Вирус Petya вышел за пределы России и Украины, об атаках на компьютеры сообщили компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.
Petya шифрует главную загрузочную запись (MBR) на жёстком диске и выводит на мониторе требование выкупа за дешифрацию данных — эквивалент 300 долларов США в биткоинах. Как этот вирус попадает на компьютеры и какие версии Windows он заражает, пока неизвестно.
О вирусе Petya.A стало известно в апреле 2016 года. Он распространялся по электронной почте. Адресат запускал приложенный к письму exe-файл и предоставлял программе права администратора, после чего она показывала поддельный BSOD (синий экран смерти). После перезагрузки вирус запускал поддельную утилиту, замаскированную под проверку диска, и зашифровывал данные в накопителе, причём не целиком, а частично. Файлы можно было спасти, если вовремя пресечь зловредную активность на этапе появления BSOD: экстренно выключить компьютер, подключить винчестер к незаражённой машине и сделать бэкап.
С той поры Petya мутировал и теперь, вероятно, распространяется по другой схеме. Обновлённый код позволяет ему обходить антивирусную проверку и проникать в хорошо защищённые компьютерные сети частных компаний и государственных организаций. Раньше инструкция по переводу денег была размещена на специальном сайте, а теперь сайта нет, подробная информация приводится на экране, с помощью которого Petya блокирует доступ к операционной системе. Пользователю предлагается перевести деньги на указанный кошелёк и написать хакерам на электронную почту, после чего ему придёт код для расшифровки файлов, который нужно ввести на тот же экран.
По данным ESET Israel, компьютеры компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает запись MBR, но не трогает сами данные. Вирус распространяется через уязвимость в SMB, но это, вероятно, не единственный способ его появления на компьютере.
Попробовать вернуть файлы можно с помощью программы TestDisk, выбрав в опциях восстановление MBR. Как обезопасить свой компьютер закрыв определённые TCP-порты, читайте в инструкции на нашем сайте. Защититься от вируса такого типа также помогает программа MBRFilter, которая препятствует повреждению MBR.
