

«В качестве дополнительной меры предосторожности с помощью AppLocker запретите выполнение файла perfc. dat и запуск утилиты PSExec из Sysinternals Suite», — отмечают специалисты.

Эксперты компании Positive Technologies и Symantec считают, что локально остановить шифровальщика можно, создав пустой файл без расширения с названием perfc в каталоге С:\Windows.

Дело в том, что в момент атаки Petya ищет файл C:\Windows\perfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения (это можно сделать в свойствах файла).

Для прекращения распространения вируса следует закрыть TCP-порты 1024−1035, 135 и 445, советует руководитель криминалистической лаборатории Group-IB Валерий Баулин.

Также специалисты советуют сделать резервные копии важных файлов на случай возможного заражения в дальнейшем. Кроме того, если компьютер заражен и требует перезагрузиться, нельзя давать ему это делать. Как минимум, у вас будет время сохранить всю ценную информацию.

Читайте также