
Вирус Petya вышел за пределы России и Украины, об атаках на компьютеры сообщили компании, расположенные в Великобритании, Франции, Голландии, Испании и Индии.
Petya шифрует главную загрузочную запись (MBR) на жёстком диске и выводит на мониторе требование выкупа за дешифрацию данных — эквивалент 300 долларов США в биткоинах. Как этот вирус попадает на компьютеры и какие версии Windows он заражает, пока неизвестно.
О вирусе Petya.A стало известно в апреле 2016 года. Он распространялся по электронной почте. Адресат запускал приложенный к письму exe-файл и предоставлял программе права администратора, после чего она показывала поддельный BSOD (синий экран смерти). После перезагрузки вирус запускал поддельную утилиту, замаскированную под проверку диска, и зашифровывал данные в накопителе, причём не целиком, а частично. Файлы можно было спасти, если вовремя пресечь зловредную активность на этапе появления BSOD: экстренно выключить компьютер, подключить винчестер к незаражённой машине и сделать бэкап.
С той поры Petya мутировал и теперь, вероятно, распространяется по другой схеме. Обновлённый код позволяет ему обходить антивирусную проверку и проникать в хорошо защищённые компьютерные сети частных компаний и государственных организаций. Раньше инструкция по переводу денег была размещена на специальном сайте, а теперь сайта нет, подробная информация приводится на экране, с помощью которого Petya блокирует доступ к операционной системе. Пользователю предлагается перевести деньги на указанный кошелёк и написать хакерам на электронную почту, после чего ему придёт код для расшифровки файлов, который нужно ввести на тот же экран.
По данным ESET Israel, компьютеры компаний поразила модификация вируса Win32/Diskcoder.Petya.C. Она повреждает запись MBR, но не трогает сами данные. Вирус распространяется через уязвимость в SMB, но это, вероятно, не единственный способ его появления на компьютере.
Попробовать вернуть файлы можно с помощью программы TestDisk, выбрав в опциях восстановление MBR. Как обезопасить свой компьютер закрыв определённые TCP-порты, читайте в инструкции на нашем сайте. Защититься от вируса такого типа также помогает программа MBRFilter, которая препятствует повреждению MBR.
Я пять раз перечитывал заголовок, не нашёл подвоха.
После этого можно не читать :)
для систем с уефи и ГПТ дисков видимо вирус безвреден
для ремонта мбр и мфт нужен установочный диск и вход в консоль восстановления.
мбр — тупо разметка диска для биоса, по факту чтобы тот дергал загрузку винды.
мфт сложнее починить, но нет ничего невозможного.
поэтому и надо переходить на современные системы с уефи и гпт-разметкой диска — в такой связке системе фактически пофиг откуда грузиться.
вот небольшая цитата из статьи о сравнении систем организации файлового пространства:
"На MBR диске данные о разделах и загрузочная информация хранятся в одном месте. Если эти данные повреждены или перезаписаны, у вас проблемы. GPT же хранит несколько копий этих данных по всему диска, поэтому работает гораздо быстрее и позволяет восстановить повреждённую информацию. GPT так же хранит значения циклического избыточного кода (CRC), чтобы точно знать, что данные нетронуты. Если информация повреждена, GPT замечает проблему и пытается восстановить повреждённые данные с другого места на диске. MBR не может узнать о повреждении информации. Вы увидите, что возникла проблема, только если не сможете загрузить систему или один из разделов диска исчезнет."